1、G/T 18794.3-2003/ISO/IEC 10181-3,1996 前言GB/T 18794(信息技术开放系统互连开放系统安全框架目前包括以下几个部分:一第1部分(即GB/T18794. 1)概述一第2部分(即GB/T18794.2),鉴别框架第3部分(即GB/T18794.3),访问控制框架第4部分(即GB/T18794.4),抗抵赖框架第5部分(即GB/T18794.5),机密性框架一第6部分(即GB/T18794. 6),完整性框架一一第7部分(即GB/T18794.7),安全审计和报警框架本部分为GB/T18794的第3部分,等同采用国际标准ISO/IEC10181-3,199
2、6(信息技术开放系统互连开放系统安全框架z访问控制框架以英文版)。按照GB/T1. 12000的规定,对ISO/IEC10181-3作了下列编辑性修改ga) 增加了我国的前言气b) 本标准一词改为GB/T18794的本部分或本部分;c) 对规范性引用文件一章的导语按GB/T1. 1-2000的要求进行了修改;d) 删除规范性引用文件一章中未被本部分引用的标准,e) 在引用的标准中,凡已制定了我国标准的各项标准,均用我国的相应标准编号代替。对规范性引用文件一章中的标准,按照GB/T1. 1-2000的规定重新进行了排序。本部分的附录A至附录G都是资料性附录。本部分由中华人民共和国信息产业部提出。
3、本部分由中国电子技术标准化研究所归口。本部分起草单位:四川大学信息安全研究所。本部分主要起草人t刘嘉勇、周安民、戴宗坤、陈麟、罗万伯、屈立筋、谭兴烈。皿GB/T 18794.3-2003/ISO/IEC 10181-3: 1996 引-=目本部分定义一个提供访问控制的通用框架。访问控制的主要目标是对抗由涉及计算机或通信系统的非授权操作所造成的威胁P这些威胁经常被细分为非授权使用、泄露、修改、破坏和拒绝服务等类别。H GB/T 18794.3-2003/ISO/IEC 10181-3 ,1996 信息技术开放系统互连开放系统安全框架第3部分:访问控制框架1 范围本开放系统安全框架的标准论述在开放
4、系统环境中安全服务的应用,此处术语开放系统包括诸如数据库、分布式应用、开放分布式处理和开放系统互连这样一些领域。安全框架涉及定义对系统和系统内的对象提供保护的方法,以及系统间的交互。本安全框架不涉及构建系统或机制的方法学。安全框架论述数据元素和操作的序列(而不是协议元素),这两者可被用来获得特定的安全服务。这些安全服务可应用于系统正在通信的实体,系统间交换的数据,以及系统管理的数据。就访问控制而言,访问既可以是对个系统(即对系统内正在通信部分的实体)的访问,也可以是对个系统内部的访问。获取访问所要出示的信息项,以及请求该访问的顺序和该访问结果的通知都在本安全框架的考虑范围之内。不过,任何只依赖
5、于特定应用的和严格限制在一个系统内的本地访问的信息项和操作,则不在本安全框架考虑范围之内。许多应用要求安全措施来防止对资源的威胁,这些资源包括由开放系统互连所产生的信息。在OSI环境中,些众所周知的威胁以及可用于防范这些威胁的安全服务和机制在GB/T9387. 2中都有所描述。决定开放系统环境中允许使用何资源,以及在适当地方防止未授权访问的过程称作访问控制。本部分为提供访问控制服务定义通用框架。本安全框架2a) 定义访问控制的基本概念;b) 示范将访问控制的基本概念具体化来支持一些公认的访问控制服务和机制的方法pc) 定义这些服务和相应的访问控制机制;d) 识别为支持这些访问控制服务和机制的协
6、议的功能需求gu 识别为支持这些访问控制服务和机制的管理需求sf) 阐述访问控制服务和机制与其他安全服务和机制的交互。和其他安全服务一样,访问控制只能在为特定应用而定义的安全策略上下文内提供。访问控制策略的定义不属于本部分的范围,但本部分将会讨论到访问控制策略的一些特征。本部分不规定提供访问控制服务可能要执行的协议交换的细节。本部分不规定支持这些访问控制服务的具体机制,也不规定安全管理服务和协议的细节。很多不同类型的标准能使用本框架,包括21) 体现访问控制概念的标准;2) 规定含有访问控制的抽象服务的标准;3) 规定使用访问控制服务的标准;4) 规定在开放系统环境中提供访问控制方法的标准,5
