身份认证、访问控制与系统审计概述gtio.pptx

第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计 第 8 章 身份认证、访问控制与系统审计Network and Information Security第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-1 经典安全模型 8.1 计算机安全计算机安全模型模型 第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security经典安全模型包含如下基本要素：(1)明确定义的主体和客体；(2)描述主体如何访问客体的一个授权数据库；(3)约束主体对客体访问尝试的参考监视器；(4)识别和验证主体和客体的可信子系统；(5)审计参考监视器活动的审计子系统。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security可可以以看看出出，这这里里为为了了实实现现计计算算机机系系统统安安全全所所采采取取的的基基本本安安全措施，即安全机制有全措施，即安全机制有身份认证、访问控制和审计。身份认证、访问控制和审计。参考监视器参考监视器是主体是主体/角色对客体进行访问的桥梁角色对客体进行访问的桥梁.身份识别与验证，即身份认证是主体身份识别与验证，即身份认证是主体/角色获得访问授权的角色获得访问授权的第一步，这也是早期黑客入侵系统的突破口。第一步，这也是早期黑客入侵系统的突破口。访问控制访问控制是在主体身份得到认证后，根据安全策略对主体是在主体身份得到认证后，根据安全策略对主体行为进行限制的行为进行限制的机制和手段。机制和手段。审计审计作为一种安全机制，它在主体访问客体的整个过程中作为一种安全机制，它在主体访问客体的整个过程中都发挥着作用，为安全分析提供了有利的证据支持。它贯都发挥着作用，为安全分析提供了有利的证据支持。它贯穿于身份认证、访问控制的前前后后。穿于身份认证、访问控制的前前后后。同时，身份认证、访问控制为审计的正确性提供保障。同时，身份认证、访问控制为审计的正确性提供保障。它们之间是互为制约、相互促进的。它们之间是互为制约、相互促进的。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-2 安全机制第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security访问控制模型基本结构第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.2 身份认证身份认证在有安全需求的应用系统中，识别用户的身份在有安全需求的应用系统中，识别用户的身份是系统的基本要求，身份认证是安全系统中不是系统的基本要求，身份认证是安全系统中不可缺少的一部分，也是可缺少的一部分，也是防范入侵的第一道防线防范入侵的第一道防线。身份认证的方法多种多样，其安全强度也各不身份认证的方法多种多样，其安全强度也各不相同，具体方法可归结为相同，具体方法可归结为3类：类：根据用户知道什么根据用户知道什么,拥有什么拥有什么,是什么来进行认证。是什么来进行认证。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.2.1 用户名和口令认证用户名和口令认证通过用户名和口令进行身份认证是最简单，也是最常见的认证通过用户名和口令进行身份认证是最简单，也是最常见的认证方式，但是方式，但是认证的安全强度不高认证的安全强度不高。所有的多用户系统、网络服务器、所有的多用户系统、网络服务器、Web的电子商务等系统都要的电子商务等系统都要求提供用户名或标识符（求提供用户名或标识符（ID），还要求提供口令。），还要求提供口令。系统将系统将用户输入的口令用户输入的口令与与以前保存在系统中的该用户的口令以前保存在系统中的该用户的口令进进行比较，若完全一致则认为认证通过，否则不能通过认证。行比较，若完全一致则认为认证通过，否则不能通过认证。根据处理方式的不同，有根据处理方式的不同，有3种方式：种方式：口令的明文传送、利用单向口令的明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令散列函数处理口令、利用单向散列函数和随机数处理口令，这，这3种方式的安全强度依次增高，处理复杂度也依次增大。种方式的安全强度依次增高，处理复杂度也依次增大。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security1口令以明文形式传送时，没有任何保护口令以明文形式传送时，没有任何保护 第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security2 为防止口令被窃听，可用单向散列函数处理口为防止口令被窃听，可用单向散列函数处理口令，传输口令的散列值，而不传输口令本身。