访问控制主讲 段云所 副教授北京大学计算机系
doyes@pku.edu.cn
安全服务的各个层面
安全服务 Security Services
开放某一层所提供的服务 用以保证系统或数据传输足够的安全性根据ISO7498-2,安全服务包括
1,实体认证 Entity Authentication
2,数据保密性 Data Confidentiality
3,数据完整性 Data Integrity
4,防抵赖 Non-repudiation
5,访问控制 Access Control
访问控制的概念以及分类原始概念——
是对进入系统的控制用户标识+口令/生物特性/访问卡一般概念——
是针对越权使用资源的防御措施一般分为
自主访问控制
强制访问控制
基于角色的访问控制访问控制的目的和作用是为了限制访问主体 用户 进程 服务等对访问客体 文件 系统等 的访问权限 从 使
系统 使用 用户
一 用户 的程
目的
作用是对 访问系统及 数据的 进
证 是进?¢ £ 等的?提访问控制¥?安全措施的§系currency1'
“用?
认证访问控制
fi权数据fl
用户目标目标目标目标目标
£
访问控制的一般实 制和–
一般实 制——
基于访问控制?性
—— 访问控制 /?·
基于用户和资源分,安全标?”
——访问控制
”实 – ——
访问控制 ACL)
访问? Capabilities)
fi权§系
userA
Own
R
W
O
userB
R
O
userC
R
W
O
Obj1
访问控制实 –
——访问控制
访问控制实 –
——访问?
Obj1
Own
R
W
O
Obj2
R
O
Obj3
R
W
O
UserA
Subjects
Objects
S
1
S
2
S
3
O
1
O
2
O
3
Read/write
Write
ReadExecute
…‰ 是访问控制?
… 是访问
访问控制实 –
——访问控制?·
访问控制实 –
——fi权§系
UserA Own Obj1
UserA R Obj1
UserA W Obj1
UserA W Obj2
UserA R Obj2
自主访问控制强制访问控制基于角色访问控制访问控制访问控制的一般 `
访问控制的 `
——自主访问控制特′
根据主体的 和fi权? 访问currency1?
ˉ′
˙ ¨?程? 访问权限§系ˇ —用户A
对目标O的访问权限传 用户B,从 使 对O访问权限的B 访问O
访问控制的 `
——强制访问控制特′
1,主 和客体分? 根据主体和客体的? 标
访问currency1? — 密? 密? 密? 密?
2,访问控制§系分为 / /
完整性 密性
3, 安全标?实 a?˙ currency1?
TS
S
C
U
TS S C U
R/W
W
R/W
R
R/W
R
W
R
R
R
R/W
R
W
W
W
W
Subjects
Objects
Information Flo
w
访问控制的 `
——强制访问控制
MAC Information Flow
1.自主?
2.强制? 强
3.作o
1000主体访问10000客体?1000? —?
1作8
10 000 000/ 3600*8
=347.2?
访问控制的 `
——自主/强制访问的问
访问控制的 `
——基于角色的访问控制
角色概念
A role can be defined as a set of
actions and responsibilities
associated with a particular working
activity.
访问控制的 `
——基于角色的访问控制
角色¥ 的
组 用户集角色 用户集 权限集访问控制的 `
——基于角色的访问控制
角色控制¥DAC MAC的
角色控制 对 立 根据? 使某些角色为接近DAC 某些角色接近MAC
访问控制的 `
——基于角色的访问控制
currency1'
基本模型 RBAC0
角色分级模型 RBAC1
角色限制模型 RBAC2
统一模型 RBAC3
RBAC3
RBAC1 RBAC2
RBAC0
访问控制的 `
——基于角色的访问控制
基本currency1'RBAC0 义
The RBAC0 Model has the following components:
U,R,P,and S(users,roles,permissions,and respectively session)
PA P ╳ R,a many--toto-many permission to role assignment
relation
UA U ╳ R,a many--toto-many user to role assignment relation
user,S U,a function mapping each session si to the single user
user(si) (constant for the session‘s lifetime)
roles,S 2
R
,a function mapping each session si to a set of
roles roles(si) {r∣(user(si),r) UA}(which
can change with time) and session si has the
permissions r roles(si) {p∣(p,r) PA}
访问控制的 `
——基于角色的访问控制
分?currency1'RBAC1 义
The RBAC1 Model has the following components:
U,R,P,S,PA,UA and user are unchanged form RBAC0
RH R ╳ R is a partial order on R called the role hierarchy
or role dominanace relation,also written as
roles,S 2
R
is modified from RBAC0 to require roles(si)
{r∣r’ r[(user(si),r) UA]}
(which can change with time) and session si has
the permissions r roles(si)
{p∣r’’ r[(p,r’’) PA }
角色§系偏序关系 partial orders)
自反 (reflexive)
传递 (transitive)
反对称 antianti--symmetric)
访问控制的 `
——基于角色的访问控制访问控制的 `
——基于角色的访问控制
限制继承私有角色 pravite roles)
限制currency1'RBAC2 义
The RBAC2 is unchanged from RBAC0
except for requiring that there be a
collection of constraints that determine
whether or not values of various
components of RBAC0 are acceptable,Only
acceptable values will be permitted.