7、) 规定访问控制机制的标准。这些标准能按下列方式使用本框架-一一标准类型1)、2)、3)、4)和5)能使用本框架的术语;一一标准类型2)、3)、4)和5)能使用在本框架第7章定义的设施;GB/T 18794.3-2003/ISO/IEC 10181-3: 1996 标准类型5)能基于第8章定义的机制类别。2 规范性引用文件下述文件中的条款通过GB/T18794的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。G
8、B/T 9387. 1-1998信息技术开放系统互连基本参考模型第1部分基本模型(idtISO/ IEC 7498-1:1994) GB/T 9387.2-1995信息处理系统t开放系统互连基本参考模型第2部分z安全体系结构(idt ISO 7498-2: 1989) GB/T 18794. 1-2002信息技术开放系统互连开放系统安全框架第l部分z概述(凶ISO/IEC 10181-1 :1 996) GB/T 18794.2-2002信息技术开放系统互连开放系统安全框架第2部分.鉴别框架(idtISO/IEC 10181-2: 1996) 3 术语和定义下列术语和定义适用于GB/T1879
9、4的本部分。3.1 安全体系结构定义在GB/T9387. 2-1995确立的下列术语和定义适用于GB/T18794的本部分。a) 访问控制accesscontrol; b) 访问控制列表accesscontrollist; c) 可确认性accountability;d) 鉴别authentication;的鉴别信息authenticationinformation; f) 授权authorization;g) 权力capability;h) 基于身份的安全策略identity-basedsecurity policYI i) 基于规则的安全策略rule-basedsecurity polic
10、y; j) 安全审计securityaudit;k) 安全标签securitylabel; 1) 安全策略securitypolicy; m) 安全服务secuntyserVlce; n) 灵敏性sens山vityo3.2 安全框架概述定义在GB/T18794.1确立的下列术语和定义适用于GB/T18794的本部分。a) 安全交互策略secureinteracton policy; b) 安全证书securitycertificate; c) 安全域securitydomain; d) 安全域机构s时ecu盯n盯d也oma旧10au川tho咀on川1川盯ty归$ e) 安全信言息s时ecu盯r
11、口ityinfor口rrrmatt旧on;g f) 安全策略规则securitypolice rules; g) 安全权标securitytoken; GB/T 18794.3-2003/ISO/IEC 1018 1-3, 1996 h) 信任trusto3.3 基本参考模型定义在GB/T9387. 1-1998中确立的下列术语和定义适用于GB/T18794的本部分。实系统realsystem。3.4 附加定义下列术语和定义适用于GB/T18794的本部分。3.4.1 访问控制证书acc四scontrol certificate 包含ACI的安全证书。3.4.2 访问控制判决信息Acc四sco
12、ntrol D配isionInformation(ADI) 在作出一个特定访问控制判决时可供ADF使用的部分(也可能是全部)ACI。3.4.3 访问控制判决功能Access control Decision Fnnction(ADF) 一种特定功能,它通过对访问请求、ADI(发起者的、目标的、访问请求的或以前决策保留下来的ADI)以及该访问请求的上下文,使用访问控制策略规则而做出访问控制判决。3.4.4 访问控制实施功能A四e回controlEnforcement Funclion(AEF) 一种特定功能,它是每一访问请求中发起者和目标之间访问路径的一部分,并实施由ADF做出的决策。3.4.5
13、 访问控制信息Access Control Information(ACI) 用于访问控制目的的任何信息,其中包括上下文信息。3.4.6 访问控制策略acce皿controlpolicy 定义可发生访问控制条件的规则集。3.4.7 访问控制策略规则acce回controlpolicy rul四与提供访问控制服务有关的安全策略规则。3.4.8 访问控制权标acc四scontrol token 一个包含ACI的安全标记。3.4.9 访问请求a四四srequ四t操作和操作数,它们构成一个试凰进行的访问的基本成分。3.4.10 访问请求访问控制判决信息(访问请求ADIla回回srequ四tacc四届c
