30
访问控制策略
• 基于角色的策略
– 角色的定义
• 每个角色与一组用户和有关的动作相互关联，角色 中所属的用户可以有权执行这些操作
– 角色与组的区别
• 组：一组用户的集合 • 角色：一组用户的集合+一组操作权限的集合
31
访问控制策略
• 基于角色的策略
–例
• 在银行环境中，角色可分为出纳员、系统管理员、 顾客、管理者和审计员
19
Biba模型
• Biba等人在1977年提出的 • 保护信息的完整性 • 基于主体、客体以及它们的完整性密级， 对系统中的每个主体和客体均分配一个称 为完整性等级的密级。
20
Biba模型
O5 Read Read S2 Write O3 Read Read S1 Write Write O1
21
– 应用环境 – 根据主体的许可级与客 体密级来确定访问许可 – 在处理一个访问请求时， 目标环境比较请求上的 许可级和目标上的标签， 应用策略规则决定是允 许还是拒绝访问
11
主体 可信计算基 非可信组件环境
客体
主体 客体
客体 主体 主体
客体
Bell-Lapadula 模型
• 主体(subject)：是这样的一种实体，它引起信息在 客体之间的流动。通常，这些实体是指人、进程 或设备等，一般是代表用户执行操作的进程。如 编辑一个文件时，编辑进程是存取文件的主体， 而文件是客体。 • 客体(object)：系统中被动的主体行为承担者。对 一个客体的访问隐含着对其所含信息的访问。客 体的实体类型有记录、程序块、页面、段、文件、 目录、目录树和程序，还有位、字节、字、字段、 处理器、视频显示器、键盘、时钟、打印机和网 络节点等。
27
Chinese Wall模型
• 所以，当Tony访问了Bank of America的数据，就 不能再访问CitiBank的数据，反之亦然 • 问题2：间接的信息流动
– 通过Gas公司的信息流动
Bank of America a Citibank c Bank of the West b
28
Shell Oil s Union '76 u
– Brewer and Nash (1989)
• BLP模型通常假设访问权限是静态的；中国 墙模型则对于每次访问操作主体的访问权 限是动态改变的。
26
Chinese Wall模型
• 问题:
– Tony为American Bank 做投资咨询，Citibank Bank也请Tony做投资咨询。这就出现了一个利 益冲突，因为Tony对任何一家银行的投资建议 都会受到他与另外一家银行交换的信息的影响。
• 隐蔽通道是一个不受安全机制控制的信息流；它 违反MAC策略，从高安全等级的主体向低安全等 级的主体泄漏信息。
– 隐蔽通道涉及两个程序，其中一个必须是特洛伊木马。 – 隐蔽通道通常具有复杂的机制，实现较困难。 – 隐蔽通道利用共享资源作为通信通路。这要求空间共 享或时间共享。隐蔽存储通道（covert storage channel） 使用共享资源的属性。隐蔽定时通道（ covert timing channel ）使用在对共享资源访问中的时态或排序关系
• 重点用于商业应用 • 设计目标
– 防止导致利益冲突的信息流动
• 起源
– 1929美国股灾后的立法
• 特点
– Screen
25
Chinese Wall模型
• 中国墙策略组合了商业的自主和法律上的 强制控制。其目标是阻止引起利益冲突的 信息流。业务服务员可以代表在同一个业 务部门的几个客户，这将引起利益冲突。
AU Trojan
Trojan BU
process
process
AU Trojan
Trojan BU
process
17
Bell-Lapadula 模型
• 模型存在的问题
– 只涉及机密性，而没有涉及完整性 – 没有解决访问控制的管理问题 – 包含隐蔽通道
18
隐蔽通道（Covert Channel）
O4
Write
O2
Biba模型
process
AU Trojan Trojan BU
process
process
AU Trojan
Trojan BU
process
22
模型对比
BLP Biba
机密性
完整性
信息向上流动！ 信息向下流动！
23
模型对比
• BL与Biba的信息流模型
24
Chinese Wall模型
• 安全标签是限制在目标上的一组安全属性信息项， 可用于支持多级访问控制策略
9
访问控制策略
• 机密性模型
– Bell-Lapadula机密性模型
• 完整性模型
– Biba完整性模型 – Clark-Wilson模型
