2022年访问控制方式总结 .pdf

《2022年访问控制方式总结 .pdf》由会员分享，可在线阅读，更多相关《2022年访问控制方式总结 .pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、访问控制方式总结授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程，通常是以访问控制的形式实现的。 访问控制是为了限制访问主体（或称为发起者， 是一个主动的实体，如用户、进程、服务等）对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用；访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的，以保证资源的安全性和有效性。访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准（ Trusted Computer System Evaluati

2、on Criteria ，TCSEC，即橘皮书） ，已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。 安全系统的设计， 需要满足以下的要求： 计算机系统必须设置一种定义清晰明确的安全授权策略；对每个客体设置一个访问标签， 以标示其安全级别； 主体访问客体前， 必须经过严格的身份认证； 审计信息必须独立保存，以使与安全相关的动作能够追踪到责任人。从上面可以看出来， 访问控制常常与授权、身份鉴别和认证、审计相关联。设计访问控制系统时， 首先要考虑三个基本元素： 访问控制策略、 访问控制模型以及访问控制机制。 其中，访问控制策略是定义如何管理访问控制，在什么情况下

3、谁可以访问什么资源。 访问控制策略是动态变化的。 访问控制策略是通过访问机制来执行， 访问控制机制有很多种， 各有优劣。 一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名，组名以及用户所属的角色等，或者其他能反映用户信任级别的标志。资源属性包括标志、 类型和访问控制列表等。为了判别用户是否有对资源的访问，访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境，提供一个概念性的框架结构。目前人们提出的访问控制方式包括：自主性访问控制、 强访问控制、 基于角色的访问控制等名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

4、 - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 自主性访问控制美国国防部 (Department of Defense ，DoD)在 1985 年公布的“可信计算机系统评估标准 (trusted computer system evaluation criteria ，TCSEC)”中明确提出了访问控制在计算机安全系统中的重要作用，并指出一般的访问控制机制有两种：自主访问控制和强制访问控制。 自主访问控制 (DAC) 根据访问请求者的身份以及规定谁能（或不能） 在什么资源进行什么操作的访问规则来进行访问控制

5、，即根据主体的标识或主体所属的组对主体访问客体的过程进行限制。在DAC 系统中，访问权限的授予可以进行传递， 即主体可以自主地将其拥有的对客体的访问权限（全部或部分地）授予其它主体。DAC 根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。在 DAC 系统中，由于 DAC 可以将访问权限进行传递，对于被传递出去的访问权限，一般很难进行控制。比如，当某个进程获得了信息之后，该信息的流动过程就不再处于控制之中，就是说如果A 可访问 B，B 可访问 C，则 A就可访问 C，这就导致主体对客体的间接访问无法控制（典型如操作系统中文件系统）

6、。这就造成资源管理分散，授权管理困难；用户间的关系不能在系统中体现出来；信息容易泄漏，无法抵御特洛伊木马的攻击；系统开销巨大，效率低下的缺点，不适合大型网络应用环境。强访问控制强制访问控制 (MAC) 根据中央权威所确定的强制性规则来进行访问控制。和DAC 不同，强制访问控制并不具备访问主体自主性，主体必须在由中央权威制定的策略规则约束下对系统资源进行访问。强制访问控制是一种不允许主体干涉的访问控制类型，是基于安全标识和信息分级等信息敏感性的访问控制。在 MAC中，系统安全管理员强制分配给每个主/客体一个安全属性，强制访问控制根据安全属性来决定主体是否能访问客体。安全属性具有强制性，不能随意更

7、改。MAC 最早出现在美国军方的安全体制中，并且被美国军方沿用至今。在MAC 方案中，每个目标由安全标签分级，每个对象给予分级列表的权限。分级列 表 指 定 哪 种 类 型的 分 级 目 标 对 象 是 可 以 访 问 的 。 典型 安 全 策 略 就 是“read-down”和“ write-up” ，指定对象权限低的可以对目标进行读操作，权限名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 高的就可以对目标进行写操作。MAC