14、ontroldecision information (access request ADI) 由访问请求绑定ACI导出的ADI。3.4.11 访问请求访问控制信息(访问请求ACI)access requ田tacce困controlinformation (access requ四tACI) 有关访问请求的ACI.GB/T 18794.3-2003/ISO/IEC 10181-3 ,1996 3.4.12 绑定访问请求访问控制信息(访问请求绑定ACI)access reqn昭-boundacc四scontrol information (access req u田t-boundACI) 绑定到
15、访问请求的ACL3.4.13 许可权clearance 能用来与目标安全标签进行比较的发起者绑定ACI。3.4.14 上下文倍息context information 与进行访问请求的环境有关的信息或由其导出的信息(如时间)。3.4.15 发起者initiator 一个试图访问其他实体的实体(如人类用户或基于计算机的实体)。3.4.16 发起者访问控制判决信息(发起者ADDinitiator acc回scontrol decision information ( initiator ADI) 由发起者绑定ACI导出的ADL3.4.17 发起者访问控制信息(发起者ACI)initiator ac
16、c西scontrol information(initiator ACI) 有关发起者的ACL3.4.18 发起者绑定访问控制信息(发起者绑定ACDinitiator-bound access control information (initiator bound ACI) 绑定到发起者的ACI,3.4.19 操作敏访问控制判决信息(操作擞AD1) operand acc四scontrol decision information (operand ADI) 由操作数绑定ACI导出的ADL3.4.20 操作数访问控制信息(操作数ACI)operand acc四scontrol informa
17、tion(operand ACI) 有关访问请求操作数的ACL3.4.21 操作数绑定访问控制信息(操作数绑定ACI)operand-bound access control information (operand bound ACI) 绑定到访问请求操作数的ACI。3.4.22 保留的ADIretained ADI 为用于将来的访问控制判决而被ADF从以前的访问控制判决中保留下来的ADI.3.4.23 目标tar胃,.t被试图访问的实体。3.4.24 目标访问控制判决信息(目标ADI)target acc四scontrol decision information( tar冒:etADI)
18、 由目标绑定ACI导出的ADI.3.4.25 GB/T 18794.3二2003/ISO/IEC10181-3 ,1996 目标访问控制信息(目标ACI)target acce回controlinformation(target ACI) 有关目标的ACI。3.4.26 目标绑定访问控制信息(目标绑定ACI)target-bound a皿e皿controlinformation (target-bound ACI) 绑定到目标的ACI。4 缩略语ACI 访问控制信息(AccessControl Info口nation)ADI 访问控制判决信息(AccessControl Decision In
19、formation) ADF 访问控制判决功能(AccessControl Decision Function) AEF 访问控制实施功能(AccessControl Enforcement Function) SI 安全信息。ecurityInformation) SDA 安全域机构(SecurityDomain Authority) 5 访问控制的一般性论述5.1 访问控制的目标作为安全框架,访问控制的主要目标是对抗涉及计算机或通信系统的非授权操作的威胁。这些威胁经常被细分为下列几类z非授权使用;泄露;修改,一破坏;拒绝服务。本安全框架的子目标是:通过(可以是代表人类或其他进程的行为的)进
