访问控制信息
含背景信息在内的、可用于控制访问的任何信息
访问控制信息(Access control information)是指含背景信息在内的、可用于控制访问的任何信息。
简介
访问控制信息(Access Control information)包括用户请求、资源控制器响应或资源控制器之间请求、响应等信息。
实现机制
访问控制的实现机制建立访问控制模型和实现访问控制都是抽象和复杂的行为,实现访问的控制不仅要保证授权用户使用的权限与其所拥有的权限对应,制止非授权用户的非授权行为;还要保证敏感信息的交叉感染。为了便于讨论这一问题,我们以文件的访问控制为例对访问控制的实现做具体说明。通常用户访问信息资源(文件或是数据库),可能的行为有读、写和管理。为方便起见,我们用Read或是R表示读操作,Write或是W表示写操作,Own或是O表示管理操作。我们之所以将管理操作从读写中分离出来,是因为管理员也许会对控制规则本身或是文件的属性等做修改,也就是修改我们在下面提到的访问控制表。
访问控制
访问控制表
访问控制表(ACLs:Access Control Lists)是以文件为中心建立的访问权限表,简记为ACLs。目前,大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。访问控制表的优点在于实现简单,任何得到授权的主体都可以有一个访问表,例如授权用户A1的访问控制规则存储在文件File1中,A1的访问规则可以由A1下面的权限表ACLsA1来确定,权限表限定了用户UserA1的访问权限。
访问控制矩阵
访问控制矩阵(ACM:Access Control Matrix)是通过矩阵形式表示访问控制规则和授权用户权限的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问权限;而对客体而言,又有哪些主体对他可以实施访问;将这种关连关系加以阐述,就形成了控制矩阵。其中,特权用户或特权用户组可以修改主体的访问控制权限。访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,而且,如果用户和文件系统要管理的文件很多,那么控制矩阵将会成几何级数增长,这样对于增长的矩阵而言,会有大量的空余空间。
访问控制能力列表
能力是访问控制中的一个重要概念,它是指请求访问的发起者所拥有的一个有效标签(ticket),它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力表(ACCLs:Access Control Capabilitis Lists)是以用户为中心建立访问权限表。例如,访问控制权限表ACCLsF1表明了授权用户UserA对文件File1的访问权限,UserAF表明了UserA对文件系统的访问控制规则集。因此,ACCLs的实现与ACLs正好相反。定义能力的重要作用在于能力的特殊性,如果赋予哪个主体具有一种能力,事实上是说明了这个主体具有了一定对应的权限。能力的实现有两种方式,传递的和不可传递的。一些能力可以由主体传递给其他主体使用,另一些则不能。能力的传递牵扯到了授权的实现,我们在后面会具体阐述访问控制的授权管理。
安全标签
安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格,因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表(ACSLLs: Access Control Security Labels Lists)是限定一个用户对一个客体目标访问的安全属性集合。安全标签能对敏感信息加以区分,这样就可以对用户和客体资源强制执行安全策略,因此,强制访问控制经常会用到这种实现机制。
具体类别
访问控制实现的具体类别访问控制是网络安全防范和保护的重要手段,它的主要任务是维护网络系统安全、保证网络资源不被非法使用和非常访问。通常在技术实现上,包括以下几部分:
(1)接入访问控制:接入访问控制为网络访问提供了第一层访问控制,是网络访问的最先屏障,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。例如,ISP服务商实现的就是接入服务。用户的接入访问控制是对合法用户的验证,通常使用用户名和口令的认证方式。一般可 分为三个步骤:用户名的识别与验证、用户口令的识别与验证和用户账号的缺省限制检查。
(2)资源访问控制:是对客体整体资源信息的访问控制管理。其中包括文件系统的访问控制(文件目录访问控制和系统访问控制)、文件属性访问控制、信息内容访问控制。文件目录访问控制是指用户和用户组被赋予一定的权限,在权限的规则控制许可下,哪些用户和用户组可以访问哪些目录、子目录、文件和其他资源,哪些用户可以对其中的哪些文件、目录、子目录、设备等能够执行何种操作。
系统访问控制是指一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问;应设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;应设定服务器登录时间限制、非法访问者检测和关闭的时间间隔;应对网络实施监控,记录用户对网络资源的访问,对非法的网络访问,能够用图形或文字或声音等形式报警等。文件属性访问控制:当用文件、目录和网络设备时,应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与要访问的文件、目录和网络设备联系起来。
(3)网络端口和节点的访问控制:网络中的节点和端口往往加密传输数据,这些重要位置的管理必须防止黑客发动的攻击。对于管理和修改数据,应该要求访问者提供足以证明身份的验证器(如智能卡)
一般信息模型
上面提到的三种机制类型——访问控制列表、能力和安全标签,传统上认为是三种截然不同的实施访问控制的途径。然而,人们越来越发现现代网络控制机制不能简单地划分为三种类型中的某一种。它们大多数都包含了至少两种类型的特点。三种类型机制和它们的变种均是一个基于一般的信息模型的访问控制机制的特例。访问控制决策要根据它们包含的各种类型的访问控制信息,特别是,属于发起者的信息和属于目标的信息。属于发起者的信息直接关联着发起者,它来源于发起者的区域。属于目标的信息直接关联着目标,它来源于目标区域。
表中示范了访问控制信息在访问控制列表机制、安全标签和能力机制中是如何映射到属于发起者的信息和属于目标的信息。对于访问控制列表,唯一需要的属于发起者的信息是有关发起者身份的标识,同时在属于目标的信息中有真实的记录描述发起者许可。相反,对于能力机制,真实的属于发起者的信息在产生能力时要用到,唯一需要的属于目标的信息是关于目标身份的标识。安全标签机制介于上述两者之问,它需要属于发起者的信息比访问控制列表多,需要属于目标的信息比能力机制强。