8、通过基于格的非循环单向信息流政策来防止信息的扩散， 抵御特洛伊木马对系统保密性的攻击。系统中， 每个主体都被授予一个安全证书，而每个客体被指定为一定的敏感级别。MAC 的两个关键规则是：不向上读和不向下写， 即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。MAC 实现一般采用安全标签机制，由于安全标签的数量是非常有限的， 因此在授权管理上体现为粒度很粗。 但是由于 MAC本身的严格性，授权管理方式上显得刻板， 不灵活。如果主体和权限的数量庞大，授权管理的工作量非常大。在MAC 中，允许的访问控制完全是根据主体和客体的安全级别决定。其中主体（用户、进程）的安全级别是

9、由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此，强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。 MAC 应用领域也比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域；虽然MAC 增强了机密性，但完整性实施不够，它重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。基于角色的访问控制随着网络技术的迅速发展， 对访问控制提出了更高的要求， 传统的访问控制技术(DAC,MAC) 已经很难满足这些需求，于是提出了新型的基于角色的访问控制(RBAC)。RBAC 有效地克服了传统访问控制技术的不足，

10、降低授权管理的复杂度，降低管理成本，提高系统安全性，成为近几年访问控制领域的研究热点。最早使用 RBAC 这个术语，是在 1992 年 Ferraiolo 和 Kuhn 发表的文章中。提出了 RBAC 中的大部分术语，如，角色激活(Role Activation)，角色继承 (Role Hierarchy)，角色分配时的约束 (Constraints)等等。因为 RBAC 借鉴了较为人们熟知的用户组、权限组和职责分离(Separation of Duty)等概念，而且，以角色为中心的权限管理更为符合公司和企业的实际管理方式。Ferraiolo 和 Sandhu等人分别在 1994 年后提出了有

11、关 RBAC 模型的早期形式化定义， 其中，Sandhu等人定义了 RBAC 模型的一个比较完整的框架，即RBAC96 模型。 RBAC1 和 RBAC2都建立在 RBAC0 之上，RBAC1 给出了角色继承的概念， RBAC2 增加了约束的概念。在扩展研究中，RBAC 管理方面，研究者试图采用RBAC 本身来管理RBAC，于是，出现 ARBAC97 模型及其扩展，这些模型让管理角色及其权限独名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - -

12、- - - 立于常规角色及其权限。第二是RBAC 功能方面。研究者通过扩展RBAC 的约束来增强它的表达能力， 以适应不同情况下的权限管理。最初的约束是用来实现权责分离，后来又出现了其他的约束，如，约束角色的用户数目，增加了时间约束的 TRBAC 模型，增加了权限使用次数的UCRBAC 模型，带有使用范围的灵活约束，采用形式化的语言来描述RBAC 的约束，如 RCL2000 语言、对象约束语言(OCL, Object Constraint Language) 和其他语言等。第三，是讨论RBAC 与其他访问控制模型的关系。第四是RBAC 在各个领域的应用。美国国家标准与技术研究院 (The Na

13、tional Institute of Standards and Technology，NIST)制定的标准RBAC 模型由 4 个部件模型组成，这4 个部件模型包括RBAC 的核心 (Core RBAC)，RBAC 的继承 (Hierarchal RBAC)，RBAC 的约束 (Constraint RBAC)中的静态职权分离 (SSD)和动态职权分离 (DSD)两个责任分离部件模型。RBAC 的核心思想就是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。 角色是根据企业内为完成各种不同的任务需要而设置的，根据用户在企业中的职权和责任来设定它们的角色。用户可以在角

14、色间进行转换，系统可以添加、删除角色，还可以对角色的权限进行添加、删除。这样通过应用 RBAC 将安全性放在一个接近组织结构的自然层面上进行管理。在DAC 和 MAC 系统中，访问权限都是直接授予用户，而系统中的用户数量众多，且经常变动 ,这就增加了授权管理的复杂性。RBAC 弥补了这方面的不足，简化了各种环境下的授权管理。RBAC 模型引入了角色 (role)这一中介，实现了用户(user)与访问许可权 (permission)的逻辑分离。在 RBAC 系统模型中，用户是动态变化的，用户与特定的一个或多个角色相联系，担任一定的角色。 角色是与特定工作岗位相关的一个权限集， 角色与一个或多个访

