|
|
|
|
|
访问控制是信息安全保障机制的核心内容之一,是实现数据保密性和完整性的主要手段之一。访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机信息应用系统在合法范围内使用。
|
|
|
|
|
|
|
|
.授权管理:通过“授权”来赋予用户对某项资源的访问权限。
|
|
|
|
|
|
.强制访问控制机制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象安全属性。
|
|
|
|
.自主访问控制机制(DAC):允许对象的属主来制订针对该对象的保护策略。通常DAC通过访问控制列表(ACL)来限定哪些主体针对哪些客体可以执行什么操作。每个客体都拥有一个限定主体对其访问权限的访问控制列表。
|
|
|
|
20世纪90年代以来出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术中存在的不足之处。
|
|
|
|
.RBAC和DAC的根本区别在于用户不能自主地将访问权限授给别的用户。
|
|
|
|
.RBAC与MAC的区别在于MAC是基于多级安全需求的,而RBAC不是。
|
|
|
|
基于角色的访问控制中,角色由应用系统的管理员定义。角色成员的增减也只能由应用系统的管理员来执行,即只有应用系统的管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。
|
|
|
|
|
|
|
|
PMI即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心,将对资源的访问控制权限统一交由授权机构进行管理,即由资源的所有者进行访问控制管理。
|
|
|
|
PMI是建立在PKI基础上的,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用信息系统提供授权服务管理;提供用户身份到应用授权的映射功能;实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制;并能极大地简化应用中访问控制和权限管理系统的开发和维护;并减少管理成本和复杂性。
|
|
|
|
|
|
PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。
|
|
|
|
PKI主要进行身份鉴别,证明用户身份,即“你是谁”。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为属性证书,由属性证书管理中心签发并管理。
|
|
|
|
属性证书包括如下内容:版本号、持有者、颁发者、签名算法、序列号、有效期、属性、扩展项、签名信息。
|
|
|
|
公钥证书将一个身份标识和公钥绑定,属性证书将一个标识和一个角色、权限或者属性绑定(通过数字签名);和公钥证书一样,属性证书能被分发、存储或缓存在非安全的分布式环境中;不可伪造,防篡改。同时,属性证书有以下特点:
|
|
|
|
|
|
|
|
|
|
|
|
.一个人可以拥有好几个属性证书,但每一个都会与唯一的身份证书关联。几个属性证书可以来自不同的机构。
|
|
|
|
|
|
|
|
PMI平台由策略规则、权限管理和访问控制框架共同构成。
|
|
|
|
策略规则是PMI真正发挥在访问控制应用方面的灵活性、适应性和降低管理成本的关键。具体来说,策略包含:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
权限管理模型包括3个实体:对象(客体)、访问者(主体)和权限验证者。
|
|
|
|
|
|
.DAC:即自主访问控制方式,该模型针对每个用户指明能够访问的资源,对于不在指定的资源列表中的对象不允许访问。
|
|
|
|
.ACL:即访问控制列表方式,该模型是目前应用最多的方式。目标资源拥有访问权限列表,指明允许哪些用户访问。
|
|
|
|
.MAC:即强制访问控制方式,该模型在军事和安全部门中应用较多。目标具有一个包含等级的安全标签,访问者拥有包含等级列表的许可,其中定义了可以访问哪个级别的目标。
|
|
|
|
.RBAC:即基于角色的访问控制方式,该模型首先定义一些组织内的角色,再根据管理规定给这些角色分配相应的权限,最后对组织内每个人根据具体业务和职位分配一个或多个角色。
|
|
|
|
|
|
|
|
.目标:策略要保护的是哪些目标,确定受保护的资源的范围。
|
|
|
|
.动作:应用中限定访问者可以对目标设施的操作,确定权限的范围。
|
|
|
|
|
|
|
|
|
|
|
|
(1)建立属性权威。可分为3种类型,包括使用嵌入式属性权威管理(例如由数据库管理员兼任)、单位内部建立属性权威、建立属性权威中心(简称AA中心)。
|
|
|
|
(2)制订授权策略。可以针对安全域内的人员和资源的组织进行分析入手,抓住业务应用的需要,制订系统的授权策略。
|
|
|
|
(3)授权。授权和访问控制是具体实现已经制订好的“授权策略”的主要环节。
|
|
|
|
|
|
(5)审计。PMI平台提供独立于应用的访问操作审计能力和系统中管理事件的审计,可以在PMI平台中根据需要选择审计内容,不必在开发应用系统前制订。
|
|
|
|
|
|
|
|
|
|
(3)使用策略定制工具制订应用系统的权限管理和访问控制策略。
|
|
|
|
(4)使用权限分配工具签发策略证书、角色定义证书。
|
|
|
|
|
|
(6)启动策略实施点,使用指定的策略和相关信息初始化策略决策服务器。
|
|
|
|
(7)用户登录时,策略实施点验证用户身份,并根据下一个步骤获取权限信息。
|
|
|
|
(8)如果是推模式,直接从用户提供的属性证书中获得权限信息;如果是拉模式,根据用户身份信息从属性证书库中检索,并返回用户的权限信息。
|
|
|
|
(9)对每个访问请求,策略实施点根据权限、动作和目标信息生成决策请求。
|
|
|
|
|
|
(11)策略决策点根据策略对请求进行判断,返回决策结果。
|
|
|
|
|
|
(13)如果要停止运行,就关闭策略实施点,由策略实施点通知策略决策服务器停止服务。
|
|
|