管理
产生、分发和存储
一个访问控制机制的有效性完全依赖于用于作访问控制决策的信息的准确度和可信度。最为关心的是确保描述访问控制策略的信息只能由适当的授权者独自产生或修改。因此,这样的信息即使在一个比最终保护目标的级别还要敏感的级别上也要服从于它自己的访问控制策略和它自己的访问控制保护机制。
例如,对于一个给定的关于目标X的访问控制列表,确定谁能修改这个访问控制列表是必要的。这可以由包含在表中的一个不同类型的许可(也称作控制许可)来完成,例如修改一ACL。因为其内在的特别的敏感性,一般要求控制许可在逻辑上要与目标访问许可有明显的区别。
在一个网络环境中,为了在访问控制决策组件中可利用,访问控制信息需要在访问请求之前或随同访问请求一起在系统之间传递。所有这些通信需要通过完整性和数据起源认证服务来保护。通常没有必要由机密性服务来保护访问控制信息,但是在某些环境下也是需要的。为了满足完整性和数据起源认证的需求,访问控制信息通常以访问控制证书的形式传递,该证书由某一信任它们的用户信息(如决策组件)的机构签名。一个特权属性证书(PAC)就是一个在分布式计算机环境中利用的访问控制证书类型。当一个用户工作站首次登录一个网络时,它利用特权属性服务器执行一些处理来为这个用户得到一个包含特权信息的证书,例如,可认证的名字、角色成员、能力、安全标签。这个证书随后出示给和用户连接的目标主机系统,那里它作为进行访问控制决策的输入信息。无论是在存储中还是在处理过程中,都必须保护访问控制信息的完整性。因此,需要经常考虑适当的应用计算安全和物理安全措施。
撤销
在下面情况下,访问控制信息可能需要撤销:
①从一个安全区域去掉一个用户;
②从一个安全区域去掉一个目标;
③改变一个用户或目标的安全属性,如消除级或密级的改变;
④怀疑敏感信息受到安全危及,如一个签署机构的私钥。
这样的撤销经常需要立即(也就是在下一次企图用这个信息进行访问之前)被警告。更进一步讲,撤销一个许可可能需要立即挂起那些依靠这个许可的发起者正在进行的活动。
例如,一个发起者正在数据库上进行一系列的操作,被确定他先前被准予访问数据库时所用的访问控制证书有一个伪造的签名,那么这一系列操作需要马上停止。除非设计访问控制实施时十分仔细,否则撤销会非常困难。假设在一个使用访问控制列表的环境中,一个用户从一个安全区域被删除。如果没有关于支持这个用户进入所有访问控制列表的完整知识,要想系统地执行撤销是不可能的。
当一个用户或一个目标的标识符可能以后被一个新用户或新目标用到时,去掉一个用户或目标需要特别注意。假如D.Feng离开一个公司,过了一段时间,一个新的D.Feng加入公司。如果依然存在一些允许原先的D.Feng进入的荒废的访问控制列表,那么新来的D.Feng可能会得到一些意外的访问许可。
安全标签
通常,安全标签是限制在一个传达的或存储的数据项这样的目标上的一组安全属性信息项。在访问控制机制中,安全标签是属于用户、目标、访问请求或传输的一个访问控制信息。作为一种访问控制机制的安全标签最通常的用途是支持多级访问控制策略。在发起者的环境中,标签是属于每个访问请求以识别发起者的等级。标签的产生和附着过程必须可信,而且必须同时跟随一个把它以安全的方式束缚在一个访问请求的传输上。每个目标都有一个属于它的标记来确定它的密级。在处理一个访问请求时,目标环境比较访问请求上的标签和目标上的标签,应用策略规则(Bell Ioapadula规则)决定是允许还是拒绝访问。
典型的标签比上面建议的复杂得多,它还包含做访问控制决策时所用到的额外属性。像这样的属性含有处理和分发警告、间隔指示器、定时限制、发起者识别等信息。标签还包含安全策略/机构识别和在验证、审计中所用到的标识符。
全国各地天气预报查询
上海市
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
云南省
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
内蒙古自治区
北京市
吉林省
吉林省
吉林省
吉林省
吉林省
吉林省
吉林省
吉林省
吉林省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
四川省
天津市
宁夏回族自治区
宁夏回族自治区
宁夏回族自治区
宁夏回族自治区
宁夏回族自治区
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
安徽省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山东省
山西省
山西省
山西省
山西省
山西省
山西省
山西省
山西省
山西省
山西省
山西省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广东省
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
广西壮族自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
新疆维吾尔自治区
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江苏省
江西省
江西省
江西省
江西省
江西省
江西省
江西省
江西省
江西省
江西省
江西省
河北省
河北省
河北省
河北省
河北省
河北省
河北省
河北省
河北省
河北省
河北省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
河南省
浙江省
浙江省
浙江省
浙江省
浙江省
浙江省
浙江省
浙江省
浙江省
浙江省
浙江省
海南省
海南省
海南省
海南省
海南省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖北省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
湖南省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
甘肃省
福建省
福建省
福建省
福建省
福建省
福建省
福建省
福建省
福建省
西藏自治区
西藏自治区
西藏自治区
西藏自治区
西藏自治区
西藏自治区
西藏自治区
贵州省
贵州省
贵州省
贵州省
贵州省
贵州省
贵州省
贵州省
贵州省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
辽宁省
重庆市
重庆市
陕西省
陕西省
陕西省
陕西省
陕西省
陕西省
陕西省
陕西省
陕西省
陕西省
青海省
青海省
青海省
青海省
青海省
青海省
青海省
青海省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省
黑龙江省