北京大学网络信息安全课件-访问控制

网络信息安全访问控制本课程由北京大学计算机系精心设计，由段云所副教授主讲，专注于网络信息安全领域的核心组成部分——访问控制技术在当今数字化时代，信息安全已成为企业和个人不可忽视的重要议题课程将深入探讨信息安全的三大基本支柱机密性、完整性和可用性这三个要素构成了现代信息安全防护体系的基础框架，而访问控制正是实现这三大目标的关键技术手段通过系统性的学习，学员将掌握从基础理论到实际应用的完整访问控制知识体系，为构建安全可靠的网络信息系统奠定坚实基础课程概述1访问控制核心地位访问控制是网络信息安全体系的核心组成部分，它决定了谁可以访问什么资源，以及在什么条件下进行访问在现代网络环境中，有效的访问控制机制是防范未授权访问和数据泄露的第一道防线2理论基础构建课程将系统介绍授权与认证的基础概念，帮助学员理解访问控制的理论基础从身份识别到权限验证，每个环节都关系到整个系统的安全性3实践应用导向结合丰富的实际案例，课程将展示访问控制技术在不同场景下的应用方法，包括操作系统、数据库、云计算和移动设备等多个领域的访问控制实现4现代挑战应对深入分析现代网络环境中访问控制面临的新挑战，包括云计算、物联网、移动互联网等新兴技术带来的安全需求和解决方案安全服务的层面应用层安全应用程序级别的安全控制1传输层安全2数据传输过程中的加密保护网络层安全3网络路由和包过滤控制数据链路层安全4局域网访问控制机制物理层安全5硬件设备和物理环境保护安全服务在开放系统互联模型的各个层面都发挥着重要作用每一层都提供特定的安全保障措施，从物理设备的保护到应用程序的访问控制，形成了完整的多层防御体系这种分层的安全架构确保了系统在面对不同类型威胁时都能提供相应的防护能力信息安全基础知识完整性保障数据的准确性和完整性•防止未授权修改机密性可用性•数据一致性检查确保信息只被授权用户访问确保合法用户能够及时访问资源•版本控制管理•数据加密保护•系统正常运行时间•访问权限控制•服务质量保障•隐私信息保护•灾难恢复机制访问控制的基本概念定义与目标核心要素访问控制是指根据预定义的安全策略，限制对信息系统资源的访访问控制系统由四个核心要素构成主体Subject是请求访问的问其主要目标是确保只有经过授权的用户才能访问相应的系统资实体，通常是用户或进程；客体Object是被访问的资源，如文源，从而保护系统的机密性、完整性和可用性件、数据库或网络服务；访问权限定义了主体对客体可执行的操作类型；安全策略则规定了权限分配的规则和条件访问控制不仅仅是简单的允许或拒绝决策，它还包括访问权限的细粒度管理、动态权限调整以及访问行为的审计监控等复杂功这些要素相互配合，形成了完整的访问控制框架，为信息系统提供能全面的安全保护访问控制三要素身份识别系统首先需要识别用户的身份，这通常通过用户名、账号或其他唯一标识符来实现身份识别是访问控制的第一步，它为后续的认证和授权过程提供基础信息在现代系统中，身份识别可能涉及多种形式的标识符，包括数字证书、生物特征或智能卡等身份认证认证过程验证用户声称的身份是否真实可信这个过程通过验证用户提供的凭证（如密码、数字证书或生物特征）来完成认证的强度直接影响整个访问控制系统的安全性，因此现代系统普遍采用多因素认证来增强安全性访问授权在确认用户身份后，系统根据预定义的安全策略和权限规则，决定用户可以访问哪些资源以及可以执行哪些操作授权过程考虑用户的角色、权限级别、访问环境和时间等多个因素，确保访问行为符合安全策略要求访问控制需求分析组织安全策略业务流程需求每个组织都需要根据自身的业务特访问控制系统必须与组织的业务流点和安全要求制定相应的安全策程紧密结合，支持不同角色用户的略这些策略明确了数据分类标工作需要这包括了解各个业务环准、用户权限分级以及访问控制的节中的数据流转路径、权限传递规基本原则有效的安全策略应该平则以及异常情况处理机制合理的衡安全性和可用性，既要保护敏感访问控制设计应该促进而不是阻碍信息，又要支持正常的业务操作业务流程的执行法规遵从要求现代组织必须遵守各种法律法规对信息安全的要求，如GDPR、SOX法案、等级保护制度等这些法规对访问控制提出了具体的技术和管理要求，包括权限管理、审计日志、数据保护等方面的强制性规定访问控制矩阵矩阵模型结构实现视图访问控制矩阵是描述访问控制关系的经典模型，它以表格形式展示访问控制矩阵可以通过两种不同的视图来实现行视图对应能力表主体和客体之间的权限关系矩阵的行代表主体（用户或进程），Capability