[XJTU计算机网络安全与管理]——第十二讲 访问控制

在实际中存在这样两种可能：

1️⃣ 身份认证被骗过或者被绕过，非法用户进入了信息系统。

2️⃣ 内部合法用户企图进行非法操作或者无意识的误操作。

在这样的情况下，如果没有保护措施的话，后果将是不堪设想的。

授权与访问控制正是在这种情况下起到了进一步的保护作用。即使你能进入到系统中，如果你没有得到相应的权限的话，你还是什么也不能做。

一、两种访问控制方式——考点

1️⃣ 自主访问控制（Discretionary Access Control——DAC）

由客体的属主对自己的客体进行管理，由属主自己决定是否将自己客体的访问权或部分访问权授予其他主体，这种控制方式是自主的.自主访问控制下，用户可以自主选择哪些用户可以共享他的文件。

Linux系统中有两种自主访问控制策略，一种是9位权限码（User-Group-Other），另一种是访问控制列表ACL（Access Control List）。

使用访问控制矩阵

访问控制矩阵通常是稀疏的

可以依照行或者列进行分解

2️⃣ 强制访问控制（Mandatory Access Control——MAC）

将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。

在强制访问控制下，用户（或其他主体）与文件（或其他客体）都被标记了固定的安全属性（如安全级、访问权限等），在每次访问发生时，系统检测安全属性以便确定一个用户是否有权访问该文件。其中多级安全（MultiLevel Secure, MLS）就是一种强制访问控制策略.。

二、访问控制要求

• 输入的信息是可靠的：不可靠的输入不能保证安全

• 粒度可变

• 最小特权

• 职责分离

• 开放和封闭策略

• 开放：未禁止的都是允许的

  封闭：未允许的都是禁止的

• 策略组合和冲突解决

• 管理策略

• 多重控制：用于一项任务要求两个或更多个体合作完成时

三、访问控制的一般实现机制和方法

访问控制的三个基本要素：主体（请求实体）、客体（资源实体）、控制策略（属性集合）；

一般实现机制

• 基于访问控制属性：访问控制表/矩阵
• 基于用户和资源分级（“安全标签”）：多级访问控制

常见实现方法

访问控制表ACL

访问能力表CL

授权关系表

访问控制表(ACL)

每个客体附加一个它可以访问的主体的明细表

访问能力表(CL)

每个主体都附加一个该主体可访问的客体的明细表

ACL与CL访问方式比较

• 鉴别方面：二者需要鉴别的实体不同
• 保存位置不同
• 访问权限传递：ACL:困难，CL：容易
• 访问权限回收：ACL:容易，CL：困难
• 多数集中式操作系统使用ACL方法或类似方式
• 由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用

授权关系表

五、RBAC——Role-Based Access Control

0：群 1：继承 2：限制

RBAC 将权限分析的过程抽象为判断某个角色(role)对某个对象(object)进行怎样的操作

(action)，引入对象和操作以后，上图的模型也就构成了RBAC0 基础模型

RBAC1

RBAC1：也称为角色分级模型，引入了角色间的继承关系，也就是说，角色上有 了上下级的区别。父角色拥有其子角色所有的许可。例如对于公司的部门主管角色，其可以具有子角色：部门副主管、部门小组长，父角色拥有子角色的所有权限，同时具有子角色不具有的一些权限。

RBAC2

也称为限制模型，RBAC2 也是建立的 RBAC0 的基础之上的，在RBAC0 基础上引入了约束的概念，主要引入了静态职责分离 SSD 和动态职责分离DSD。SSD 是用户和角色的指派阶段加入的，主要是对用户和角色有如下约束:

a、互斥角色：同一个用户在两个互斥角色中只能选择一个

b、基数约束：一个用户拥有的角色是有限的，一个角色拥有的许可也是有限的c、先决条件约束：用户想要获得高级角色，首先必须拥有低级角色

DSD 是会话和角色之间的约束，可以动态的约束用户拥有的角色，如一个用户可以拥有两个角色，但是运行时只能激活一个角色。

六、Bell-La Padula 机密模型

强调机密性

禁止上读：低级主体不能读高级客体

禁止下写：高级主题不能写低级客体（防止高级别机密信息泄漏到低级客体中）

Biba完整性模型——强调完整性

参考资料

[1] 西安交通大学计算机网络安全与管理2022年春PPT 田暄

[2] 密码编码学与网络安全（第七版），William Stallings著，王后珍等译