1、数据平安保护技术之访问控制技术 数据作为信息的重要载体,其平安问题在信息平安中占有非常重要的地位。数据的保密性、可用性、可控性和完整性是数据平安技术的主要研究内容。数据保密性的理论根底是密码学,而可用性、可控性和完整性是数据平安的重要保障,没有后者提供技术保障,再强的加密算法也难以保证数据的平安。与数据平安密切相关的技术主要有以下几种,每种相关但又有所不同。1)访问控制: 该技术主要用于控制用户可否进入系统以及进入系统的用户能够读写的数据集;2)数据流控制:该技术和用户可访问数据集的分发有关,用于防止数据从授权范围扩散到非授权范围;3)推理控制:该技术用于保护可统计的数据库,以防止查询者通过精
2、心设计的查询序列推理出机密信息;4)数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露;5)数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可用性和完整性。在上述技术中,访问控制技术占有重要的地位,其中1)、2)、3)均属于访问控制范畴。访问控制技术主要涉及平安模型、控制策略、控制策略的实现、授权与审计等。其中平安模型是访问控制的理论根底,其它技术是那么实现平安模型的技术保障。本文侧重论述访问控制技术,有关数据保护技术的其它方面,将逐渐在其它文章中进行探讨。1.访问控制信息系统的平安目标是通过一组规那么来控制和管理主体对客体的访问,这些访问控制规那么称为平安策略,平安策
3、略反响信息系统对平安的需求。平安模型是制定平安策略的依据,平安模型是指用形式化的方法来准确地描述平安的重要方面(机密性、完整性和可用性)及其与系统行为的关系。建立平安模型的主要目的是提高对成功实现关键平安需求的理解层次,以及为机密性和完整性寻找平安策略,平安模型是构建系统保护的重要依据,同时也是建立和评估平安操作系统的重要依据。自20世纪70年代起,Denning、Bell、Lapadula等人对信息平安进行了大量的理论研究,特别是1985年美国国防部公布可信计算机评估标准TCSEC以来,系统平安模型得到了广泛的研究,并在各种系统中实现了多种平安模型。这些模型可以分为两大类:一种是信息流模型;
4、另一种是访问控制模型。信息流模型主要着眼于对客体之间信息传输过程的控制,它是访问控制模型的一种变形。它不校验主体对客体的访问模式,而是试图控制从一个客体到另一个客体的信息流,强迫其根据两个客体的平安属性决定访问操作是否进行。信息流模型和访问控制模型之间差异很小,但访问控制模型不能帮助系统发现隐蔽通道,而信息流模型通过对信息流向的分析可以发现系统中存在的隐蔽通道并找到相应的防范对策。信息流模型是一种基于事件或踪迹的模型,其焦点是系统用户可见的行为。虽然信息流模型在信息平安的理论分析方面有着优势,但是迄今为止,信息流模型对具体的实现只能提供较少的帮助和指导。访问控制模型是从访问控制的角度描述平安系
5、统,主要针对系统中主体对客体的访问及其平安控制。访问控制平安模型中一般包括主体、客体,以及为识别和验证这些实体的子系统和控制实体间访问的参考监视器。通常访问控制可以分自主访问控制(DAC)和强制访问控制(MAC)。自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表ACL)来限定哪些主体针对哪些客体可以执行什么操作。如此可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。目前的主流操作系统,如UNIX、Linux和Windows等操作系统都提供自主访问控制功能。自主访问控制的一个最大问题是主体的权限太大,无意间就
6、可能泄露信息,而且不能防范特洛伊木马的攻击。强制访问控制系统给主体和客体分配不同的平安属性,而且这些平安属性不像ACL那样轻易被修改,系统通过比较主体和客体的平安属性决定主体是否能够访问客体。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的平安性,但其实现的代价也更大,一般用在平安级别要求比较高的军事上。随着平安需求的不断开展和变化,自主访问控制和强制访问控制已经不能完全满足需求,研究者提出许多自主访问控制和强制访问控制的替代模型,如基于栅格的访问控制、基于规那么的访问控制、基于角色的访问控制模型和基于任务的访问控制等。其中最引人瞩目的是基于角色的访问控制 (RBAC)。其根本思想是:
7、有一组用户集和角色集,在特定的环境里,某一用户被指定为一个适宜的角色来访问系统资源;在另外一种环境里,这个用户又可以被指定为另一个的角色来访问另外的网络资源,每一个角色都具有其对应的权限,角色是平安控制策略的核心,可以分层,存在偏序、自反、传递、反对称等关系。与自主访问控制和强制访问控制相比,基于角色的访问控制具有显著优点:首先,它实际上是一种策略无关的访问控制技术。其次,基于角色的访问控制具有自管理的能力。此外,基于角色的访问控制还便于实施整个组织或单位的网络信息系统的平安策略。目前,基于角色的访问控制已在许多平安系统中实现。例如,在亿赛通文档平安管理系统SmartSec(见“文档平安加密系
8、统的实现方式一文)中,效劳器端的用户管理就采用了基于角色的访问控制方式,从而为用户管理、平安策略管理等提供了很大的方便。随着网络的深入开展,基于Host-Terminal环境的静态平安模型和标准已无法完全反响分布式、动态变化、开展迅速的Internet的平安问题。针对日益严重的网络平安问题和越来突出的平安需求,“可适应网络平安模型和“动态平安模型应运而生。基于闭环控制的动态网络平安理论模型在90年代开始逐渐形成并得到了迅速开展,1995年12月美国国防部提出了信息平安的动态模型,即保护(Protection)检测(Detection)响应(Response)多环节保障体系,后来被通称为PDR模