20、程,对数据、不同进程或其他计算资源访问的控制;一一在一个安全域内,或跨越一个或多个安全域的访问控制;按照其上下文(例如,根据试图访问的时间、访问者地点或访问路由等因素)的访问控制;在访问期间对更改授权做出反应的访问控制。5.2 访问控制的基本方面下面的列项描述抽象的访问控制功能,大多数与访问控制策略和系统设计无关。实系统中的访问控制与多种类型的实体在关,例如z物理实体(如实系统h一逻辑实体(如OSI层实体、文件、组织机构,以及企业h人类用户。实系统中的访问控制可能需要复杂的活动集。这些活动包括z建立访问控制策略的表示,建立ACI的表示;将ACI分配给元素(发起者、目标或访问请求),将ACI绑定
21、到元素;GB/T 18794.3-2003/ISO/IEC 10181-3 ,1996 一一使ADI对ADF可用;一一执行访问控制功能:修改ACI(在分配ACI值以后的任何时间,其中包括撤销);一一撤销ADI。这些活动可分为两组z操作活动(使ADI对ADF可用和执行访问控制功能h管理活动(其余的所有活动)。上面的有些活动可编组成为实系统中单个可识别的活动。虽然有些访问控制活动需要先于其他活动,但是它们常常是互相交叠的,并且有些活动还可以重复执行。下面首先详细讨论执行访问控制功能中所涉及的概念,因为所有其他活动都支持这一做法。5.2.1 执行访问控制功能本条款的日的是用图1和图2说明访问控制的基
22、本功能。就访问控制整体运行而言,其他功能可能也是必要的。在后面的讨论中,将介绍可能实现这些功能的种种方式,其中包括分布访问控制功能和ACI的不同方式,以及在同一个或合作安全域中访问控制功能之间通信的不同格式。圈1基本访问控制功能的图示固2ADF的图示访问控制中涉及的基本实体和功能是发起者、访问控制实施功能(AEF)、访问决策功能(ADF)和目标。发起者代表访问或试图访问目标的人和基于计算机的实体。在一个实系统中,发起者由一个基于计算机的实体来代表,尽管基于计算机的实体代表该发起者所做的访问请求可受到该基于计算机的实体的ACI的进一步限制。目标代表被发起者所访问或试图访问的基于计算机或通信的实体
23、。例如,目标可能是一个OSI层实体,一个文件,或一个实系统。访问请求代表操作和操作数,它们构成一个试图进行的访问的基本成分。GB/T 18794.3-2003/ISO/IEC 10181-3 ,1996 AEF确保发起者在目标上只能执行由ADF确定而允许的访问。当发起者做出在目标上执行特定访问的请求时,AEF就通知ADF,需要进行判决以便能做出决定。为了做出这一判决,要给ADF提供访问请求(作为该判决请求的一部分)和下列几种访问控制判决信息(ADD发起者ADI(由绑定到该发起者的ACI所导出的ADI),目标ADI(由绑定到该目标的ACI所导出的ADI),一一访问请求ADI(由绑定到该访问请求的
24、ACI所导出的ADI)。ADF的其他输入是访问控制策略规则(来自该ADF的安全域机构),以及解释ADI或策略所需要的任何上下文信息。上下文信息的示例包括发起者的位置,访问时间,或使用的特殊通信路径。基于这些输入,可能还有以前判决中保留下来的ADI,ADF可以做出允许或禁止发起者试图对目标进行访问的判决。该判决被传递给AEF,然后AEF或者允许将访问请求传给目标,或者采取其他适当的动作。在许多情况下,发起者对一个目标所做出的连续访问请求是相关的。一个典型的示例是,在一个应用中打开与对等目标应用进程的连接后,试图用同一(保留的)ADI执行几个访问。对有些随后通过该连接进行通信的访问请求,可能需要给
25、ADF提供附加的ADI以便它允许访问请求。在另一些情况中,安全策略可要求一个或多个发起者与一个或多个目标之间的某些相关访问请求受到限制。在这种情况下,ADF可使用先前涉及多个发起者和目标的判决中所保留的ADI来对特定访问请求做出判决。对于本条款,一个访问请求如果得到AEF允许,它只涉及一个发起者与一个目标的一个交互。尽管发起者和目标之间的有些访问请求与其他访问请求完全无关,但常常会存在这样的情况,即两个实体进人一个相关的访问请求集合中,如询问响应模式。在这样的情况下,实体根据需要同时或交替承担发起者和目标角色,并可能采用各自的AEF组件、ADF组件和访问控制策略来对每一个访问请求执行访问控制功
