授權控制與授權
訪問控制與授權主要內容
主要內容:
- 概念原理
- 常用的實現方法
- 訪問控制策略
本章重點和複習要點:
- 訪問控制常見的實現方法
- 三種主要的訪問控制策略;TCSEC中的C級操作系統要求至少具有何種訪問控制策略?B級以上操作系統要求具有何種訪問控制策略?
- 什麼是DAC?它能從根本上防範特洛伊木馬的攻擊?
- 什麼是MAC?它有阻止特洛伊木馬的能力嗎?
- MAC中實現數據機密性的是哪個安全模型?它必須採用哪種讀寫規則?實現數據完整性的是哪個安全模型?它必須採用哪種讀寫規則?
13.1 概念原理
授權(Authorization)和訪問控制(Access Control)表示ISO五大服務中的訪問控制服務。
訪問控制建立在身份認證基礎上,通過限制對關鍵資源的訪問,防止非法用戶的侵入或因爲合法用戶的不慎操作而造成的破壞。
訪問控制目的:限制主體對客體的訪問權限,從而使計算機系統在合法範圍內使用。
13.2 常用的實現方法
13.2.1 訪問控制矩陣
列表示客體(各種資源),行表示主體(用戶),交叉點表示主體對客體的訪問權限。
通常文件的Own權限表示可授予(Authorize)或撤消(Revoke)其他用戶對該文件訪問權限。
13.2.2 訪問能力表
實際系統中雖然可能有很多主體與客體,但兩者之間的權限關係可能並不多。
爲了減輕系統開銷與浪費,我們可以從主體(行)出發,表達矩陣某一行的信息,這就是訪問能力表(Capabilities)。
只有當主體對某個客體擁有訪問能力時,它才能訪問這個客體。
但要從訪問能力表獲得對某一特定客體有特定權限的所有主體就比較困難。
在安全系統中,正是客體需要得到可靠保護,訪問控制服務應該能夠控制訪問某一客體的主體集合,便出現客體爲中心的實現方式 —— ACL。
13.2.3 訪問控制表
從客體(列)出發,表達矩陣某一列的信息,就是 訪問控制表(Access Control List)。
它可對某一特定資源指定任一用戶的訪問權限,還將有相同權限的用戶分組授予訪問權。
ACL 的優點:表述直觀、易於理解,容易查出對某一特定資源擁有訪問權限的所有用戶。
將 ACL 應用到規模大的企業內部網時,有如下問題:
- 網絡資源很多,ACL 需要設定大量的表項,而且修改起來比較困難,實現整個組織範圍內一致的控制政策也比較困難。
- 單純使用 ACL,不易實現 最小權限原則 及複雜的安全政策。
13.2.4 授權關係表
授權關係表(Authorization Relations)的每一行表示了主體和客體的一個授權關係。
- 對錶按客體進行排序,可以得到訪問控制表的優勢;
- 對錶按主體進行排序,可以得到訪問能力表的優勢。
- 適合採用關係數據庫來實現。
13.3 訪問控制策略
三種不同的訪問控制策略:
- 自主訪問控制(DAC)
- 強制訪問控制(MAC)
- 基於角色的訪問控制(RBAC) 。
前兩種屬於傳統的訪問控制策略,而 RBAC 是90年代後期出現的,有一定的優勢。
每種策略並非絕對互斥,可以把幾種策略綜合從而獲得更好更安全的系統保護 —— 多重的訪問控制策略。
13.3.1 自主訪問控制DAC
目前計算機系統中實現最多,如Windows、UNIX系統。
一個擁有一定訪問權限的主體可以直接或間接地將權限傳給其他主體——允許某個主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問以及可執行的訪問類型。
用戶 A 可以將其對客體目標 O 的訪問權限傳遞給用戶 B,從而使不具備對 O 訪問權限的 B 也可以訪問 O。
主體訪問者對訪問的控制有一定的權利,但它使得信息在移動過程中其訪問權限關係會被改變,這樣做很容易產生安全漏洞,所以DAC的安全級別很低。
傳統的DAC已很難滿足訪問控制服務的質量:不利於實現統一的全局訪問控制;
由管理部門統一實施訪問控制,不允許用戶自主地處理。
13.3.2 強制訪問控制MAC
系統強制主體服從訪問控制政策。
MAC 主要用於多層次安全級別的軍事系統中,它預先定義主體的可信任級別和客體的敏感程度,用戶的訪問必須遵守安全政策劃分的安全級別的設定以及有關訪問權限的設定。
典型應用中MAC的訪問控制關係分爲兩種:
- 下讀/上寫:保證數據機密性
- 上讀/下寫:保證數據完整性
通過梯度安全標籤實現信息的單向流通。
下讀:低級別用戶只能讀比它信任級別更低的敏感信息;
上寫:只允許將敏感信息寫入更高敏感區域。
此時信息流只能從低級別流向高級別,保證數據的機密性(Bell-Lapadula模型) 。
Biba 模型是 Biba 等人於20世紀70年代提出的,它主要是針對信息完整性保護方面的。與 BLP 模型類似,Biba 模型用完整性等級取代了 BLP 模型中的敏感等級而訪問控制的限制正好與 BLP 模型相反:高完整性文件的內容是由高完整性進程產生的(因爲禁止向上寫)。上面的兩條規則限制了不可靠的信息在系統內的流動,保證了高完整性文件不會被低完整性文件或低完整性進程中的信息所損害,保證了信息的完整性,文件的完整性級別標識可以確保其內容的完整程度。
MAC能夠阻止特洛伊木馬:
-
特洛伊木馬是隱藏在執行合法功能程序中的代碼,它利用運行此程序的主體權限違反安全策略,通過僞裝成有用的程序在進程中泄露信息。
-
阻止特洛伊木馬的策略:基於非循環信息流,由於MAC是通過梯度安全標籤實現信息的單向流通,從而它可以很好地阻止特洛伊木馬的泄密。
-
缺點:實現工作量太大,管理不便,不夠靈活,且過於偏重保密性。
在自主訪問控制中,某一合法用戶可任意運行一段程序來修改該用戶擁有的文件的訪問控制信息,而操怍系統無法區別這種修改是用戶自己的非法操作,還是“特洛伊木馬”的非法操作,也沒有辦法防止“特洛伊木馬”將信息通過共享客體(文件、內存等)從一個進程傳遞給另一個進程。
強制訪問控制則提供一個不可逾越的、更強的安全防護層,以防止其他用戶偶然或故意濫用自主訪問控制。強制訪問控制不可避免地要對用戶的客體施加一些嚴格的限制,這使得用戶無意泄霹機密信息的可能性大大地減少了。
13.3.3 基於角色的訪問控制
可以減少授權管理的複雜性,降低管理開銷,是一種有效的實施企業訪問安全策略的方式。
基本概念:
在很多商業部門中,訪問控制是由各個用戶在部門中所擔任的角色來確定的,而不是基於信息的擁有者。
角色:一個或一羣用戶在組織內可執行的操作的集合。
RBAC根本特徵:依據RBAC策略,系統定義各種角色,不同用戶根據其職能和責任被賦予相應角色。
RBAC通過角色溝通主體與客體,真正決定訪問權限的是用戶的角色標識。
由於用戶與客體無直接聯繫,所以他不能自主將權限授予別的用戶。
RBAC系統主要關心 “誰可以對什麼信息執行何種動作?” 。
角色控制比較靈活,根據配置可以使某些角色接近DAC,而某些角色更接近於MAC。
角色由系統管理員定義,角色成員的增減也只能由系統管理員來執行,而且授權是強加給用戶的,用戶不能自主地將權限傳給他人。