0引言
访问控制是信息安全的关键技术之一【1l。访问控制的
目的是保护客体(Objects)不受到主体(Subjects)非授权操
作。主体可以是人,也可以是非人实体。操作则可能包括
发现、读、写、创建、删除,以及执行客体等。客体可能
是数据、服务、可执行的应用、网络设备,或其他类型的 信息技术或资源等。这些客体具有价值,并且为个人或组
织机构所拥有。作为客体的所有者,有权制定相应的策略
(Policies)说明谁可以对这些客体进行操作,可以进行什么
操作,以及在什么情况下,这些主体可以进行这些操作等。
如果主体满足了客体所有者制定的访问控制策略,则会获 得授权在客体上进行要求的操作;否则,将拒绝对该客体
的访问。
访问控制策略需要一定的机制(Mechanism)来执行。
访问控制机制可以采用多种方法将访问控制策略应用到客
体上。而访问控制机制的功能可以用多种访问控制逻辑模
型来描述。这些逻辑模型提供框架和边界条件集,可以把
主体、客体、操作和规则组合起来,生成和执行访问控制
决策。每种模型有自己的优点及不足。
访问控制技术发展历史悠久,文献众多。本文试图通
过调查分析,在介绍基本技术的基础上,重点将新出现的
技术、可能的影响以及我们的建议呈现给读者。
1访问控制发展史
“访问(Access)”原义是指进人・个地方或接近一个人
(物)的方法或可能性,或使用或查看某物的权力。一般地,
使用资产(或资源)的行为ⅡLl做访问,而资产是对于一个
组织机构有价值的任何东西。在信息领域,访问是信息在 主体和客体间交流的一种形式。控制(Contro1)是管理风险
的方法,包括策略、规程、指南、实践或组织结构。控制 在本质上可以是行政的,技术的,管理的,或法律的。
访问控制(Access Contro1),顾名思义,是对资产的访
问的限制或约束。
访问控制决定了谁能够访问系统,能访问系统的何种
资源以及如何使用这些资源。适当的访问控制能够阻止未 经允许的用户有意或无意地获取数据。访问控制的手段包
括用户识别代码,口令,登录控制,资源授权(如用户配置 文件、资源配置文件和控制列表),授权核查,日志和审计等。
访问控制是信息安全的关键技术之一,它依赖于其他
安全服务并与这些服务共存于信息系统中,从而提供信息
安全保障。 人类使用访问控制技术历史悠久。门锁和钥匙就是一
种典型的访问控制。现代访问控制技术起源于20世纪六、 七十年代。LAMPSON提出访问控制的形式化和机制描述,
引入了主体、客体和访问矩阵的概念,它们是访问控制的 基本概念口1。从计算技术早期至今,对访问控制模型的研
究大致经历了以下几个阶段: 1)在计算技术早期,访问控制伴随着多进程管理而出现I4l。
2)20世纪六、七十年代,奠定了经典访问控制技术。
LAMPSON在1969年首先引入访问矩阵[31o ANDERSON提
出RM(Reference Monitor,参照监视器)概念并实现的RVM (Reference Validation Mechanism,参照验证机制) 】。应用
于大型主机系统中的访问控制模型,较典型的是BLP模
型fBell—La Padula Mode1) 卅和HRU模型(Harrison—Ruzzo—
Ullman Mode1) 1。BLP模型致力于系统的机密性,遵循“不
上读”和“不下写”的基本规则,以此实现强制访问控制,
防止高安全级别信息流入低安全级别的客体,主要应用于
军事系统中。BELL、PADULA、BIBA和DENNING等为
Lattice Access Control(格访问控制)理论 做出了贡献。 3)20世纪80年代,访问控制的重要作用得到认可。
Do珏Department ofDefense,美国国防部)在1985年公布的‘可
信计算机系统安全评价标准(Trusted Computer System Evaluation Criteria,TCSEC)”中明确提出访问控制在计算
机安全系统中的重要作用,并将其划分为DA Discretionary
Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类I91。Clark—Wilson模型”伽和
Chinese Wall模型 等也在这一时期提出。 4)20世纪90年代,访问控制技术得到广泛应用。
1992年,FERRAIOLO和KUHU提出RBAC(Role—based Access Control,基于角色的访问控制)模型_l ,这是一
种与传统的基于身份的访问控制(Identity Based Access Control,IBAC)不同的模型。经SANDHU等人进一步改 进,RBAC96t 、ARBAC97r 、ARBAC99 模型被先后提
出。2001年NIST RBAC标准