26、能。5.2.2 其他访问控制活动5.2.2.1 建立访问控制策略的表示通常用自然语言将访问控制策略陈述为概括性的原则,例如,只允许某一级别以上的管理者才能检查雇员的工资信息。将这些原则转换成规则是一项工程设计活动,它必须在其他访问控制活动之前进行,但它不属于本安全框架的范畴。第6章中将概述访问控制策略的概念.5.2.2.2 建立ACI的表示在这项活动中,要对实系统(数据结构)中的ACI表示和实系统之间的交换(语法)做出选择。在本安全框架中讨论了一系列可能的表示。ACI的表示必须能够支持特定访问控制策略的需求。有些ACI表示可能在实系统中和实系统之间都适用.不同的ACI表示可用于不同的目的以及用
27、于特定的元素中间。经选择的ACI表示可看成模板,为安全域中的元素赋以特定的ACI值(如下一条款中讨论的那样)。建立ACI表示的一个方面就是决定可被指定给安全域中元素的ACI值的类型和范围(而不是哪种类型可以指定给特定的元素)。为进行访问控制管理或实现实体和访问控制功能之间的ACI交换,而在实系统之间进行交换的ACI的表示是候选的OSI标准化对象。但OSI标准化并不关心在实系统中如何表示ACI或如何将ACI递交给本地ADFo保护ACI的交换在7.2中讨论。就OSI应用(以及可能的其他应用)而言,合适的做法是把ACI表示看作由属性类型属性值对组成的属性。5.2.2.3 给发起者和目标分配ACI在这
28、一活动中,分配给一个元素的ACI具体属性类型和属性值是由SDA、SDA代理或其他实体(如资源拥有者)指定的。这些实体可根据安全域策略指定或修改ACI的分配。由一个实体分配的ACI可通过由另一个实体已经绑定到它的ACI加以限制。当有新元素添加到安全域中时,给元素分配GB/T 18794.3-2003/ISO/IEC 10181-3: 1996 ACI是一个不间断的活动。注.授予访问权的管理活动有时就是指授权。在给发起者或目标分配ACI时就包含这一层意思。ACI可以是关于单一实体的信息,也可以是关于实体间关系的信息。分配给一个发起者的ACI可以完全是关于那个发起者的,或者是关于那个发起者和特定目标
29、之间的关系,或者是关于那个发起者与可能的上下文之间的关系。于是,分配给一个发起者的ACI可以包括发起者ACI,目标ACI,或上下文信息。类似地,分配给目标的ACI可以包括目标ACI,发起者ACI(对于一个或多个发起者),或上下文信息。在实际操作中,ACI必须被绑定到一个元素上(见5.2.2. 4),使得一个采用从绑定ACI导出ADI的ADF信任那条信息。因此,尽管给元素分配ACI对构造绑定ACI而言是先决条件,但只有绑定到一个元素的ACI才实际出现在实开放系统中。5.2.2.4 绑定ACI到发起者、目标和访问请求将ACI绑走到一个元素(即发起者、目标或访问请求)会在元素和分配给该元素的ACI之
30、间创建一个安全链接。绑定对访问控制功能和其他元素都提供保证,该ACI确实是指定给这一特定元素的,且绑定后没有发生任何更改。绑定通过使用完整性服务而获得。可能有几种绑定机制,其中有些依赖于元素和ACI的位置,而另一些可能依靠一些密码签名或封印处理。将ACI绑定到元素的完整性需要在发起者和目标系统内受到保护(例如,依赖诸如文件保护和进程分离之类的操作系统功能),并且在ACI交换中也是这样。既然一个元素的ACI可存在几种可能的表示(包括在系统中以及系统之间),那么对同一个ACI可使用不同的绑定机制。在某些安全策略下,还需要维护ACI的机密性。当有新元素添加到安全域中时,对元素的ACI绑定是一种不间断
31、的活动。一个SDA,它的代理或其他允许的实体,可根据适用的安全策略任意删除或添加ACI绑定。在需要表达对安全策略或属性的变更时,SDA可对绑走到元素的ACI进行修改。绑定ACI可包括有效期指示器,从而使以后可能需要撤销的ACI量减到最少。ACI绑定到一个元素的时机以及使该绑定机制被引用的实体,与元素类型有关。发起者将通过一个SDA或SDA的代理在它们有能力进行访问时把ACI绑定到它们上面。所有目标将通过一个SDA或SDA的代理在可访问前把ACI绑定到它们上面。那些由代表一个用户的应用或另一个应用创建的目标,将在创建时或创建之后把ACI绑定到它们上面。绑定到这种目标的ACI可受到绑定到该用户或该