令，传输口令的散列值，而不传输口令本身。传输口令的散列值也存在不安全因素，黑客虽然不知道口令的传输口令的散列值也存在不安全因素，黑客虽然不知道口令的原文，但是他可以原文，但是他可以截获口令的散列值截获口令的散列值，直接把散列值发送给验直接把散列值发送给验证服务器，也能验证通过，这是一种重放攻击。证服务器，也能验证通过，这是一种重放攻击。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security3 为解决重放攻击，为解决重放攻击，服务器首先生成一个随机数并发给用服务器首先生成一个随机数并发给用户户，用户把口令散列值与该随机数连接或异或后再用单，用户把口令散列值与该随机数连接或异或后再用单向散列函数处理一遍，把最后的散列值发给服务器向散列函数处理一遍，把最后的散列值发给服务器。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.2.2 令牌和令牌和USB key认证认证令牌实际上就是一种智能卡，私钥存储在令牌中，对令牌实际上就是一种智能卡，私钥存储在令牌中，对私钥的访问用口令进行控制。私钥的访问用口令进行控制。令牌没有物理接口令牌没有物理接口，无法与计算机连接，使用总是不，无法与计算机连接，使用总是不方便方便.可以用可以用USB key代替。代替。USB key通过通过USB接口直接连接接口直接连接在计算机上，不需要用户手动键入数据，比令牌方便在计算机上，不需要用户手动键入数据，比令牌方便得多。得多。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.2.3 生物识别认证生物识别认证使用生物识别技术的身份认证方法使用生物识别技术的身份认证方法，主要是根据用户，主要是根据用户的图像、指纹、气味、声音等作为认证数据。的图像、指纹、气味、声音等作为认证数据。在安全性要求很高的系统中，可以把这在安全性要求很高的系统中，可以把这3种认证方法结种认证方法结合起来，达到最高的安全性。合起来，达到最高的安全性。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.3 访访 问问 控控 制制 在在计计算算机机安安全全防防御御措措施施中中，访访问问控控制制是是极极其其重重要要的的一一环环，它它是是在在身身份份认认证证的的基基础础上上，根根据据身身份份的的合合法法性性对对提提出出的的资资源访问请求加以源访问请求加以控制控制。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.3.1 基本概念基本概念广广义义地地讲讲，所所有有的的计计算算机机安安全全都都与与访访问问控控制制有有关关。实实际际上上RFC 2828 定定义义计计算算机机安安全全如如下下：用用来来实实现现和和保保证证计计算算机机系统的安全服务的措施，系统的安全服务的措施，特别是保证访问控制服务特别是保证访问控制服务的措施。的措施。访访问问控控制制(Access Control)是是指指主主体体访访问问客客体体的的权权限限或或能能力力的的限限制制，以以及及限限制制进进入入物物理理区区域域(出出入入控控制制)和和限限制制使使用用计计算算机机系系统统和和计计算算机机存存储储数据的过程数据的过程(存取控制存取控制)。在在访访问问控控制制中中，主主体体是是访访问问的的发发起起者者，访访问问客客体体的的活活动动资资源源，通通常常为为进程、程序或用户。进程、程序或用户。客客体体则则是是指指对对其其访访问问必必须须进进行行控控制制的的资资源源，客客体体一一般般包包括括各各种种资资源源，如文件、设备、信号量如文件、设备、信号量等。等。访访问问控控制制中中的的第第三三个个元元素素是是保保护护规规则则，它它定定义义了了主主体体与与客客体体之之间间可可能能的相互作用途径的相互作用途径。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security保保护护域域的的概概念念。每每一一主主体体(进进程程)都都在在一一特特定定的的保保护护域域下下工作，保护域规定了进程可以访问的资源。工作，保护域规定了进程可以访问的资源。每每一一域域定定义义了了一一组组客客体体及及可可以以对对客客体体采采取取的的操操作作。可可对对客客体体操操作作的的能能力力称称为为访访问问权权(Access Right)，访访问问权权定义为有序对的形式。定义为有序对的形式。一一个个域域是是访访问问权权的的集集合合。如如域域X有有访访问问权权，则则在在域域X下下运运行行的的进进程程可可对对文文件件A执执行行读读写写，但但不不能能执执行行任任何何其其它它的操作。的操作。保保护护域域并并不不是是彼彼此此独独立立的的。