被提出,2004年该标准 被ANSI(American National Standards Institute,美国国家
标准委员会)批准为美国标准。ANSI RBAC参考模型对角
色进行了详细的研究,在用户和访问权限之问引入了角色
的概念,为RBAC模型提供了参考。RBAC有多种变形和
扩展版本。比较有代表性的有:应用于工作流系统或分布
式系统中的TBAC(Task~Based Authentication Control,基
于任务的授权控制) 模型,T—RBAC(Task—Role—Based
Access C0ntrol,基于任务和角色的访问控制) 。 模型等。
5)21世纪,访问控制技术得到了更精细更全面的研
究和广泛应用。涉及类型包括基于身份的访问控制模型
(Identity—Based Access Control Mode1)、基于语义Web的访
问控制模型(Semantic Web—based Access Control Mode1)、基
于周境(上下文)的访问控制模型(Context—Based Access
Control Mode1)、基于位置的访问控制模型(Location—Based Access Control Mode1)和基于信任和信誉的访问控制模 Trust
and Reputation—Based Access Control M0de1)等 。比较有代
表性的有:ABAC(Attribute~Based Access Control,基
于属性的访问控制) 和PBAC(Policy—based Access
Control,基于策略的访问控制)口 ,这是两大类新兴的
模型;使用控制(Usage Control,UCON)模型 。 ;基
于组织的访问控制(Organization—based Access Control,
OrBAC)[261;风险自适应访问控制(Risk-Adaptable Access
Control,RAdAC) ;基于状态的访问控制(Status—based
Access Control,SBAC)1281;基于关系的访问控制(Relation Based AcceSS Control,Re1BAC)皿 伽;将周境和风险融人访
问控制的模型口 驺 等。其中RAdAC模型设计为将实时、
适应陛强、感知风险的访问控制带给企业。RAdAC代表了
访问控制的管理方式的根本I生转变。
访问控制技术朝着两个方向发展:增加访问控制精细
程度,增加访问控制决策的策略基础。
2访问控制技术
从1960年代末Lampson访问矩阵问世以来,数以百
计的访问控制技术被提出,覆盖策略、模型和机制3个层面。
但是,仅有极少数得到实际应用。
2.1 DAC TCSEC将DAC定义为:根据主体标识和/或其从属 2016年第12期
的组别来限制主体对客体访问的一种手段 。其含义是:
如果没有强制访问控制限制,有访问许可的主体能够向其 他主体转让许可权。当然,这种转让可以是直接的,也可
以是非直接的。
访问控制矩阵是最常见的DAC实现方法。矩阵的行对 应系统主体,列对应系统客体,而行与列的交叉称为矩阵
元素,表示主体对客体的访问权限。
DAC灵活性较高,广泛地用于商业领域,尤其是在操
作系统和关系数据库系统中。这种灵活性会使信息安全性
能有所降低。例如,可传递的授权读一旦被传递出去将难 以控制,使访问权的管理相当困难,会带来严重的安全问
题。DAC机制易遭到特洛伊木马攻击。此外,大型系统主、
客体的数量巨大,使用DAC将使系统开销大到难以支付 的程度。
2.2 MAC 顾名思义,MAC是一种强制性的访问控制方法,用于
确保信息系统的安全。历史上,“强制”一词用于访问控制 意味着非常高的鲁棒性,保证控制机制能抵御攻击,能够
绝对执行监管部门强制规定的访问控制策略。例如,美军
方系统中采用MAC,就是美国政府的强制要求,它采取的
尽力而为机制,绝对地或近乎绝对地实现那些对MAC的
强制要求。 早期MAC是基于格(Lattice—based)的,又称为MLS
(Multilevel Security,多级安全),应用在军方系统中。它们
通过实施“信息不能向下流动”的简单安全属性以提供机
密性。 对于MAC,安全策略由安全策略管理员集中控制,用
户没有改变策略的能力。相比之下,尽管DAC也管理主体
访问对象的能力,却允许用户有能力进行决策和/或指定 安全属性。MAC系统允许策略管理员实施组织范围内的安
全策略,但是,用户却不能无视或修改这些策略。
MAC可抵御特洛伊木马和用户滥用职权等攻击,当敏 感数据需在多种环境下受到保护时,就需要使用MAC。
MAC是比DAC功能更强的访问控制机制,但是这种
机制也给合法用户带来许多不便。例如,在用户共享数据
方面不灵活且受到限制。在安全方面,也有弱点。例如,
不能实施完整性保护,对用户恶意泄漏信息和逆向潜信道