基本介紹
- 中文名:分散式訪問控制
- 外文名:Distributed access control
- 涉及學科:信息科學
- 目的:對某個網路的訪問進行控制
- 作用:相當於高速公路上的入口
- 套用:自動化
背景,3種訪問控制模型比較分析,自主訪問控制模型,強制訪問控制模型,角色訪問控制模型,分散式訪問控制模型的研究現狀分析,基於使用控制模型的分散式訪問控制研究,客體分發後的訪問控制,協作系統的訪問控制,核心完整性保護,
背景
隨著分散式系統廣泛的套用於各個領域,如何確保系統的安全性、確保信息在通信過程中不被人竊取和破壞已成為研究的重要課題。為了解決分散式系統中存在的安全威脅和安全問題,如通信信道是否安全可靠、伺服器能否驗證用戶的身份、用戶能否驗證提供服務的伺服器是真實的伺服器等,在設計系統時要採用一系列安全模型來保護系統的安全。
“安全模型”指的是用形式化的方法來描述如何實現系統的安全,主要是:
- 系統安全中的機密性(機密性可保護被傳輸的數據免受被動攻擊)、
- 完整性(確保接收到的訊息如同傳送的訊息一樣,沒有冗餘、插人、篡改、重排序或延遲)
- 可用性(可用性就是保證信息及信息系統確實為授權便用者所用)。
目前訪問控制模型主要分為3種:
- 自主訪問控制模型(DAC),
- 強制訪問控制模型(MAC)
- 基於角色的訪問控制模型(RBAC)。
對系統的複雜的控制,離不開訪問控制服務。只有通過訪問控制服務才能為每個主體定製許可權,才能對系統提供粒度更細的控制。分散式訪問控制己成為分散式系統安全性研究的熱點之一。
3種訪問控制模型比較分析
下面對3種主要的訪問控制模型進行比較分析,指出它們各自的優缺點。.
自主訪問控制模型
基本思想
允許資源的擁有者顯示的指定其他用戶是否可以訪問或者不可以訪問該資源,DAC模型一般採用訪問控制矩陣和訪問控制列表來存放各個主體之間的訪問控制信息,從而限制各個主體的訪問許可權。由於模型沒有明確指定冗長的訪問規則,因此顯得非常靈活,使得它得到了非常廣泛的套用。
但該控制模型在擁有它無可比擬的優點的同時,也有其本身設計帶來的缺點:
- 在大型系統中,無論是訪問矩陣還是列表都將變得非常龐大,但其中很多元素是空的,因此造成了資源的浪費;
- 由於客體的擁有者能夠授予或取消其它主體對該客體的訪問許可權。這就造成了很難預測訪問許可權在系統中是如何傳播的,給系統的管理造成了很大的困難;
- 不能防範“特洛伊木馬”,無法實現多級安全策略。
強制訪問控制模型
基本思想
系統強制各個主體遵守系統制定的訪問控制策略。用戶和資源都被賦予一定的安全級別,在執行訪問控制時,系統先對訪問主體和資源的安全級別進行比較,再決定訪問主體能否訪問該資源。
該模型的優點顯而易見,它的缺點是:
- 模型賦予系統中每個用戶一個唯一的UID號和唯一的安全級標籤,認為該用戶用受此安全級標籤支配的安全級登錄均可,而這會造成系統中的用戶均可以寫訪問系統中的安全級為最低的信息,而這些信息通常是公共信息,應該是“唯讀不可寫”的信息模型;
- 只處理了具有安全等級分類的信息的訪問控制,而對無等級關係的信息並沒有給出相應的處理模型,如Chinese-Wall模型中提到的“利益衝突”問題;
- 模型過於嚴格,在實現時無法對系統進行安全、有效的管理;
- 雖然在保持信息的機密性的Bell-Lapadula模型中加入了一個“可信主體盯的概念,但其許可權太大,沒能實現“最小特權,而這在現代系統中是非常不安全的。因為一旦黑客入侵系統並獲得此“可信主體”的許可權,系統的安全性就變得不堪一擊。
角色訪問控制模型
基本思想
將訪問許可權與角色相聯繫,通過給用戶分配適合的角色,讓用戶和訪問許可權相聯繫。角色是根據企業內為完成各種不同的任務需要而設定的,根據用戶在企業中的職權和責任來設定,用戶可以在角色間進行轉換,系統可以添加、刪除角色,還可以對角色的許可權進行添加、刪除,這樣通過套用RBAC將安全性放在一個接近組織結構的自然層面上進行管理。
它把現實和計算機訪問控制策略更好的結合起來,並且易於實現複雜、動態的安全訪問控制策略。缺點是對有些沒有角色區別的機構不適合,需要人為的構造一些虛構的人物角色。
