访问控制模型综述
访问控制的核⼼是授权策略。以授权策略来划分, 访问控制模型(Access Control Model)可分为: 传统的访问控制模型
(DAC\MAC\ACL)、基于⾓⾊的访问控制(RBAC) 模型、基于任务和⼯作流的访问控制(TBAC) 模型、基于任务和⾓⾊的访问控制(T-RBAC) 模型等。
1. 传统的访问控制模型
丁二烯橡胶⾃主访问控制DAC(Discretionary access control)
⾃主访问控制是指由⽤户有权对⾃⾝所创建的访问对象(⽂件、数据表等)进⾏访问,并可将对这些对象的访问权授予其他⽤户和从授予权限的⽤户收回其访问权限。 AC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执⾏什么操作。如此将可以⾮常灵活地对策略进⾏调整。由于其易⽤性与可扩展性,⾃主访问控制机制经常被⽤于商业系统。
⾃主访问控制中,⽤户可以针对被保护对象制定⾃⼰的保护策略。
每个主体拥有⼀个⽤户名并属于⼀个组或具有⼀个⾓⾊
每个客体都拥有⼀个限定主体对其访问权限的访问控制列表(ACL)
每次访问发⽣时都会基于访问控制列表检查⽤户标志以实现对其访问权限的控制
特点:
授权的实施主体(1、可以授权的主体;2、管理授权的客体;3、授权组)⾃主负责赋予和回收其他主体对客体资源的访问权限。DAC模型⼀般采⽤访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从⽽达到对主体访问权限的限制⽬的。
( ACL)是DAC 中常⽤的⼀种安全机制,系统安全管理员通过维护ACL(访问控制表)来控制⽤户访问有关数据。 Linux的访问控制模型、缺点:
主体的权限太⼤,⽆意间就可能泄露信息
不能防备特洛伊⽊马的攻击访问控制表
当⽤户数量多、管理数据量⼤时,ACL 就会很庞⼤。不易维护。
应⽤实例:
在商业环境中,你会经常遇到⾃主访问控制机制,由于它易于扩展和理解。⼤多数系统仅基于⾃主访问控制机制来实现访问控制,如主流操作系统(Windows NT Server, UNIX 系统),防⽕墙(ACLs)等。
强制访问控制MAC(Mandatory Access Control))
⽤来保护系统确定的对象,对此对象⽤户不能进⾏更改。也就是说,系统独⽴于⽤户⾏为强制执⾏访问控制,⽤户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和⽤户按照安全等级划分标签,访问控制机制通过⽐较安全标签来确定的授予还是拒绝⽤户对资源的访问。
在强制访问控制系统中,所有主体(⽤户,进程)和客体(⽂件,数据)都被分配了安全标签,安全标签标识⼀个安全等级。
主体 (⽤户, 进程) 被分配⼀个安全等级
客体 (⽂件, 数据) 也被分配⼀个安全等级
访问控制执⾏时对主体和客体的安全级别进⾏⽐较
是⼀种强加给访问主体(即系统强制主体服从访问控制策略)的⼀种访问⽅式,它利⽤上读/下写来保证数据的完整性,利⽤/上写来保证数据的保密性。
特点
通过梯度安全标签实现信息的单向流通
可以有效地阻⽌特洛伊⽊马的泄露
缺陷
主要在于实现⼯作量较⼤,管理不便,不够灵活,⽽且它过重强调保密性,对系统连续⼯作能⼒、授权的可管理性⽅⾯考虑不⾜。
上读/下写 下读/上写
(1)向下读(rd,read down):主体安全级别⾼于客体信息资源的安全级别时允许查阅的读操作;
(2)向上读(ru,read up):主体安全级别低于客体信息资源的安全级别时允许的读操作;
(3)向下写(wd,write down):主体安全级别⾼于客体信息资源的安全级别时允许执⾏的动作或
是写操作;鲁米诺
(4)向上写(wu,write up):主体安全级别低于客体信息资源的安全级别时允许执⾏的动作或是写操作。
MAC通过分级的安全标签实现了信息的单向流通,其中最著名的是Bell-LaPadula模型和Biba模型:Bell-LaPadula模型具有只允许向下读、向上写的特点,可以有效地防⽌机密信息向下级泄露;Biba模型则具有不允许向下读、向上写的特点,可以有效地保护数据的完整性。
1).Lattice模型
在Lattices模型中,每个资源和⽤户都服从于⼀个安全类别。这些安全类别我们称为安全级别,五个安全级别,TS,S,C,R,U。在整个安全模型中,信息资源对应⼀个安全类别,⽤户所对应的安全级别必须⽐可以使⽤的客体资源⾼才能进⾏访问。Lattices模型是实现安全分级的系统,这种⽅案⾮常适⽤于需要对信息资源进⾏明显分类的系统。
2).Bell-LaPadula模型
Bell-LaPadula模型通常是处理多级安全信息系统的设计基础,客体在处理绝密级数据和秘密级数据时,要防⽌处理绝密级数据的程序把信息泄露给处理秘密级数据的程序。BLP模型的出发点是维护系
统的保密性,有效地防⽌信息泄露。
Top Secret (TS), Secret (S),Confidential (C), and Unclassified (U),
3).Biba模型
Biba模型是和BLP模型相对⽴的模型,Biba模型改正了被BLP模型所忽略的信息完整性问题,但在⼀定程度上却忽视了保密性。
integrity levels: Crucial (C),Important (I), and Unknown (U).
