密码学与信息安全技术 第5章 访问控制.pptVIP

第5章 访问控制 5.1概述 5.2 访问控制的模型 5.1概述 访问控制是安全服务的一个重要组成部分。 所谓访问控制，就是通过某种途径显式地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。 国际标准化组织（ISO）在网络安全标准ISO7498-2中定义了5种层次型安全服务，即：身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务，因此，访问控制是信息安全的一个重要组成部分。 访问控制系统一般包括： 1)主体(Subject)：是可以对其它实体施加动作的主动实体，简记为S。有时我们也称为用户（User）或访问者（被授权使用计算机的人员），记为U。主体的含义是广泛的，可以是用户所在的组织（称为用户组）、用户本身，也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以是应用服务程序程序或进程 ； 2)客体(Object)：被调用的程序或欲存取的数据访问,是接受其他实体访问的被动实体, 简记为O。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体 ； 3)安全访问规则：用以确定一个主体是否对某个客体拥有访问权力。是主体对客体的操作行为集和约束条件集, 简记为KS。简单讲，控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对可以的作用行为和客体对主体的条件约束。访问策略体现了一种授权行为，也就是客体对主体的权限允许，这种允许不超越规则集，由其给出。 访问控制系统三个要素之间的行为关系见下图。 可以使用三元组（S，O，P）来表示，其中S表示主体，O表示客体，P表示许可。 访问控制的实现 当主体S提出一系列正常的请求信息I1，…，In，通过信息系统的入口到达控制规则集KS监视的监控器，由KS判断是否允许或拒绝这次请求。 此时，必须先要确认是合法的主体，而不是假冒的欺骗者，也就是对主体进行认证。 主体通过验证，才能访问客体，但并不保证其有权限可以对客体进行操作。 客体对主体的具体约束由访问控制表来控制实现，对主体的验证一般会鉴别用户的标识和用户密码。 用户标识（UID：User Identification）是一个用来鉴别用户身份的字符串，每个用户有且只能有唯一的一个用户标识，以便与其他用户区别。 当一个用户注册进入系统时，他必须提供其用户标识，然后系统执行一个可靠的审查来确信当前用户是对应用户标识的那个用户。 多级安全信息系统： 由于用户的访问涉及到访问的权限控制规则集合，对于上图中将敏感信息与通常资源分开隔离的系统，称之为多级安全信息系统。 多级安全信息系统的实例见Bell-LaPadula模型，它将信息资源按照安全属性分级考虑。 安全类别有两种类型： 一种是有层次的安全级别（Hierarchical Classification），分为TS，S，C，RS，U五级：绝密级别（Top Secret），秘密级别（Secret），机密级别（Confidential），限制级别（Restricted）和无级别级（Unclassified）； 另一种是无层次的安全级别，不对主体和客体按照安全类别分类，只是给出客体接受访问时可以使用的规则和管理者。 访问控制的目的：限制访问主体（用户、进程服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对没有非法用户或是越权操作进行管理。所以，访问控制包括认证、控制策略实现和审计三方面的内容： 访问控制与其它几种安全服务的关系 访问控制依赖于其它的一些安全服务并与它们共同保护计算机系统的安全。下图说明了这种关系。 访问控制主要是关心对合法用户的访问权限的限制，其控制效果可被引用监视器按如下方式加强： 引用监视器通过对每一个用户对系统中的客体的访问请求进行仲裁，然后咨询授权数据库从而确定请求是否是合法的。 授权数据库中的授权关系由安全管理员来维护。安全管理员根据组织的具体的安全策略来设置权限。 用户也可修改此数据库中的一些权限关系，例如对他们的私人文件设置权限。 审计起到监控和记录系统中相关活动的作用。 审计的重要意义在于，比如客体的管理者即管理员有操作赋予权，他有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进行记录，从而达到威慑和保证访问控制正常实现的目的。 上图是一些安全服务及它们之间的逻辑关系图，此图理想化了认证、访问控制、审计和授权服务之间的区分，