它它们们可可以以有有交交叉叉，即即它它们们可可以以共共享享权权限限。域域X和和域域Y对对打打印印机机都都有有写写的的权权限限，从从而产生了访问权交叉现象。而产生了访问权交叉现象。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-3 有重叠的保护域第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 根据访问控制策略的不同，访问控制一般分为根据访问控制策略的不同，访问控制一般分为自主访问控自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访制、强制访问控制、基于角色的访问控制、基于任务的访问控制、使用控制等问控制、使用控制等。自主访问控制自主访问控制是以前计算机系统中实现较多的访问控制机是以前计算机系统中实现较多的访问控制机制，它是根据访问者的制，它是根据访问者的身份和授权身份和授权来决定访问模式的。来决定访问模式的。强制访问控制强制访问控制是将主体和客体分级，然后根据是将主体和客体分级，然后根据主体和客体主体和客体的级别标记的级别标记来决定访问模式。来决定访问模式。“强制强制”主要体现在系统强制主要体现在系统强制主体服从主体服从访问控制策略上。访问控制策略上。基于角色基于角色的访问控制的基本思想是：授权给用户的访问权的访问控制的基本思想是：授权给用户的访问权限通常由用户在一个组织中限通常由用户在一个组织中担当的角色担当的角色来确定。来确定。它根据用户在组织内所处的角色作出访问授权和控制，它根据用户在组织内所处的角色作出访问授权和控制，但用户不能自主地将访问权限传给他人。但用户不能自主地将访问权限传给他人。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.3.2 自主访问控制 自主访问控制又称任意访问控制自主访问控制又称任意访问控制(Discretionary Access Control，DAC)，是指根，是指根据主体身份或者主体所属组的身份或者二者的据主体身份或者主体所属组的身份或者二者的结合，对客体访问进行限制的一种方法。结合，对客体访问进行限制的一种方法。它是访问控制措施中常用的一种方法，它是访问控制措施中常用的一种方法，这这种访问控制方法允许用户可以种访问控制方法允许用户可以自主地自主地在系统中在系统中规定谁可以存取它的资源实体规定谁可以存取它的资源实体，即用户即用户(包括用包括用户程序和用户进程户程序和用户进程)可选择可选择同其它用户同其它用户一起共享一起共享某个文件。某个文件。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 在各种以自主访问控制机制进行访问控制的系统在各种以自主访问控制机制进行访问控制的系统中，存取模式主要有：中，存取模式主要有：读读(read)，即允许主体对客体进行读和拷贝的操作；，即允许主体对客体进行读和拷贝的操作；写写(write)，即允许主体写入或修改信息，包括扩展、，即允许主体写入或修改信息，包括扩展、压缩及删除等；压缩及删除等；执行执行(execute)，就是允许将客体作为一种可执行文件，就是允许将客体作为一种可执行文件运行，在一些系统中该模式还需要同时拥有读模式；运行，在一些系统中该模式还需要同时拥有读模式；空模式空模式(null)，即主体对客体不具有任何的存取权。，即主体对客体不具有任何的存取权。自主访问控制缺陷第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security自主访问控制的具体实施可采用以下四种方法。自主访问控制的具体实施可采用以下四种方法。(1)(1)目录表目录表(Directory List)(Directory List)在在目目录录表表访访问问控控制制方方法法中中借借用用了了系系统统对对文文件件的的目目录录管管理理机机制制，为为每每一一个个欲欲实实施施访访问问操操作作的的主主体体，建建立立一一个个能能被被其其访访问问的的“客客体体目目录录表表(文文件件目目录录表表)”)”。例例如如某某个个主主体体的的客客体体目录表可能为：目录表可能为：客体客体1:1:权限权限1 1 客体客体2:2:权限权限2 2 客体客体n:n:权限权限n n。当当然然，客客体体目目录录表表中中各各个个客客体体的的访访问问权权限限的的修修改改只只能能由由该该客客体体的的合合法法属属主主确确定定，不不允允许许其其它它任任何何用用户户在在客客体体目目录录表表中进行写操作，否则将可能出现对客体访问权的伪造。中进行写操作，否则将可能出现对客体访问权的伪造。操作系统必须在操作系统必须在客体的拥有者控制客体的拥有者控制下维护所有的客体目录。下维护所有的客体目录。