第四章访问控制技术选读.ppt

访问控制矩阵优缺点分析 访问矩阵模型对访问控制理解，提供了一个很好的框架。现实中，直接用访问控制矩阵表示保护状态或安全状态是不现实的，描述状态的转移也是不方便的（上面两个例子向我们展示了静态的访问控制矩阵的概念。但是在实际系统中经常需要考虑保护状态处于动态转移的情形。） 就好比用列表法表示一个复杂函数一样笨拙，更严重的是使用大量数据经常会掩盖其内在的逻辑关系。 BLP 模型介绍 对BLP安全模型的评价 BLP模型是一个最早的对多级安全策略进行描述的模型；? BLP模型是一个严格形式化的模型，并给出了形式化的证明； BLP模型是一个很安全的模型，既有自主访问控制，又有强制访问控制； BLP模型控制信息只能由低向高流动，能满足军事部门等一类对数据必威体育官网网址性要求特别高的机构的需求。 但是，总的来说，BLP模型“过于安全”。其一： 上级对下级发文受到限制；?其二， 部门之间信息的横向流动被禁止；其三，缺乏灵活、安全的授权机制。另外，BLP模型也有不安全的地方。① 低安全级的信息向高安全级流动，可能破坏高安全客体中数据完整性，被病毒和黑客利用。② 只要信息由低向高流动即合法（高读低），不管工作是否有需求，这不符合最小特权原则。③ 高级别的信息大多是由低级别的信息通过组装而成的，要解决推理控制的问题。 层次RBAC 层次是结构化角色来反映一个组织权威和责任的一种自然的方法。 角色层次定义了角色之间的一个继承关系，继承根据权限描述。 约束的RBAC 约束RBAC是在RBAC模型上增加了职责分离关系。 职责分离关系用于组织内实施的利益冲突策略，避免用户超出其当前职位所拥有的合理权限等级。该RBAC标准定义了静态和动态的职责分离。 职责关系的动态分离 静态职责分离 RBAC模型的特点 RBAC模型支持最小特权原则、责任分离原则，这些原则是任何组织的管理工作都需要的 RBAC模型支持数据抽象原则和继承概念。 RBAC模型仍属于访问控制类模型，本质是对访问矩阵模型的扩充，能够很好的解决系统中主体对客气的访问控制访问权力的分配与控制问题，但模型没有提供信息流控制机制，还不能完全满足信息系统的全部安全需求。 RBAC模型没有提供操作顺序控制机制。 5 访问控制实施 PMI模型 一般访问控制实现框架 基于KDC和PMI的访问控制框架 PMI模型 PMI指授权管理基础设施或称为属性特权机构它依赖于公共密钥基础设施PKI（Public Key Infrastructure）的支持，任务旨在提供访问控制和特权管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统和管理无关的访问控制机制，并能极大地简化应用中访问控制和权限管理系统的开发与维护。 PMI模型 PMI授权技术的基本思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构去管理，即由资源的所有者来进行访问控制管理。 PMI的重要贡献是规范了由权威机构生成，并进行数字签名的属性证书的概念，该属性证书可用来准确地表述权限声明者的权限。而且便于权限验证者进行验证。 一般访问控制实现框架 一般访问控制实现框架的基本因素 基于KDC和PMI的访问控制框架 （1）KDC：密钥分发中心，应用网络中的两个分别与KDC共享对称密钥的通信方，通过KDP（密钥分发协议）获得两者之间的通信共享密钥。 （2）身份识别服务器：用户通过安全的识别协议将用户标识和用户凭证提交到身份识别服务器，身份识别服务器完成识别，用户获得识别凭证，用于用户与应用服务器交互。 （3）安全中间件：包括访问控制组件和密钥共享组件，部署在应用服务器之前，通过KDC实现应用服务器同用户的密钥共享，向PMI申请用户属性证书，并根据用户的属性来实现用户对服务的安全访问控制。 （4）PMI：通过属性证书的生成、分发、注销等整个生命周期的管理，实现用户权限的授予。 基于KDC和PMI的访问控制框架 6 访问控制技术新进展 信任管理 UCON模型 访问控制技术的发展趋势 信任管理 随着计算机网络和一些分布式系统支撑技术的飞速发展在各式各样的资源面前，如何进行有效的真伪（安全）鉴别，即防止恶意节点的伪装带来安全问题；发现之后又该怎样处理相应的问题。解决这些问题在很大的程度上需要有一套相应的标准。 信任管理的内容包括：制定安全策略、获取安全凭证、判断安全凭证集是否满足相关的安全策略等。信任管理要回答的问题可表述为“安全凭证集C是否能够证明请求r满足本地策略集 P”。 UCON模型 UCON模型包含三个基本元素：主体、客体、权限和另外三个与授权有关的元素：授权规则、条件、义务，如图所示。 U