应⽤实例:
强制访问控制进⾏了很强的等级划分,所以经常⽤于军事⽤途。
⽤⼀个例⼦来说明强制访问控制规则的应⽤,如WEB服务以"秘密"的安全级别运⾏。假如WEB服务器被攻击,攻击者在⽬标系统中以"秘密"的安全级别进⾏操作,他将不能访问系统中安全级为"机密"及"⾼密"的数据。
第⼀版简单的⽹管系统的权限模型也是强制访问控制模型:⽤户有6个级别,需要控制的资源的也有
对应的级别,当⽤户的级别⼤于或等于资源的级别就可以访问该资源,如果⽤户的级别⼩于资源的级别则不能访问该资源。
Examples of MAC
· Linux enhancements
- RSBAC by the Adamantix project
- SE by the NSA
动力学模型-LIDS
· eTrust CA-ACF2 by CA
· Multics-based Honeywell
·SCOMP
秋收起义的意义
· Pump
· Purple Penelope
When most people talk about the types of MAC, they refer to models such as Bell-LaPadula Policy
and Biba. Implementation examples are Linux enhancements, such as RSBAC by the Adamantix
project; SE (Security Enhanced) Linux by the NSA (SE Linux currently supports 30 object classes
and 122 object permissions (rules); Flask, which has been incorporated into SE; or LIDS. Each of
these must be examined in terms of their ability to allow information flow to/from its associated
object class.
The following are additional examples:
· Computer Associate's eTrust CA-ACF2 Security for z/OS and OS/390
· Multics-based Honeywell computer
· SCOMP (Secure Communications Processor)
· Pump (developed by the US Naval Research Laboratory)
·
Purple Penelope (An NT workstation MLS wrapper from the British Defense Evaluation and
Research Agency)
Following are references for these systems:
·
· steg_posix flock.html
·
强制访问控制和⾃主访问控制有时会结合使⽤。例如,系统可能⾸先执⾏强制访问控制来检查⽤户是否有权限访问⼀个⽂件组(这种保护是强制的,也就是说:这些策略不能被⽤户更改),然后再针对该组中的各个⽂件制定相关的访问控制列表(⾃主访问控制策略)。
2. 基于⾓⾊的访问控制模型RBAC
基本思想是将访问许可权分配给⼀定的⾓⾊,⽤户通过饰演不同的⾓⾊获得⾓⾊所拥有的访问许可权
五个基本数据元素 :
⽤户 users(USERS)、⾓⾊ roles(ROLES)、⽬标 objects(OBS)、操作 operations(OPS) 、许可权 permissions(PRMS)
· 模型的优点
o 通过⾓⾊配置⽤户及权限,增加了灵活性
橙书包公益项目o ⽀持多管理员的分布式管理,管理⽐较⽅便
o ⽀持由简到繁的层次模型,适合各种应⽤需要
o 完全独⽴于其它安全⼿段,是策略中⽴的( policy-neutral )
通过对resource的粒度控制,可以做到⼤到整个系统,⼩到数据库表字段的控制
3. 基于任务和⼯作流的访问控制模型TBAC
所谓任务(或活动) ,就是要进⾏的⼀个个操作的统称。TBAC 模型是⼀种基于任务、采⽤动态授权的主动安全模型
基本思想
(1) 将访问权限与任务相结合,每个任务的执⾏都被看作是主体使⽤相关访问权限访问客体的过程。在任务执⾏过程中, 权限被消耗,当权限⽤完时,主体就不能再访问客体了。
霸权稳定论
(2) 系统授予给⽤户的访问权限,不仅仅与主体、客体有关,还与主体当前执⾏的任务、任务的状态有关。客体的访问控制权限并不是静⽌不变的, ⽽是随着执⾏任务的上下⽂环境
的变化⽽变化。
缺点
TBAC 中并没有将⾓⾊与任务清楚地分离开来, 也不⽀持⾓⾊的层次等级;另外,TBAC并不⽀持被动访问控制, 需要与RBAC结合使⽤ 。4. 基于任务和⾓⾊的访问控制模型T-RBAC