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security目目录录表表访访问问控控制制机机制制的的优优点点是是容容易易实实现现，每每个个主主体体拥拥有有一一张张客客体体目目录录表表，这这样样主主体体能能访访问问的的客客体体及及权权限限就就一一目目了了然然了了，依据该表对主体和客体的访问与被访问进行依据该表对主体和客体的访问与被访问进行监督比较简便监督比较简便。缺点之一是缺点之一是系统开销、浪费较大系统开销、浪费较大，这是由于每个用户都有一，这是由于每个用户都有一张目录表，如果某个客体允许所有用户访问，则将给每个用张目录表，如果某个客体允许所有用户访问，则将给每个用户逐一填写文件目录表，因此会造成系统额外开销；户逐一填写文件目录表，因此会造成系统额外开销；二是由于这种机制二是由于这种机制允许客体属主用户对访问权限实施传递并允许客体属主用户对访问权限实施传递并可多次进行，造成同一文件可能有可多次进行，造成同一文件可能有多个属主多个属主的情形的情形，各属主，各属主每次传递的访问权限也难以相同，甚至可能会把客体改用别每次传递的访问权限也难以相同，甚至可能会把客体改用别名，因此使得能越权访问的用户大量存在，在管理上名，因此使得能越权访问的用户大量存在，在管理上繁乱易繁乱易错错。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(2)(2)访问控制列表访问控制列表(Access Control List)(Access Control List)访访问问控控制制列列表表的的策策略略正正好好与与目目录录表表访访问问控控制制相相反反，它它是是从从客客体体角角度度进进行行设设置置的的、面面向向客客体体的的访访问问控控制制。每每个个客客体体有有一一个个访访问问控控制制列列表表，用用来来说说明明有有权权访访问问该该客客体的所有主体及其访问权限。体的所有主体及其访问权限。访问控制列表方式的最大访问控制列表方式的最大优点优点就是能较好地解决就是能较好地解决多个多个主体访问一个客体的问题主体访问一个客体的问题，不会像目录表访问控制那，不会像目录表访问控制那样因授权繁乱而出现越权访问。样因授权繁乱而出现越权访问。缺点缺点是由于访问控制列表需是由于访问控制列表需占用存储空间占用存储空间，并且由于，并且由于各个客体的长度不同而出现存放空间碎片，造成各个客体的长度不同而出现存放空间碎片，造成浪费浪费；每个客体被访问时都需要对访问控制列表从头到尾扫每个客体被访问时都需要对访问控制列表从头到尾扫描一遍，影响系统运行描一遍，影响系统运行速度速度和浪费了和浪费了存储空间存储空间。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(3)(3)访问控制矩阵访问控制矩阵(Access Control Matrix)(Access Control Matrix)访访问问控控制制矩矩阵阵是是对对上上述述两两种种方方法法的的综综合合。存存取取控控制制矩矩阵阵模模型型是是用用状状态态和和状状态态转转换换进进行行定定义义的的，系系统统和和状状态态用用矩阵表示，状态的转换则用命令来进行描述。矩阵表示，状态的转换则用命令来进行描述。直直观观地地看看，访访问问控控制制矩矩阵阵是是一一张张表表格格，每每行行代代表表一一个个用用户户(即即主主体体)，每每列列代代表表一一个个存存取取目目标标(即即客客体体)，表表中中纵纵横横对对应应的的项项是是该该用用户户对对该该存存取取客客体体的的访访问问权权集集合合(权权集集)。访问控制矩阵原理示意图 第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security抽象地说，系统的访问控制矩阵表示了系统的一种保抽象地说，系统的访问控制矩阵表示了系统的一种保护状态，如果系统中用户发生了变化，访问对象发生护状态，如果系统中用户发生了变化，访问对象发生了变化，或者某一用户对某个对象的访问权限发生了了变化，或者某一用户对某个对象的访问权限发生了变化，都可以看作是系统的保护状态发生了变化。变化，都可以看作是系统的保护状态发生了变化。由于访问控制矩阵模型只规定了系统状态的迁移必须由于访问控制矩阵模型只规定了系统状态的迁移必须有规则，而没有规定是什么规则，有规则，而没有规定是什么规则，因此该模型的灵活因此该模型的灵活性很大，但却给系统埋下了潜在的安全隐患。性很大，但却给系统埋下了潜在的安全隐患。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security强强制制访访问问控控制制(Mandatory(Mandatory Access Access ControlControl，MAC)MAC)是是根根据据客客体体中中信信息息的的敏敏感感标标签签和和访访问问敏敏感感信信息息的的主主体体的的访访问问等等级级，对客体的访问对客体的访问实行限制实行限制的一种方法。的一种方法。