安全访问策略范文(精选12篇)
安全访问策略 第1篇
本文提出一种基于虚拟隔离机制的云盘安全访问模型ACIM (Access to Cloud Disk via Virtual Isolation Mechanism) , 理论分析表明该模型能够防止企业或组织内部云盘敏感文件数据泄露。同时该模型实现了面向私有云存储的电子文档集中管控系统 (CFS) , 测试并分析了终端主机上CFS系统对文件读写操作性能的影响。
1 ACIM模型
企业或组织内各终端主机上的电子文件一般与其自身业务相关, 在使用过程中面临各种安全风险。本文对文件数据所有权作如下假设。
假设l:企业或组织内所有文件数据归自身所有, 即云盘和云存储服务器内所有文件数据的所有权主体是企业或组织, 成员个体对文件数据仅具有使用权限, 不具有所有权。
根据该假设可知文件数据在使用过程中面临两类威胁主体:内部威胁即内部成员, 他们可能会有意无意地泄露以及通过网络和外部设备泄露;外部威胁即网络黑客、木马等。
此外, 云盘系统的运行环境比较复杂, 涉及网络、服务器等各种安全风险, 在本文中为了简化问题提出如下假设。
假设2:云盘在主机上以文件夹的方式存在, 该文件夹内所有文件数据是企业或组织成员所在云存储服务器账号内文件数据的镜像。
假设3:云盘文件数据与企业或组织成员对应云存储服务器账号内文件数据保持双向实时同步, 即任何文件数据在云盘或云存储服务器内的改变都会立即同步更新, 使文件数据在云盘和云存储服务器内是一致的。
假设4:云盘和云存储服务器内文件数据以密文方式存储, 使用安全可靠的密钥管理系统;云盘与云存储服务器之间的通信安全可靠;云存储服务器上的文件数据安全可靠。
基于上述假设, 本文提出了云盘文件虚拟化隔离安全访问模型, 其主要思想如下:把终端主机上的进程分为可信进程和非可信进程两类;云盘文件以密文方式存储, 所有进程对它的访问操作都须经过I / O代理进程转发, I / O代理进程以透明写加密/读解密的方式对云盘文件进行读写操作;非可信进程禁止访问云盘文件, 可信进程一旦访问云盘文件, 它的状态转变为受控进程, 被强制置于虚拟隔离运行环境中运行;在该环境下, 受控进程对数据访问处于安全隔离状态, 保证数据不外泄。
云盘文件虚拟化隔离访问模型的数据流向主要由以下三部分构成。
(1) 安全云盘。它以网络硬盘形式展现, 云盘内的文件通过数据加密方式安全存储在本地, 同时通过实时双向文件同步技术, 以加密安全传输的方式与云存储服务器保持同步, 副本以密文方式存储在云端。
(2) 虚拟隔离运行环境 (Virtual Isolated Execution Environment, VIEE) 。当进程尝试读取云盘内的文件时, 该进程将转变为受控进程, 被强制置于在该环境下隔离运行, 隔离包括下面五个方面:
第一, 受控进程运行时, 内存数据被隔离保护, 无法与非可信进程进行交互;
第二, 受控进程对云盘文件的读写操作, 全部由I / 0代理进程进行安全控制;
第三, 受控进程以只读方式使用本地磁盘数据, 对本地存储所有文件的写操作都通过I / O代理进程以重定向方式, 加密写入临时安全缓存进行隔离, 读取时通过代理程序解密读取;
第四, 受控进程只能以只读方式使用本地外设 ( 如u盘, 打印机等) , 写操作被禁止;
第五, 受控进程只能访问指定的可信网络, 隔离其对风险网络的访问。
(3) I / O代理进程。系统内所有进程对云盘和临时安全缓存内文件的访问都需要经过该代理程序, 由该程序根据策略对其操作进行控制, 若该进程为可信进程, 则对云盘内文件进行透明读写操作, 并把结果数据安全转发给访问进程, 非可信进程禁止访问云盘和临时安全缓存。
通过上述云盘文件虚拟化隔离安全访问机制, 用户登录云盘后就可以十分安全地使用自身数据, 非可信进程无法入侵, 只有受控进程可以访问, 敏感数据加密存储, 且在隔离运行环境下安全使用, 防止泄漏。
2 VIEE实现
隔离控制的核心是程序运行环境, 本质上可以看作是将数据与程序一起划分安全域, 而实际上访问云盘文件的受控进程运行时, 它须访问相关配置文件和临时文件 ( 由于这些文件是进程运行必需的, 本文称这些文件为进程运行文件, 简称运行文件) , 这些文件一般在云盘外, 对于这种可能跨越安全域和非安全域的进程, 单纯的隔离虽然可以保证数据安全性, 但是会造成进程运行环境被破坏, 导致进程运行错误。
本文在Windows平台下设计并实现了一个虚拟隔离运行环境 (VIEE) , 图1是隔离虚拟运行环境模型。它把可信网络、 临时安全存储、云盘和受控进程划为一个安全域。在该环境内, 利用网络访问过滤技术, 受控进程只允许访问可信网络; 利用内存空间保护技术, 受控进程的运行内存空间被监控和保护, 防止非法进程跨进程读取敏感数据;利用文件过滤驱动技术, 受控进程访问运行文件被单向隔离控制。通过综合运用这三种技术构成虚拟隔离运行环境, 使数据只会在安全域内流动, 防止敏感数据外泄。
基于网络包过滤技术, 受控进程根据访问控制列表ACL对受控进程的网络访问进行数据包过滤, 使它只能与可信网络进行通信, 同时为了保证数据的安全性, 要求可信网络内所有进程都处于隔离虚拟运行环境内运行。
基于内存空间保护技术, 利用API H00K监控受控进程对剪贴板和跨进程读写操作, 禁止非可信进程访问剪贴板内敏感数据, 允许可信进程访问剪贴板内敏感数据, 但是它一旦访问, 就会被标注为受控进程, 被强制置于VIEE下隔离运行。
基于文件过滤驱动技术, 受控进程对非云盘内文件进行写操作时, 将会触发动态重定向操作:若是创建或写运行文件请求, 则在临时安全缓存中拷贝产生对应的副本文件, 再将该请求重定向到临时安全缓存中进行访问;如果是其他访问请求, 如读请求, 则将请求重定向到对应的副本文件, 对该副本进行操作。通过重定向操作, 可以确保受控进程可以任意读取U盘等外设内文件数据以及本地存储的运行文件数据, 但是使用中这些数据只会在安全域内流动。为了不影响上层应用程序的执行, 重定向操作需要在应用层以下实现, 并且对上层应用透明, 本文基于开源dokan开发库实现[1]。
3结语
本文针对现有私有云在安全保密方面存在的不足, 提出了一种基于虚拟隔离机制的安全访问策略。云盘内文件内容在访问和使用过程中被限制于云盘和临时安全缓存内, 云盘和临时安全缓存内的文件数据是加密存储的, 只能由受控进程访问, 因此, 外部威胁主体如木马、病毒进程无法解密访问, 而对于内部威胁主体即企业内部成员, 虽然通过受控进程可以进行解密访问, 但是无法携带明文数据离开该主机和云盘系统 ( 除非在信息安全管理员授权许可的情况下) , 防止泄密事件发生。
参考文献
访问控制策略配备管理制度 第2篇
[日期:2010-12-18] 作者: 浏览:367
第一章 总则
第一条 为加强对网络层和系统层的访问控制,对网络设备和安全专用设备,以及操作系统和数据库系统的安全配置和日常运行进行管理,保障信息网络的安全、稳定运行,特制订本制度。
第二条 本制度暂时适用于海南电网公司(以下简称公司)本部的信息系统的所有网络设备和安全专用设备,以及操作系统和数据库系统的访问控制策略配置管理。分公司、直属各单位及其他联网单位可参照执行。
第二章 访问控制策略的制定
第三条 公司本部的信息管理部门负责访问控制策略的制定和组织实施工作,并指定网络管理员协同系统管理员、数据库管理员负责有关工作。
第四条 在制定本单位的网络访问控制策略、操作系统访问控制策略和数据库系统访问控制策略前,应掌握以下已形成文档的资料,并必须根据变化作出即时的更新:
公司域网的详细网络结构; 各个业务应用系统的安全要求; 各个业务应用系统的数据流情况;
不同系统及网络之间的访问控制及数据传输要求; 各种连接的访问权限;
各个服务器系统及其承载应用服务的安全要求; 各个服务器操作系统的访问控制及安全要求; 各个服务器数据库系统的访问控制及安全要求; 各个终端计算机或各种用户群的访问控制及安全要求。
第五条 制定的访问控制策略要求体现以上文档的要求,并根据以上文档的更新作出相应的修改。制定的网络访问控制策略必须包含内部远程访问控制和外部远程访问控制两部分;制定的操作系统和数据库系统访问控制策略必须包含特权用户和普通用户两部分;还应制定对各种用户群的访问控制策略。第六条 内部远程访问是指公司内部人员通过拨号等方式远程接入本单位的内部公司域网。如用户确因工作需要要求内部远程访问,应填写《内部人员远程访问审批表》(参见附表1)。经被远程登录方信息管理部门负责人批准同意后,由被远程登录方网络管理员分配远程访问的用户名和口令。批准远程访问的时间结束后,网络管理员应及时变更远程访问的用户名和口令。
第七条 外部远程访问是指外单位人员因故需通过拨号方式对信息系统进行远程登录维护,或外单位因业务需要需通过拨号方式接入等。进行外部远程访问前,有关业务系统的系统管理员应填写《外部人员远程访问审批表》(参见附表2),并要得到信息管理部门负责人以及有关业务管理部门负责人批准。对于需进行远程登录维护的情况,有关系统的系统管理员应监控整个外部远程访问过程,确保系统安全,并且在外部远程访问结束后,应及时拔掉电话线,关闭调制解调器的电源,并更改用于外部远程访问的用户名和口令。
第八条 网络及安全专用设备访问控制。内部网络所使用的关键网络设备及安全专用设备的用户名和口令应由专人管理,并定期修改。用于管理有关设备的客户端软件应由专人管理,未经信息系统运行管理部门负责人同意,任何个人不得擅自安装或使用。第九条 不同网络之间的访问控制。公司本部以及直属供电公司的内部网络应根据各个生产业务系统的安全要求,采用物理分开或虚拟网等方式划分开不同的网络。不同网络之间应该有明确的边界,在边界应设置相应的网络安全设备,并根据不同网络的安全要求设置访问控制策略,在不同网络之间实现有效的流量和访问控制。
第十条 系统主机访问控制。系统主机操作系统和数据库系统的超级用户口令必须由专人保管、每月修改,注意保密。系统用户和一般用户的添加及权限的设定,需要按照系统运行安全管理制度要求填写《操作系统帐户授权审批表》或《数据库系统帐户授权审批表》,应经系统业务主管部门审批同意,由系统管理员统一处理,并建立用户资料档案。
第三章 访问控制策略的管理
第十一条 访问控制策略的制定、修改、审批管理。策略的制定、修改应提出申请,填写《访问策略变更审批表》(附表3),并经信息中心审批。审批同意后方可按照策略修改有关设备的配置,并要求做好相关的记录。
第十二条 网络管理员、系统管理员、数据库管理员和网络安全审计员原则上要求由不同的人专职或兼职担任。
网络安全审计员负责每月检查各种设备的配置及日志纪录,确定网络管理员、系统管理员、数据库管理员完全按照经过审批的网络访问控制策略配置有关设备且没有做过不正常的修改。
第十三条 网络管理人员、系统管理员、数据库管理员和网络安全审计员应分别每季度向信息中心的负责人报告有关设备的的运行情况及审计情况,以备检查。有关的文档应归档保存。第四章 附则