访问控制的 `
——基于角色的访问控制
约束条件 constraints)
互斥角色 multually exclusive roles)
——全程限制 同一场合限制基数约束 cardinality constraints)
先决约束 prerequisite)
会话约束 constraints in session)
等级约束 hierarchy constraints)
访问控制的 `
——基于角色的访问控制
统一currency1'RBAC3 义
RBAC3 combines RBAC1 and RBAC2 to
provide both roles hierarchies and
constraints.
访问控制的 `
——基于角色的访问控制
currency1'
U
Users
R
Roles
P
Permission
Constraints
S
Session
users
roles
PA
Permission
Assignment
UA
User
Assignment
RH
Role
Hierarchy
RBAC3
RBAC1
RBAC2
访问控制的 `
——基于角色的访问控制
Primary-care Specialist
Physician Physician
Physician
Health-care Provider
Project Supervisor
Test Engineer Programmer
Project Member
角色示
访问控制的 `
——基于角色的访问控制
角色示
Test Engineer ’ Project Supervisor Programmer’
Test Engineer Programmer
Project Member
访问控制的 `
——基于角色的访问控制
项目角色分层
Role Hierarchy
Administrative Role Hierarchy
CSO
SO1 SO2 SO3
S
P3
P
S3
访问控制的 `
——基于角色的访问控制
S
P3
P
S3
P3’
T1 T2 T3 T4
T1’
S3’
T4’
T3’
项目角色分层访问控制的 `
——基于角色的访问控制
角色 currency1'
ARBAC0 ARBAC1 ARBAC2 ARBAC3
区别
ARBAC0>ARBAC3
取消限制角色关系不满足偏序关系
currency1'
U
Users
R
Roles
P
Permission
Constraints
S
Session
users
roles
PA
Permission
Assignment
UA
User
Assignment
RH
Role
Hierarchy
AR
Administrative
Roles
UA
User
Assignment
AP
Admin
Permission
APA
Admin
Permission
Assignment
ARH
Admin
Roles
Hierarchy
currency1?
集中式管理分级式管理协作式管理所属权管理分散式管理
fi权
角色控制优势便于授权管理便于角色划分便于赋予最小特权便于职责分担便于目标分级
” §? 介绍
——网络访问控制
Kerberos
开发? Barray Jaspan
—— 一个用于 安全物 网络 的 证原则有效性系统原则=< PrimaryName,Instance,Realm >
主名名事 事 领域
1.用户 注册标识符 空或¥用户 分 同的
§的特殊?˙ 证域
2.服务 服务的名字?名 (所以 同?拥有
同的K服务?)
” §? 介绍
——网络访问控制
它?”? 软件
Deslogin 开发? Dave Barrett
—— 提供比Telnet,rlogin更强的安全认证功 且所有的数据都?DES加密–?从远程主 传入或传出 因此
允许用户? 靠的网络访问远程主 必担心?窃听
DIAL 开发? Roger Tolkv Emulex
——? 用电话业务控制访问? 的回拨?
即只有已经fi权的用户?自己特 的电话号码 才 够?
