第八章 子商务访问控制.ppt

（2）结合的优点 基于PKI的RBAC访问控制模型主要采用了将角色信息和用户证书分离的模式，它的优点是： ①PKI和RBAC的功能相对独立、完整。 ②角色的更改不会要求给用户重新颁发证书，减小了CA的负担。 ③不需要更改现有的CA系统，实现比较容易。 【学习目标】 1．熟知安全电子商务系统的逻辑结构 2．理解身份认证和访问控制的原理 3．熟悉各种常见的访问控制策略 4．掌握各种访问控制的实现方式 5．了解RBAC在公钥密码系统的实现模型 一、安全电子商务系统结构 1．基于开环控制的电子商务系统 2．基于PDR闭环控制的电子商务系统 ANSM是以PDR（保护，监测，反应）为核心的闭环控制安全模型。 从安全的实施过程来描述，可将PDR模型描述为：安全＝风险分析＋制定安全策略＋系统实施＋漏洞检测＋实时响应。 图8-2 基于PDR的计算机闭环控制系统 图8-3安全电子商务系统的逻辑结构图 在电子商务安全系统中，身份认证、访问控制和审核共同建立了保护系统安全的基础。 访问控制成功与否是以正确的身份识别为基础的，身份识别的任务是正确建立用户的标识，准确识别当前会话的用户身份。访问控制是在鉴别用户的合法身份后，控制用户对数据项的访问的过程。 系统通过访问监控器实施访问控制。访问监控器通过查询授权数据库来判定用户是否可以合法操作相应的目标或客体。授权数据库由管理员负责管理。 为了确保系统的安全，一般系统中还会有审核功能。审核涉及的是用户在系统中所有请求和活动数据的后期分析以及计算机取证。 二、访问控制定义和主要过程 访问控制是指要确定合法用户对哪些系统资源享有何种权限，可以进行什么类型的访问操作，并防止非法用户进入系统和合法用户对系统的非法使用。 访问控制的目的是对抗涉及计算机或通信系统的非授权操作的威胁。 图8-4基本访问控制功能示意图 制定访问控制安全政策的主要过程 1．规定需要保护的资源，也就是确定客体。 客体（Object）通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。 2．规定可以访问该资源的实体或主体。 主体（Subject）是发出访问指令、存取要求的主动方，通常可以是用户或用户的某个进程等。 3．规定可对该资源执行的动作，如读、写、执行或不许访问等。 4．通过确定每个实体可对哪些客体执行哪些动作来确定安全访问政策。安全访问政策定义了主体与客体可能的相互作用途径。 三、访问控制策略 访问控制的实现依赖于访问控制策略。访问控制策略在系统安全策略级上表示授权，具体决定对访问如何控制及如何访问。 最常用的访问控制策略是 自主访问控制（DAC） 强制访问控制（MAC） 基于角色的访问控制（RBAC）。 一、自主访问控制 自主访问（Discretionary Access Control，DAC）的含义是有访问许可的主体能够直接或间接地授予其他主体访问权。 它在确认主体身份的基础上，控制主体的活动，实施用户权限管理、访问属性（读、写、执行）管理等，是一种最为普遍的访问控制手段。 DAC的主要特征体现在主体可以根据自身意愿把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限。 1．DAC的实现方法 访问控制可以很自然的表示成一个矩阵的形式。访问矩阵中的每行表示一个主体，每一列则表示一个受保护的客体，而矩阵中的元素则表示主体可以对客体的访问模式。 ? 文件1 文件2 文件3 文件4 小王 拥有\读\写 ? 拥有\读\写 ? 小李 读 拥有\读\写\ 写 读 小张 读\写 读 ? 拥有\读\写 表8-1 访问控制矩阵示例 2．DAC的优缺点 DAC是一种比较宽松的访问控制，灵活性较高，被广泛地用在商业领域，尤其是在操作系统和关系数据库系统上。但DAC也有很多局限性，具体如下： 采用ACL机制管理授权处于一个较低级的层次，管理复杂、代价高以至易于出错。 DAC的灵活性使信息总是可以从一个实体流向另一个实体，即使对于高度机密的信息也是如此，因此DAC的安全级别较低。 一个主体的访问权限具有传递性，即用户先登录，然后启动某个进程为该用户做某个工作，这个进程就继承了该用户的属性，包括访问权限，这种权限的传递可能会给系统带来安全隐患。 DAC机制容易受到特洛伊木马的攻击。 二、强制访问控制策略 强制访问控制（Mandatory Access Control，MAC）是“强加”给访问主体的，即系统强制主体服从访问控制政策。 MAC的主要特征是对所有主体及其所控制的客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。 1．BLP模型 在BLP模型中，所有的主体和客