它主要用于保护那些处理特别敏感数据它主要用于保护那些处理特别敏感数据(例如，政府保密信例如，政府保密信息或企业敏感数据息或企业敏感数据)的系统。的系统。在强制访问控制中，在强制访问控制中，用户的权限和客体的安全属性用户的权限和客体的安全属性都是都是固固定的定的，由系统决定一个用户对某个客体能否进行访问。，由系统决定一个用户对某个客体能否进行访问。所谓所谓“强制强制”，就是安全属性由，就是安全属性由系统管理员人为设置系统管理员人为设置，或，或由操作系统自动地按照严格的安全策略与规则进行设置，由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。用户和他们的进程不能修改这些属性。8.3.3 强制访问控制强制访问控制第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-7 强制访问控制第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.3.4 基于角色的访问控制基于角色的访问控制基于角色的访问控制基于角色的访问控制(Role-Based Access Control，RBAC)的的核心思想就是：授权给核心思想就是：授权给用户的访问权限用户的访问权限通常由用户在一个通常由用户在一个组组织中担当的角色织中担当的角色来确定。来确定。引入了引入了“角色角色”这一重要的概念，所谓这一重要的概念，所谓“角色角色”，是指一个，是指一个或一群用户在组织内可执行的操作的集合。或一群用户在组织内可执行的操作的集合。这里的角色就充当着这里的角色就充当着主体主体(用户用户)和客体之间的关系的桥梁和客体之间的关系的桥梁。这是与这是与传统的访问控制策略传统的访问控制策略的最大区别所在。的最大区别所在。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-8 基于角色的访问控制一个主体可以具有多个角色，一个角色可以分给多个主体；一个角色可以访问多个客体，一个客体可以被多个角色访问 第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 基于角色的访问控制有以下五个特点。1)以角色作为访问控制的主体 用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执行何种操作。2)角色继承 为了提高效率，避免相同权限的重复设置，RBAC采用了“角色继承”的概念，定义的各类角色，它们都有自己的属性，但可能还继承其它角色的属性和权限。角色继承把角色组织起来，能够很自然地反映组织内部人员之间的职权、责任关系。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-8 角色继承第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 3)3)最小特权原则最小特权原则(Least Privilege Theorem)(Least Privilege Theorem)最小特权原则是系统安全中最基本的原则之一。最小特权原则是系统安全中最基本的原则之一。所谓最小特权，是指所谓最小特权，是指“在完成某种操作时所赋予网络在完成某种操作时所赋予网络中每个主体中每个主体(用户或进程用户或进程)的必不可少的特权的必不可少的特权”。最小特权原则则是指最小特权原则则是指“应限定网络中每个主体所应限定网络中每个主体所必须的最小特权，必须的最小特权，确保由于可能的事故、错误、网络确保由于可能的事故、错误、网络部件的篡改等原因造成的损失部件的篡改等原因造成的损失最小最小”。换句话说，换句话说，最小特权原则是指用户所拥有的权利不最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限能超过他执行工作时所需的权限。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security在RBAC中，可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色执行所需要的才授权给角色。当一个主体需访问某资源时，如果该操作不在主体当前所扮演的角色授权操作之内，该访问将被拒绝。最小特权原则一方面给予主体“必不可少”的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 4)4)职责分离（主体与角色的分离）职责分离（主体与角色的分离）对对于于某某些些特特定定的的操操作作集集，某某一一个个角角色色或或用用户户不不可可能能同同时时独独立立地地完完成成所所有有这这些些操操作作。“职职责责分分离离”可以有静态和动态两种实现方式。可以有静态和动态两种实现方式。静静态态职职责责分分离离：只只有有当当一一个个角角色色与与用用户户所所属属的的其其它它角角色色彼彼此此不不互互斥斥时时，这这个个角角色色才才能能授授权权给给该用户。