证;一旦用户?了 认证?这 的连接挂断 然后系统 …照?拨入?所使用的电话号码进 回拨 用C语言编
的
CALLBACK.EXE
——功 /原 和DIAL几乎一致 用Fortran编 的
……
” §? 介绍
——a 访问控制访问控制主? 典'? 软件
Windows 平台 桌面保护 Windows Enforcer
+ Cetus StormWindows
系统保护
UNIX 平台?层 权限 GUARDIAN
(一般?特权值) suGUARD
……
注 1,桌面保护包括隐藏桌面图标/网 邻居/所有的驱 程 等
2,系统保护包括 / /进入DOS 等作业
1 举例说明访问控制表和访问能力表联系和区别
2 访问控制分为几类 强制访问控制是如何实现的 它与自主访问控制的区别在哪里
doyes@pku.edu.cn
安全服务的各个层面
安全服务 Security Services
开放某一层所提供的服务 用以保证系统或数据传输足够的安全性根据ISO7498-2,安全服务包括
1,实体认证 Entity Authentication
2,数据保密性 Data Confidentiality
3,数据完整性 Data Integrity
4,防抵赖 Non-repudiation
5,访问控制 Access Control
访问控制的概念以及分类原始概念——
是对进入系统的控制用户标识+口令/生物特性/访问卡一般概念——
是针对越权使用资源的防御措施一般分为
自主访问控制
强制访问控制
基于角色的访问控制访问控制的目的和作用是为了限制访问主体 用户 进程 服务等对访问客体 文件 系统等 的访问权限 从 使
系统 使用 用户
一 用户 的程
目的
作用是对 访问系统及 数据的 进
证 是进?¢ £ 等的?提访问控制¥?安全措施的§系currency1'
“用?
认证访问控制
fi权数据fl
用户目标目标目标目标目标
£
访问控制的一般实 制和–
一般实 制——
基于访问控制?性
—— 访问控制 /?·
基于用户和资源分,安全标?”
——访问控制
”实 – ——
访问控制 ACL)
访问? Capabilities)
fi权§系
userA
Own
R
W
O
userB
R
O
userC
R
W
O
Obj1
访问控制实 –
——访问控制
访问控制实 –
——访问?
Obj1
Own
R
W
O
Obj2
R
O
Obj3
R
W
O
UserA
Subjects
Objects
S
1
S
2
S
3
O
1
O
2
O
3
Read/write
Write
ReadExecute
…‰ 是访问控制?
… 是访问
访问控制实 –
——访问控制?·
访问控制实 –
——fi权§系
UserA Own Obj1
UserA R Obj1
UserA W Obj1
UserA W Obj2
UserA R Obj2
自主访问控制强制访问控制基于角色访问控制访问控制访问控制的一般 `
访问控制的 `
——自主访问控制特′
根据主体的 和fi权? 访问currency1?
ˉ′
˙ ¨?程? 访问权限§系ˇ —用户A
对目标O的访问权限传 用户B,从 使 对O访问权限的B 访问O
访问控制的 `
——强制访问控制特′
1,主 和客体分? 根据主体和客体的? 标
访问currency1? — 密? 密? 密? 密?
2,访问控制§系分为 / /
完整性 密性
3, 安全标?实 a?˙ currency1?
TS
S
C
U
TS S C U
R/W
W
R/W
R
R/W
R
W
R
R
R
R/W
R
W
W
W
W
Subjects
Objects
Information Flo
w
访问控制的 `
——强制访问控制
MAC Information Flow
1.自主?
2.强制? 强
3.作o
1000主体访问10000客体?1000? —?
1作8
10 000 000/ 3600*8
=347.2?
访问控制的 `
——自主/强制访问的问
访问控制的 `
——基于角色的访问控制
角色概念
A role can be defined as a set of
actions and responsibilities
associated with a particular working
activity.
访问控制的 `
——基于角色的访问控制
角色¥ 的
组 用户集角色 用户集 权限集访问控制的 `
——基于角色的访问控制
角色控制¥DAC MAC的
角色控制 对 立 根据? 使某些角色为接近DAC 某些角色接近MAC
访问控制的 `
——基于角色的访问控制
currency1'
基本模型 RBAC0
角色分级模型 RBAC1
角色限制模型 RBAC2
统一模型 RBAC3
RBAC3
RBAC1 RBAC2
RBAC0
访问控制的 `
——基于角色的访问控制
基本currency1'RBAC0 义
The RBAC0 Model has the following components:
U,R,P,and S(users,roles,permissions,and respectively session)
PA P ╳ R,a many--toto-many permission to role assignment
relation
UA U ╳ R,a many--toto-many user to role assignment relation
user,S U,a function mapping each session si to the single user
user(si) (constant for the session‘s lifetime)
roles,S 2
R
,a function mapping each session si to a set of
roles roles(si) {r∣(user(si),r) UA}(which
can change with time) and session si has the
permissions r roles(si) {p∣(p,r) PA}
访问控制的 `
——基于角色的访问控制
分?currency1'RBAC1 义
The RBAC1 Model has the following components:
U,R,P,S,PA,UA and user are unchanged form RBAC0
RH R ╳ R is a partial order on R called the role hierarchy
or role dominanace relation,also written as
roles,S 2
R
is modified from RBAC0 to require roles(si)
{r∣r’ r[(user(si),r) UA]}
(which can change with time) and session si has
the permissions r roles(si)
{p∣r’’ r[(p,r’’) PA }
角色§系偏序关系 partial orders)
自反 (reflexive)
传递 (transitive)
反对称 antianti--symmetric)
访问控制的 `
——基于角色的访问控制访问控制的 `
——基于角色的访问控制
限制继承私有角色 pravite roles)
限制currency1'RBAC2 义
The RBAC2 is unchanged from RBAC0
except for requiring that there be a
collection of constraints that determine
whether or not values of various
components of RBAC0 are acceptable,Only
acceptable values will be permitted.