32、应用的ACI的局限性的限制。在试图访问前,由一个用户或应用、或者由代表用户或应用的SDA或SDA的代理,把ACI绑定到一个访问请求上。而且,绑定到该访问请求的ACI可受到绑运到该用户或应用的ACI的局限性的限制。通常的情况是访问请求导致创建一个新的目标实体(例如,在某些系统间传送一个文件时)。可在绑定到该访问请求的ACI中指定(或由此导出)这样的一个目标ACI,5.2.2.5 便ADI对ADF可用如果访问控制策略允许以及使用中的绑定机制认可的话,可由发起者或目标选择一个绑定到发起者或目标的ACI子集,在ADF中进行特定访问控制判决时使用。绑走到一个元素的ACI可暂时绑定到另一个元素,例如,当一
33、个实体代表另一个实体行动时。为了完成它的功能,图2的各种ADI必须对ADF可用。注意本条款中对实体、功能或ADI的物理分布没有做任何假设,也没有假设怎样输入才可对ADF可用。在5.3、5.4和附录D中将讨论实体和分布式功问控制组件间可能的一些关系。对发起者ADI、目标ADI或访问请求ADI,存在三种可能性a) 在分配ACI值后,ADI可被预置到一个或多个ADF组件;b) ADI可由在访问控制进程(可能与试图进行的访问连同)中递交给ADF组件的绑定ACI导出;c) ADI可由从其他来源(例如,一个目录服务代理)所获得的绑定ACI导出。根据需要,或者由GB/T 18794.3-2003/ISO/I
34、EC 10181-3: 1996 发起者或目标获得绑定ACI对ADF来说,这点不与b)区分.或者由ADF获得绑定ACI对发起者或目标来说,这一点不与a)区分。没有规定ADF通过何种方法获得绑定ACI和导出这个ADL发起者绑定ACI没有必要由发起者递交,目标绑定ACI没有必要由目标递交,访问请求绑定ACI也不必与访问请求道递交。ADF必须能够明确地确定ADI已由适当的SDA从绑定到元素的ACI导出。在7.2中讨论提供此保证的方法。5.2.2.6 修改ACISDA可根据需要修改已分配并绑定到一个元素的ACI,以表示变化中的安全属性。ACI可在分配给元素后的任何时间被修改。如果修改降低了发起者对目标
35、访问的可允许度,则这种变更有可能要求撤销该ACI以及由其导出而可被ADF保留的ADI。5.2.2.7 撤销ADI撤销ACI后,任何试图使用由该ACI导出的ADI必然引起访问不被接受。在撤销ACI之前,应防止进一步使用由该ACI导出的ADI.否则试图使用它必然引起访问遭到拒绝。当撤销ACI时如果基于以前导出ADI的一个访问正在继续,那么,正在起作用的访问控制策略有可能要求终止该访问。5.2.3 ACI转发在分布式系统中,常见的需求是一些实体请求其他实体代表它们去执行访问。发起者和目标是由实体所承担的角色,尽管并不是所有的实体都可承担这两个角色。个实体在它本身担当另一个作为发起者的实体的目标的时候
36、,还可同时承担对一个实体的发起者。图3示出实体A请求实体B对另一个实体C实施访问的基本概念。在图3中没有说明在这样种链式访问中可能涉及的些访问控制组件。图3ACI转发这一基本概念有许多变种。这些变种在策略所要求的ACI的组合上有着明显的不同,这些策略必须存在,以允许进行这样的链接访问,并表明如何使该ACI对合适的访问控制组件可用。在某些策略下,除为了A而执行访问已将ACI绑定到B以外,B可以不需要ACI,在另一些策略下.B将仅使用从A得到的与该访问相关的ACI,而在一般情况下,必须使用绑定JA和B的AClo下面的示例将说明可能的些变种:a) 在最简单的可能性中.A可要求B执行一次访问,因为B的
37、ACI对执行A的那个访问请求是充分的。b) 对适当的访问控制组件所批准的访问请求,A可能需要提供部分或全部ACI:1) A可提供ACI,办法是把它与访问请求一起传给B,2) 在请求B执行访问之前,A可请求来自C的预先授权。在这种情况下.A应将ACI提供给C.而C接着给A提供一个权标。A将这个权标随同请求的访问一道发送给B.然后C将这个权标识别为先前授权的一个记录。(参见附录F对这种情况的更详细描述。)图3可推广到任何数量的具有最终目标实体AEF的中间实体,这些AEF主要以从序列中的一个或多个实体中所获得的ACI为依据做出访问判决。附录B对复杂的间接访问链中发起者和目标之间的交互有更详细的描述。
