訪問控制

按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網路準入控制系統的原理就是基於此技術之上。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、檔案等網路資源的訪問。

訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是:給出一套方法,將系統中的所有功能標識出來,組織起來,託管起來,將所有的數據組織起來標識出來託管起來, 然後提供一個簡單的唯一的接口,這個接口的一端是套用系統一端是許可權引擎。許可權引擎所回答的只是:誰是否對某資源具有實施 某個動作(運動、計算)的許可權。返回的結果只有:有、沒有、許可權引擎異常了。

  • 中文名稱
    訪問控制
  • 限    制
    用戶對某些信息項的訪問
  • 包    含
    伺服器、目錄、檔案等
  • 功    能
    防止非法的主體進入受保護

訪問控制的功能

主要有以下:一、 防止非法的主體進入受保護的網路資源。 二、允許合法用戶訪問受保護的網路資源。 三、防止合法的用戶對受保護的網路資源進行非授權的訪問。

訪問控制實現的策略

1. 入網訪問控制

2. 網路許可權限制

3. 目錄級安全控制

4. 屬性安全控制

5.網路伺服器安全控制

6.網路監測和鎖定控制

7. 網路連線埠和節點的安全控制

8.防火牆控制

訪問控制的類型

訪問控制可分為自主訪問控制強制訪問控制兩大類。

自主訪問控制,是指由用戶有權對自身所創建的訪問對象(檔案、數據表等)進行訪問,並可將對這些對象的訪問權授予其他用戶和從授予許可權的用戶收回其訪問許可權

強制訪問控制,是指由系統(通過專門設定的系統安全員)對用戶所創建的對象進行統一的強制性控制,按照規定的規則決定哪些用戶可以對哪些對象進行什么樣作業系統類型的訪問,即使是創建者用戶,在創建一個對象後,也可能無權訪問該對象。

基於對象的訪問控制模型

基於對象的訪問控制(OBAC Model:Object-based Access Control Model):DACMAC模型的主要任務都是對系統中的訪問主體和受控對象進行一維的許可權管理。當用戶數量多、處理的信息數據量巨大時,用戶許可權的管理任務將變得十分繁重且難以維護,這就降低了系統的安全性和可靠性。

對於海量的數據和差異較大的數據類型,需要用專門的系統和專門的人員加以處理,要是採用RBAC模型的話,安全管理員除了維護用戶和角色的關聯關係外,還需要將龐大的信息資源訪問許可權賦予有限個角色。

當信息資源的種類增加或減少時,安全管理員必須更新所有角色的訪問許可權設定,如果受控對象的屬性發生變化,和需要將受控對象不同屬性的數據分配給不同的訪問主體處理時,安全管理員將不得不增加新的角色,並且還必須更新原來所有角色的訪問許可權設定以及訪問主體的角色分配設定。

這樣的訪問控制需求變化往往是不可預知的,造成訪問控制管理的難度和工作量巨大。所以在這種情況下,有必要引入基於受控對象的訪問控制模型。

控制策略和控制規則是OBAC訪問控制系統的核心所在,在基於受控對象的訪問控制模型中,將訪問控制列表與受控對象或受控對象的屬性相關聯,並將訪問控制選項設計成為用戶、組或角色及其對應許可權的集合;同時允許對策略和規則進行重用、繼承和派生操作。

這樣,不僅可以對受控對象本身進行訪問控制,受控對象的屬性也可以進行訪問控制,而且派生對象可以繼承父對象的訪問控制設定,這對於信息量巨大、信息內容更新變化頻繁的管理信息系統非常有益,可以減輕由於信息資源的派生、演化和重組等帶來的分配、設定角色許可權等的工作量。

OBAC訪問控制系統是從信息系統的數據差異變化和用戶需求出發,有效地解決了信息數據量大、數據種類繁多、數據更新變化頻繁的大型管理信息系統的安全管理。並從受控對象的角度出發,將訪問主體的訪問許可權直接與受控對象相關聯,一方面定義對象的訪問控制列表,增、刪、修改訪問控制項易於操作,另一方面,當受控對象的屬性發生改變,或者受控對象發生繼承和派生行為時,無須更新訪問主體的許可權,只需要修改受控對象的相應訪問控制項即可,從而減少了訪問主體的許可權管理,降低了授權數據管理的複雜性。

基於任務的訪問控制模型

基於任務的訪問控制模型(TBAC Model,Task-based Access Control Model)是從套用和企業層角度來解決安全問題,以面向任務的觀點,從任務(活動)的角度來建立安全模型和實現安全機制,在任務處理的過程中提供動態實時的安全管理。

在TBAC中,對象的訪問許可權控制並不是靜止不變的,而是隨著執行任務的上下文環境發生變化。TBAC首要考慮的是在工作流的環境中對信息的保護問題:在工作流環境中,數據的處理與上一次的處理相關聯,相應的訪問控制也如此,因而TBAC是一種上下文相關的訪問控制模型。其次,TBAC不僅能對不同工作流實行不同的訪問控制策略,而且還能對同一工作流的不同任務實例實行不同的訪問控制策略。從這個意義上說,TBAC是基於任務的,這也表明,TBAC是一種基於實例(instance-based)的訪問控制模型。