访问控制的 `
——基于角色的访问控制
约束条件 constraints)
互斥角色 multually exclusive roles)
——全程限制 同一场合限制基数约束 cardinality constraints)
先决约束 prerequisite)
会话约束 constraints in session)
等级约束 hierarchy constraints)
访问控制的 `
——基于角色的访问控制
统一currency1'RBAC3 义
RBAC3 combines RBAC1 and RBAC2 to
provide both roles hierarchies and
constraints.
访问控制的 `
——基于角色的访问控制
currency1'
U
Users
R
Roles
P
Permission
Constraints
S
Session
users
roles
PA
Permission
Assignment
UA
User
Assignment
RH
Role
Hierarchy
RBAC3
RBAC1
RBAC2
访问控制的 `
——基于角色的访问控制
Primary-care Specialist
Physician Physician
Physician
Health-care Provider
Project Supervisor
Test Engineer Programmer
Project Member
角色示
访问控制的 `
——基于角色的访问控制
角色示
Test Engineer ’ Project Supervisor Programmer’
Test Engineer Programmer
Project Member
访问控制的 `
——基于角色的访问控制
项目角色分层
Role Hierarchy
Administrative Role Hierarchy
CSO
SO1 SO2 SO3
S
P3
P
S3
访问控制的 `
——基于角色的访问控制
S
P3
P
S3
P3’
T1 T2 T3 T4
T1’
S3’
T4’
T3’
项目角色分层访问控制的 `
——基于角色的访问控制
角色 currency1'
ARBAC0 ARBAC1 ARBAC2 ARBAC3
区别
ARBAC0>ARBAC3
取消限制角色关系不满足偏序关系
currency1'
U
Users
R
Roles
P
Permission
Constraints
S
Session
users
roles
PA
Permission
Assignment
UA
User
Assignment
RH
Role
Hierarchy
AR
Administrative
Roles
UA
User
Assignment
AP
Admin
Permission
APA
Admin
Permission
Assignment
ARH
Admin
Roles
Hierarchy
currency1?
集中式管理分级式管理协作式管理所属权管理分散式管理
fi权
角色控制优势便于授权管理便于角色划分便于赋予最小特权便于职责分担便于目标分级
” §? 介绍
——网络访问控制
Kerberos
开发? Barray Jaspan
—— 一个用于 安全物 网络 的 证原则有效性系统原则=< PrimaryName,Instance,Realm >
主名名事 事 领域
1.用户 注册标识符 空或¥用户 分 同的
§的特殊?˙ 证域
2.服务 服务的名字?名 (所以 同?拥有
同的K服务?)
” §? 介绍
——网络访问控制
它?”? 软件
Deslogin 开发? Dave Barrett
—— 提供比Telnet,rlogin更强的安全认证功 且所有的数据都?DES加密–?从远程主 传入或传出 因此
允许用户? 靠的网络访问远程主 必担心?窃听
DIAL 开发? Roger Tolkv Emulex
——? 用电话业务控制访问? 的回拨?
即只有已经fi权的用户?自己特 的电话号码 才 够?
证;一旦用户?了 认证?这 的连接挂断 然后系统 …照?拨入?所使用的电话号码进 回拨 用C语言编
的
CALLBACK.EXE
——功 /原 和DIAL几乎一致 用Fortran编 的
……
” §? 介绍
——a 访问控制访问控制主? 典'? 软件
Windows 平台 桌面保护 Windows Enforcer
+ Cetus StormWindows
系统保护
UNIX 平台?层 权限 GUARDIAN
(一般?特权值) suGUARD
……
注 1,桌面保护包括隐藏桌面图标/网 邻居/所有的驱 程 等
2,系统保护包括 / /进入DOS 等作业
1 举例说明访问控制表和访问能力表联系和区别
2 访问控制分为几类 强制访问控制是如何实现的 它与自主访问控制的区别在哪里