38、注g访问控制策略的设计者应意识到,稍不留意,这种传递访问可能使那些原本并不被直接许可的访问获得许可的访问团5.3 访问控制组件的分布AEF或ADF可由一个或多个访问控制组件构成。访问控制功能可分布在访问控制策略允许的组件中。上面所提出的基本访问控制功能是与组件位置、它们之间的通信或它们的可能分布方面的考虑GB/T 18794.3-2003/ISO/IEC 10181-3 ,1996 无关的。AEF配置在每个发起者目标实例之间,以便发起者仅通过AEF就能作用于目标。AEF和ADF组件有几种可能的物理示例。ADF组件可以与,也可以不与一个AEF组件搭配使用。ADF组件可为一个或多个AEF组件服务。
39、同样.AEF组件可使用一个或多个ADF组件。一个AEF组件和一个ADF组件的搭配可能在效率和及时性(减少延迟)方面有优势,并且也可以免除AEF和ADF之间通信保护的需求。为几个AEF组件服务的ADF组件可能在减少分发ACI的需求和使相关安全功能如审计之类减少复杂程度方面有优势。在附录D中有ADF和AEF组件、位置以及关系示例的讨论,它们是应用于单个发起者和单个目标的。组件位置的安排可能基于下列一种或多种的考虑。5.3.1 入访问控制SDA可认为,在一个目标上有人访问控制就足够了。在这种情况下,一个目标AEF组件实施一个人访问控制策略,并且目标不能接收与该目标的访问控制策略不一致的访问请求。这就
40、意味着由发起者发送的访问请求将到达目标AEF.并将受到目标AEF的检查以证实它们满足ADF组件实施的访问控制策略。5.3.2 出访问控制SDA可认为,重要的是使用发起者本地的访问控制组件来防止对目标的非授权访问(例如,当目标访问控制系统实现的质量不高时,或者,如果没有首先检测该请求的访问已经获得了授权,就不应该消耗可用的网络资源l.在这种情况下,发起者AEF对出访问控制是必要的。此时,发起者不能实现与发起者安全域的访问控制策略不一致的访问。5.3.3 插入访问控制SDA可认为,重要的是对发起者和目标之间的访问进行过滤,在这种情况下.AEF可插在发起者和目标之间。插入的AEF然后可实施出和入两种
41、访问控制策略.这些访问控制策略可与发起者的及目标的安全域访问控制策略无关。5.4 跨多个安全域的访问控制组件分布安全域之间也许会形成关联,使得在一个安全域的资源能被别的安全域访问。可能涉及到多个安全域的情况,但在许多实例中并不是所有的安全域都很明确。一些安全域提供ACI.一些对一个访问实施控制,还有一些则两者都做。这样的安全域可包括一一将ACI绑定到该发起者的安全域$一一发起者所在的安全域;将ACI绑定到该访问请求的安全域;将ACI绑定到该目标的安全域$目标所在的那个安全域;做出访问控制判决的安全域;执行访问控制判决的安全域。访问控制过程类似于在同-SDA下的全部AEF和ADF组件的情况,如5
42、.3所述,其中附加了SDA间和域间关系以及域间通信的复杂性。域间通信包括:SDA之间的通告,或者进行了新的绑定ACI操作或ACI修改操作的SDA代理之间的通告;在试图访问时为证实并转换ACI和访问控制策略的表示而进行的请求,以及对这些请求作出的响应;一一访问请求以及对这些请求的响应。5.5 对访问控制的威胁ACI和访问控制功能可分布在若干实系统和安全域中。ACI可能通过不安全的通信设施进行通10 GB/T 18794.3-2003/ISO/IEC 10181-3 ,1996 信,并且它可能被不同SDA下运行的组件进行处理。当涉及不同的SDA时,需要在SDA间建立信任关系。在这些情况下应该考虑的
43、威胁是:由一个貌似适当的AEF或ADF的实体进行假冒g绕过一个AEF,一一拦截、重放和修改ACI或其他与访问控制相关的通信;由别的、而不是预期的发起者使用ACI,由别的、而不是预期的目标使用ACI,由别的、而不是预期的访问请求使用ACI,在错误的ADF上使用ACI,预期的约束范围外使用ACL在7.2中给出了可能的实现防止访问控制威胁的方法。6 访问控制策略访问控制策略表示一个安全域中的某种安全需求。访问控制策略是ADF行动的一组规则。若干考虑因素可包括在安全控制策略中和作为规则包括在其表达式中。这些考虑中的一种或多种可应用到特定的安全策略中。有些访问控制机制比其他一些更容易适应特定的考虑(见第
