网络与系统安全笔记------访问控制

实现机制
- 访问控制矩阵（AM）
- 访问能力表（CL）
- 访问控制列表（ACL）
策略、模型和机制
访问控制技术
- 自主访问控制（DAC）
- 强制访问控制（MAC）
- - BLP模型
  - BIBA模型
- 基于角色访问控制（RBAC）
- - 访问控制模型
  - 优势
- 其它访问控制
授权管理
- PMI授权管理基础设施
安全审计
- 分类
- 安全审计系统

访问控制： 防止对资源的未授权使用。

防止非法用户的任何访问
防止合法用户的非法访问

授权： 授予访问权的管理活动，给发起者或者目标分配访问控制信息。

访问控制三要素

主体：提出操作要求的主动方。
客体：被访问的对象，一般是要保护的资源。
访问策略（授权信息）：主体对客体的访问规则集，用来确定主体是否有对客体的访问权限。

主要目标： 对抗非授权操作的威胁（涉及计算机或通信系统的），包括：泄露，修改，破坏，拒绝服务，非授权使用等。

访问控制解决：机密性，完整性，可用性，可控性
身份认证解决：真实性
身份认证与访问控制不能相互替代。

实现机制

访问控制矩阵（AM）

使用一个二维矩阵来体现主体与客体的访问操作：
访问控制可以表示为一个矩阵形式：
行表示主体（一般为用户），列表示客体（各种资源）。
行列交叉点表示某个主体对客体的访问权限：

其行表示访问的控制信息，访问能力表（用户访问能力）
其列表示访问的控制信息，访问控制列表（控制对资源的访问）

访问能力表（CL）

是以用户为中心建立的访问权限表，能力决定主体是否可以
访问客体以及以什么权限访问。基于访问控制矩阵中的行进行的访问控制。

访问控制列表（ACL）

以资源为中心建立的访问权限表，表示各个主体对这个客体的访问权限，是基于访问控制矩阵中的列进行的访问控制。

可以对特定资源给出任意用户的访问权限，并且容易查出对某一特定资源拥有访问权限的所有用户。

策略、模型和机制

访问控制策略： 一种高级安全需求，规定如何管理访问，以及谁可以在何种情况下访问哪些资源。
自主访问控制策略、强制访问控制策略、基于角色访问控制策略，前两者为传统访问控制方式。

传统访问控制，用户在不同场合以不同权限访问系统，如果要变更权限则必须经过系统管理员授权修改，系统管理的工作量大，不易实现层次化管理。

访问控制机制： 转换用户访问请求来实施访问控制策略。
访问控制列表（ACL）、访问能力表（CL）

访问控制模型： 是系统执行的安全策略的形式化表示，是对安全策略所表达的安全需求简单、抽象和无歧义的描述，有助于从理论上证明访问控制系统的正确性与局限性。
Bell LaPadula模型，Biba模型

访问控制技术

根据1983年美国的可信计算机系统评估准则（TCSEC）

该标准将计算机系统的安全程序从高到低划分为A1、B3、B2、B1、C2、C1、D七个等级，每一等级对访问控制都提出了不同的要求。

C级要求至少具有自主型访问控制，B级以上要求具有强制型访问控制。

基于角色访问控制是20世纪90年代后出现的新的访问控制方式。

自主访问控制（DAC）

根据主体（访问者）和主体所属组的身份来控制对客体目标的授权访问，具有访问许可的主体可以依据自己的意愿决定哪些用户可以对他们的资源进行访问，可以直接或者间接地向其他主体进行访问权限的授予与收回。

是目前计算机系统中实现最多的访问控制方式。

特点
根据主体的身份和授权来决定访问模式。但是信息在移动过程中其访问权限关系会被改变。

其实现一般使用访问控制列表（ACL）、访问能力表（CL）。

强制访问控制（MAC）

系统对主体和客体都分配一个特殊的安全属性，（比如文件的密级），用户不能改变自身与任何客体的安全属性（只有系统管理员可以确定用户与用户组的访问权限），系统通过比较主体与客体的安全属性来决定主体是否可以访问某个客体。