分散式訪問控制模型的研究現狀分析
在分散式訪問控制中首先需要對用戶的身份進行認證,然後是對控制策略的選用和管理,最後是對非法用戶和越權操作的管理。當前分散式訪問控制的人部分工作主要集中在控制策略的選用和管理上。在分散式身份認證方面,大多使用目前已經比較成熟的用戶密碼對或者身份證書等技術。
分析了目前存在的集中分散式訪問控制模型,指出了存在的不足,並提出了一種靈活的可擴展的授權描述方法。解決了分散式授權和私有許可權問題,並提出了多種解決衝突的方法。這是一種在分散式環境下表示和判定訪問請求的新方法,適用於多種訪問控制策略。雖然該文提出了判定訪問請求的算法,但沒有具體給出算法的時空複雜度。同時,當沒有執行義務時的異常處理,存在多個時域的相互互動等問題都有待於進一步的研究。
通過對CS模型的分析討論,將RBAC中的各個部分映射到CS的各個部分,論證了CORBA對RBAC的方便支持。同時,基於在分散式環境下用戶的角色有可能隨時變化這一特性,基於CORBA的RBAC的靜態實現框架進行了改進,提出了使用事件觸發機制來動態的實現對角色的管理機制。該文雖然實現了角色的動態管理,但在進行許可權控制時沒有考慮上下文環境(地點、時間等),所以從某種角度來講,不是完全意義上的實現了動態的訪問控制。同時,只討論了RBAC的實現問題,而對如何將管理和利用各個角色之間的關係和如何將限制加到角色的使用上即該機制是否適用於RBAC和RBAC,還有待於進一步研究。
基於角色的訪問控制和墓於上下文的訪問控制相結合,提出了一種新的基於角色和上下文訪問控制機制但是可以看到,支持她的兩種核心技術都不是新的技術,但是將兩者有機結合後,用戶的訪問許可權不再一成不變,而是隨著角色和上下文環境的變化而變化。同時,該機制有很強的靈活性,一方面它可以忽略上下文環境,而單獨使得用戶的角色在訪問控制中起作用;另一方面它可以忽略用戶角色的影響,而單獨考慮上下文環境。但是必須指出的是,上下文信息的概念非常廣泛,它可以包括時間、地點、用戶的生活信息等.這就使得該機制的複雜度增加,在執行上下文訪問控制操作時的效率明顯降低。
分散式多層體系結構,一般的包括:表示層、事務邏輯層和數據層。由於新的體系結構,原來適用於兩層結構(客戶層和服務層)的許多安全機制尤其訪問控制策略不再適用。所以需要提出一種新的訪問控制機制來保證多層體系結構的安全性和一致性。在不影響現有的基於資料庫管理系統的訪問控制策略基礎上提出了一種稱之為"MoP(Mobile Policy)"的策略來解決該問題。
傳統的數據層用戶、角色和策略都是在基於本地安全環境下的資料庫管理系統中定義的.當數據從一個層移動到另一個層時安全策略不能隨著數據一起移動,而在多層體系中,數據可能會在層與層之間頻繁的移動,這就導致了安全策略的重複設計。同時,由於各層的設計者和開發者不同,導致了安全策略的不一致性。為了最小化各層開發者之間的信息共享性,保持各層之間的安全性和一致性,提出了一種新的策略管理機制。它將策略管理分成3個獨立的部分:策略的定義、策略和數據的結合、策略的套用。這3個部分分別由不同的開發者完成,他們之間不需要掌握一種共同的策略表示語言,只需要記住少量的一些辭彙標準,如:輸入參數的語法和語義,策略類型的語義,輸出參數的語法和語義等。這個機制有效的將策略的管理和策略的執行分開,使得策略能夠隨著數據的遷移而遷移,同時,更有效的保證了各層之間數據的安全性和一致性。但從上面的分析可以看出,該機制的側重點在策略隨用戶的可移動性和重用性,並未考慮策略隨用戶的動態性和可修改性。
雖然ISO提出的網路安全體系的設計標準中,把身份認證服務和訪問控制分開處理,但是在實際套用中,由於效率的間題,可以將兩者有機的結合起來。提出一種利用屬性證書實現Web資源的角色訪問控制。該機制通過屬性權威將用戶角色信息添加到基本證書的擴展域中,並且屬性權威在添加的屬性和荃本證書上面簽名並把該簽名放到基本證書的另一個擴展域中,同步的對用戶身份和角色進行了認證,提高了訪問控制策略的靈活性和安全性。