T-RBAC 模型把任务和⾓⾊置于同等重要的地位, 它们是两个独⽴⽽⼜相互关联的重要概念。任务是RBAC 和TBAC能结合的基础。
T-RBAC 模型中是先将访问权限分配给任务,再将任务分配给⾓⾊,⾓⾊通过任务与权限关联,任务是⾓⾊和权限交换信息的桥梁。
在T-RBAC模型中, 任务具有权限,⾓⾊只有在执⾏任务时才具有权限, 当⾓⾊不执⾏任务时不具有权限;
权限的分配和回收是动态进⾏的,任务根据流程动态到达⾓⾊, 权限随之赋予⾓⾊,当任务完成时,⾓⾊的权限也随之收回;⾓⾊在⼯作流中不需要赋予权限。这样, 不仅使⾓⾊的操作、维护和任务的管理变得简单⽅便, 也使得系统变得更为安全。
5. 基于对象的访问控制模型
控制策略和控制规则是OBAC访问控制系统的核⼼所在,在基于受控对象的访问控制模型中,将访问控制列表与受控对象或受控对象的属性相关联,并将访问控制选项设计成为⽤户、组或⾓⾊及其对应权限的集合;同时允许对策略和规则进⾏重⽤、继承和派⽣操作。这样,不仅可以对受控对象本⾝进⾏访问控制,受控对象的属性也可以进⾏访问控制,⽽且派⽣对象可以继承⽗对象的访问控制设置,这对于信息量巨⼤、信息内容更新变化频繁的管理信息系统⾮常有益,可以减轻由于信息资源的派⽣、演化和重组等带来的分配、设定⾓⾊权限等的⼯作量。
OBAC从信息系统的数据差异变化和⽤户需求出发,有效地解决了信息数据量⼤、数据种类繁多、数据更新变化频繁的⼤型管理信息系统的安全管理。OBAC从受控对象的⾓度出发,将访问主体的访问权限直接与受控对象相关联,⼀⽅⾯定义对象的访问控制列表,增、删、修改访问控制项易于操作,另⼀⽅⾯,当受控对象的属性发⽣改变,或者受控对象发⽣继承和派⽣⾏为时,⽆须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从⽽减少了访问主体的权限管理,降低了授权数据管理的复杂性。
6. 下⼀代访问控制模型UCON
使⽤控制( UsageControl:UCON) 模型 , 也称ABC模型。UCON模型包含三个基本元素: 主体、客体、权限和另外三个与授权有关的元素:
授权规则、条件、义务,如图3 所⽰。
www.doc88/p-398143817984.html
UCON模型中的主要元素如下:
主体( Subjects)。它是具有某些属性和对客体(Objects)操作权限的实体。主体的属性包括⾝份、⾓⾊、安全级别、成员资格等。这些属性⽤于授权过程。客体( Objects) 。它是主体的操作对象,它也有属性,包括安全级别、所有者、等级等。这些属性也⽤于授权过程。
权限( Rights)。它是主体拥有的对客体操作的⼀些特权。权限由⼀个主体对客体进⾏访问或使⽤的功能集组成。UCON中的权限可分成许多功能类, 如审计类、修改类等。
授权规则( AuthorizationRules) 。它是允许主体对客体进⾏访问或使⽤前必须满⾜的⼀个需求集。授权规则是⽤来检查主体是否有资格访问客体的决策因素。
条件( Conditions)。它是在使⽤授权规则进⾏授权过程中, 允许主体对客体进⾏访问权限前必须检验的⼀个决策因素集。条件是环境的或⾯向系统的决策因素。条件可⽤来检查存在的限制, 使⽤权限是否有效,哪些限制必须更新等。
义务( Obligations)。它是⼀个主体在获得对客体的访问权限后必须履⾏的强制需求。分配了权限, 就应有执⾏这些权限的义务责任。
在UCON模型中, 授权规则、条件、义务与授权过程相关,它们是决定⼀个主体是否有某种权限能对客体进⾏访问的决策因素。基于这些元素, UCON有四种可能的授权过程, 并由此可以证明:UCON模型不仅包含了DAC,MAC, RBAC, ⽽且还包含了数字版权管理(DRM)、信任管理等。UCON 模型涵盖了现代商务和信息系统需求中的安全和隐私这两个重要的问题。因此, UCON模型为研究下⼀代访问控制提供了⼀种有希望的⽅法, 被称作下⼀代访问控制模型。
7. 基于属性的访问控制(ABAC)
ABAC是⼀种为解决⾏业分布式应⽤可信关系访问控制模型,它利⽤相关实体(如主体、客体、环境)的属性作为授权的基础来研究如何进⾏访问控制。基于这样的⽬的,可将实体的属性分为主体属性、实体属性和环境属性,这与传统的基于⾝份的访问控制(IBAC)不同。在基于属性的访问控制中,访问判定是基于请求者和资源具有的属性,请求者和资源在ABAC 中通过特性来标识,⽽不像IBAC那样只
通过ID来标识,这使得ABAC具有⾜够的灵活性和可扩展性,同时使得安全的匿名访问成为可能,这在⼤型分布式环境下是⼗分重要的。
参考⽂献
访问控制
Access Control: Plicies,Models, and Mechanisms
沈海波等:访问控制模型研究综述
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议