其常常与自主访问控制结合使用。

特点
将主体和客体分级，根据主体和客体的级别标记来决定访问模式。（如绝密，机密，秘密和无密级）

控制关系
分为上读下写（完整性）和下读上写（机密性）

BLP模型

主要解决面向机密性的访问控制
下读：主体安全级别高于客体则允许读。
上写：主体安全级别低于客体则允许写。

BIBA模型

主要解决面向保护数据完整性的访问控制
上读：主体安全级别低于客体则允许读。
下写：主体安全级别高于客体则允许写。

基于角色访问控制（RBAC）

用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色有不同的访问权限，系统只能看到角色，看不到用户。

用户在访问系统时，经过角色认证充当相应角色，用户获得角色后，系统依然可以按照传统的访问控制机制来控制角色的访问能力。

基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。

角色与组的区别
组：用户集
角色：用户集＋权限集

角色继承：实现了角色的组织，可以自然地反映出组织内部人员的责任和职权关系。
角色分配：为用户分配角色。
角色授权：给用户授予角色的权限。
角色限制：包括角色互斥与角色基数限制。
角色激活：用户从被授权的角色中选择一组角色的过程

访问控制模型

基本模型RBAC0，规定了任何RBAC系统所必须的最小需求
分级模型RBAC1，在RBAC0的基础上增加了角色层次结构的概念(角色继承）
限制模型RBAC2，在RBAC0的基础上增加了角色约束的概念（职责分离）
统一模型RBAC3，包含了RBAC1和RBAC2，由于传递性也间接地包含了RBAC0

优势

便于授权管理:
- 改变客体的访问权限
- 改变角色的访问权限
- 改变主体所担任的角色
便于角色划分。
便于赋予最小权限原则。
便于职责分离。
便于客体分类

其它访问控制

基于任务的访问控制
分布式基于角色的访问控制
与时空相关的访问控制
- 上下文相关的访问控制模型
- 基于时态的访问控制模型
基于信任的访问控制模型
基于属性的访问控制模型
基于行为的访问控制模型

授权管理

授权管理是在用户管理的基础上，对用户访问资源的权限进行标识与管理。3A(认证，授权，审计)

PMI授权管理基础设施

能够支持全面授权服务的进行特权管理的基础设施，核心思想是以资源管理为核心，负责为网络中的用户进行授权，审核、签发、发布并管理证明用户权限的属性证书(CA)

CA(属性证书)

版本号：属性证书的版本号
持有者：属性证书持有者信息。(一般是持有者公钥证书DN和公钥证书颁发者DN的组合)
颁发者：属性证书的颁发者信息（一般是颁发者公钥证书DN）
签名算法：属性证书使用的签名算法
序列号：属性证书的序列号
有效期：属性证书的生效和失效日期
属性：属性证书持有者的属性信息
扩展项：定义诸如无撤销信息、证书颁发者密钥标识符、CRL分布点、角色定义证书标识符及其他信息。
签名信息：属性证书签发者对属性证书的签名

用来生成并签发属性证书（Attribute Certificate, AC）的机构
负责管理属性证书的整个生命周期

安全审计

安全目标

跟踪和监测系统中的异常事件（直接）
检测系统中其他安全机制的运行情况和可信度（间接）

主要作用

对潜在攻击者起到威慑和警示作用
对已出现的破坏事件，做出评估并提供依据
对系统安全策略进行评价和反馈，以便修订和完善（安全评估）
协助发现入侵或潜在的系统漏洞及隐患

分类

按照审计分析的对象
主机审计：对系统文件、注册表等的文件操作进行记录和审计
网络审计：对网络数据流进行记录和分析

按照审计分析的方式
集中式：所有收集到的日志记录集中分析审计
分布式：分布式进行日志收集和分析审计，根据需要将结果上报

按照审计级别
系统级审计：主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。
应用级审计：主要针对的是应用程序的活动信息
用户级审计：主要是审计用户的操作活动信息

安全审计系统

日志收集和记录
数据源：主机和网络。

日志分析（审计分析）
主要目的是在大量的记录日志信息中找到与系统或网络安全相关的数据，并分析系统运行情况。

审计跟踪

指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程
主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面
记录的活动包括系统活动和用户活动，系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动

审计是网络与信息系统安全措施的一个重要组成部分，贯穿整个系统运行过程中，为其它安全措施的改进和完善提供必要的信息。