15、问许可权相联系，角色可以根据实际的工作需要生成或取消。 用户可以根据自己的需要动态激活自己拥有的角色。与用户变化相比，角色变化比较稳定。系统将访问权限分配给角色，当用户权限发生变化时， 只需要执行角色的撤消和重新分配即可。另外，通过角色继承的方法可以充分利用原来定义的角色，使得各个角色之间的逻辑关系清晰可见，同时又避免了重复工作，减小了出错几率。基于上下文的访问控制CBAC 是在 RBAC 研究的基础上产生的。 CBAC 是把请求人所处的上下文名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -

16、- 第 4 页，共 9 页 - - - - - - - - - 环境作为访问控制的依据。基于上下文的访问控制，可以识别上下文，同时，其策略管理能够根据上下文的变化，来实现动态的自适应。 一般地，基于上下文的访问控制利用了语义技术，以此实现上下文和策略的更高层次的描述和推理。通用的基于角色的访问控制通用的基于角色的访问控制(Generalized Role-Based Access Control ，GRBAC)是 RBAC 的延伸，比 RBAC 更为灵活。RBAC 模型局限于基于主体 (subject)特性，对于客体 （object） 或环境状况不能很好的区分支持。 RBAC 不能支持与时间（

17、time）有关的控制，同时也不能很好地支持基于内容的控制。针对RBAC 这些问题，GRBAC 通过在策略中增加环境状态(environmental state)和客体状态 (object state)来解决这些问题。 GRBAC 用客体角色来支持基于内容的访问控制。基于内容的访问控制 (Content-Based Access Control) 通过有效整合等级文件系统进行控制。与内容的访问控制不同， GRBAC 主要运用与安全相关的对象状态或属性，通过对象角色来控制。 GRBAC 比 RBAC 更为复杂， RBAC 是 GRBAC 的一个特例。基于组的访问控制协同工作环境下的访问控制在执行特

18、定任务时，需要动态、灵活地进行访问权限的分配、执行和管理。在协同环境中，对于执行某一个任务的特定角色，可以将这同一角色分配给很多用户。针对这种分配有同一角色的众多用户，如何进行有效的灵活管理的问题， Thomas在 1997年提出基于组的访问控制 （Team-based Access Control，TMAC ） 。基于任务的访问控制随着数据库、 网络和分布式计算的发展， 组织任务进一步自动化， 与服务相关的信息进一步计算机化， 为了解决随着任务的执行而进行动态授权的安全保护问题， 提出了基于任务的访问控制(Task-based Access Control ， TBAC) 模型。 TBAC是

19、从应用和企业层角度来解决安全问题（而非从系统角度）。TBAC 采用“面向服务”的观点，从任务的角度，建立安全模型和实现安全机制，依据任务和任务状态的不同， 在任务处理的过程中提供动态实时的安全管理。TBAC 模型包括工作流(Work flow, Wf) ，授权结构体 (Authorization unit, Au) ，受托人集 (Trustee-Set, 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - T)，许可集 (Permi

20、ssions, P)四部分。其中， Wf 是由一系列 Au 组成； Au 之间存在顺序依赖，失败依赖，分权依赖，代理依赖 的关系。在TBAC 中，授权需用五元组 (S,O,P,L,AS)来表示。(1)S表示主体， O 表示客体， P表示许可， L 表示生命期 (lifecycle) ；(2)AS 表示授权步 (Authorization step)，是指在一个工作流程中对处理对象（如办公流程中的原文档）的一次处理过程。授权步由受托人集(trustee-set) 和多个许可集 (permissions set) 组成，其中，受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被授予授

