访问规则
• 规定了若干条件，在这些条件下，可准许访问 一个资源。 • 规则使用户与资源配对，指定该用户可在该文 件上执行哪些操作，如只读、不许执行或不许 访问。 • 由系统管理人员来应用这些规则，由硬件或软 件的安全内核部分负责实施。
访问控制的一般实现机制和方法
一般实现机制—— • 基于访问控制属性 ——〉访问控制表/矩阵 • 基于用户和资源分级（“安全标签”） ——〉多级访问控制 常见实现方法—— • 访问控制表ACLs（Access Control Lists) • 访问能力表（Capabilities) • 授权关系表
访问控制的作用
• 访问控制对机密性、完整性起直接的作用。
• 对于可用性，访问控制通过对以下信息的有效控 制来实现： （1）谁可以颁发影响网络可用性的网络管理指令 （2）谁能够滥用资源以达到占用资源的目的 （3）谁能够获得可以用于拒绝服务攻击的信息
主体、客体和授权
• 客体（Object）：规定需要保护的资源，又称作目标 （target)。 • 主体（Subject）：或称为发起者(Initiator)，是一个主 动的实体，规定可以访问该资源的实体，（通常指用 户或代表用户执行的程序）。 • 授权（Authorization)：规定可对该资源执行的动作 （例如读、写、执行或拒绝访问）。 一个主体为了完成任务，可以创建另外的主体，这些 子主体可以在网络上不同的计算机上运行，并由父主 体控制它们。 主客体的关系是相对的。
2003年春季北京大学硕士研究生课程
网络与信息安全 第八讲
访问控制
陈 钟 北京大学信息科学技术学院 软件研究所关概念
• 访问控制的策略和机制 • 授权的管理、网络访问控制组件的分布
安全服务
• 安全服务（Security Services）： 计算机通信网络中，主要的安全保护措施被 称作安全服务。
资源
• 系统内需要保护的是系统资源：
– – – – – 磁盘与磁带卷标 远程终端 信息管理系统的事务处理及其应用 数据库中的数据 应用资源
资源和使用
• 对需要保护的资源定义一个访问控制包 （Access control packet)，包括：
– – – – 资源名及拥有者的标识符 缺省访问权 用户、用户组的特权明细表 允许资源的拥有者对其添加新的可用数据的 操作 – 审计数据
表示和实现
• 基于组的策略在表示和实现上更容易和更有效 • 在基于个人的策略中,对于系统中每一个需要保护的客 体，为其附加一个访问控制表，表中包括主体标识符 （ID）和对该客体的访问模式 • 对客体I ID1.re ID2.r ID3.e …… Idn.rew • 将属于同一部门或工作性质相同的人归为一组 （Group), 分配组名GN，主体标识=ID1.GN • 对客体I
如何决定访问权限
• • • • 用户分类 资源 资源及使用 访问规则
用户的分类
（1）特殊的用户：系统管理员，具有最高级别 的特权，可以访问任何资源，并具有任何类型 的访问操作能力 （2）一般的用户：最大的一类用户，他们的访 问操作受到一定限制，由系统管理员分配 （3）作审计的用户：负责整个安全系统范围内 的安全控制与资源使用情况的审计 （4）作废的用户：被系统拒绝的用户。
UserA
R
Obj2
访问控制的一般策略
访问控制
自主 访问控制
强制 访问控制 基于角色 访问控制
自主访问控制
• 特点： 根据主体的身份及允许访问的权限进行决策 。 自主是指具有某种访问能力的主体能够自主地将访问 权的某个子集授予其它主体。 灵活性高，被大量采用。 • 缺点：
信息在移动过程中其访问权限关系会被改变。如用户 A可将其对目标O的访问权限传递给用户B,从而使不具 备对O访问权限的B可访问O。
强制访问控制实现机制-安全标签
• 安全标签是限制在目标上的一组安全属性信息 项。在访问控制中，一个安全标签隶属于一个 用户、一个目标、一个访问请求或传输中的一 个访问控制信息。 • 最通常的用途是支持多级访问控制策略。 在处理一个访问请求时，目标环境比较请求上 的标签和目标上的标签，应用策略规则（如 Bell Lapadula规则）决定是允许还是拒绝访 问。
根据ISO7498-2, 安全服务包括： 1.鉴别（ Authentication） 2.访问控制（Access Control） 3.数据机密性（Data Confidentiality） 4.数据完整性（Data Integrity） 5.抗抵赖（Non-repudiation）
ISO7498-2到TCP/IP的映射
安全管理员
授权数据库 访问控 制决策 单元
用户
引用监 控器
目 目 标目 标目 标目 标 标
访问控制
身份鉴别
审 计
访问控制策略与机制