• 动态模型
– Chinese Wall模型
10
Bell-Lapadula 模型
• 基于安全标签的访问控 制
13
Bell-Lapadula 模型
• 主体的安全等级称为许可级（ clearance） • 客体的安全等级称为密级（classification） • 安全级别的集合形成一个满足偏序关系的 格，此偏序关系称为支配（dominate） ≥关 系。
14
Bell-Lapadula 模型
绝密
绝密
机密
机密
36
访问控制实现机制
• 能力模型
37
访问控制实现机制
• 能力模型
UserA Obj1 Own R W O O R R W O Obj2 Obj3
38
访问控制实现机制
• 能力模型
– 能力是发起者拥有的一个有效标签，它授权持 有者能以特定的方式访问特定的目标。 – 从发起者的环境中根据一个关于用户的访问许 可存储表产生能力。即运用访问矩阵中用户包 含的每行信息产生能力
– 以包含在客体中的信息敏感性和访问这些敏感 性信息的主体的正式授权信息为基础，对访问 进行限制的策略。 （TCSEC，1985）
8
访问控制策略
• 强制访问控制
– 应用于处理敏感数据的多级系统，多级系统指 的是一个具有多种不同安全等级的信息和用户 的系统。 – 广泛应用于军队、政府等对安全要求较高的组 织 – 标签
– 特点
• 通过增加一层间接性提高了灵活性 • 易于被非技术性的组织策略制定者理解，也易于映 射到基于组的策略及使用访问控制矩阵实现 • 一个用户可以具有多个角色
32
访问控制策略
• 其他策略
– 基于值的策略 – 多用户策略 – 基于上下文的策略
33
访问控制实现机制
• 访问控制列表（ACL）
34
访问控制实现机制
Standard Oil e ARCO n
Chinese Wall模型
• 所以，如果Tony处理A公司业务，那么仅当 客体不能被处理与A公司利益冲突信息的主 体访问的时候，允许A对该客体进行写操作
29
访问控制策略
• 基于角色的策略
– 基于角色的访问控制是一个复合的规则，可以 被认为是基于身份策略和基于规则策略的变体 – 基本思路：管理员创建角色，给角色分配权限， 给角色分配用户，角色所属的用户可以执行相 应的权限
6
访问控制策略
• 基于身份的策略
– 基于个人的策略
• 使用用户的访问控制矩阵表示 • 应具有隐含或显示的缺省策略
– 基于组的策略
• 一组用户对于一个目标具有同样的权限 • 需对组成员进行定义 • 组的成员可以改变
7
访问控制策略
• 强制访问控制（Mandatory Access Control) （
读、修改、管理 修改、 读、修改、管理 修改、
目标y 目标
目标z 目标
读、修改、管理 修改、
读、修改 读、修改
3
访问控制策略
4
访问控制策略
• 分类
访问控制策略 基于身份 策略 基于规则 策略 基于角色 策略
5
访问控制策略
• 基于身份的策略
– 属于自主式策略，根据主体的身份及允许访问 的权限进行决策 – 适用于安全要求较低的环境 – 缺点：信息在移动过程中其访问权限关系会被 改变。如用户A可将其对目标O的访问权限传递 给用户B,从而使不具备对O访问权限的B可访问 O
• 访问控制列表（ACL）
Obj1 userA Own R W O O O R userB userC R W
35
访问控制实现机制
• 访问控制列表（ACL）
– 访问控制列表机制最适合于有相对少的需要被 相对少的需要被 区分的用户，并且这些用户中的绝大多数是稳 区分的用户 定的情况。如果访问控制列表太大或经常改变， 维护访问控制列表会成为最主要的问题 – 不同于其它的机制，对于大范围的目标粒度访 问控制列表均适用，包括非常好的粒度 – 另一个优点是一个目标的拥有者或管理者可以 很容易地废除以前授予的许可
12
Bell-Lapadula 模型
• 敏感性标签(sensitivity label)：用以表示客体安全 级别并描述客体数据敏感性的一组信息，在可信 计算基中把敏感性标记作为强制访问控制决策的 依据 • 每个安全等级是一个二元组：L=(sl, C)，其中
– 密级（classification） sl是集合{绝密(Top Secret)，机密 (confidential)，秘密(Secret)，公开 (unclassification)}中 的任何一个元素；此集合是全序的 – 类别的集合C是系统中非层次的元素集合的一个子集。 该集合中的元素依赖于所考虑的环境和应用领域。