信息安全概论第15讲.pptVIP

信息安全概论 5.4授权与访问控制实现框架 前面介绍的几种访问控制安全模型，为访问控制的工程实现做了理论准备。 本节从工程实现框架的角度，论述访问控制技术中需要考虑的其他相关技术问题。这些问题主要包括身份识别、密钥分发、访问决策。 在本节中我们用privilege来表示主体按照某种访问控制模型得到的抽象权限，与前面所讲的permission相比是一个更加抽象的权限概念。为行文简单起见，仍然用权限来表达。 5.4.1 PMI模型 绝大多数的访问控制应用都能抽象成一般的权限管理模型，包括3个实体：客体，权限声称者（privilege asserter）和权限验证者(privilege verifier)。 1.客体（或对象）是被保护的资源，例如在一个访问控制应用中，受保护资源 就是客体。 2.权限声明者 是访问者，或主体，持有特定权限并声明权限内容的实体。 3.权限验证者 对访问动作进行验证和决策，是制定决策的实体，决定被声明 的权限对于使用内容来说是否充分。 权限验证者根据4个条件决定访问通过/失败： ——权限声明者的权限 ——适当的权限策略模型 ——当前环境变量 ——权限策略对访问客体方法的限制 图5.4说明验证者如何控制权限声明者对保护对象的访问，并表达了最基本的影响因素。 图5.4 PMI模型 PMI的一项重要贡献是规范了由权威机构生成，并进行数字签名的属性证书（Attribute Certificate）的概念，该属性证书可用来准确地表述权限声明者的权限。而且便于权限验证者进行验证。 5.4.2 一般访问控制实现框架 前面我们介绍过几种访问控制，如BLP模型中的自主访问控制DAC、强制访问控制MAC（Mandatory Access Control）和基于角色的访问控制RBAC（Role-Based Access Control）。PMI给出它们的访问控制授权实现框架，图5.5所示了该框架的基本要素。 图5.5访问控制抽象模型 访问者提出对访问对象（资源）的访问请求 访问控制执行单元(AEF,Access Control Enforcement Function)截获访问请求，执行单元将请求信息和目标信息以决策请求的方式提交给访问控制决策单元（ADF，Access Control Decision Function） 决策单元根据相关信息返回决策结果， 执行单元根据决策结果决定是否执行访问。 （其中执行单元和决策单元不必是分开的模块） 5.4.3基于KDC和PMI的访问控制框架 与访问控制紧密关联的是实体的身份识别和密钥分发服务，如果我们把能够实现身份识别和密钥分发的基础设施-密钥分发中心KDC考虑在内，细化上面提到的PMI，我们给出的访问控制实现的整体框架结构如图5.6所示： 图5.6基于KDC和PMI的访问控制框架 KDC 安全中间件 访问控制 应用服务器 身份鉴别 服务器 用户 密钥共享 PMI 1. 框架说明 （1）KDC：密钥分发中心，应用网络中的两个分别与KDC共享对称密钥的通信方，通过KDP（密钥分发协议）获得两者之间的通信共享密钥。 （2）身份识别服务器：用户通过安全的识别协议将用户标识和用户凭证提交到身份识别服务器，身份识别服务器完成识别，用户获得识别凭证，用于用户与应用服务器交互。如果用户事先未与KDC共享了对称密钥，身份识别服务器还将和用户协商二者之间的共享对称密钥。应用KDP协议，通过身份识别协议，用户将获得与KDC共享的对称密钥，之后用户再与应用服务器交互。 （3）安全中间件：包括访问控制组件和密钥共享组件，部署在应用服务器之前，通过KDC实现应用服务器同用户的密钥共享，向PMI申请用户属性证书，并根据用户的属性来实现用户对服务的安全访问控制。 （4）PMI：通过属性证书的生成、分发、注销等整个生命周期的管理，实现用户权限的授予。 2. 功能介绍 基于KDC和PMI的安全框架从功能上分为身份识别与密钥分发、授权与访问控制两部分。 身份识别与密钥分发由两部分组成：身份识别服务器与KDC。在应用网络内身份识别服务器和应用服务器的数量相对用户的数量而言，比较少，可以通过物理方式或其它安全的方式与KDC之间共享对称密钥。用户的数量则较多，通过手工配置实现用户与KDC的密钥共享会给管理上带来沉重的负担。 比较现实的方法是 实现方法 用户与身份识别服务器通过安全协议，获取与身份识别服务器之间的共享密钥。 对KDC和用户来说，身份识别服务器是可信第三方。用户与