• 访问控制策略(Access Control Policy):访问控制策略在 系统安全策略级上表示授权。是对访问如何控制,如何 作出访问决定的高层指南。 • 访问控制机制（Access Control Mechanisms):是访问控 制策略的软硬件低层实现。 访问控制机制与策略独立，可允许安全机制的重用。 安全策略之间没有更好的说法，只是一种可以比一种 提供更多的保护。应根据应用环境灵活使用。
安全服务 对等实体鉴别 数据源鉴别 访问控制服务 连接保密性 无连接保密性 选择域保密性 流量保密性 有恢复功能的连接完整性 无恢复功能的连接完整性 选择域连接完整性 无连接完整性 选择域非连接完整性 源发方不可否认 接收方不可否认 网络接口 Y Y Y TCP/IP 协议层 互联网层 传输层 Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y 应用层 Y Y Y Y Y Y Y Y Y Y Y Y Y Y
访问控制矩阵
•任何访问控制策略最终均可被模型化为访问矩阵形式： 行对应于用户，列对应于目标，每个矩阵元素规定了相应 的用户对应于相应的目标被准予的访问许可、实施行为。
访问控制矩阵
• 按列看是访问控制表内容
• 按行看是访问能力表内容
目标 用户
用户a 目标x R、W、Own 目标y 目标z R、W、Own
访问控制的概念和目标
• 一般概念 —— 是针对越权使用资源的防御措施。 • 基本目标： 防止对任何资源（如计算资源、通信资源或信息资 源）进行未授权的访问。从而使计算机系统在合法范 围内使用；决定用户能做什么，也决定代表一定用户 利益的程序能做什么。 • 未授权的访问包括：未经授权的使用、泄露、修改、 销毁信息以及颁发指令等。 – 非法用户进入系统。 – 合法用户对系统资源的非法使用。
CL (Oi , ROi ) O {Oi }
(o,r)
oO? r Ro ?
ACL、CL访问方式比较(3)
• 鉴别方面：二者需要鉴别的实体不同 • 保存位置不同 • 浏览访问权限
– ACL:容易，CL:困难
• 访问权限传递
– ACL:困难，CL：容易
• 访问权限回收
– ACL:容易，CL：困难
访问模式Access Mode
• 系统支持的最基本的保护客体:文件,对文 件的访问模式设置如下:
（1）读-拷贝(Read-copy) （2）写-删除（write-delete） （3）运行(Execute) （4）无效(Null)
强制访问控制
• 特点：取决于能用算法表达的并能在计算机上执行的 策略。策略给出资源受到的限制和实体的授权，对资 源的访问取决于实体的授权而非实体的身份。RBAC决 策在批准一个访问之前需要进行授权信息和限制信息 的比较。 • （1）将主体和客体分级，根据主体和客体的级别标记 来决定访问模式。如，绝密级，机密级，秘密级，无 密级。 （ 2）其访问控制关系分为：上读/下写 ， 下读/上写 （完整性） （机密性） （3）通过安全标签实现单向信息流通模式。
基于身份的策略：基于个人的策略
• • • 根据哪些用户可对一个目标实施哪一种行为的列 表来表示。 等价于用一个目标的访问矩阵列来描述 基础(前提)：一个隐含的、或者显式的缺省策略
– 例如，全部权限否决 – 最小特权原则：要求最大限度地限制每个用户为实施 授权任务所需要的许可集合 – 在不同的环境下，缺省策略不尽相同，例如，在公开 的布告板环境中，所有用户都可以得到所有公开的信 息 – 对于特定的用户，有时候需要提供显式的否定许可
访问控制模型基本组成
发起者 Initiator
提交访问请求 Submit Access Request
访问控制实施功能 AEF
提出访问请求 Present Access Request
目标 Target
请求决策 Decision Request
决策 Decision
访问控制决策功能 ADF
访问控制与其他安全服务的关系模型
张三.CRYPTO.re *. CRYPTO.re 李四.CRYPTO.r *.*.n
自主访问控制的访问类型
• 访问许可与访问模式描述了主体对客体所具有 的控制权与访问权. • 访问许可定义了改变访问模式的能力或向其它 主体传送这种能力的能力. • 访问模式则指明主体对客体可进行何种形式的 特定的访问操作:读\写\运行.
精确描述
• 强制访问控制(MAC)中，系统包含主体集S和客体集 O，每个S中的主体s及客体集中的客体o，都属于一 固定的安全类SC，安全类SC=<L,C>包括两个部分： 有层次的安全级别和无层次的安全范畴。构成一偏 序关系≤。
(1) Bell-LaPadula：保证保密性 - 简单安全特性(无上读)：仅当SC(o)≤SC(s)时，s 可以读取o - *-特性(无下写): 仅当SC(s) ≤SC(o)时，s可以修改o (2) Biba：保证完整性 - 同(1)相反
• 例如，对于违纪的内部员工，禁止访问内部一些信息