TBAC模型由工作流、授權結構體、受託人集、許可集四部分組成。

任務(task)是工作流程中的一個邏輯單元,是一個可區分的動作,與多個用戶相關,也可能包括幾個子任務。授權結構體是任務在計算機中進行控制的一個實例。任務中的子任務,對應於授權結構體中的授權步。

授權結構體(authorization unit):是由一個或多個授權步組成的結構體,它們在邏輯上是聯繫在一起的。授權結構體分為一般授權結構體和原子授權結構體。一般授權結構體內的授權步依次執行,原子授權結構體內部的每個授權步緊密聯繫,其中任何一個授權步失敗都會導致整個結構體的失敗。

授權步(authorization step)表示一個原始授權處理步,是指在一個工作流程中對處理對象的一次處理過程。授權步是訪問控制所能控制的最小單元,由受託人集(trustee-set)和多個許可集(permissions set)組成。

受託人集是可被授予執行授權步的用戶的集合,許可集則是受託集的成員被授予授權步時擁有的訪問許可。當授權步初始化以後,一個來自受託人集中的成員將被授予授權步,我們稱這個受託人為授權步的執行委託者,該受託人執行授權步過程中所需許可的集合稱為執行者許可集。授權步之間或授權結構體之間的相互關係稱為依賴(dependency),依賴反映了基於任務的訪問控制的原則。授權步的狀態變化一般自我管理,依據執行的條件而自動變遷狀態,但有時也可以由管理員進行調配。

一個工作流的業務流程由多個任務構成。而一個任務對應於一個授權結構體,每個授權結構體由特定的授權步組成。授權結構體之間以及授權步之間通過依賴關係聯繫在一起。在TBAC中,一個授權步的處理可以決定後續授權步對處理對象的操作許可,上述許可集合稱為激活許可集。執行者許可集和激活許可集一起稱為授權步的保護態。

TBAC模型一般用五元組(S,O,P,L,AS)來表示,其中S表示主體,O表示客體,P表示許可,L表示生命期(lifecycle),AS表示授權步。由於任務都是有時效性的,所以在基於任務的訪問控制中,用戶對於授予他的許可權的使用也是有時效性的。

因此,若P是授權步AS所激活的許可權,那么L則是授權步AS的存活期限。在授權步AS被激活之前,它的保護態是無效的,其中包含的許可不可使用。當授權步AS被觸發時,它的委託執行者開始擁有執行者許可集中的許可權,同時它的生命期開始倒記時。在生命期期間,五元組(S,O,P,L,AS)有效。生命期終止時,五元組(S,O,P,L,AS)無效,委託執行者所擁有的許可權被回收。

TBAC的訪問政策及其內部組件關係一般由系統管理員直接配置。通過授權步的動態許可權管理,TBAC支持最小特權原則和最小泄漏原則,在執行任務時只給用戶分配所需的許可權,未執行任務或任務終止後用戶不再擁有所分配的許可權;而且在執行任務過程中,當某一許可權不再使用時,授權步自動將該許可權回收;另外,對於敏感的任務需要不同的用戶執行,這可通過授權步之間的分權依賴實現。

TBAC從工作流中的任務角度建模,可以依據任務和任務狀態的不同,對許可權進行動態管理。因此,TBAC非常適合分散式計算和多點訪問控制的信息處理控制以及在工作流分散式處理和事務管理系統中的決策制定。

基於角色的訪問控制模型

基於角色的訪問控制模型(RBAC Model,Role-based Access Model):RBAC模型的基本思想是將訪問許可權分配給一定的角色,用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。這是因為在很多實際套用中,用戶並不是可以訪問的客體信息資源的所有者(這些信息屬於企業或公司),這樣的話,訪問控制應該基於員工的職務而不是基於員工在哪個組或是誰信息的所有者,即訪問控制是由各個用戶在部門中所擔任的角色來確定的,例如,一個學校可以有教工、老師、學生和其他管理人員等角色。

RBAC從控制主體的角度出發,根據管理中相對穩定的職權和責任來劃分角色,將訪問許可權與角色相聯繫,這點與傳統的MAC和DAC將許可權直接授予用戶的方式不同;通過給用戶分配合適的角色,讓用戶與訪問許可權相聯繫。角色成為訪問控制中訪問主體和受控對象之間的一座橋樑

角色可以看作是一組操作的集合,不同的角色具有不同的操作集,這些操作集由系統管理員分配給角色。在下面的實例中,我們假設Tch1,Tch2,Tch3……Tchi是對應的教師,Stud1,Stud 2,Stud3 …Studj是相應的學生,Mng1,Mng 2,Mng 3…Mngk是教務處管理人員,那么老師的許可權為TchMN={查詢成績、上傳所教課程的成績};學生的許可權為Stud MN={查詢成績、反映意見};教務管理人員的許可權為MngMN={查詢、修改成績、列印成績清單}。

那么,依據角色的不同,每個主體只能執行自己所制定的訪問功能。用戶在一定的部門中具有一定的角色,其所執行的操作與其所扮演的角色的職能相匹配,這正是基於角色的訪問控制(RBAC)的根本特徵,即:依據RBAC策略,系統定義了各種角色,每種角色可以完成一定的職能,不同的用戶根據其職能和責任被賦予相應的角色,一旦某個用戶成為某角色的成員,則此用戶可以完成該角色所具有的職能。

相關詞條

相關搜尋

其它詞條