但是嚴格的來說,該模型中只描述了有角色繼承和證書驗證的一些問題,並未描述如何在屬性證書實現RBAC模型中的約束。也就是說,該模型只是實現了RBAC模型,並沒有實現RBAC和RBAC模型。其主要的原因是RBAC模型中的約束關係相當複雜,然而屬性證書為了查詢快速,都是使用目錄伺服器來存儲數據,但是目錄伺服器難於處理複雜的數據關係並且不易修改。另外該模型沒有進行形式化的表示,也沒有對模型進行實現。
基於使用控制模型的分散式訪問控制研究
自從面向使用控制的安全模型UCON提出以來,針對分散式環境的安全訪問控制研究逐漸增多。UCON模型由於其在判定因素和控制的連續性、動態性等方面的開拓性擴展而被稱為下一代安全訪問控制模型。由於UCON只提出了一個通用的技術框架模型,如何實施與套用是一個無法迴避的重要問題。目前對UCON的研究成果主要有:
客體分發後的訪問控制
基於UCON訪問控制的連續性特點,客體後被分發後,在客體擁有者控制範圍外的遠端平台上仍然可以繼續實施訪問控制。在可信計算實施可信度量的基礎上,修改安全核心SELinux,保證引用機RM ( Reference Monitor)的可信性,在此基礎上對套用層的進程訪問實施基於使用控制模型的訪問控制。提出在面向服務的體系結構中,在遠程客戶端實施可信使用控制,其中採取TPM和 TPM Java虛擬機保證遠程客戶端的安全性。UCLinux基於Linux安全模組LSM,在TPM實施度量和數據封裝的基礎上,對客體檔案實現了使用控制的動態性和連續性控制。其中通過修改Linux作業系統,給出了原型實現。客體分發後的訪問控制並不等同於DRM。DRM主要是在一個相對封閉的空間內,依賴於軟體進行基於付費的訪問控制,例如只能用特定播放器播放且需要聯繫授權伺服器等。這種問題只是客體分發後訪問控制的特例。
協作系統的訪問控制
協作系統(如ad-hoc網路和格線等)的特點是系統動態且異構,其訪問控制需求複雜,主客體屬性可變且往往需要連續而非一次性的訪問控制,因而無法使用傳統的訪問控制方法進行安全管理。Usage Control強大的描述能力可以滿足這種全新的要求。
這個領域最早的成果是將使用控制模型與方法套用於特定類型的協作系統,如格線和ad-ho網路。2006年,Zhang Xinwen及合作者針對協作系統整體(而非網具體系統)給出了一個比較完善的實施Usage Control的體系結構。在這之後此類成果不多,只是2007年出現了針對CORBA服務接口的使用控制套用。
核心完整性保護
目前核心完整性保護方法存在兩個問題:
一是無法描述當前的訪問控制需求,例如連續策略實施和可變化的過程和屬性;
二是保護機制和被保護的核心往往在同一個空間當中,容易受到安全攻擊而使得訪問控制機制失效。
目前,基於可信計算的使用控制實施方案主要集中在對客體分發後的訪問控制。客體分發後,客體所有者需要信任目標平台對安全策略的正確執行,判決依據也從傳統主體的身份和屬性擴展到對主體狀態和所處平台系統及環境的可信,同時需要滿足控制連續性和動態性的需求。該類工作的共同思路是:首先在通過可信硬體TPM提供的可信證明的基礎上,為目標平台提供安全的運行環境,保證訪問控制的正確執行。在此基礎上,進一步對主客體訪問實施使用控制,主要採取其中的授權要素、連續性和動態性特點,實現客體分發可信控制。
此外,TXACML對訪問控制策略的生成進行了研究,它根據分散式環境下可信平台訪問控制需求,提出一個可信平台屬性分類規則,定義屬性評估函式,可以實現可信平台數據安全分發和訪問。同時針對XACML ( eXtensibleAccess Control Markup Language)現有的策略合成算法不能有效滿足可信平台策略協商複合需求,設計了一個基於平台可信度的策略合成算法,該算法可以使策略的優先權和可信度保持一致,針對不同的可信度制訂相應的訪問控制策略。在此基礎上,進一步對XACML語言實施擴展,形成可信平台策略語言框架TXACML 。 TXACML為分散式環境下訪問控制策略的協商提供了一條有效的途徑。