9、型。随着人们对PDR模型应用和研究的深入,PDR模型中又融入了策略(Policy)和恢复(Restore)两个组件,逐渐形成了以平安策略为中心,集防护、检测、响应和恢复于一体的动态平安模型,PDR模型是一种基于闭环控制、主动防御的动态平安模型,在整体的平安策略控制和指导下,在综合运用防护工具(如防火墙、系统身份认证和加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的平安状态,将系统调整到“最平安和“风险最低的状态。保护、检测、响应和恢复组成了一个完整的、动态的平安循环,在平安策略的指导下保证信息的平安。2.访问控制策略访问控制策略也称平安策略,是用来控制和管理主体对
10、客体访问的一系列规那么,它反映信息系统对平安的需求。平安策略的制定和实施是围绕主体、客体和平安控制规那么集三者之间的关系展开的,在平安策略的制定和实施中,要遵循以下原那么:1)最小特权原那么:最小特权原那么是指主体执行操作时,按照主体所需权利的最小化原那么分配给主体权力。最小特权原那么的优点是最大程度地限制了主体实施授权行为,可以防止来自突发事件、错误和未授权使用主体的危险。2)最小泄漏原那么:最小泄漏原那么是指主体执行任务时,按照主体所需要知道的信息最小化的原那么分配给主体权力。3)多级平安策略:多级平安策略是指主体和客体间的数据流向和权限控制按照平安级别的绝密、秘密、机密、限制和无级别五级
11、来划分。多级平安策略的优点是防止敏感信息的扩散。具有平安级别的信息资源,只有平安级别比他高的主体才能够访问。访问控制的平安策略有以下两种实现方式:基于身份的平安策略和基于规那么的平安策略。目前使用的两种平安策略,他们建立的根底都是授权行为。就其形式而言,基于身份的平安策略等同于DAC平安策略,基于规那么的平安策略等同于MAC平安策略。2.1.基于身份的平安策略基于身份的平安策略(IDBACP:Identification-based Access Control Policies)的目的是过滤主体对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体资源。基于身份的策略包括基于个人的
12、策略和基于组的策略。基于身份的平安策略一般采用能力表或访问控制列表进行实现。2.1.1基于个人的策略基于个人的策略(INBACP:Individual-based Access Control Policies)是指以用户为中心建立的一种策略,这种策略由一组列表组成,这些列表限定了针对特定的客体,哪些用户可以实现何种操作行为。2.1.2基于组的策略:基于组的策略(GBACP:Group-based Access Control Policies)是基于个人的策略的扩充,指一些用户(构成平安组)被允许使用同样的访问控制规那么访问同样的客体。2.2.基于规那么的平安策略基于规那么的平安策略中的授权
13、通常依赖于敏感性。在一个平安系统中,数据或资源被标注平安标记(Token)。代表用户进行活动的进程可以得到与其原发者相应的平安标记。基于规那么的平安策略在实现上,由系统通过比较用户的平安级别和客体资源的平安级别来判断是否允许用户可以进行访问。3.访问控制的实现由于平安策略是由一系列规那么组成的,因此如何表达和使用这些规那么是实现访问控制的关键。由于规那么的表达和使用有多种方式可供选择,因此访问控制的实现也有多种方式,每种方式均有其优点和缺点,在具体实施中,可根据实际情况进行选择和处理。常用的访问控制有以下几种形式。3.1.访问控制表访问控制表(ACL:Access Control List)是
14、以文件为中心建立的访问权限表,一般称作ACL。其主要优点在于实现简单,对系统性能影响小。它是目前大多数操作系统(如Windows、Linux等)采用的访问控制方式。同时,它也是信息平安管理系统中经常采用的访问控制方式。例如,在亿赛通文档平安管理系统SmartSec中,客户端提供的“文件访问控制模块就是通过ACL方式进行实现的。3.2.访问控制矩阵访问控制矩阵(ACM:Access Control Matrix)是通过矩阵形式表示访问控制规那么和授权用户权限的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问权限;而对客体而言,有哪些主体可对它实施访问;将这种关联关系加以描述,就形成了控
15、制矩阵。访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,特别是当用户和文件系统要管理的文件很多时,控制矩阵将会呈几何级数增长,会占用大量的系统资源,引起系统性能的下降。3.3.访问控制能力列表能力是访问控制中的一个重要概念,它是指请求访问的发起者所拥有的一个有效标签(Ticket),它授权标签说明的持有者可以按照何种访问方式访问特定的客体。与ACL以文件为中心不同,访问控制能力表(ACCL:Access Control Capabilities List)是以用户为中心建立访问权限表。3.4.访问控制平安标签列表平安标签是限制和附属在主体或客体上的一组平安属性信息。平安标签的含义
16、比能力更为广泛和严格,因为它实际上还建立了一个严格的平安等级集合。访问控制标签列表(ACSLL:Access Control Security Labels List)是限定用户对客体目标访问的平安属性集合。4.访问控制与授权授权是资源的所有者或控制者准许他人访问这些资源,是实现访问控制的前提。对于简单的个体和不太复杂的群体,我们可以考虑基于个人和组的授权,即便是这种实现,管理起来也有可能是困难的。当我们面临的对象是一个大型跨地区、甚至跨国集团时,如何通过正确的授权以便保证合法的用户使用公司公布的资源,而不合法的用户不能得到访问控制的权限,这是一个复杂的问题。授权是指客体授予主体一定的权力,通过这种权力,主体可以对客体执行某种行为,例如登陆,查看文件、修改数据、管理
