金融信息安全-访问控制.pptVIP

金融信息安全-访问控制 李改成 lgc@ 主要内容 访问控制系统概述 访问控制系统组成、数学模型 策略类型、策略语言 安全策略的设计原则 自主访问控制 访问控制列表、能力、授权证书 多级安全 BLP模型 Biba模型 访问规则、信息流分析 Lipner?完整性矩阵模型 多级安全系统的建立 可信平台模块、 安全操作系统、软件沙箱 多级安全系统的困难 主要内容 多边安全 长城模型 个人信息保护 访问规则、实现技术 基于角色的访问控制 模型的组成 组织中的角色 事务完整性模型 身份完整性 过程完整性 职责隔离和过程授权 日志完整性 访问控制策略模型 访问控制是实现各种安全属性的核心技术，是安全工程与计算机科学的结合点。 访问控制是按事先确定的规则决定主体对客体的访问是否合法。 通过身份认证的用户，只是拥有了进入应用系统和数据库的“凭证”，但用户能读或写服务器上的哪些数据、执行那些交易，如何与其他主体共享数据等，就要依靠“访问控制”的权限分配和约束。 根据具体应用，可采取不同粒度的访问控制。 访问请求 包含访问者信息，访问请求信息，目标信息，上下文信息。 访问者信息指用户的身份、权限信息（授权证书信息）等； 访问请求信息包括访问动作，如读写、执行、搜索等的信息； 目标信息包含资源的等级敏感度等信息； 上下文信息主要指影响决策的应用端环境，如会话的有效期等。 访问控制模型 策略实施点 策略 描述了对系统中实体和行为的约束，策略是独立于机制的。假设一个系统接入到Internet，用户启动了Web 浏览器，Web 浏览器从远程站点下载程序并在本地执行，本地系统的策略会约束下载程序的功能范围。 应用内实现访问控制的一段代码或者监听程序。它截获访问者发出的对某一目标的访问请示，对请求进行处理，根据用户信息、操作请求和目标形成决策请求，发给决策点。 策略决策点 一个判断逻辑，如访问控制代码中的判断函数。决策单元和执行单元不必是分开的模块。 它根据用户权限，策略规则对决策请求进行判断，并将决策结果返给策略执行点，允许/拒绝策略执行点根据决策结果执行访问或拒绝访问系统。 决策单元中包含访问控制信息，能够提示攻击者哪些用户具有访问权限。为了防止攻击者获得这些信息，访问控制文件的内容应该是保密的。 访问控制的实现方式 访问控制实现有以下三种方式，访问控制代码，服务器插件和代理服务器。 基于应用的方式（Application Based）在应用程序中使用进行访问控制的代码，在应用程序内部对访问请求进行直接的控制和处理。 服务器插件方式（Plug-In Based）针对应用服务器（如Web）建立服务器的安全插件，在服务器上对请求进行处理，可以与具体的应用服务器紧密集成，插件可以在相同的应用服务平台上重复使用。 代理方式（Proxy Based）在用户和应用服务器之间建立访问控制代理服务器，对访问请求进行处理后，允许的访问被转发到应用服务器。 访问控制实现部件可以 位于通路两端，如VPN机，加密路由器，加密防火墙等 使用门卫模式，在应用层到链路层，从探测设备到安全网关等出入关控制设备等控制系统 或使用内部控制模式，在应用层或表示层实现访问控制决策。 安全策略的数学模型 在系统模型Σ(R, D, W, z0)中，有下列元素： 访问请求集R：用于请求访问系统受控资源。 决策集D：{yes, no, error, ?}，请求决策，其中yes 为许可，no 为拒绝，error为错误，？表示未决。 状态集V：由模型中的状态变量构成，不同的系统变量值就构成了不同的系统状态实例。 定义W?R×D×V×V。 z0为系统的初始状态。 一个元素t∈ {0, 1, 2, …, t, …} 表示一个离散时刻，可以作为一个有关请求、决策和状态序列以及状态元素的索引。 例如，zt 是状态序列z 中的第t 个状态。 设x是请求序列, y是决策序列, z是状态序列,当且仅当 T 中的任何一个ｔ=1，(xt, yt, zt, zt-1)∈W都在系统Σ(R, D, W, z0)中，有(x, y, z)∈Σ(R, D, W, z0)。 安全策略 安全策略把状态分割为一个授权状态集和一个非授权状态集。当一个系统进入了一个非授权状态，则称出现了安全违反。 例如，设一个有限状态机由4个状态和5个变换组成，有授权状态集A={s1,s2}和非授权状态集UA={s3,s4}。 在这个系统中，尽管系统是从授权状态开始的，但是由于其可以进入一个非授权状态，所以它并非一个安全系统。 如果没有从s1到s3的边(t3)，则该系统就是一个安全系统。 安全策略类型 访问控制策略有许多类型，以下几个因素是产生不同类型的主要原因： 在哪一个级别上作授权决策。 用户和/或目标用哪种方法被连在一起以达到