第十四条 本制度由海南电网公司信息中心负责解释。
第十五条 本规定自颁布之日起实行,有新的修改版本颁布后,本规定自行终止
轻松使用组策略限制磁盘文件的访问 第3篇
使用电脑的用户都有自己的秘密文件,特别是对于商务用户而言,自然不愿意让别人使用自己的电脑,以免造成商业机密的泄漏。但是有时又不能不让别人用自己的电脑,真是有点犯难了,其实这时我们可以通过简单的设置即将电脑的硬盘锁住,从而就可以让别人访问不到被限制的磁盘。这种方法是利用Windows XP的组策略进行设置的,十分便捷和实用。
首先点击Windows左下角的“开始一运行”,在对话框中输入“gpedit msc”然后确定。(如图1)
此时打开了“组策略”设置窗口。然后在“组策略”设置窗口中,依次打开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”选项。在右侧设置中找到“防止从‘我的电脑访问驱动器”选项并双击打开。(如图2)
在弹出的对话框中有三个选项,分别是“未配置”、“已启用”和“已禁用”。选择“已启用”,然后在下面就会出现选择驱动器的下拉菜单列表,如果要限制某个硬盘、硬盘分区甚至是光驱的使用。只要选中该驱动器就可以了。比如,我们要限制系统盘c:的使用,选中“仅限制驱动器C”即可。如果希望关闭所有硬盘、光驱等,可以选中“限制所有驱动器”,然后点击应用或保存设置即可。(如图3)
安全访问策略 第4篇
随着计算机和网络的发展和普及,每天产生大量的电子资料数据。由于计算机的硬盘的物理特性和网络的通信特性,使得存储其上的数据易于发生损坏和被窃取。本文研究将这些电子资料,能像货币一样在银行里安全储存,给予提供最安全的电子资源储存保障系统。在存储的时候不仅在本地计算机中保存,而且还同时在异地做安全备份,即使在某一地方发生了意外,其他地方提供数据恢复。
但在安全方面,Grid的安全是封闭的,P2P是开放的,没有认证、授权等;在连通性方面,Grid一般用高速网络连接,由于严格的账号审查,连入的节点数目少,接入机制死板,P2P一般具有间断连接性,节点数目也比Grid多很多;在接入服务方面,Grid提供远程提交批处理或交互式任务,P2P主要共享数据;在资源发现和存在管理方面,Grid资源发现主要是通过集中或分等级的模型,P2P中的节点周期的宣告自己的存在,并发现自己的邻居。鉴于网格和P2P计算的互补特性,考虑构建网格和P2P混合计算模型,利用P2P的特性解决网格中存的问题。
本文基于P2P协议和网格技术,针对网格数据库系统的安全性要求,以信息论为基础探讨一种适合于网格数据库的安全策略。
2 基于P2P协议的网格电子数据银行的模型系统
2.1 电子数据银行的模型
本模型基于OGSA(Open Grid Services Architecture),将网格环境中的数据库封装为GDS(Grid Database Service)。每个提供电子数据的用户可以通过身份验证加入和退出网格,并通知其他用户,用户之间通过中间件作为访问接口,并提供安全存取与访问机制。模型分层结构图如图1所示。
该模型分为三层结构,最上层用户层的应用程序为用户屏蔽了全网资源访问细节,把数据的存储、读取和计算交给下层的网格层;网格层的节点完成数据资源的并行计算和全网节点的身份安全认证;下层的P2P层为网格层的并行计算提供最基础的存储和计算资源。在P2P层对入网用户的PC机进行发现,提交网格层进行身份认证,并对认证成功的PC机进行汇聚,成为多个P2P子网络,作为独立的存储资源。模型中,网格层为应用层提供服务,P2P层进行资源的发现和汇聚。
2.2 数据资源接入电子数据银行网格的体系结构
电子数据银行网格的核心是把分布于互联网的各个节点协同一起,在现有信息传输、处理设施的基础上,对所有软硬资源及各种数据库资源进行有机融合,实现数据信息的高度共享。体系结构包含四层:应用层、数据资源计算层、数据资源发现层和数据资源层,具体组成如图2所示。
应用层,用户在应用层通过运行应用程序,来访问网格层提供的数据服务,并获得相应的授权。
数据资源计算层,该层封装了数据资源接入网格所需服务,包括数据服务注册、网格数据服务工厂、网格数据服务。提供用户层所需的数据服务,并对整个系统的安全和并行数据计算提供支持。
数据资源发现层,该层封装了接入服务的核心功能,可以接受客户端的数据操作请求(如查询数据、添加数据、修改数据和删除数据等),并对请求做出响应,管理数据传输和发布,进行最佳路由选择以及数据资源的发现和汇聚。最后将经过处理的执行结果及操作状态以响应文档的形式返回给用户。是实际的数据资源的终极执行者。
数据资源层,该层是各种数据所在的用户PC机。当PC机申请加入数据网格时,作为整个网格数据银行的数据资源提供者。
在该体系架构中,数据资源计算层的网格数据服务注册运行在注册服务器端,其他各层功能模块运行在PC机客户端,作为一个地理上完全分布,地位完全平等的数据资源提供者、计算者身份存在。用户首次登陆时,需要进行网格数据服务注册,通过P2P网络协议Tapestry协议把地理上分散分布的各个数据库节点构建成网格数据库系统,并实现节点间的信息查询和消息路由,动态组成多个P2P子网,并在每个P2P子网中选择一个根节点和其他子网进行信息交互。
当用户退出网格时,需要到网格数据服务注册服务器端进行注销,为了防止突然断电等突发性事件,网格数据服务注册模块需要定期进行扫描,对于一些长时间无操作的客户端,进行自动注销。
3 安全策略
由于P2P节点缺乏安全管理以及P2P协议缺少安全认证,安全问题在P2P网络中更为严重。另外,P2P网络中的不通节点是计算能力相差较大的异构节点,但在网格数据银行中,每个节点被赋予了相同的职责,没有考虑其计算能力和网络带宽,局部性能较差的节点将会成为网络瓶颈,影响整个网络性能,难以实现资源管理和负载平衡。同时,由于用户加入和离开P2P网络具有很大的随意性,使得用户获得目标文件具有不确定性,导致许多并非必要的文件下载,从而造成大量带宽资源的滥用。这些都是P2P网络中系统面临着巨大的挑战。
在本模型中,利用P2P的特性进行资源发现和资源聚合,利用网格的优点进行身份认证等安全措施,保证合法用户安全接入网格数据银行网,并采用相应的安全通信策略进行网间通信。
3.1 接入退出安全策略
由于网格电子数据银行的信息具有较高的保密性,防止非法用户的加入及篡改,新用户加入电子数据网格时,首先进行验证。本模型中注册采用集中式管理,防止非法用户入侵网格。采用目前流行的短信动态密码验证服务,用户申请加入网格电子数据银行时,GDSRC随机产生8位动态密码,通过电信平台发送给客户,进行首次身份认证,成功后,到网格数据服务注册中心(GDSRC)进行注册,注册成功则成为网格中的一员,并生成本次会话的SESSION_ID。以后GDSRC和网格中的其他成员间利用该动态密码和SESSION_ID进行加密通信。其接入模型如图3所示。
当用户离开网格电子数据银行网时,向GDSRC发送注销信息,由GDSRC向网格中的其他成员发送广播消息,宣称某成员的退出。由于基于P2P协议,P2P中的节点周期的宣告自己的存在,并发现自己的邻居,如果一个用户超过某给定时间没有和邻居节点进行信息交互,则认为该用户已经由于某种原因退出网格,其他节点从自己的路由表中删除该用户信息。
GDSRC有如下功能:其一,认证注册。接受用户的注册请求,根据用户提供的信息进行分析会诊,确定是否加入网格,并反馈给用户注册信息。其二,通知功能。当网格中的某一用户被举报为非法用户给GDSRC时,GDSRC根据情况进行确认,并广播通知网络中成员,使网格中成员从路由表中去除该非法用户,从而保证了整个网格数据银行中成员的安全接入及退出。
3.2 安全通信策略
当用户安全接入网格数据银行,将和网格中其他节点开始大量数据通信。目前,在传输层实现安全传输通道的协议是SSL协议,它采用对称加密和非对称加密相结合的方式,用对称算法加密传输的通信数据,用非对称算法来加密对称算法所用密钥。
目前的通信加密基于单向验证,本模型的各个节点处于平等地位,在通信时采用对称密码体制的双向身份验证协议。每个站点都生成一个非对称密码算法(RSA)的公钥对,其中私钥由站点自己保存,通过可信渠道把自己的公钥发布到网格中的其他节点,随后任意两个站点利用所获得的公钥信息即可相互通信。
其中在安全接入时所产生的8位动态密码和SESSION_ID,通过GDSRC广播给网格内所有的成员,以后每隔一定的时间,通信双方根据一定的算法生成相同的下一个8位动态密码,利用MD5算法生成最终的l28位对称加密Key,这就是双方的进行加密解密的私钥。在以后的通信过程中,采用当前时间戳的密钥进行保密通信。其具体实现如图4所示。
4 结论
网格电子数据银行主要负责把客户的数据资料共享,数据资料放在用户的PC机中,并能进行远距离处理并返回计算结果。本文通过把网格和P2P技术的结合,在网格系统体系结构上加入P2P技术的点对点通信,构造了一个网格和P2P计算混合模型,使用P2P技术解决网格中资源发现、规模性等问题,利用信息论通信模型及加密解密算法对整个通信进行安全管理。
本文的创新点是把网格和P2P计算技术有效的结合起来,给出了采用四层体系结构构构建网格电子数据银行的模型,扩展了网格服务注册中心的功能,采用点对点的对等加密通信模型,把动态密码和时间戳结合,有效的提高了网格通信的安全性能。并且该模型不会改变现有的网格系统结构,具有很好的可扩展性。
摘要:针对于传统网格在资源发现和资源整合方面的不足,提出了网格技术与P2P(Peer to Peer)技术之间进行协同和互补,构造了一个四层的基于P2P协议的网格电子数据银行模型。运用P2P协议进行点对点通信,进行消息路由和资源发现的优化,利用网格技术进行身份认证,资源调度和并行计算,加入了端点接入和通信安全策略。该模型可以解决网格的单点失效、资源搜索和安全接入保密通信等问题,同时增强网格的可扩展性。
关键词:网格技术,P2P协议,数据资源模型,接入安全,通信安全
参考文献
[1]桂小林.网格技术导论[M].北京:北京邮电大学出版社,2005.
[3]都志辉,陈渝,刘鹏.网格计算[M].北京:清华大学出版社,2002.
[4]Alexander Woehrer,Peter Brezany.A Monitoring Service for Relational Databases to Support Advanced Data Integration on the Grid[J].In Proceedings of the First International Conference on Complex Intelligent and Software Intensive Systems,2007.
[5]徐志伟,冯百明,李伟.网格计算技术[M].北京:电子工业出版社,2004.
[6]李鹏,蒋泽军,王丽芳.一种网格安全通信模型的研究与设计[J].信息安全与通信保密,2007,2:175-177.