21、权步时拥有的访问许可。(3)P是授权步 AS 所激活的权限， L 则是授权步 AS 的存活期限。L 和 AS 是 TBAC 不同于其他访问控制模型的显著特点。在授权步AS 被触发之前，它的保护态是无效的，其中包含的许可不可使用。当授权步AS 被触发时，它的委托执行者开始拥有执行者许可集中的权限，同时它的生命期开始倒记时。在生命期期间，五元组 (S,O,P,L,AS)有效。当生命期终止，即授权步AS 被定为无效时，五元组 (S,O,P,L,AS)无效，委托执行者所拥有的权限被回收。通过授权步的动态权限管理， TBAC 可以支持最小权限和职责分离原则。TBAC 是一种主动安全模型， 在这种模型中，

22、 对象的访问权限控制并不是静止不变的， 而是随着执行任务的上下文环境发生变化。TBAC 是从工作流的环境来考虑信息安全问题。 在工作流环境中， 每一步对数据的处理都与以前的处理相关，相应的访问控制也是这样， 因此，TBAC 是一种上下文相关的访问控制模型。TBAC 不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例 (instance) 实行不同的访问控制策略， 所以，TBAC 又是一种基于实例的访问控制模型。在TBAC 中，用户对于授予的权限的使用具有时效性的。TBAC 比较适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策指定

23、。T-RBAC 模型把任务和角色置于同等重要的地位，它们是两个独立而又相互关联的重要概念。任务是RBAC 和 TBAC 能结合的基础。基于属性的访问控制在开放环境下 (如互联网 )不同的客户端和服务器频繁交互，这些交互方有时处于不同的安全域之内， 相互只能知道对方部分信息。 传统的基于身份的访问控名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 制 (IBAC) 已不能适用于这种环境， 基于属性的访问控制 (ABAC) 能够很好地

24、适应这种开放的网络环境。基于属性的访问控制模型(ABAC) 是根据参与决策的相关实体的属性来进行授权决策的。 ABAC 中的基本元素包括请求者，被访问资源，访问方法和条件，这些元素统一使用属性来描述，各个元素所关联的属性可以根据系统需要定义。属性概念将访问控制中对所有元素的描述统一起来，同时摆脱了基于身份的限制。在 ABAC 中，策略中的访问者是通过访问者属性来描述，同样，被访问资源、访问方法也是通过资源和方法的属性来描述，而条件用环境属性来描述。 环境属性通常是一类不属于主体，资源和方法的动态属性， 如访问时间， 历史信息等。条件有时也会用来描述不同类型属主具有的属性之间的关系，如访问者的某

25、一属性与资源的某一属性之间的关系。 ABAC 是否允许一个主体访问资源是根据请求者、被访问资源以及当前上下文环境的相关属性来决定的。这使得ABAC具有足够的灵活性和可扩展性， 同时使得安全的匿名访问成为可能，这在大型分布式环境下是十分重要的931。XACML 集中体现了 CBAC 和 ABAC 的思想，利用上下文中包含的请求方的属性信息，与事前制定的策略进行匹配， 来进行访问控制决策和授权。非自主性访问控制非自主性访问控制 (NDAC) 适用于一部分用户的权限是既定的，但是还需要对访问权限的委托进行控制。NDAC 策略必须是全局的、持久的访问控制策略，并且该策略需要一些管理员无法直接控制的信息

26、才能做出决策（而在 MAC 策略中，访问控制权限完全由主体和客体的安全密级决定）。管理策略规定了哪些主体可以修改访问权限，而且这些管理策略只能是DAC 策略。管理策略可以被分为如下几类： (l)集中式的，只有一个授权人（或是组）能够对用户的访问权限进行管理； (2)层次化的，有一个核心的授权人负责将管理职责指派给其他的管理员，然后这些管理员就可以在其职责范围内对用户的访问权限进行管理；(3)合作式的，对特定资源的授权必须由多个授权人合作进行。基于信誉的访问控制1996年，M. Blaze 等人为了解决 Internet网络服务的安全问题，首次提出了名师资料总结 - - -精品资料欢迎下载 -

