1.传统DAC策略 T 特点:访问权限的管理依赖于所有对客体具有访 问权限的主体。明显地,自主访问控制主要存在 以下三点不足 。 资源管理比较分散。 2 用户间的关系不能在系统中体现出来,不易管 理。 3 不能对系统中的信息流进行保护,容易泄露, 无法抵御特洛伊木马。 。 其中,第三点不足对安全管理来说是非常不安全 的,针对自主访问控制的不足,许多研究者对其 提出了一系列的改进措施。 信息安全导论04 12
1.传统DAC策略 • 特点:访问权限的管理依赖于所有对客体具有访 问权限的主体。明显地,自主访问控制主要存在 以下三点不足。 ① 资源管理比较分散。 ② 用户间的关系不能在系统中体现出来,不易管 理。 ③ 不能对系统中的信息流进行保护,容易泄露, 无法抵御特洛伊木马。 • 其中,第三点不足对安全管理来说是非常不安全 的,针对自主访问控制的不足,许多研究者对其 提出了一系列的改进措施。 信息安全导论04 12
2.HRU、TAM、ATAM策略 HRU与传统DAC最大的不同在于它将访问权限的授 予改为半自主式:主体仍然有权利将其具有的访问 权限授予其他客体。但是,这种授予行为要受到 个调整访问权限分配的安全策略的限制,通常这个 安全策略由安全管理员来制定。 在HRU中,每次对访问矩阵进行改变时(包括对主 体、客体以及权限的改变),先生成一个临时的结 果,然后用调整访问权限分配的安全策略来对这个 临时结果进行判断。如果这个结果符合此安全策略, 才允许此次访问权限的授予。 可以说,HRU模型用得好的话,可以完全不用担心 非授权者会“意外获得某个不应获得的访问权限 但这种设定当主体集和客体集发生改变时,需要依 赖安全管理员对访问权限的护散策略进行更新。 信息安全导论04 13
2.HRU、TAM、ATAM策略 • HRU与传统DAC最大的不同在于它将访问权限的授 予改为半自主式:主体仍然有权利将其具有的访问 权限授予其他客体。但是,这种授予行为要受到一 个调整访问权限分配的安全策略的限制,通常这个 安全策略由安全管理员来制定。 • 在HRU中,每次对访问矩阵进行改变时(包括对主 体、客体以及权限的改变),先生成一个临时的结 果,然后用调整访问权限分配的安全策略来对这个 临时结果进行判断。如果这个结果符合此安全策略, 才允许此次访问权限的授予。 • 可以说,HRU模型用得好的话,可以完全不用担心 非授权者会“意外”获得某个不应获得的访问权限。 但这种设定当主体集和客体集发生改变时,需要依 赖安全管理员对访问权限的扩散策略进行更新。 信息安全导论04 13
TAM策略和ATAM策略 TAM策略对此作出了改进:每当产生新主体时, 管理员就得要对新主体的访问权限和它本身所拥 有权限的扩散范围进行限定。每当产生新客体时, 其所属主体和管理员就需要对其每一种权限的扩 散范围进行限定。这样一来,只要前期系统架构 合理,TAM就能极为方便地控制住访问权限的 扩散范围。 ·ATAM策略则是在TAM策略的基础上,为了描述 访问权限需要动态变化的系统安全策略而发展出 来的安全策略。 信息安全导论04 14
TAM策略和ATAM策略 • TAM策略对此作出了改进:每当产生新主体时, 管理员就得要对新主体的访问权限和它本身所拥 有权限的扩散范围进行限定。每当产生新客体时, 其所属主体和管理员就需要对其每一种权限的扩 散范围进行限定。这样一来,只要前期系统架构 合理,TAM就能极为方便地控制住访问权限的 扩散范围。 • ATAM策略则是在TAM策略的基础上,为了描述 访问权限需要动态变化的系统安全策略而发展出 来的安全策略。 信息安全导论04 14
3.基于角色/时间特性的DAC策略 T 对于严格的DAC,管理角色只有OWNO,正规角色可 以包括READ O、WRITE O和EXECUTE O,分别表示 有权读、写或执行的用户集。 。 2000年左右,有研究者提出使用基于角色的访问控制来 模拟自主访问控制,讨论了将角色和自主访问控制结合 的方法,针对三种DAC类型,设计了文件管理角色和正 规角色。管理角色根据DAC类型不同,可包括OWNO、 PARENT O和PARENTwithGRANT O。正规角色根据访 问方式不同,可包括READ O、WRITE O和 EXECUTE O。OWNO角色有权向PARENT O添加或删 除用户,PARENTwithGRANT O角色有权向PARENT O 添加或删除用户。正规角色中用户具有相应的读、写或 执行的权限。 信息安全导论04 15
3.基于角色/时间特性的DAC策略 • 对于严格的DAC,管理角色只有OWN_O,正规角色可 以包括READ_O、WRITE_O和EXECUTE_O,分别表示 有权读、写或执行的用户集。 • 2000年左右,有研究者提出使用基于角色的访问控制来 模拟自主访问控制,讨论了将角色和自主访问控制结合 的方法,针对三种DAC类型,设计了文件管理角色和正 规角色。管理角色根据DAC类型不同,可包括OWN_O、 PARENT_O和PARENTwithGRANT_O。正规角色根据访 问 方 式 不 同 , 可包括 READ_O 、 WRITE_O 和 EXECUTE_O。OWN_O角色有权向PARENT_O添加或删 除用户,PARENTwithGRANT_O角色有权向PARENT_O 添加或删除用户。正规角色中用户具有相应的读、写或 执行的权限。 信息安全导论04 15
基于时间特性的DAC策略 在许多基于时间特性的DAC策略中,时间点和 时间区间的概念被引到DAC中并与访问权限结 合,使得访问权限具有时间特性。换句话说,用 户只能在某个时间点或者时间区间内对客体进行 访问。该方法使主体可以自主地决定其他哪些主 体可以在哪个时间访问它所拥有的客体,实现了 更细粒度的控制。 在一些客体对访问许可有严格时间要求的系统中, 如军事信息、情报、新闻等,基于时间特性的 DAC策略就比较适合。当然为了更加严格地控 制信息流的传递,通常此策略也会和其他访问控 制策略相结合。 信息安全导论04 16
基于时间特性的DAC策略 • 在许多基于时间特性的DAC策略中,时间点和 时间区间的概念被引到DAC中并与访问权限结 合,使得访问权限具有时间特性。换句话说,用 户只能在某个时间点或者时间区间内对客体进行 访问。该方法使主体可以自主地决定其他哪些主 体可以在哪个时间访问它所拥有的客体,实现了 更细粒度的控制。 • 在一些客体对访问许可有严格时间要求的系统中, 如军事信息、情报、新闻等,基于时间特性的 DAC策略就比较适合。当然为了更加严格地控 制信息流的传递,通常此策略也会和其他访问控 制策略相结合。 信息安全导论04 16