44、8章)。注:在这里不考虑那些虽满足安全策略、但却与其他安全服务(如机密性、完整性)有关的访问控制机制。访问控制策略的两个重要而有区别的方面是它的表示方式和管理方式(6.1和6.2)。通常,行政管理强加的访问控制策略使用安全标签来表示和实现,而用户挑选的访问控制策略则按可选择的方式来表示和实现。不过,访问控制策略的表示、它的管理、以及用来支持它的机制,在逻辑上是相互独立的。6.1 访问控制策略裹示6. 1. 1 访问控制策略分类在GB/T9387.2一1995中识别了基于规则和基于身份这两类安全策略。基于规则的访问控制策略是想让这种策略应用于由安全域中任意发起者对任何目标的所有访问请求。而基于身
45、份的访问控制策略是基于一些特定的规则,这些规则是针对单个发起者、一组发起者、代表发起者进行行动的实体、或扮演一个特定角色的原发者的。上下文能修改基于规则或基于身份的访问控制策略。上下文规则可有效定义整体策略。实系统通常将使用这些策略类型的组合;如果使用基于规则的策略,那么基于身份的策略通常也有效。6. 1. 2 组和角色按照发起者组或按照扮演特定角色的发起者来陈述的访问控制策略,是基于身份策略的特殊类型。组是一群发起者,当执行一个特定的访问控制策略时,认为其成员是平等的。组允许一群发起者访问特定的目标,不必在目标ACI中包括单个发起者的身份,也不必显式地将相同的ACI分配给每个发起者。组的组成
46、由管理行为确定,创建或修改组的能力必须取决于访问控制。可能需要也可能不需要不区分其成员而按组来审计访问请求。对允许一个用户在组织内执行的功能则用角色来表示其特征。一个给定的角色可适用于某一个人(例如部门经理)或几个个人(例如出纳员,信贷员,董事会成员)。可按层次使用组和角色以组合发起者身份、组和角色。6. 1. 3 安全标签按照安全标签表达的访问控制策略是基于规则的安全策略的特殊类型。发起者和目标分别与命名的安全标签相关联。访问决策则基于发起者与目标安全标签的比较。这些策略通过规则来表达,而规则则描述在具有特定安全标签的发起者和目标之间可以发生的访问。利用安全标签的访问控制策略表示,在用于提供
47、完整性和机密性(保护)形式时特别有用。11 GB/T 18794.3-2003/ISO/IEC 1018 1-3, 1996 6. 1. 4 多个发起者的访问控制策略有许多按照多个发起者陈述的访问控制策略。这些策略可以识别单个发起者,或同一组或不同组成员的发起者,或担当不同角色的发起者,或这些发起者的若干组合。这种多参与者的访问控制策略示例包括:一一被特别识别的那些个体必须同意拟完成的访问。通常必须同意担当特定角色的发起者的访问,如公司董事长和财务部长。不同组的两个成员必须都同意访问,如公司的任何官员和董事会的任何成员。此示例中,策略很可能要求同一个体不能在两个组中充当角色,这样个体的身份和组
48、的成员关系就能成为被ADF使用的ADI部分。一定数量的组成员(可能是大多数)必须都同意访问。6.2 策略管理本条识别三个方面的策略管理。6.2.1 固定的策略固定的策略是那些一直应用又不能被更改的策略,例如,那些被构建在系统内的策略。6.2.2 行政管理强加的策略行政管理强加的策略是那些一直应用,并且只有被适当授权的人才可更改的策略。6.2.3 用户选择的策略用户选择的策略是那些可为发起者和目标的请求所用的,并且只应用于这样的访问请求涉及发起者的,或者目标的,或者发起者或目标的资源的。6.3 粒度和窑度访问控制策略可在不同的粒度级别上定义目标。每一个粒度级别可有它自己的逻辑上的分离策略,并可限
49、定使用不同AEF和ADF组件(虽然它们可能使用同样的ADl)。例如,对一个数据库服务器的访问可被控制为该服务器仅作为一个整体的访问$也就是说,要么完全拒绝发起者访问,要么允许访问服务器上的任何东西。另一种选择是,访问可控制到对单个文件,文件中的记录,或者甚至是记录中的数据项。特定的数据库可以是目录信息树,对其访问控制粒度可以在整个树一级,或树内的子树,或树的条目,或者甚至是条目的属性值。粒度的另一个示例是计算机系统和该系统中的应用。通过规定一种策略,容度可用来对一个目标集实施访问控制,只有在对包含这些目标的一个目标被允许访问时,该策略才允许访问这些目标。容度也应用在包含于大组里的发起者子组。容度概念常常应用在互相关联的目标中,例如数据库中的文件或记录中的数据项。在一个元素被包含在另一个元素之中的情况下,在试图访问经密封的元素之前,有必要给发起者赋予通过该密封元素的访问权力。除非这些安全策略的设计者谨慎使用,否则,为一个策略所拒绝的访问实际上却可能意外地被另一个策略所允许。6.4 继承规则新元素可通过拷贝一个现存元素、或修改一个现存元素、或合并现存元素、或