服务器访问 向帐号设置要安全 第5篇
让特定用户具有访问权限
在通过网络访问局域网服务器中的共享资源时,我们常常不希望所有用户都能畅通无阻地访问服务器系统中的核心信息,例如存储在服务器系统中的单位隐私信息、财务信息以及人事任免信息等。要实现这样的访问目的,我们可以先将这些不允许他人访问的重要信息集中保存到一个特定的文件夹中,之后对这个特定文件夹进行访问权限设置,下面就是具体的设置步骤:
首先在本地计算机系统桌面中用鼠标双击“我的电脑”图标,在弹出的“我的电脑”窗口中单击“工具”菜单项,从下拉菜单中单击“文件夹选项”命令,在弹出的文件夹选项设置对话框中单击“查看”标签,并在对应标签页面中将“使用简单文件共享”选项的选中状态取消,再单击“确定”按钮关闭文件夹选项设置对话框;
其次依次单击“开始”/“程序”/“附件”/“Windows资源管理器”命令,在弹出的系统资源管理器窗口中找到保存了重要信息的目标文件夹,并用鼠标右键单击该文件夹图标,从弹出的快捷菜单中执行“属性”命令,打开目标文件夹的属性设置界面;
单击该属性设置界面中的“安全”标签,并在对应标签页面中单击“添加”按钮,在其后出现的设置对话框中单击“高级”按钮,再单击“立即查找”按钮(如图1所示),之后将那些允许访问目标文件夹的用户选中并加入进来,而将“everyone”帐号从列表中删除掉,以便禁止任何一位普通用户不经过授权就能畅通无阻地访问局域网服务器目标文件夹中的重要信息。完成上面的设置操作后,只有特定用户才能有权限访问局域网服务器中的重要文件夹,而没有授权的用户都不能通过“everyone”帐号访问服务器中的重要文件夹,那样一来指定文件夹的安全性就能得到有效保证了。
授予新用户共享访问权限
要是我们希望将局域网服务器重要文件夹的网络访问权限授予新的用户时,那可以先在本地计算机中创建一个新的用户帐号,并按照前面的操作方法将目标文件夹的访问权限授予这个新用户帐号,下面就是具体的设置步骤:
首先先创建一个新用户帐号;在创建新用户帐号时,我们可以依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,再用鼠标逐一双击“管理工具”/“计算机管理”图标,打开对应系统的计算机管理窗口;
其次在计算机管理窗口的左侧显示区域,依次点选“本地用户和组”/“用户”分支选项,在对应“用户”分支选项的右侧显示区域中,用鼠标右键单击空白区域,从弹出的快捷菜单中执行“新用户”命令,打开一个创建新用户的设置对话框(如图2所示);在该设置对话框中,正确输入新用户的帐号名称,同时设置好对应帐号名称的密码信息,最后单击“创建”按钮完成新用户帐号的创建任务。
下面重新打开局域网服务器中保存了重要信息的目标文件夹属性设置窗口,单击该属性设置窗口中的“安全”标签,并在对应标签页面中单击“添加”按钮,在其后出现的设置对话框中单击“高级”按钮,再单击“立即查找”按钮,之后将新创建好的用户选中并加入进来,最后单击“确定”按钮就可以了
限制用户通过网络来访问
如果想限制特定用户通过局域网中任何一台计算机访问服务器中的共享资源时,我们可以通过设置服务器系统的相关组策略参数,来禁止特定用户在所有计算机系统中通过网络访问服务器中的共享资源,这种限制方法常常会用于有“犯罪前科”的用户身上,以防止这些非法用户借共享访问之名来袭击局域网服务器,下面就是具体的设置步骤:
首先在服务器系统桌面中依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,再用鼠标逐一双击“管理工具”/“本地安全策略”图标,打开服务器系统的本地安全策略管理窗口;
其次在本地安全策略管理窗口的左侧显示区域中,用鼠标逐一展开“本地策略”/“用户权利指派”分支选项,在对应“用户权利指派”分支选项的右侧显示区域,用鼠标双击“从网络访问此计算机”组策略选项,打开如图3所示的目标组策略属性设置对话框;从该属性设置对话框的用户账号列表框中选中需要限制通过网络访问的用户账号,然后单击“删除”按钮,再单击“确定”按钮,那样一来被删除的特定用户日后就不能通过局域网任何一台计算机的网上邻居窗口寻找到局域网服务器的“身影”了,这样的话他也就不能通过网络访问局域网服务器中的重要共享资源了。
当然,要是我们希望任何用户不能在本地登录服务器系统时,也可以打开服务器系统的组策略编辑窗口,在该窗口的左侧显示区域依次单击“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”分支选项,在对应“用户权利指派”分支选项的右侧显示区域中,用鼠标双击“拒绝本地登录”目标组策略,在其后出现的目标组策略属性设置窗口中,将禁止进行本地登录的用户账号选中,并单击“删除”按钮,最后单击“确定”按钮,那样一来指定账号的用户日后将无法在服务器本地进行登录系统,而只能从局域网的其他计算机中进行远程登录服务器。
小提示:
对于WindowsVista系统来说,我们可以直接采用系统自带的文件夹加密功能来保护保存了重要信息的文件夹访问安全性,那样一来即使非法用户能通过网络访问到安装了WindowsVista系统的计算机,也无法顺利地查看到目标共享文件夹中的重要信息。为了避免不法分子随意访问共享文件夹,我们可以按照如下操作步骤来加密目标共享文件夹,以便只让拥有本地计算机系统合法账号的用户访问目标共享文件夹中的重要信息:
首先以系统管理员权限进入WindowsVista系统,依次单击该系统桌面中的“开始”/“程序”/“附件”/“Windows资源管理器”菜单选项,打开对应计算机系统的资源管理器窗口,从该窗口中找到目标共享文件夹,并用鼠标右击该共享文件夹,并执行快捷菜单中的“属性”命令,进入目标文件夹的属性设置对话框;
其次单击该设置对话框中的“常规”标签,单击对应标签设置页面中的“高级”按钮,进入目标共享文件夹的高级属性设置对话框,检查该对话框中的“加密内容以便保护数据”选项有没有被选中,一旦发现该选项还没有处于选中状态时,我们应该将它重新选中,再单击“确定”按钮返回;
下面再次进入“常规”标签设置页面中,单击“确定”按钮,那样的话WindowsVista系统将会依照目标文件夹或文件性质的不同而会自动弹出相应的提示信息,询问我们是否继续进行加密设置,例如在对目标共享文件夹进行加密时,WindowsVista系统会询问是否将加密设置自动应用到其下的子文件夹及文件,要是我们只对文件进行加密操作时,WindowsVista系统就会询问是否对它的父文件夹进行自动加密等,我们可以依照实际情况完成加密操作,
要是加密好目标共享文件夹后,那么我们在WindowsVista系统资源管理器窗口中会发现对应文件夹以绿色显示,查看它的加密属性信息时,我们会发现该共享文件夹只允许大家之前授权好的用户进行访问,而局域网中任何一位其他用户都无权访问。
不过,有一点需要提醒大家注意的是,对共享文件夹进行加密操作时,对应的文件夹只能保存在NTFS格式的磁盘中,并且加密过的文件夹日后就不能重复进行压缩操作了。
禁止组用户访问共享资源
倘若局域网中的用户比较多,我们现在只希望其中的一部分用户不能通过网络访问服务器中的共享资源,尽管我们可以按照前面的方法将所有允许访问的用户一一添加进来,不过这种操作方法比较费时,而且操作效率也不会很高。为了有效地提高操作效率,我们可以先为不能访问共享资源的所有用户创建一个用户组,然后修改服务器目标共享资源的安全属性信息,让指定用户组无权访问目标共享资源就可以了,下面就是具体的实现方法:
首先先创建一个用户组帐号;在创建新用户组帐号时,我们可以依次单击服务器系统桌面中的“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,再用鼠标逐一双击“管理工具”/“计算机管理”图标,打开对应系统的计算机管理窗口;
其次在计算机管理窗口的左侧显示区域,依次点选“本地用户和组”/“组”分支选项,在对应“组”分支选项的右侧显示区域中,用鼠标右键单击空白位置处,从弹出的快捷菜单中执行“新建组”命令,打开如图4所示的设置对话框,在该对话框中设置好合适的组名称,假设在这里我们将组名称设置为“黑名单”;之后单击“添加”按钮,从其后出现的用户账号列表框中,借助键盘中的Ctrl功能键将那些不允许通过网络访问服务器共享资源的所有用户账号一次性添加进来,最后单击“确定”按钮返回到如图4所示的设置对话框,再单击“创建”按钮,“黑名单”用户组就算创建成功了。
下面重新打开局域网服务器中保存了重要信息的目标文件夹属性设置窗口,单击该属性设置窗口中的“安全”标签,并在对应标签页面中单击“添加”按钮,在其后出现的设置对话框中单击“高级”按钮,再单击“立即查找”按钮,之后将新创建好的“黑名单”用户组选中并加入进来,并且将“黑名单”用户组下面的访问权限全部设置为“拒绝”,最后单击“确定”按钮就可以了。现在,所有加入到“黑名单”用户组中的所有组成员都将无权通过网络访问局域网服务器中的目标共享资源了。
让用户登录必须输入密码
有的时候,本地用户重新启动局域网服务器系统时,发现系统不需要输入密码进行身份验证就能直接进入服务器系统桌面中了,此时,局域网服务器中的重要共享资源将会完全暴露在用户面前,显然这是非常危险的。一旦我们发现服务器系统不需要输入密码就能直接登录时,我们必须按照下面的操作来强制服务器系统必须要求用户输入密码才能完成系统登录操作:
首先在服务器本地以系统管理员身份进入服务器系统,打开对应系统的“开始”菜单,从中点选“运行”命令,在其后出现的系统运行文本框中输入“regedit”字符串命令,单击“确定”按钮后,进入服务器系统的注册表编辑窗口;
其次将鼠标定位于注册表编辑窗口左侧显示区域的HKEY_LOCAL_MACHINE分支选项上,并从该分支选项下面依次点选目标注册表分支子项
SOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon,看看“Winlogon”子项下面是否存在“AutoAdminlogon”键值、“DefaultUserName”键值、“DefaultPassword”键值等,一旦看到这些键值已经存在的话,我们应该一一选中它们并将它们全部删除掉;
下面重新返回到服务器系统桌面中,依次点选“开始”/“运行”命令,在其后出现的系统运行文本框中,输入字符串命令“controluserpasswords2”,单击“确定”按钮后,打开对应系统的用户账户设置对话框;在该设置对话框中单击“用户”标签,进入如图5所示的标签设置页面,选中本地用户登录服务器系统时使用的特定账号,再选中对应设置窗口中的“要使用本机,用户必须输入用户和密码”选项,最后单击“确定”按钮保存好上面的设置操作,如此一来任何一位用户日后在本地登录服务器系统时,都需要正确输入用户账号对应的密码信息才能成功登录进服务器系统了,这样的话保存在服务器系统中的共享资源就不会被本地用户随意访问了。
小提示:
在实际管理和维护服务器的过程中,网络管理员时常会突然短时间离开服务器现场,此时很有可能会有一些不法分子趁机登录进入服务器系统,来偷偷访问保存在服务器中的重要共享资源。事实上,对于WindowsServer服务器系统来说,我们可以按照下面的操作步骤来快速查找到究竟是哪一些非法用户偷偷访问过服务器系统:
首先以系统管理员身份登录进WindowsServer2008服务器系统,从该系统桌面中打开“开始”菜单,从中点选“运行”菜单选项,在弹出的系统运行对话框中输入“gpedit.msc”字符串命令,单击“确定”按钮后进入对应服务器系统的组策略编辑窗口;
其次将鼠标定位于该组策略编辑窗口左侧显示区域中的“计算机配置”分支选项上,再从该分支选项下面依次点选“管理模板”、“Windows组件”、“Windows登录选项”组策略子项,在对应“Windows登录选项”组策略子项下面找到“在用户登录期间显示有关以前登录的信息”项目,用鼠标双击该组策略项目,打开一个标题为“在用户登录期间显示有关以前登录的信息”的组策略属性设置窗口(如图6所示),检查其中的“已启用”选项是否处于选中状态,要是发现该选项还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好设置操作,如此一来WindowsServer2008服务器系统日后就能自动记忆用户账号上一次登录服务器系统的状态信息了。
网络防火墙安全访问控制的实现 第6篇
关键词:防火墙;安全访问;访问控制
1概述
TCP/IP通信协议和Internet最初是面向科研人员的,因此,设计此协议的工作组认为用户和主机之间互相信任。大家能够进行自由开放的信息交换和共享,不会有人故意进行破坏。在这样的环境里,使用Internet的人实际上就是创建Internet的人。随着时间的推移。Inter-net变得更加有用和可靠,更多的用户参与进来,人越来越多,风险也越来越大。1988年11月的Internet蠕虫染指了数千台主机。从那时起,就不断有侵犯安全的事件报道。
如今Internet的安全问题成了人们关注的焦点,给认为Internet已经完全胜任商务活动的过高期望泼了一盆冷水,计算机和通信界一片恐慌。
从本质上,Internet的安全性可以通过提供以下两方面的安全服务来达到:一是访问控制服务,用来保护计算机和联网资源不被非授权使用;二是通信安全服务,用来提供认证、数据机要性、完整性和各通信端的不可否认性服务。这两种服务的实现,主要依赖于防火墙技术和加密技术。
防火墙的概念实际上是借用了建筑学上的一个术语。建筑学中的防火墙是用来防止大火从建筑的一部分蔓延到另一部分而设置的阻挡机构。计算机网络上的防火墙是用来防止来自互联网的破坏,如黑客攻击、资源被盗用或文件被篡改等波及内部网络的危害。
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段。也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙可以定义如下:它是设置在用户网络和外界之间的一道屏障,防止不可预料的、潜在的破坏侵入用户网络;在开放和封闭的界面上构造一个保护层,属于内部范围的业务,依照协议在授权许可下进行;外部对内部网络的访问受到的限制。
防火墙的设计包括以下两方面原则:
(1)过滤不安全服务
基于这个准则,防火墙应封锁所有信息流,然后对希望提供的安全服务逐项开放,对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。
(2)屏蔽非法用户
基于这个准则,防火墙应先允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址对未经授权的用户或不信任的站点进行逐项屏蔽。
总之,防火墙能增强机构内部网络的安全性。防火墙系统决定了外界的哪些人可以访问内部的哪些可以访问的服务,以及哪些外部服务可以被内部人员访问;要使一个防火墙有效,所有来自和通向外界的信息都必须经过防火墙,接受防火墙的检查;防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。
2防火墙的主要类型
通常将现在流行的防火墙划分为两大类:代理型和包过滤型。代理型防火墙又包括电路级网关防火墙和应用级网关防火墙。包过滤防火墙又可以分为静态包过滤型和状态监测型防火墙。
(1)电路级网关防火墙
它是一个通用代理服务器,它工作于OSI互联模型的会话层或是TCP/JP协议的TOP层。它适用于多个协议,但不能识别在同一个协议栈上运行的不同的应用,当然也就不需要对不同的应用设置不同的代理模块,但这种代理对客户端做适当修改。它接受客户端的请求。代理客户端完成网络连接。通过电路级网关的传递的数据似乎起源于防火墙,隐藏了被保护网络的信息。
(2)应用级网关防火墙
通常也称为应用代理服务器。它工作于OSI模型的应用层。在外部网络向内部网络或内部网络向外部网络申请服务时起到转接作用。
其工作过程为:首先,它对该用户的身份进行验证。若为合法用户,则把请求转发给真正的某个内部网络的主机,同时监控用户的操作,拒绝不合法的访问。当内部网络向外部网络申请服务时,代理服务器的工作过程刚好相反。应用网关代理的优点是易于配置,界面友好;不允许内外网主机的直接连接;可以提供比包过滤更详细的日志记录。
(3)静态包过滤防火墙
在网络层对进出内部网络的所有信息进行分析,并按照一定的安全策略进行筛选,允许授权信息通过,拒绝非授权信息。信息过滤规则以收到的数据包的头部信息为基础。在内部网络和外部网络之间。路由器起着一夫当关的作用。因此,包过滤型防火墙一般通过路由器实现,因而也称为包过滤路由器。
包过滤型防火墙的优点是逻辑简单,实施费用低廉,对网络的影响较小,有较强的透明性。并且它的工作与应用层无关,无须改动任何客户机和主机上的应用程序。易于安装和使用。其弱点是:配置基于包过滤方式的防火墙。需要对IP、TCP、UDP、ICMP等各种协议有深入的了解,否则容易出现因配置不当带来的问题:不提供用户的鉴别机制。
(4)状态监测型防火墙
就是对包过滤技术的增强。这种防火墙采用了一个在网关上执行网络安全策略的软件引擎,称之为监测模块。它工作在链路层和网络层之间,对网络通信的各层实施监测分析,提取相关的通信和状态信息,并在动态连接表中进行状态及上下文信息的存储和更新,这些表被持续更新,为下一个通信检查提供累积的数据。状态监视器的另一个优点是:能够提供对基于无连接的协议的应用(如DNS)及基于端口动态分配的协议的应用(如NFS)的安全支持,静态的包过滤和代理网关都不支持此类应用。总之,这类防火墙减少了端口的开放时间,提供了对几乎所有服务的支持,缺点是它也允许外部客户和内部主机的直接连接;不提供用户的鉴别机制。
另外,新近推出的自适应代理(Adaptive Proxy)防火墙技术。本质上也属于代理服务技术,但它也结合了动态包过滤(状态检测)技术。组成这种类型防火墙的基本要素有两个:动态包过滤器与自适应代理服务器。它结合了代理服务防火墙的安全性和包过滤防火墙的高速度等优点,在保证安全性的基础上将代理服务器防火墙的性能提高10倍以上。
3防火墙配置的实现
(1)双宿主主机防火墙
这种防火墙系统由一台特殊主机来实现。这台主机拥有两个不同的网络接口:一端接外部网络,一端接需要保护的内部网络,故被称为双宿主主机,也成为双宿主网关。防火墙不使用包过滤规则,而是通过在外部网络和被保护的内部网络之间设置这个网关(双宿主网关),隔断IP层之间的直接传输。被保护网络中的主机与该网关可以通信,外部网络中主机也能与该网关通信。但是两个网络中的主机不能直接通信,两个网络之间的通信通过应用层数据共享或应用层代理服务来实现,其配置实现如图1所示。
(2)屏蔽主机防火墙
屏蔽主机防火墙由一台过滤路由器和一台堡垒主机组成,其配置实现如图2所示。在这种配置中,堡垒主机配置在内部网络上,过滤路由器则放置在内部网络和外部网络之间。在路由器上进行安装。使得外部网络的主机只能访问该堡垒主机,而不能直接访问内部网络的其他主机。内部网络在向外通信时,也必须首先到达堡垒主机,由该堡垒主机来决定是否允许访问外部网络。这样,堡垒主机成为内部网络与外部网络通信的唯一通道。
堡垒主机是运行代理软件的计算机。它暴露在被保护的网络之外,入侵者如果穿透了过滤路由器,必须首先把该主机攻克。才能够进入到内部网络。
(3)屏蔽子网防火墙
屏蔽子网防火墙是目前流行的一种结构,其配置实现如图3所示。采用了两个包过滤路由器和一个堡垒主机,在内外部网络之间建立一个被隔离的子网,定义为“非军事区”,有时也称作周边网,用于放置堡垒主机、WEB服务器、Mail服务器等公用服务。内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过子网通信。在这一配置中,即使堡垒主机被入侵者控制,内部网络仍受到内部包过滤路由器的保护。
屏蔽子网防火墙的主要优点是它又提供了一层保护。一个入侵者必须通过两个路由器和一个应用网关,这比起屏蔽主机防火墙来要困难得多。
4结束语
创建和自动更改ISA访问策略 第7篇
许多院校都有控制学生访问外网的需求,例如有的学校不允许学生在实践课中访问游戏网站,有的学校不允许学生在实践课下载视频文件,有的学校不允许学生使用QQ等通讯工具,诸如此类,这些需求都可以通过ISA防火墙策略中的访问规则来加以实现。针对已设定的策略,若采用人为的方式进行修改的话,会很枯燥无味,效率也很低,可以利用代码自动更改访问策略的方式来解决这一问题。
1 ISA简介
ISA是目前唯一在Windows平台上,同时具有防火墙与网站缓存的服务器软件。其设计是针对使用Internet的安全需求,提供多层次的防火墙,并结合Microsoft ISA Server专用的防毒软件,在Internet推出的第一道关卡,保护网络资源,以避免病毒、黑客及未获授权的存取行为。并同时具加速内部对内与对外的存取速度,节省Internet网络频宽,并且提供使用者更快的Web存取速度。并进行Internet资源管理的功能。
ISA Server不但可以作为高效的Web代理、强大的防火墙、安全的VPN,还可以作为内部服务器的发布平台。同时,它可协助保护其环境免受内部和来自Internet的威胁。借助代理--防火墙的混合架构、深入的内容检查、细化的策略以及全面的报警和监控功能,它能够更加轻松地管理和保护网络。
国内对ISA在校园网的使用,大都局限于对软件的使用上,大多通过手工配置来实现管理和资源共享,针对更深层的应用等涉及的不多。
2 访问策略
访问策略决定位于源网络中的客户是否可以访问目的网络中的资源,ISA Server提供了常用的协议列表供选择,也可以使用增加附加的协议。在配置访问策略时,应用协议的所有通信。当用户使用某种协议请求一个对象时,ISA Server检查访问策略。只有在访问策略允许这个用户使用指定的协议访问这个请求的对象时,请求才会处理。否则将不处理用户的请求。
3 创建和自动更改访问策略
要创建符合特定要求的网络的安全链接,可以用ISA Serve将局域网连接到Internet中,并且创建允许内部用户访问特定的Internet主机的访问策略。或者说,限制用户访问某些特定的Internet主机的访问策略。这样就可以有效的控制实践教学过程,使之免受外部信源的干扰和破坏。
在创建访问策略之前,先来简要介绍一下一些重要的策略元素:
协议元素:限制了用户访问外网时所使用的网络协议。如果想让用户只访问一些特定网站,那么就可以在协议元素中限定用户只可以使用HTTP协议,这样就使得用户只能访问网站。
用户元素:可以控制有哪些人能访问外网。例如在实践课上,可以把某班的所有学生都创建一个账号和一个组账号。便于管理。
计划元素:可以用来表示时间范围。例如希望学生在早8∶00-12∶00这一时间段内有限制的上网,就可以通过计划元素就可以轻松完成。
容类型元素:负责将访问互联网的数据划分为音频,视频,文本,HTML文档等类型,利用内容类型可以更精细地控制学生对网络内容的访问,当然,ISA在这方面的功能上还存在一定的缺陷,应用其它的方法予以补充。
网络对象中包括了很多策略元素,例如计算机集,域名集,URL集等,例如想限定学生不能访问某网站,那就必须先通过网络对象对该网站进行定义,然后才能在访问规则中加以利用。
下面以学校的机房作为实验环境来说明如何创建访问策略。机房有80台学生用机,一台isa服务器等设备,如图1所示,目的是写出一条禁止访问规则,即学生在实践课时间(8∶00-12∶00),禁止访问新浪网站。
打开ISA服务器管理,根据向导创建需要的访问策略。过程如下:
打开新建访问向导,弹出的对话框,用户要给出访问规则名称。下一步要给出符合条件时要执行的操作,根据本实例的要求是禁止访问,所以要选择拒绝这个选项。下一步给出该规则要用的协议,根据实例的要求,选择所有出站通讯。由于是控制机房的学生访问外网,所以访问规则源我们用的是内部,再下一步要给出禁止访问的目标是什么,实例给出的是新浪。在用户集的选择中,我们选择的是所有用户。用户可以以各种身份登陆,然后进行访问外网的操作,本实例中,不涉及到限制用户的问题,因此选择的是所有用户。最后一步完成,在核对信息无误后,即可单击完成操作。
经过前面的操作,完成了满足要求的访问规则的创建,大家可以通过点击ISA服务器管理中的防火墙策略规则来查看设置内容,如图2所示。
通过上面的实例,大家已经了解了如何创建访问策略,与此同时,另一个问题就应运而生了,如果想让用户访问该网站,或者是在不同的时间段允许访问,又或者是对已有的被允许的策略想更改成拒绝,诸如此类。如何处理呢?通常是打开已有的策略,逐个的进行修改,这样反复的操作,既浪费时间,有枯燥,效率又不高。针对这一问题,笔者提出利用程序来自动进行修改,下面是部分代码:
4 结束语
在教学活动中,特别是在实践教学中,通过ISA的访问规则可以实现对学生上机的有效管理,这样既减轻了教师的工作压力,又能够有效的保障教学质量和实践环境。
参考文献
[1]楼建列,基于ISA的虚拟校园网构建及应用[J].电脑知识与技术(学术交流).
敏捷性访问控制策略的研究与应用 第8篇
访问控制是管理信息系统 (MIS) 中的重要环节, 是系统安全运行的有力保障, 对保证重要数据的保密性、完整性至关重要。访问控制策略及其实施机制控制着对信息和其他资源的访问, 对MIS系统的安全有着十分重要的意义。访问控制策略也称作授权策略, 它定义控制系统操作的规则, 是对系统访问控制需求的描述。现有的MIS系统中多应用:自主访问控制 (Discretionary Access Control, DAC) 策略、强制访问控制 (Mandatory Access Control, MAC) 策略和基于角色的访问控制 (Role Based Access Control Model, RBAC) 策略等。这些访问控制策略大多基于一些简单的静态属性, 如用户名、角色、用户等级等来决定访问权限。这些访问控制策略无法精确的定义访问控制需求, 不能根据情况变化动态配置, 无法适应现阶段复杂业务和复杂应用环境的需要。
本文提出了一种敏捷性访问控制策略, 它利用主客体的属性、环境变量和相关信息等来控制资源的访问, 能够更加灵活、更加精确地描述用户的各类访问控制需求, 并根据运行环境的改变迅捷地实施访问控制。这种敏捷性策略及其实施体系, 适用于大规模集成、保密要求较高的MIS系统, 能够有效满足各类访问控制需要, 保证重要数据和功能模块的安全。
1 访问控制策略研究
1.1 访问控制基本概念
访问控制是通过某种途径准许或限制主体对客体访问能力及范围的一种方法, 它是针对越权使用系统资源的防御措施, 通过限制对关键资源的访问, 防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏, 从而保证系统资源受控地、合法地使用。访问控制的目的在于限制系统内用户的行为和操作。
访问控制一般涉及以下几个概念:
(1) 权限是对信息系统中的数据或用数据表示的其他资源进行访问的许可。
(2) 角色:一个组织或任务中的工作或位置, 代表了一种资格。
(3) 用户:一个可以独立访问信息系统中的数据或用数据表示的其他资源的实体。
(4) 用户到角色:是指用户与角色集合之间的一个二元关系, 指明用户被委派的角色。
(5) 权限到角色:角色集合与权限分配之间的一个二元关系, 指明角色所拥有的权限。
1.2 传统的访问控制策略分析
传统的访问控制技术主要有三种:自主访问控制、强制访问控制和基于角色的访问控制。DAC把访问决定权留给了产生信息的信息主体;MAC则要求所有用户遵守由管理员建立的规则;RBAC则根据安全策略划分出不同的角色, 用户指派到角色, 根据角色访问资源。
(1) DAC是基于访问者的身份或所属工作组来进行访问控制的一种手段, 具有某种访问权限的访问者可以向其他访问者传递该种访问许可。其缺点是资源管理比较分散, 用户间的关系不能在系统中体现出来, 不易管理, 不能有效对系统中信息流进行保护, 信息容易泄漏, 无法抵御特洛伊木马 (Trojan Horse) 的攻击。
(2) MAC是基于被访问对象的信息敏感程度 (如用标签) 来表示, 这些敏感信息可以赋予该访问主体的访问权限来进行权限控制的。MAC对于不同类型的信息采取不同层次的安全策略, 并针对不同类型的数据进行访问授权。但其应用领域比较窄, 完整性方面控制不够。
(3) RBAC在用户 (User) 和访问许可权 (Permission) 之间引入角色 (Role) 的概念, 用户与特定的一个或多个角色相联系。角色与一个或多个访问许可权相联系, 角色可以根据实际的工作需要生成或取消, 而且登录到系统中的用户可以根据自己的需要动态激活自己拥有的角色, 避免了用户无意中危害系统安全。但其普通角色一旦授权就不能及时收回, 没有包含明确的策略状态。
1.3 敏捷性访问控制策略
综合以上分析可知, 传统的访问控制策略已经不能很好满足大规模集成MIS系统的需要, 基于此我们提出一种敏捷性访问控制策略, 并用面向对象的方法来描述敏捷性访问控制策略。
(1) 敏捷性访问控制策略的基本要素
(1) 访问控制主体 (Subject) 代表系统中主动的实体, 即可以对其它实体实施操作的主动实体, 能够在系统中进行认证, 所有主体对象集记作S。我们用一个主体集来表示所有的主体, 主体集的属性包括用户名 (username) 、角色 (role) 、权限等级 (level) 、所属分组 (group) 等属性。
(2) 访问控制的客体 (Object) , 即受其他实体操作的被动实体, 所有客体对象集记作O, 客体对象集O是MIS系统中所有被保护和被访问的资源信息。我们用一个客体集来表示所有的客体, 客体集的属性包括对象名 (objectname) 、角色划分 (role) 、操作等级 (level) 、安全域 (domain) 等属性。
(3) 访问控制的权限 (Permission) 定义主体的行为, 由操作及操作的对象—客体构成, 权限集, 其中W是所有针对客体的操作集。
(4) 策略许可 (Policy Permission) 集T={P, ~P}, 是访问控制策略的许可类型, 其中P表示肯定授权, ~P表示否定授权。由于许多系统都支持否定权限, 可以对访问权限进行临时的撤销和更改, 为系统管理员提供了更大的灵活性, 是对角色控制权限的有益补充。
(5) 约束条件 (Restriction Condition) 集C, 是主体对系统资源进行访问的约束条件的集合。
(6) 策略函数, f (s, o) →C是主体集和客体集到约束条件集的二元映射函数。
(2) 敏捷性访问控制策略 (Agilely Access Control Policy)
一个敏捷性访问控制策略是一个五元组:Ф= (t, s, p, f, o) , 其中:t∈T, s∈S, p∈P, f→f (s, o) , o∈M, M是MIS系统中的客体资源集。这种面向对象的敏捷性访问控制策略具有很强的表达能力, 通过调整约束条件和策略函数, 可描述各类授权策略, 满足MIS系统对不同访问控制的需求。
(1) 实现基于角色的访问控制策略, 可以授权用户写入客体的权限:
(2) 实现授权主体读取策略类型中的客体的权限:
(3) 实现用户other通过数字证书进行资源的读取访问:
在具体的MIS系统中, 访问控制实施机制决定着敏捷性访问控制策略能否实行, 这些实施机制构成了访问控制的实施框架。
2 敏捷性访问控制策略在管理信息系统 (MIS) 中的应用
某科研单位的管理信息系统利用现有网络条件, 将分散在各个部门的数据库系统有机集成, 并通过科研管理信息系统为处在各办公地点的科研人员和主管人员提供工作界面。MIS系统基于角色 (如科研人员、项目管理员、系统管理员等) 为用户提供相关信息和功能选项等, 不同的角色拥有不同用户界面。在这里我们可以基于传统的、比较通用的访问控制模型 (如RBAC模型) 进行访问控制。所有功能模块和数据操作在提交给后端数据库 (数据层) 处理之前, 还需要根据应用环境、用户身份认证模式、用户与功能模块的操作, 用户与数据对象的关系等复杂条件来判断是否允许用户访问功能和数据对象, 如:只有经过数字证书认证的管理人员, 才能够更新项目管理表数据等, 在这里我们基于敏捷性访问控制策略来进行访问控制。
为了保持访问控制实施与具体策略之间的无关性, 我们的体系将访问控制的实施部分和访问控制的决策部分分离, 使访问控制的实施与具体政策无关, 这样可保证在策略发生改变时, 无须修改访问控制的实施部分 (如图1所示) 。
访问控制策略工作流程:首先, 主体发出对客体的操作请求;控制客体访问的访问控制实施组件 (Access control Enforcement Facility, AEF) 拦截该请求, 并向访问控制决策组件 (Access control Decision Facility, ADF) 提出访问决策请求;ADF检索系统数据库中存储的规则和策略函数的动态规则和限制, 决定是否允许该请求, 并对调MIS系统状态;AEF依据ADF的决策结果, 完成主体请求的操作并返回操作结果。利用我们的敏捷性访问控制策略及上述实现, 我们能够实施很多复杂访问控制规则。 我们可以很方便地扩展对其他类型访问控制策略限制的支持, 形成一个分布式的、动态授权控制架构。
3 结论
本文针对当前MIS系统在访问控制方面存在的问题, 提出了一种敏捷性访问控制策略, 详细阐述了实现过程中的关键环节, 为访问控制策略在MIS系统中的应用提供了一种解决方案, 克服了传统的访问控制策略中存在的授权管理复杂、定义不精确、粒度控制不够, 无法反映决策环境的动态变化等缺陷, 且具有较强的可扩展性。
摘要:本文对管理信息系统 (MIS) 中访问控制策略进行研究, 提出了一种面向对象的敏捷性访问控制策略, 该策略能够准确表示和实施较复杂的访问控制需求, 克服了传统访问控制策略的一些缺陷, 并应用于管理信息系统 (MIS) 中。
关键词:访问控制策略,敏捷性,管理信息系统 (MIS)
参考文献
安全访问策略 第9篇
近年来, 云计算、物联网和大数据三个领域的研究和应用持续升温。作为三个领域共同的支撑技术, 大规模分布式数据存储获得学术界和工业界的高度关注。如何提高数据访问的性能, 如何节约存储的成本并降低存储系统能耗等一直是人们关注的焦点问题[1,2]。
大规模分布式存储系统通常采用副本方式存储数据, 即同一个文件在系统中存有多个备份 (称之为副本) , 每个备份位于不同的节点上。对此类系统而言, 副本存储策略是其基本构成之一, 以用于确定各文件的副本数量以及各副本的存储位置。副本存储策略影响数据访问的性能, 同时也是决定系统资源投入及能耗成本的重要因素, 因此受到研究人员和工程技术人员的广泛关注[3,4,5]。
就所侧重的目标而言, 现有副本存储策略方面的研究工作可分为如下三类:
第一类侧重工程实现的简单性, 通常为各文件存储相同数量的副本, 并且各文件的副本数量以及各副本的存储位置均不随文件访问热度 (或访问频率) 的变化而改变, 如HDFS (HadoopDistributed File System)[6]、GFS (Google File System) [7]和Kinesis[3]。然而, 各文件访问热度并不相同, 甚至存在显著差异 (典型分布如Zipf-like[8]) 。此类策略虽简化了存储系统的副本管理, 但可导致存储资源成本及能耗成本的严重浪费。
第二类侧重寻找最优的性能及成本指标, 一般采用智能优化算法 (如遗传算法、粒子群优化算法、人工免疫算法等) 计算副本数量和副本位置[9]。但是, 优化效果直接依赖各文件的访问热度信息, 当文件访问热度改变时, 需要重新启动计算过程以产生新的副本放置结果, 算法复杂度高、时间开销大。对大规模海量数据存储环境而言, 此类策略并不实用。
第三类侧重针对特定应用的个性化改进 (如[10]) , 在保证较优的性能及成本指标的同时, 往往也具备较强的工程可实施性, 但往往不具备较好的可推广性, 难以复制。
总之, 现有通用性较强的副本存储策略或无法实现性能及成本指标的优化, 或工程实用性较差;针对特定应用进行个性化设计的副本存储策略则难以在新型应用中进行复制和推广。
本文研究访问特征驱动的高效副本存储策略的自动生成框架, 一方面使副本存储策略能够与应用的访问特征相适应, 获得较高的资源和能源使用效率, 另一方面使不同应用所适用的副本存储策略均能够在无人工干预的情况下自动快速的生成。
1 自动生成框架
副本存储策略自动生成框架 (见图1) 主要为分布式存储系统的设计者提供决策支持。该框架以副本存储策略自动生成算法 (简称自动生成算法) 为中心。自动生成算法又以访问特征参数提取和副本策略统一描述为基础, 前者提供的访问特征参数可作为自动生成算法的输入, 后者提供的描述方法用以确定自动生成算法的输出类型。此外, 设计者需要提供存储硬件的资源属性, 比如存储节点的数量、各存储节点的存储容量和I/O读写带宽等。
后文将分节论述副本存储策略描述方法、访问特征参数提取方法和副本存储策略自动生成算法。
2 副本存储策略描述方法
2.1 传统矩阵描述法的缺陷
矩阵法是副本存储策略的直观描述方法。假设文件数量为m, 节点数量为n, 则副本存储策略可用矩阵Am×n表示, 其中各元素aij取值0或1。aij=1表示编号为i的文件在编号为j的节点上存有副本, 否则表示不存有;表示编号为i的文件被存储副本的数量。
然而, 上述方法所涉及的变量较多 (共m×n个) , 解空间大而问题复杂度高。此外, 矩阵Am×n并非静态不变, 而是随各文件副本数量和位置的调整不断变化。换言之, 以矩阵Am×n表示的副本存储策略需随时间不断更新, 计算成本高。
2.2 向量描述法
本文对副本存储策略的表示进行简化, 仅关注副本数量及其变化, 而忽略副本位置的表示 (副本位置可从所有节点中按照等概率随机选择的方式产生) 。副本存储策略由一个m×n维矩阵Am×n退化为一个m维向量Bm。为保证Bm的时间无关性, 元素bi并非表示编号为i的文件的副本数量, 而表示访问热度排名为i的文件被存储副本的数量。
以向量Bm表示的副本存储策略具有较好的稳定性。当文件因访问热度变化而引起排名变化时, Bm无需更新, 系统可以根据各文件新的排名i'直接对文件副本数量和位置进行调整。
2.3 向量描述法的进一步改进
进一步, 假设访问热度排名在前的文件的副本数量不少于访问热度排名在后的文件的副本数量 (即副本数量与访问热度呈正相关性) , 则副本存储策略进一步简化为分割点集合的求解和文件子集合副本数的确定。其中, 分割点和文件子集合副本数含义如下:若访问热度排名为i的文件副本数大于访问热度排名为 (i+1) 的文件, 则称i为一个分割点;假设分割点的数量为g, 则所有文件被划分至 (g+1) 个子集合, 每个子集合内部的文件副本数量相同, 称之为文件子集合的副本数。
由于分割点数量g远小于文件数量m, 上述方式比向量Bm方式的变量数目更少。
3 访问特征及其参数化表达
访问特征反映文件访问热度如何随时间和空间变化而改变的规律。此处时间的变化有两种, 一种是以日为周期的钟点的变化, 比如早上六点和下午三点是两个不同的钟点。钟点的变化可伴随文件访问热度的变化, 称之为潮汐特性。另一种是日期的单向增长式变化, 比如2010年1月21日和2014年1月21日是两个不同的日期。日期的变化也伴随文件访问热度的变化, 称之为生命周期特性。空间的变化主要指所选取观察对象的不同, 每个文件均可视作一个观察对象。若观察对象不同, 则即使时间相同, 访问热度仍可能存在显著差别, 称之为帕累托特性。
上述三个特性直接影响副本存储策略的选择。本文通过峰谷比、演进速率和偏斜度等参数定量描述上述三个特性。其中, 峰谷比用大于1的实数表示, 表征一天中访问量峰值和谷值间的差距。比如峰谷比2表示系统在高峰时的访问量是低谷时的2倍。演进速率的取值是介于0和1之间的小数, 表征文件访问热度的日更新速度。偏斜度用二元组表示:访问量的百分比 (一般取值较大, 如80%) 及文件量的百分比 (一般取值较小, 如20%) 。比如, 偏斜度 (80%, 20%) 表示80%的访问量集中于20%的文件。
4 副本存储策略的自动生成
副本存储策略的求解即是2.3节中副本存储策略参数的求解, 包括分割点集合和各文件子集合副本数。副本存储策略参数需同存储硬件资源参数和应用的文件访问特征参数相匹配。
通过机器学习领域的相关算法 (如神经网络算法) 可求解出副本存储策略参数、存储硬件资源参数和文件访问特征参数三者之间的关系, 从而形成副本存储策略的自动生成机制。三类参数关系的求解依赖大量的训练样本 (即已知的三类参数的对应值) 。训练样本本身的生成同样需要使用机器学习领域的相关算法如遗传算法, 由给定的存储硬件资源参数和文件访问特征参数计算出最佳的副本存储策略参数。
尽管上述算法复杂度较高, 但主要用于离线式计算, 以产生副本存储策略的自动生成机制。待自动生成机制产生之后, 便可以为各类应用快速产生高效的副本存储策略, 并且所产生的副本存储策略与访问特征具有相同的稳定性, 仅在访问特征发生演化时进行增量式的更新。
5 结束语
本文摒弃了副本存储策略研究中不考虑应用的具体访问特征和囿于某一特定应用访问特征这两类极端思路, 提出为不同应用自动生成与之相适应的高效副本存储策略的新思路。通过研究统一的副本存储策略描述模型和关键访问特征参数的提取方法, 得出副本存储策略的自动生成框架。该框架借助机器学习的方法, 可根据应用的访问特征直接产生与之相适应的高效副本存储策略, 在改善存储系统资源及能源使用效率的同时, 可有效降低副本存储策略设计过程中的人工干预程度。
摘要:大规模分布式数据存储是云计算和大数据时代的重要支撑技术。在分布式存储系统中, 数据副本如何放置是一个基本问题。然而, 现有可实用的算法或忽略应用具体的访问特征而牺牲效率, 或拘泥于单一应用而不具备泛化能力。通过建立副本存储策略的统一描述模型以及提取应用的关键访问特征参数, 定义出副本存储策略自动生成算法的输出和输入;通过机器学习的方法获得访问特征参数和最优副本存储策略参数之间的一般性关系, 从而形成自动生成机制的核心算法。在提高存储系统访问性能及节约能耗等成本的同时, 有效降低副本存储策略设计过程中的人工干预程度。
关键词:分布式存储,负载平衡,资源分配,绿色计算,副本策略
参考文献
[1]陆承涛.存储系统性能管理问题的研究[D]:[博士学位论文].武汉:华中科技大学, 2010.
[2]Ganesh L.Data Center Energy Management[D]:[Doctoral Dissertation].Ithaca:Cornell University, 2012.
[3]MacCormick J, Murphy N, Ramasubramanian V, et al.Kinesis:A new approach to replica placement in distributed storage systems[J].ACM Transactions on Storage, 2009, 4 (4) :Article No.11.
[4]Wei Q, Veeravalli B, Gong B, et al.CDRM:A cost-effective dynamic replication management scheme for cloud storage cluster[C].In:Proc.of IEEE International Conference on Cluster Computing.2010.188-196.
[5]Amur H, Cipar J, Gupta V, et al.Robust and flexible power-proportional storage[C].In:Proc.of the 1st ACM Symposium on Cloud Computing.2010.217-228.
[7]Ghemawat S, Gobioff H, Leung S-T.The Google file system[C].In:Proc.of the 19th Symposium on Operating Systems Principles.2003.29-43
[8]BRESLAU L, CAO P, FAN L, et al.Web Caching and Zip-like Distributions:Evidence and Implications[A].Proceedings of INFOCOM[C].New York, USA, 1999.126–134.
[9]Long S-Q, Zhao Y-L, Chen W.MORM:a multi-objective optimized replication management strategy for cloud storage.
安全访问策略 第10篇
随着计算机网络和通信技术的迅猛发展,信息资源由集中存储转为分布存储,网络应用服务层出不穷,当前我们面临一个由众多分布、异构和自治的资源和服务系统组成的多管理域环境[1]。分布性、异构性、自治性、动态性是当前多管理域环境的典型特征。随着企业和用户需求不断提高,越来越多的应用需要获取和使用不同管理域上的资源和服务,实现多个软硬件协同操作。然而,这些资源和服务可能分布在异构环境的多个管理域中,这给多管理域中的任务执行带来了新的安全问题,特别是工作流安全。一个工作流由若个干子任务按照一定的逻辑时序组成,子任务可能涉多个不同的管理域环境,而不同的管理域可能采用不同的计算模式和安全策略实现机制。即使是同一计算模式下不同的管理域,其安全策略的数据格式、数据语义、存储语义等也往往是异构的。在多管理域环境中,为了保证工作流任务安全执行,工作流访问策略是这些异构策略按某种逻辑的时序组合,其基本需求是实现一定的访问主体在一定的时间段或者时间周期内对一定的客体的访问权限。
在多管理域环境中,如何在多个可供选择的安全访问策略中选取出一个安全级别更高的策略来执行子任务将是需要解决的一个问题。传统的做法是进行静态分配,但是,随着网络应用难度和复杂度日益提高,安全策略的人为静态分配将变得越来越不可行。文献[2]将风险的概念引入访问控制作为一种基本属性并进行具体量化。策略之间的风险等级往往不相同,风险等级越低,安全级别越高,反之亦然。
很多策略访问控制语言允许一个策略包含多个子策略,如XACML[3],SPL,EPAL,XACL和防火墙策略语言,其中XACML提供跨平台且灵活的方式,而且应用最为广泛。但是,采用XACML描述访问控制策略组合时,也存在以下问题:(1)没有体现单个子策略之间风险等级;(2)没有提供分布式环境下根据用户请求动态进行策略组合算法描述方法。
针对以上问题,根据文献[2]提取策略的相关特征,扩展XACML引入相对应的特征元素,描述访问控制策略之间的安全等级;并且基于XACML提出一种基于用户请求的可描述的策略组合算法的形式化方法。本文的组织结构如下:第2节介绍相关工作;第3节是工作流策略风险描述以及提出新的一种描述方法来描述新的策略描述算法;接下来第4节对全文进行总结和展望。
1 相关工作
近年来,工作流访问控制成为国内学者研究的热点,并且取得重大的突破,提出了许多的工作流访问控制模型,如:基于角色的工作流访问控制模型[4]、基于任务的工作流访问控制模型、基于工作流状态的访问控制模型、面向服务的工作流访问控制模型等。
在工作流访问控制模型发展的同时,策略描述语言也取得了长足发展,其中以XACML为典型代表。XACML由三个元素组成:规则、策略和策略集。策略集中的策略通过组合算法组合起来,得出一个效果,作为策略集的最终效果。但没有提供描述一个策略的安全等级的元素,进而也没有体现策略集的安全等级。XACML策略组合标准组合算法(Policy Combining Algorithm,PCA)有允许重写、否定重写、第一个可用和只有一个可用。多管理环境的一个显著特点是自治,各自管理自已的用户以及权限配置。这种方式的一个显著特点即用户集合不可预知。如何描述根据用户请求动态策略组合算法,XACML没有提供支持方式。
针对以上问题,本文主要贡献在于:
(1)根据策略的风险属性,提取相应特征,在XACML中引入相对应元素,达到直观、简洁体现策略之间的安全等级;
(2)对XACML标准策略组合算法,提出一种基于用户请求的策略组合算法形式化描述方式。
2. 基于用户请求的工作流访问控制策略组合
2.1 XACML描述策略的风险属性
在工作流的任务执行过程中,子任务有多种可供选择的安全策略,如何评估一条策略的安全等级将是研究的一个重点。安全与风险是相对的,安全级别越高,风险越低,反之亦然。因此,一些学者在研究中将风险作为访问控制策略的一个基本属性并具体量化,文献[2]将风险形式化表示如下:
其中RB(perm)代表风险等级,aOL表示对非授权访问的客体对象的价值的评估,aSL表示对用户主体信任度的评估[5],m表示访问事件中所有客体对象的安全等级的极限,mid为TI取值范围的中点,k表示倾斜系数[6]。从公式(3_1_1)和(3_1_2)可以看出,风险依赖于参数OL、SL和K。扩展XACML策略描述语言中,在规则的条件元素中引入相对应的风险特征子元素,一般形式描述如下:
其中<Risk>代表风险元素,包含子元素非授权访问客体对象的安全级元素<Risk OL>、访问事件主体的安全级元素<Risk SL>和倾斜系数<Risk Slope>。<Condition>元素可以零个或者多个<Risk>子元素,而<Risk>元素与其子元素一一对应。
多管理域中工作流由多个子工作流组成,但每个子工作流占有的重要权重有所不同,比如网络管理系统中故障管理流程,包括发现故障、找到故障源和处理故障,其中找到故障源的子流程排除故障源按应用层、传输层、网络层、数据链路层和物理层依次排查,越到底层,访问级别越高,占有的权值越高,因此,工作流策略组合的风险值为各个子策略的风险值求权之和,即:
其中RB(total)代表整个工作流风险总和,RB(perm)i代表单个子任务风险等级,Ki代表子任务在整个工作流任务的权值。
2.2 多域环境下工作流策略组合算法形式化
在多域环境中,工作流访问控制策略是由多个在不同管理域中的异构策略按时序组合而成。当外部域的一个主体请求访问一个本地域的资源时,可以将外部域中的访问请求形式化为一个时间序列:REQ(req(1),req(2),…,req(n)).某个具体的外部域中的主体访问请求可以表示成:REQ={({O,A})},其中请求序列中的每个元素表示为二元组集合{<O,A>},表示请求主体所请求的本地域中的客体对象及其操作。
在XACML描述策略组合时,策略集中的策略按照策略组合算法,得出的四种效果,即:允许(P)、否定(D)、不可用(NA)和不确定(IN)。一般来说,一个指定的策略组合算法组合的子策略应该是有限个。依照以下定义1,从两个子策略的组合扩展到有限个子策略的组合,即从一个策略组合操作扩展到策略组合算法:
定义1:设∑={P,D,NA,IN}。当给定一个策略组合操作h:∑×∑=∑,那么它的递归策略组合算法PCA函数g:∑﹡→∑定义如下:
g(φ)=NA(表示子策略为空时,返回结果为不可用)
依据以上定义,当从第一个子策略组合到最后一个子策略时,组合策略结果就是把第一个和第二个策略组合,再把结果与第三个子策略组合,依此下去。
从定义1可以看出,文献没有考虑用户的请求的动态性,是一种静态的策略组合形式化描述。但从中我们可以得到启发,推导出一种根据用户请求动态策略组合形式化方式。设请求序列R={req1,req2,…,reqi,..ε},其中ε代表空请求,∑={P,D,NA,IN},Z={R,∑},一个动态策略组合操作(Dynamic Policy Combining Operator,DPCO)利用二元操作符可表示成k:Z×Z=Z。那么,依照定义2,从动态策略组合操作可扩展成动态策略组合算法。
定义2:设请求序列R={req1,req2,…,reqi,..
ε},a其中ε代表空请求,∑={P,D,NA,IN},Z={R,∑}。那么,递归动态策略组合算法DPCA函数l:
Z﹡→Z定义如下:
l(ε,x)=x(当请求为空时,策略效果保持不变);
根据以上策略组合函数g,可通过确定限自动机(Deterministic finite automaton DFA)来描述策略组合算法。XACML标准策略组合算法:否定重写和允许重写有限状态转换图如图1(a)和(b)所示。我们也利用确定型有限状图来描述动态策略组合函数。Z={R,∑}为DFA的输入集合,Z∪{S}为DFA的状态转换集合,S为起始状态。由于XACML策略组合效果已经固定,动态策略组合有限状态图与策略组合有限状图基本一致,但也有区别。动态策略的输入值为一对值Z=(R,∑),在利用以下有限状态图时,需将Z映射到∑。在此,引入一个前置处理,实现Z到∑的映射。
当外部域的一个主体请求访问一个本地域的资源时,可以将外部域中的访问请求形式化为一个时间序列:REQ(req(1),req(2),…,req(n)).某个具体的外部域中的主体访问请求可以表示成:REQ={({O,A})},其中请求序列中的每个元素表示为二元组集合{<O,A>},表示请求主体所请求的本地域中的客体对象及其操作。对于REQ(req(1),req(2),…,req(n))中每一个子请求,采用一种风险等级低、安全等级高的策略执行,得出允许、否定、不可用和不确定其中一种效果,按照任何一种策略组合算法,都可利用定义1形式化以及通过确定型有限状态机描述出策略组合的效果。
3. 结语
近年来,工作流访问控制安全成为工作流领域的学者和专家的研究热点之一,特别是工作流访问控制策略组合。在国外,该领域已被研究多年,提出了多种策略组合语言,但在国内还处于开始阶段。本文以应用最广泛的策略组合描述语言XACML,引入风险元素,直观、简洁表达策略之间的安全等级差异;并对XACML标准策略组合算法进行形式化,利用二元操作符,可描述新的策略组合算法。但在研究过程中,发现了一些新的问题:比如多域中工作流访问控制策略是多个不同自治域中异构策略的时序组合,如何在描述语言体现策略的时态安全约束。这将是将来有待解决的问题。
摘要:多域环境中工作流访问控制策略是由不同管理域的异构策略按时序组合。XACML是最灵活而且应用最广泛的可描述策略组合的语言。本文针对XACML在描述策略组合时,没有体现策略的安全等级差异以及不能描述新的策略组合算法,扩展XACML语言并对策略组合算法进行形式化统一,达到直观、简洁体现策略之间的安全差别以及可描述新的策略组合算法。
安全访问策略 第11篇
基于广域网的数据库访问带来的非法访问、黑客攻击、数据的截取、篡改等安全问题,在传统的数据库访问方式中加入加密和认证安全技术以及防火墙技术,形成新的数据库访问结构。而新加入的模块以代理的形式在起作用。从而达到安全访问数据库的目的。
一、数据库安全代理访问系统结构
数据库安全访问代理用来提供用户身份认证和数据库访问服务并提供了网络传输加密服务。所有的客户方的数据库访问请求都通过数据库安全访问代理进行转发。客户方数据访问代理用于接收所有的客户应用数据库访问请求(包括数据库客户的连接建立和连接断开请求),并负责向数据库客户传送数据库访问的结果。数据库访问请求是按照协议格式化为数据报提供给数据加密/认证客户端,而数据库访问结果是按照协议
格式由数据加密/认证客户端提供。数据加密认证客户端完成客户端的数据加密和认证工作,同服务器端的数据加密/认证服务器一起完成强大的数据加密功能保障数据安全。数据加密/认证服务器接收通过广域网(或者是局域网)传输的客户端发出的数据库访问请求数据报,这个请求是经过数据加密/认证客户端加密的。解密后的数据传递给数据库访问代理服务器。然后将数据库访问代理服务器返回的结果加密通过网络回送客户端。
二、安全访问代理的作用
1、安全访问代理的中间件特点
数据库安全访问代理处在应用和数据库之间,起一个数据库中间件的作用和结构。可以在代理系统中,对数据库的访问请求进行控制管理,配合数据库的特点,达到发挥最大数据库性能的目的。
2、安全访问代理的代理作用
之所以称为代理是因为系统接收数据库应用的数据库访问请求,把请求映射到代理系统对于数据库的访问,而系统不对这些请求进行过于复杂的处理。而数据库系统可以只接受代理的访问请求,起到隔离和安全保护作用。另一个重要特点是,可以加入到己经开发应用的信息系统中,极大提高原有系统的安全性能而不需要重新开发。
3、安全访问代理的防火墙作用
现在网络的一个现状是黑客的攻击广泛存在。后果是窃取信息、使系统瘫痪或者造成网络堵塞。数据库安全访问代理可以起应用级网关类别的防火墙作用,代理服务器而不是数据库暴露在广域网中,对数据库的访问都是通过代理服务器来完成。防火墙是网络安全的屏障,一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
三、安全代理访问系统采用的技术
1、安全代理访问系统采用SSL加密认证技术
为了保护敏感数据在传送过程中的安全,全球许多知名企业采用SSL(SecuritySocketLayer)加密机制。SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,适用于商业信息的加密。
代理系统中的数据加密和身份认证及签名采用SSL技术来完成,代理系统中的数据加密和身份认证及签名采用SSL技术来完成。应用程序通常使用IPC (Interporcess Communications Facility)与不同层次的安全协议打交道,在不同传输层协议中工作。
2、安全代理访问系统形成多层结构
为了克服由于传统客户/服务器模型的这些缺陷给系统应用带来的影响,一种新的结构出现了,这就是三层(N层)客户/服务器模型。三层客户/服务器结构构建了一种分割式的应用程序。主要分为三层:用户服务层,业务处理层,数据服务层。系统中由于安全访问代理的加入而形成多层结构,安全代理形成独立的一层,与其它层通过标准的数据库访问接口,这就提供了极大的灵活性,这也很大程度上降低了数据安全访问代理的设计复杂性。
3、安全代理访问系统采用ODBC技术
(OpenDatabaseConnectivity,开放数据库互连)是微软公司开放服务结构(WOSA,WindowsOpenServicesArchitecture)中有关数据库的一个组成部分,它建立了一组规范,并提供了一组对数据库访问的标准API(应用程序编程接口)。
ODBC之所以能够操作众多的数据库,是由于当前绝大部分数据库全部或部分地遵从关系数据库概念。ODBC基本思想是提供独立程序来提取数据信息,并具有向应用程序输入数据的方法。ODBC接口的优势之一为互操作性,程序设计员可以在不指定特定数据源情况下创建ODBC应用程序。
4、安全代理访问系统对于应用的透明性
对于应用的透明性是指对应数据库应用来说,采用或者不采用数据库安全访问代理,对于数据库的访问方法没有区别。对应用的透明性是通过采用标准的数据库访问技术来达到的,数据库应用的每一个数据库访问操作经过访问代理系统映射为同样的数据库访问实施于数据库,对API调用进行一对一的映射,所以原来开发系统不需要改动。也为系统的方案设计提供了灵活性。
5、安全代理访问系统中数据的压缩传输
数据库安全访问代理中,数据的传输要通过Internet来完成。带宽相对于局域网来说要窄的多,造成数据库访问的瓶颈,影响速度。对于使用很广泛的拨号上网方式来说,速度问题更为重要。所以考虑采用数据压缩传输。数据的压缩是作为SSL的一部分存在的,采用的主要压缩技术是Zlib。通常的压缩比可以达到2:1~5:1。
安全访问策略 第12篇
在设计Saa S系统的数据模型时出于服务客户及减低开发成本等考虑,在数据的共享和隔离之间求得平衡是必须考虑的一个重要因素。一般而言,Saa S系统的数据模型有三种[1]: 独立数据库、共享数据库单独模式和共享数据库共享模式。其中在第一种模型中,每个客户物理上有自己的一整套数据,单独存放,但这种数据模型的最大问题是对应的部署和维护成本非常高,硬件资源的消耗将明显高于其它两种方案,一台服务器将只能支持有限数量的客户; 第二种数据模型下,客户使用独立模式的方式在数据共享和隔离之间获得了一定的平衡,但这种解决方案的一个不利之处就是当系统出现异常情况需要将历史备份数据重新恢复的话,流程将变得相对复杂; 第三种数据模型具有最低的硬件成本和维护成本,而且每台服务器可以支持最大数量的客户,但由于所有客户使用同一套数据表,因此可能需要在保证数据安全性上花费更多额外的开发成本,以确保一个客户永远不会因系统异常而访问到其它客户的数据。
本文正是基于第三种Saa S数据模型,提出一种多域安全访问控制模型,使得这种模型在具有最低的硬件成本和维护成本的优势的同时,克服本身在租户数据安全性方面的问题。
1 相关工作和存在的问题
目前,由于Saa S模式的兴起,带动了大家的研究热情,同时又因为其安全问题的严重性,所以对其安全访问控制模型的研究比较多,大概可以分为以下三类:
以Saa S应用权限控制为侧重点[2,3,4,5,6]、以对应用访问许可为侧重点[7,8,9,10]、以系统数据访问控制为侧重点[11,12,13,14,15]。
但是目前还没有研究租户间数据共享问题的讨论,主要原因是虽然都在讨论Saa S模式,但是他们的侧重点只是将服务放在云端,租户通过网络访问,其服务模式往往因为其本身的可扩展性差而无法采用第三种数据模型,所以其租户间的共享一般还是采用传统的方法。
在传统多域访问控制的研究中,为了实现不同组织域间的资源共享和信息交互的安全性,保证合法性的访问,通常通过把各个域的控制策略整合在全局访问控制策略下,实现域间的安全性互操作,不同安全域在物理上一般都是相互隔离的,不同域通过网络连接,在这种情况下,其安全问题一般包括网络安全访问、系统权限模型等问题。在网络安全访问方面,一般采用对交互信息进行加密来达到防止用户信息被窃取的危险[16]; 而对于系统权限模型,大多是通过域间角色转换来达到安全访问控制目的[17,18,19]。
但是在使用第三种数据模型时,租户数据的共享数据库特性就为租户间的数据共享提供新的可能,同时由于数据的共享性,使得租户间的数据隔离性很差。鉴于此,本文提出了基于安全标签的访问控制模型,采用强访问控制特性,通过给访问主客体都进行安全标签标注,来达到更强的访问控制。最后,利用安全标签互相授权来实现租户间的数据共享,提高了租户间数据共享的效率。其具有如下优势:
1) 由于Saa S平台的规模化,使得租户资源的类型相当丰富,所需要采取的安全级别也不再是单一线性。所以本文对租户资源进行安全标签树的标注研究,使得租户资源安全级别出现多种安全管理架构。
2) 改变了以往通过安全域间角色转换来实现多域访问控制的方式,创新性地提出通过租户间安全标签授予来达到租户域之间的数据共享,在数据库层面使得在系统安全度提高的同时不失访问的灵活性。
2 基于安全标签的访问控制策略
这种访问控制策略的设计原则是通用性、灵活性以及层次性。以给访问主体和客体分别分配安全标签的方式,来达到访问控制的目的。其中,有如下主要概念。
1) 客体安全标签
使用层次化的标签模型对客体进行标识( 如图1所示) 。在使用服务之前,由租户内部的管理人员根据需求,按照准则( 如地域,部门、安全级、访问类型等) 对公司进行划分,根据这些信息构造由很多树构成的标签森林,每个树叫做安全标签树STT( Security Tag Tree) ,树上的每个节点即代表这个公司内部的一个可控的安全标签。客体标签定义如下: O: ( tenant,STS)或( tenant,tag1,tag2,…,tagn) ,其中STS( Security Tag Set) 表示安全标签集。
2) 主体安全标签
主体即访问者,其安全标签是通过其具有的角色获取的,即主体通过其具有的角色获取相应的安全标签。角色安全标签定义与客体类似: R: ( tenant,STS) 或( tenant,tag1,tag2,…,tagn) 。租户企业所有角色以角色森林的方式表示( 如图2所示) ,为满足每个公司各自安全需求,则每个公司在使用服务前都需要各自建立自己的角色森林。主体标签定义如下: S: ( tenant,RS)或( tenant,role1,role2,…,rolen) ,其中RS( Role Set) 表示该用户所具有的角色集。其中每个角色都会有相应的安全标签进行标注,表示其在系统中的职责。
系统管理员根据企业需要,制定并维护相应的角色森林和安全标签森林,并根据角色的职责赋予其相应的安全标签,则用户在访问数据时,通过比对角色所具有的安全标签以及访问该数据所需要的安全标签,来决定该用户是否有权限对该数据进行访问,从而达到强制访问控制的效果,确保数据安全访问。
3 多域之间的安全访问控制
在传统系统中,多域的访问控制一般采用系统间角色转换来实现,A系统某一角色a通过相应的角色转换机制获取系统B中角色b,从而实现系统B的访问。但是在Saa S应用中,当同一应用实例的两个租户需要实现相互之间的数据访问时,由于相互处于同一实例中,访问可以绕过角色转换过程,租户管理员可以通过给另一租户分配该租户具有的安全标签来使得另一租户获得对该租户资源的访问权限。所以B租户的用户在对A租户的资源进行访问时,通过将A中相应安全标签授予B租户的某些安全标签进行绑定,则拥有该标签的用户就可以实现对A租户相应资源的访问。本文主要研究如何在这种模型中实现多域之间的安全访问控制,并进行论述。
如图3所示,在某一Saa S系统中有A,B两个租户,为了方便阐述,假设租户A和B的安全标签层次都只有一个。当将租户A的Global标签与租户B的Global标签进行绑定时,租户B中具有标签Global的用户也同样可以访问A中具有Global标签标注的数据。这里虽然两个标签的名字一样,但是它们对应的是不同的两个租户,所控制的安全界限有各租户在对数据进行标注时决定。
3. 1 形式化描述
为了形式化,设TA( Tags of Tenant A) 表示租户A的标签集,TB表示租户B的标签集,则有如下定义:
定义1 X > Y ,表示X在标签树中层次比Y高,或者,X是Y的祖先。XA表示标签X来自于租户A。
定义2 XA- > YB,也可写成( XA,YB) ∈TAB,表示标签关联,则有。图3中,有从GlobalA到GlobalB的关联,表示来自租户A将自己的Global标签授予租户B中具有标签Global的用户,可用 ( GlobalA,GlobalB) ∈TAB表示这种关联。这里定义两种关联: 传递关联和非传递关联。
( 1) 传递关联假设存在关联XA- > aB,Y∈B,如果YB> aB,则YB> XA,因为YB包含了对aB的映射,所以YB也是XA的祖先。从图3中可以看出Min A→Min B的关联,因此租户B中具有Min标签的用户将可以访问A中具有Min标签的资源,这也意味着所有Min B的祖先都将可以访问租户A中具有Min标签的资源。
( 2) 非传递关联安全管理员可能想把本租户的安全标签与其他租户的安全标签相关联,而不想另一租户的标签的祖先继承这种传递关联。例如,在图3中,租户A的安全管理员想把JapanA标签与租户B的FranceB标签进行绑定,并且否定EuropeB和FranceB的这种关联的继承。因此,本文引进了非传递关联的概念。非传递关联可表示成,也可写成( XA,YB) NT∈TAB。在图3中,JapanA和FranceB就是这种关联。这种映射表示成:
3. 2 标签绑定策略
根据以上两种关联,则有如下三种标签关联策略:
1) 缺省策略当租户B的用户需要对租户A进行访问时,租户A可以提供默认的安全访问标签,比如标签所标定的数据都是不敏感的、任何人都可以访问的,使得域间访问很安全且管理方便。
2) 直接策略与缺省策略相比,直接策略就是对租户B可能要访问该系统而需要使用的标签都一一绑定,充分地满足了用户的安全访问需求。但是这种策略不能满足不同用户不同的访问需求,标签的指派及管理将是棘手的问题。并且在某些情况下,安全标签并不希望被与其绑定的标签的父标签拥有相同的权限,在这种情况下,租户管理员就需要建立非传递安全标签绑定,此时可以将标签绑定有序对表示为( XA,YB) NT。
3) 部分策略为了安全,对两租户之间的安全标签的绑定需要系统管理员一一指派,使用非传递关联,但在其他一些情况下,既有继承关系的标签可以指派到同样的标签集,此时可以使用传递关联,来减少系统中指派关系的复杂程度,使得标签绑定更加容易管理。例如,租户TB具有安全标签aB,aB是安全标签bB的父标签,并且在租户TA中有相应的标签绑定( cA,bB) ,则租户TB中拥有标签aB的用户可以直接得到A租户的具有安全标签cA的数据,而无需A租户再次指定标签绑定( cA,aB) 。
3. 3 安全标签及控制规则定义
在系统中,访问主体及访问客体都有相应的安全标签进行标识。访问主体一般指用户,租户管理员根据系统的安全需求制定相应的角色森林,并给相应的角色绑定安全标签,用户在登陆系统后,用户根据角色得到相应的安全标签,用户在后续的访问中以此为凭证对相应的数据进行访问。客体的安全标签根据安全标签的控制粒度,可将安全标签分为以下两个类型:
1) 行级安全标签
通过给关系R绑定安全标签集,来控制用户对R的访问。由于是对R的整体标注,则用户只有可以访问或者不可以访问两种情况,对其标注可以用 ( ( A1,A2,…,An) ,( ST1,ST2,…,STm) ) 表示,其中ST1,ST2,…,STm各属于不同的安全标签树,则行级安全标签的控制规则可以表示如下: ( T,STS,R,Q) ,T表示该规则所属的租户,STS( Security Tag Set) 表示标签集合,R则表示STS作用的关系对象,Q表示先期访问控制约束条件。
2) 列级安全标签
为达到更细粒度的访问控制,可以通过对关系的属性进行安全标注来实现,即关系R每一个属性都可以通过用安全标签标注的方式来达到安全访问的效果,可用( ( ( A1,STa1) ,…,( An,STan) ) ,( ST1,…,STm) ) 表示。列级安全标签的控制规则可以表示如下: ( T,ATS,STS,R,Q) ,其中T表示该规则所属的租户,ATS表示( A,ST) 二元组的集合,STS表示行级安全标签集合,用以对没有被ATS中包含的属性做出标签标注,R则表示ATS、STS作用的关系对象,Q表示先期访问控制约束条件。
前面两种安全规则中,前置条件Q是一个布尔表达式,该布尔表达式通过对用户当前除安全标签以外的信息进行判定,决定其是否有权进行接下来的访问操作。比如,由于多租户的数据共享数据库结构,Q中可以加入用户所属租户的判断以达到分隔租户之间的数据的目的。
由以上两种安全标签可以看出,行级安全规则相比列级安全规则缺少列级安全标注部分,所以系统的安全规则可以统一表示为( T,ATS,STS,R,Q) ,对于行级的安全规则,其ATS中每个属性的安全标签集就是STS。
3. 4 客体安全标注的完整性与一致性控制
在对数据库中关系及其属性进行安全标注的过程中,需要注意以下两个问题: 确保客体安全标注的完整性以及一致性。所谓完整性,即为保证整个数据库系统的安全性,必须确保数据库中的所有表都被安全标签所标注; 至于一致性,指的是同一个对象( 表、属性等) 在某安全标签树中,只能有唯一的标签与之对应,否则会出现安全控制规则的歧义,使得规则无法实施的情况。
为确保完整性与一致性,本文制定以下控制规则:
1) 给数据库中的关系R及其属性标注相关的安全标签集STS,并对没有用安全标签集标注的关系由租户设定一个最小安全标签集STSmin,以此来控制这些关系的最小访问权限。一般STSmin标注的为可以公开非敏感数据。
2) 对于任意属性或者关系,其上的安全标签的个数需要等同于这些标签所属的标签树的个数,即每一个安全标签属于不同的安全标签树。
3. 5 安全访问控制
在租户对客体进行安全标注并制定数据访问控制规则后,用户访问数据库时,访问控制模块对用户的请求进行检查,根据已经存于系统中的规则信息确定用户的访问结果。本文通过对访问语句根据规则信息进行转换的方式来实现。
请求处理过程可以分为以下两个步骤:
1) 检查用户安全标签以及系统安全规则数据。
2) 根据已有的信息产生用户访问语句,并提交数据库进行访问。
对用户提交查询语句处理前,有说明如表1所示。
我们可以假设此时租户T有用户U,其提交的访问语句query如下:
Select aq1,aq2,…,aqn
From Rq1,Rq2,…,Rqm
Where Qq
1) 当T对Rqi所进行的安全标注为行级,即Rqi的客体安全标签为( T,ATSqi,STSqi,Rqi,Qqi) ,则当时,只要条件Qi为真,则该用户可以对aqi进行此次访问。
2) 当T对Rqi所进行的系统标注都为列级,即Rqi的客体安全标签为( T,ATSqi,STSqi,Rqi,Qqi) ,则当时,则该用户可以对aqi进行此次访问。
此时需要利用系统中已然制定好的规则,对此访问语句进行转换。假设租户T有规则:
ri= ( T,ASTS,STS,R,Q) ,则当且仅当该规则满足如下条件时,此条规则才会采用:
1) 关系R的属性集的子集A = ( a1,a2,…,am) 是Aq=( aq1,aq2,…,aqn) 的子集。
则处理这语句时,会涉及到租户T的相关规则为:
ri= ( T,ASTS,STS,R,Q) ( 1≤i≤k) ,其中k为该语句涉及到的k条规则,可用Rule( T,query) 表示,其意义为t租户在query语句中涉及到的规则集。此处,有如下表示:
则访问语句可以转变为如下语句Query( t) :
Select aq1,aq2,…,aqn
From Rq∩Rr
Where Qq∩Qr
则对租户T,其访问语句转换依然完成,对于其要访问的其他租户的数据的语句转换同理,则对于某一查询语句,其转换后的结果为一个语句集,可以表示为:
其中Query( T) 表示该语句相对该用户所属租户的转换语句,表示,该语句相对其他租户的语句转换集合。语句在转换完成后,就可以提交由数据库处理。
4 基于安全标签的多域访问控制原型系统
在第三种数据模型中,租户在相互访问数据时无需像以往一样跨系统访问,因为不同租户的数据都存储在同一个模式中,要实现对其他租户的数据的访问,得到该租户对其数据访问的权限以后直接对数据库访问即可,这样相对于传统的跨域访问在效率上也有所提高。
4. 1 原型系统体系结构
在该系统中,我们定义两个主要模块: 安全信息定义模块、访问控制模块,系统架构设计如图4所示。
1) 安全信息定义模块: 该模块负责完成安全标签森林的定义及系统中访问主体与访问客体的安全标签标注,同时负责主客体安全标签的完整性与一致性检查。
2) 访问控制模块: 该模块负责对用户的访问进行控制。其根据访问主客体所具有的安全标签,并结合已有的访问控制规则信息,做出最后的访问控制结果。
4. 2 系统主要数据结构表设计
良好的数据结构设计可以使得系统的权限管理模型清晰易懂,并利于权限判定操作。在该模型中,主要的数据库表有角色层次表,资源表,安全标签层次表,以及角色、标签绑定表和资源、标签绑定表,如图5所示。本文中,资源分为数据库资源和其他一般资源,由Resource表中的Res Type属性表示,对于这两类资源,系统将会实行不同的控制策略,将在4. 4节提到。
4. 3 系统安全信息定义
系统安全信息定义包括安全标签森林的定义,角色层次森林定义及主客体的安全标签标注,同时负责主客体安全标签的完整性与一致性检查。由于角色层次森林与以往的企业角色层次定义相似,此处不再详述。
1) 安全标签森林的定义其对于租户的系统安全非常重要。系统根据Tenant ID来区分该Tag属于哪个 租户,其中ParentT ag表示的是该Tag的父标签,当Parent Tag为NULL时,就表示该标签为该租户安全标签森林中某一标签树的根节点。则租户管理员在构建其标签森林时,涉及到的关键方法create TagT ree和create Tag,主要完成新的标签森林及标签的创建。
2) 安全标签的标注在标签系统及角色系统建立好之后,主要工作就是为系统的主客体绑定相应的安全标签。其中主要涉及到两个方法: bindT agT oRole和bindT ag ToRes,分别表示对角色、资源分别进行安全标签标注。
3) 主客体安全标签的完整性与一致性检查为了确保系统访问控制规则的完备性,这两个检查必不可少。为确保租户安全标签的完整性,在租户的申请通过后,租户的系统管理员需要根据其所在租户的需求,订制出相应的安全标签森林,并给出各安全标签树最小权限标签。系统会调用完整性检查方法check Integrity,自动对租户的每一个资源用所有的最小权限标签标注,以满足安全标签的完整性; 同时,为确保租户安全标签的一致性,在给资源标注安全标签时,系统会用到一致性检测方法check Consistency,对每个标注的标签,需要和该资源已具有的安全标签进行比对。当该安全标签和已有的标签都不在同一个标签树上时,加入该标签。当已有标签和其在同一个标签树上时,通知管理员,在管理员同意后,用新标签取代旧的标签,此时可以满足资源安全标签的一致性要求。
4. 4 访问控制模块
在制定好系统角色森林、标签森林及相应的访问控制规则后,系统的访问控制模块才会根据已经制定好的规则来进行。图6是系统根据用户的不同访问类型而选择的访问控制流程图。
在获取两者的安全标签集之后,就需要进行权限判定。对资源的访问又可分为以下两类。
1) 对一般资源的访问
对于一般资源( 如文件等) ,首先获取该访问的主客体安全标签,然后根据安全标签森林中标签的安全层次,使用3. 1节提到的标签安全层级比较规则来决定该主体是否对目标客体有相应的访问权限。在此定义一个Permission Checker类,它是一个工具类,主要用来进行权限判定。其主要信息如表2所示。
为了实现安全标签的快速比较,需要对资源或者用户的安全标签的组织结构进行高效的设计,本文对角色或者资源的安全标签集合采用键值对集合的方式进行存储,每个 < key,value > 中,key表示是哪一棵安全标签树,而value则表示在该安全树上所具有的安全标签。则角色的安全标签的表示如图7所示。
2) 对数据库数据的访问
由于用户权限的不同,其可以访问的数据库字段以及对数据库的具体操作也有差异。为此,本文对统一访问语句根据用户不同权限进行改写,可以很方便地得到对于某表该用户可以访问的所有信息。当对数据库中表进行访问时,首先需要提取出该表的安全标签标注信息,并根据3. 5节给出的控制规则进行相应的处理。在数据库信息共享时,需要用到安全标签关联信息表,即其他租户对本租户的授权信息,租户间安全标签授权信息的具体数据结构表设计如表3所示。
当租户A某用户( 拥有标签taga) 对表进行操作时,如访问tableX表的a属性时( select a from table X) ,其对于本租户的转换结果为select a from tableX where tenantI D = 'tenant AID'; 同时,系统中租户B对租户A进行了授权,授权信息为tagb与taga的授权绑定,而tagb使得租户B中的用户可以访问table的a属性,则最终租户A的该访问语句最后转换为select a from table Xwhere tenantI D = 'tenantA ID'or tenantI D =‘tenant BID',这样就在数据库层就是实现的租户之间数据的共享,提高了租户间数据共享的效率。
4. 5 实验分析
实验结果表明,该原型系统满足以下安全目标:
1) 租户之间数据的强隔离性由于每次访问都需要比较主客体的安全标签是否属于同一租户,杜绝了用户对其他租户数据非法访问的可能性。
2) 灵活的租户内部数据隔离每租户都可以自由定义层次化的主体角色和客体标签森林、对主客体进行自由的标签标注,满足租户不同的访问控制需求。
3) 租户之间数据的受控、高效共享租户间通过安全标签的互相授予来达到共享的目的,使得有授权的租户可以很方便、高效地访问共享的数据,同时完全屏蔽非法的访问。
5 结 语
本文给出了基于安全标签的多域安全访问控制模型,结合基于角色的访问控制模型RBAC的简单易管理的优点以及基于安全标签的强制访问控制特性,使得租户的访问控制系统在易于管理的同时达到更高的访问控制安全级别。此外,重点利用租户数据共享模式的特点,创新性地提出租户共享信息的直接访问方式,并通过租户间安全标签的互相授予来实现,同时为保证租户数据在共享的过程中不会泄露信息给非法用户,在访问过程中使用租户各自的强制访问控制策略来保证对租户数据访问的合法性,确保数据的安全访问。目前,本模型已经完成理论研究,并实现原型系统,实验结果表明了该模型的有效性,接下来的工作是继续研究如何对租户间安全标签授权绑定做出改进,使得标签的绑定更加简单,易于管理。
摘要:SaaS服务模式将应用软件以服务的形式提供给客户。在单实例模式中,租户的数据统一存储在服务提供商的数据库系统中,他们共享数据库及模式。这种情况下,如何在保障租户数据安全的同时支持租户间的域间相互访问是一个值得思考的问题。结合安全标签,设计出一个支持多租户的多域安全访问控制模型,满足租户对于多域安全访问控制的需求。该模型结合了RBAC的易于管理以及安全标签强制访问的特性,使得系统角色在易于管理的基础上实现高级别的访问控制。