该用户。动动态态职职责责分分离离：只只有有当当一一个个角角色色与与一一主主体体的的任任何何一一个个当当前前活活跃跃角角色色都都不不互互斥斥时时，该该角角色色才才能能成为该主体的另一个活跃角色。成为该主体的另一个活跃角色。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 5)角色容量角色容量 在在创创建建新新的的角角色色时时，要要指指定定角角色色的的容容量量。在在一一个个特特定定的的时时间间段段内内，有有一一些些角角色色只只能能由由一一定定人数的用户占用。人数的用户占用。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 基基于于角角色色的的访访问问控控制制是是根根据据用用户户在在系系统统里里表表现现的的活活动动性性质质而而定定的的，这这种种活活动动性性质质表表明明用用户户充当了一定的角色。充当了一定的角色。用用户户访访问问系系统统时时，系系统统必必须须先先检检查查用用户户的的角角色色，一一个个用用户户可可以以充充当当多多个个角角色色，一一个个角角色色也也可以由多个用户担任。可以由多个用户担任。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security基于角色的访问控制机制优缺缺点：模型的优点在于便于模型的优点在于便于授权管理、角色划分授权管理、角色划分、RBACRBAC能够很容易地能够很容易地将将组织的安全策略映射到信息系统组织的安全策略映射到信息系统中，简化安全策略的实施、中，简化安全策略的实施、具有自我管理能力、支持数据抽象和最小特权原则具有自我管理能力、支持数据抽象和最小特权原则等。等。基于角色的访问控制是一种有效而灵活的安全措施，目前仍处基于角色的访问控制是一种有效而灵活的安全措施，目前仍处在深入研究和广泛使用之中。在深入研究和广泛使用之中。但也存在缺点，RBAC模型是基于主体客体观点的被动安全模型,它是从系统的角度(控制环境是静态的)出发保护资源。授权是静态的,不具备动态适应性，这显然使系统面临极大的安全威胁，难以适应动态开放的网络环境。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.3.5基于任务的访问控制基于任务的访问控制(Task-Based Access Control)TBACTBAC模型是一种基于任务、采用模型是一种基于任务、采用动态授权的主动安全模型动态授权的主动安全模型。它从它从应用和企业应用和企业的角度来解决安全问题。的角度来解决安全问题。TBACTBAC模型采用模型采用面向任务面向任务的观点的观点,从任务的角度来建立安全从任务的角度来建立安全模型和实现安全机制模型和实现安全机制,在任务处理的过程中提供在任务处理的过程中提供实时的安实时的安全管理全管理。它将访问权限与任务相结合它将访问权限与任务相结合,客体的访问控制权限并不是客体的访问控制权限并不是静止不变的静止不变的,而是而是随着执行任务的上下文环境的变化而变随着执行任务的上下文环境的变化而变化化。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTBAC 的基本概念如下的基本概念如下(1)(1)授权步骤（授权步骤（Authorization Step）：）：是指在一个工作流程中对处理对象是指在一个工作流程中对处理对象(如办公流程中的原文档如办公流程中的原文档)的一次处理过程的一次处理过程。它是访问控制所能控制的最小单元。它是访问控制所能控制的最小单元。授权步由受托人集（授权步由受托人集（Trustee Set）和多个许可集）和多个许可集（Permissions Set）组成。）组成。受托人集受托人集是可是可被授予执行授权步被授予执行授权步的的用户的集合用户的集合，许可集许可集则是则是受托受托人人集的成员被授予授权步时拥有的集的成员被授予授权步时拥有的访问许可访问许可。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(2)授权单元（授权单元（Authorization Unit）：授权单元是由一个或多个授权步骤组成的单元，授权单元是由一个或多个授权步骤组成的单元，它们在逻辑上是相互联系的。它们在逻辑上是相互联系的。授权单元分为一般授权单元和复合授权单元。授权单元分为一般授权单元和复合授权单元。一般授权单元内的授权步骤一般授权单元内的授权步骤按顺序依次执行按顺序依次执行;复合授权单元内部的每个授权步骤紧密联系复合授权单元内部的每个授权步骤紧密联系，其中任何一个授权步骤失败都会导致整个单元其中任何一个授权步骤失败都会导致整个单元的失败。的失败。