27、- - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - “信任管理 (Trust Management) ”的概念，其基本思想是承认开放系统中安全信息的不完整性，提出系统的安全决策需要附加的安全信息。与此同时，A. Adul-Rahman 等学者则从信任的概念出发， 对信任内容和信任程度进行划分，并从信任的主观性入手给出信任的数学模型用于信任评估。长期以来，信任管理技术演化发展为两个分支： 基于凭证和策略的理性信任模型和基于信誉的感性信任模型。针对网格应用具体环境， 这两种模型各有

28、优缺点。 对于理性信任模型而言，由于在广域网格环境下缺乏公共认可的权威机构，凭证并不完全可靠， 也并不一定能通行无阻； 而且完全依靠认证中心， 弱化了个体的自我信任， 而盲目信任大范围内的认证中心， 往往会无法解决个体间的利益冲突。在基于信誉的感性信任模型中，也存在着很多问题：存在着评价空白时“信”与“不信”的临界两难状态；对恶意行为的免疫力不强， 譬如对恶意推荐缺乏行之有效的过滤方法，对策略型欺骗行为缺乏有效的识别和抑制；对评价反馈行为缺乏激励， 从而容易导致系统中信誉证据的不足； 缺乏对多种上下文环境下的信誉评估进行综合集成的能力等。传统的访问控制实际上是基于信任管理中的理性信任模型。基于

29、信誉的访问控制， 基于信任管理的感性信任模型， 是将访问请求方的信誉度作为衡量是否授权的标准的访问控制技术，是一种比较新的访问控制技术。基于信誉的访问控制的核心目标是为了更好的实现预期收益，同时应对授权行为带给服务提供方的不确定性、 脆弱性和风险性问题。 其根据请求方的当前及历史状态，评估其信誉，并设置信任阈值是达到上述目标的有效手段。此外，基于信誉的访问控制可以实现提供方的其他目标：1、根据必须满足的信任条件将权限分级。不同的权限对于实现提供方预期收益是不同的，所以不同的权限所要求的信任条件也是不同的； 2、利用信誉度对请求方进行筛选，选择合适的请求方进行授权，以尽可能的实现提供方的预期收益

30、。目前该类访问控制的研究主要涉及以下问题： (1)信誉的表述和度量； (2) 由经验推荐所引起的信誉度推导和综合计算。(3)信任阈值的动态衍生等。委托授权问题委托(delegation)是一种重要的安全策略，又称为转授权。它的主要思想是系统中的某个处于活动的实体（可以是用户，也可以是代表用户的程序、进程等）将自己的权限转授予其他活动实体， 使被授予的实体可以以前者的名义执行一些名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - 工作

31、。委托是一种特殊的授权形式，相对于传统授权而言， 委托更侧重强调权限的转移。也就是说， 在权限和资源相对固定的情况下，通过主体间的转换来确定主体与资源的权限映射关系。 计算机中的委托可分为以下几种:用户-用户、用户-机器、机器 -机器和机器 -用户。用户 -用户的委托意味着委托者 (delegator)将自己的全部或部分权力转授予受托者(delegatee) ，使受托者可代替委托者执行相应的权力。用户 -用户的委托主要出现在以下三种情况：工作替代、分权和协同工作。委托早期的研究主要集中在用户-机器和机器 -机器的委托，许多己有的模型关注于用户 -机器和机器 -机器的委托。随着 RBAC 的兴起

32、，后期在 RBAC 的基础上委托研究得到极大地发展，主要关注用户-用户的委托，并引入了角色概念。用户 -用户的委托正逐渐成为研究热点。委托是以主体为中心，根据主体自己的需求实现动态授权的过程。它非常灵活， 但由于主体的决定权过大， 系统中权限的传播难以追踪， 而且可能导致自相矛盾， 所以需要合理的委托模型和委托策略，在安全的体系结构下实现灵活的委托授权。在RBAC 模型之前，委托研究均是针对以权限为粒度的访问控制模型。由于RBAC 模型以角色为中心，RBAC 模型的委托是基于角色而不是直接基于权限。于是委托研究可以分为两大类型:基于角色的委托研究和基于权限的委托研究。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -