第八章_访问控制.pptVIP

计算机系统安全攀枝花学院 李玉君 第八章 访问控制 8.1 访问控制的概念 访问控制 Access Control 限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。 口令认证不能取代访问控制 。 访问控制机制 在信息系统中，为检测和防止未授权访问，以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。 任何访问控制策略最终可被模型化为访问矩阵形式。 每一行：用户 每一列：目标 矩阵元素：相应的用户对目标的访问许可。                         8.4.3 RBAC系统结构 基于角色访问控制的实际应用 案例：国内有一家大型知名医药企业，它们使用了一套企业管理系统， 总公司经理 用自己的账户登录后能进行 查看企业销售报表 ， 审核订单 等操作，而 区域销售代表 用自己的账户登录后能够使用该系统进行 客户信息维护 、 为客户下订单 、 提取预付款 等操作，在公司总部大楼内， 财务部会计 用自己的账户登录后可以使用 帐务结算 、 工资发放 等操作… 在总公司经理张三审核订单 中， 总公司经理 是一个角色， 张三 是一个用户， 订单 是一个资源， 审核 是对该资源的一个行为。如果只说审核，这是无意义的，当它结合了一个特定资源的实例（订单）时，可以称为这是一个 权限 ，也就是说， 审核订单 是一个 权限 。 总公司经理 的权限有一大堆，比如 查看销售报表 ，所以 张三 还能进行 查看销售报表 等操作。当然还有其它几个人也具有 总公司经理 这一角色，所以他们能进行和 张三 同样的工作。 角色层次表包括上一级角色标识、下一级角色标识。上一级角色能够继承下一级角色的许可。 （1）通过角色分层映射组织结构 组织结构中通常存在一种上、下级关系，上一级拥有下一级的全部权限，为此，RBAC引入了角色分层的概念。角色分层把角色组织起来，能够很自然地反映组织内部人员之间的职权、责任关系。层次之间存在高对低的继承关系，即父角色可以继承子角色的许可。 RBAC描述的安全策略 （2）容易实现最小特权（least privilege）原则 最小特权原则在保持完整性方面起着重要的作用。最小特权原则是指用户所拥有的权力不能超过他执行工作时所需的权限。这一原则的应用可限制事故、错误、未授权使用带来的损害。在RBAC中，系统管理员可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色需要执行的操作才授权给角色。当一个主体要访问某资源时,如果该操作不在主体当前活跃角色的授权操作之内，该访问将被拒绝。 （3）满足职责分离(separation of duties)原则 这是保障安全的一个基本原则，是指有些许可不能同时被同一用户获得，以避免安全上的漏洞。 例如收款员、出纳员、审计员应由不同的用户担任。 （4）岗位上的用户数通过角色基数约束 企业中有一些角色只能由一定人数的用户占用，在创建新的角色时，通过指定角色的基数来限定该角色可以拥有的最大授权用户数。如总经理角色只能由一位用户担任。 USERS ROLES OBJECTS OPERATIONS PERMISSIONS 角色/许可分配 用户/角色分配 会话管理模块 定义角色关系 系统管理模块 图1 RBAC数据库与各模块的对应关系图 会话 RBAC系统的运行步骤 用户登录时向身份认证模块发送用户标识、用户口令，确证用户身份； 会话管理模块从RBAC数据库检索该用户的授权角色集并送回用户； 用户从中选择本次会话的活跃角色集，在此过程中会话管理模块维持动态角色互斥； 会话创建成功，本次会话的授权许可体现在菜单与按扭上，如不可用显示为灰色； 在会话过程中，系统管理员若要更改角色或许可，可在此会话结束后进行或终止此会话立即进行。 存在整个系统中各部分随时间发生变化的概率导致的维护难度。例如：系统增加新功能，人员调动，公司业务扩大而增设新岗位，新员工上岗等，都可以产生对用户的权限重新分配的需要；这时就带来对涉及到的用户进行一定的权限分配的维护的复杂性。 存在为大量用户进行权限分配时带来重复操作的可能性。 用户 和 权限 被隔离开来，中间插入了一个 角色 的概念， 用户 只有 绑定 了某一 角色 后，才能获得该角色所对应的 权限集 。这就是基于角色控制的核心思想。 从 用户接口 到 权限 之间的通讯是一个虚通讯 ，中间插入了一个 角色服务 ，对于 用户接口 来说，它的所有请求都发送到 角色服务 ，再由 角色服务 和 权限 打交道，处理结果由 角色服务 发给用户接口。 * 8.1 访问控制的概念 8.2 自主访