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTBAC 的基本概念如下的基本概念如下(2)(3)(3)任务（任务（TaskTask）：）：任务是工作流程中的一个逻辑单元。任务是工作流程中的一个逻辑单元。它是一个可区分的动作，可能与多个用户相关，也可能包它是一个可区分的动作，可能与多个用户相关，也可能包括几个子任务。括几个子任务。一个任务包含如下特征：一个任务包含如下特征：长期存在；长期存在；可能包括多个子任务；可能包括多个子任务；完成一个子任务可能需要不同的人。完成一个子任务可能需要不同的人。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(4)依赖（依赖（Dependency）：）：依赖是指授权步骤之间或授权单元之间的相互关依赖是指授权步骤之间或授权单元之间的相互关系，包括系，包括顺序依赖、失败依赖、分权依赖和代顺序依赖、失败依赖、分权依赖和代理依赖。理依赖。依赖反映了基于任务的访问控制的原则。依赖反映了基于任务的访问控制的原则。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图3-3 TBAC模型第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTBAC 的优缺点的优缺点TBACTBAC的的主动、动态等特性主动、动态等特性,使其广泛应用于工作流、分布式处使其广泛应用于工作流、分布式处理、多点访问控制的信息处理和事务管理系统的决策制定等方理、多点访问控制的信息处理和事务管理系统的决策制定等方面。面。尽管尽管TBACTBAC具备许多特点具备许多特点,但当应用于复杂的企业环境时但当应用于复杂的企业环境时,就会暴就会暴露出自身的缺陷。露出自身的缺陷。例如在实际的企业环境中例如在实际的企业环境中,角色是一个非常重要的概念角色是一个非常重要的概念,但但TBACTBAC中并没有将中并没有将角色与任务清楚地分离开来角色与任务清楚地分离开来,也不支持也不支持角色的层次角色的层次等级，也无法表示等级，也无法表示职责分离约束职责分离约束；另外另外,访问控制并非都是主动的访问控制并非都是主动的,也有属于被动形式的也有属于被动形式的,但但TBACTBAC并不支持被动访问控制，同时，并不支持被动访问控制，同时，任务的划分也不明确任务的划分也不明确。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security2.3.6基于任务和角色的访问控制模型（基于任务和角色的访问控制模型（TRBAC）T TRBACRBAC是一种动态授权的主动安全模型，它将从是一种动态授权的主动安全模型，它将从系统角度系统角度出发出发保护资源的保护资源的RBACRBAC模型和模型和从应用和企业层角度从应用和企业层角度出发解决安全问题的出发解决安全问题的TBACTBAC模型结合在一起，模型结合在一起，结合二者的优点结合二者的优点而构建的访问控制模型。而构建的访问控制模型。其主要思想是将其主要思想是将角色与任务相关联角色与任务相关联,然后再给任务赋予相关的权然后再给任务赋予相关的权限。限。这样,在工作流应用访问控制时,权限与任务相关联的主要目的是实现对权限的动态管理,而将角色与任务相关联有利于管理人员掌握角色所执行的任务和客体之间的相关信息。在更新角色的权限时在更新角色的权限时,以以任务为中介任务为中介十分便于管理人员对角色的十分便于管理人员对角色的管理。管理。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityT TRBACRBAC同时拥有同时拥有角色与任务两个同等角色与任务两个同等重要元素，符合重要元素，符合企业环境中职员通过接受任务而进行工作的思想。企业环境中职员通过接受任务而进行工作的思想。一定程度上实现了一定程度上实现了动静结合动静结合的访问控制，使角色的的访问控制，使角色的操作、操作、维护和任务维护和任务的管理变得的管理变得简单方便简单方便,也使得系统变得更为也使得系统变得更为安全。安全。第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTRBAC基于任务基于任务-角色层次模型角色层次模型 第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security但但T TRBACRBAC模型也存在其不足，其模型也存在其不足，其授权策略大都是基于工作流应授权策略大都是基于工作流应用环境出发考虑的访问控制用环境出发考虑的访问控制。虽然改进了的虽然改进了的TRBACTRBAC模型满足了有效性，但对于现今高动态、开模型满足了有效性，但对于现今高动态、开放式的网络环境还存在诸多不足，例如放式的网络环境还存在诸多不足，例如客体属性的更新客体属性的更新不仅可不仅可能发生在主体能发生在主体访问客体前访问客体前，而且可能在，而且可能在整个访问的过