(六) 访问控制
6.1自主访问控制
访问控制的实质是对资源使用的限制。最典型的访问控制手段时锁。在计算机系统中设立安全机制的最初目的是为了控制用户对系统资源的访问,称为授权(Authorization)。计算机系统中所有可控制的资源均可抽象为客体。对客体实施动作的实体称为主体。主体对客体所实施的动作需要得到授权。这些授权对于主体可表为访问权限,对于客体可表为访问模式。显然,访问权限是访问模式的子集。
自主访问控制(DAC)的基本思想是相信客体拥有者对客体的安全管理,也即拥有者对客体有全部的管理权限,可以自主决定是否将对该客体的访问权授予其他主体。
DAC模型需要引入一些做法来限制访问权限的转移,对控制转移有效的解决办法是使用强制访问控制。
6.2BLP模型
BLP是MAC(强制访问控制)的经典模型之一。其主要的模型元素包括主体、客体、访问权限和安全级别。访问权限包括读和写。
主体和客体之间的访问关系定义构成系统的一个状态,BLP模型的初衷是定义一组规则作为约束,使得系统从一个安全状态出发,任何合法的状态转换不会导致系统出现不安全状态。
敏感标记公理:系统中任何主体和客体都要求被赋予安全级别。
*一特性公理给出了当主体可以同时访问一个以上客体时的访问权限要求。
可信主题公理:定义了授权关系的可传递性,意味read down和write up操作可以沿允许的信息流方向跨越安全级别进行。可信主题公理的目的是有效处理客体的层次结构。
基本安全定理表明只要系统中任何的访问控制权限改变都不违反简单安全性和*一特性,则系统可以保持是安全的。
BLP模型只强调了数据的保密性,没有顾及数据安全的其他方面。
6.3Clark-Wilson模型
信息完整性保护是商业信息系统访问控制的重点。
CW模型的主要贡献是将BLP模型所面对的形如用户、文件的二元组扩展成为用户、程序、文件这样的三元组,从而增加了对客体操作过程的制约能力。CW模型使用合式事务的方法来防止对数据的非法授权修改,使用职责分离方法来对抗数据欺诈,即要求关键操作至少被分解成两部分,且不能被同一个用户修改。
CW模型中数据被分为约束数据项CDI和非约束数据项UDI,前者必须被保护,后者是不受保护的常规数据。
6.4中国墙模型
中国墙模型通过保密性约束来避免利益冲突问题。采用了BLP模型的定义方式,他的简单安全性是指一个主体所可以访问的客体只能在给定利益冲突集约束下的一个公司范围内,即可以授权主体s访问客体o要满足两个条件之一:1.s过去从来没有访问过利益冲突集中的客体. 2.s过去曾经访问过这个客体。
6.5基于角色的访问控制模型RBAC
RBAC模型的基本成分是用户、权限和角色。角色是一组功能集合,对应组织机构中的工作岗位,可以由一个或多个用户承担。
RBAC政策是关于用户、主体、角色角色层次、操作和被保护客体等的关系描述
角色具有层次
用户与角色的关联必须服从约束
角色激活:每个主体可视为是一个用户向一个或多个角色的映射。用户因访问操作的需要而将自己与一些已是其成员的角色联系起来。
6.6信任管理
信任管理的核心是使用一个统一的框架来整体地处理分布式授权问题,包括安全政策、安全证书和信任关系
直接信任
间接信任是指主信人和受信人之间通过第三方存在信任关系,而信任管理是通过提供一种直接描述授权和信任关系的政策语言,并基于政策语言给出统一的政策验证算法来描述和处理授权问题。信任管理本质上是针对信任的一种分布式访问控制
信任管理系统使用主体的公钥作为其标识。信任管理回答的授权问题是:根据证书C,请求R是否与本地政策P一致
keynote系统
根据输入的动作请求,本地的安全政策,以及请求者提交的凭证来评估请求的动作,输出的结果除了对请求的肯定或否定回答外,还可以有进一步限制要求。
自动信任协商ATN
ATN是一种通过逐步向对方披露凭证,以在陌生者之间建立信任关系的访问控制方法
客户和服务器都要对各自的每个凭证建立凭证访问政策CAP,只有当从对方获得的凭证可满足CAP时,本方对应的凭证内容才可向对方披露。协商过程依凭证披露所需的条件满足与否而正常结束或异常终止。
两种协商策略:热切地和节俭的。