List，它以主体为中心，列出每个主体所拥有的全列代表客体（文件、数据库等资源），矩阵中的每个单元格包含相部访问权限；列视图对应访问控制列表ACL，它以客体为中心，应主体对客体的访问权限列出每个资源的访问权限分配情况这种表示方法直观地展现了整个系统的权限分配情况，便于权限管这两种实现方式各有优势能力表便于权限委派和传递，而ACL便理和安全分析然而，在大型系统中，完整的访问控制矩阵可能非于资源的权限管理和审计实际系统中常常根据具体需求选择合适常庞大且稀疏，需要采用更高效的存储和管理方式的实现方式自主访问控制DAC所有者权限在DAC模型中，资源的所有者拥有完全的访问控制权限•创建和删除资源•修改访问权限设置•授权其他用户访问实现ACL通过访问控制列表管理用户权限•读取权限控制•写入权限管理•执行权限设置权限传播所有者可以将自己的权限授予其他用户•直接权限授予•权限委派机制•权限撤销操作安全风险DAC模型存在特洛伊木马攻击等安全隐患•权限传播失控•恶意程序利用•权限泄露风险强制访问控制MAC安全标签分配系统为每个主体和客体分配安全标签，标签包含敏感度级别和类别信息这些标签由系统管理员统一管理，用户无法自主修改，确保了访问控制策略的强制执行多级安全实现建立从公开到绝密的多个安全级别，每个级别对应不同的访问权限高级别用户可以访问低级别信息，但低级别用户严格禁止访问高级别信息，形成单向信息流控制策略强制执行系统严格按照预定义的安全策略执行访问控制决策，用户和应用程序都无法绕过或修改这些策略这种强制性确保了高安全性要求环境下的信息保护模型Bell-LaPadula简单安全属性No ReadUp-禁止向上读取属性*-No WriteDown-禁止向下写入自主安全属性结合传统的访问控制矩阵Bell-LaPadula模型是保密性导向的经典访问控制模型，主要用于防止机密信息的泄露该模型通过两个核心安全属性来控制信息流简单安全属性确保用户不能读取高于自己安全级别的信息，而*-属性则防止用户将高级别信息写入低级别存储位置这种设计有效防止了机密信息通过读写操作向下流动，广泛应用于军事和政府系统中完整性模型Biba简单完整性属性完整性属性*-No ReadDown-主体不能读取比自己No WriteUp-主体不能写入比自己完完整性级别低的客体，防止不可信数据污整性级别高的客体，确保低完整性主体无染高完整性进程法破坏高完整性数据与对偶BLP调用属性Biba模型与Bell-LaPadula模型形成对主体不能调用比自己完整性级别低的服偶关系，一个关注保密性，一个关注完整务，防止不可信代码影响可信进程的执行性基于角色的访问控制RBAC用户管理角色定义权限分配会话管理系统中的个体用户，每个角色代表组织中的工作职权限是对系统资源执行特用户在登录系统时激活一用户可以被分配一个或多能或职位，如经理、会计定操作的授权，如读取文个或多个角色，形成会个角色用户通过角色间师、系统管理员等每个件、修改数据库记录等话在会话期间，用户可接获得访问权限，简化了角色包含完成相应工作所权限被分配给角色而不是以行使激活角色所对应的权限管理的复杂性需的权限集合角色设计直接分配给用户，这种间权限会话管理确保了动RBAC模型将用户和权限应该遵循最小权限原则和接分配机制大大简化了权态权限控制和最小权限原解耦，使得权限管理更加职责分离原则限管理工作则的实施灵活和可维护模型详解RBACRBAC0核心RBAC基础模型包含用户、角色、权限和会话四个基本元素RBAC1分层RBAC增加角色继承机制，支持角色层次结构RBAC2约束RBAC加入静态和动态约束条件，如职责分离RBAC3统一RBAC综合RBAC1和RBAC2的所有特性RBAC模型族提供了从基础到高级的完整访问控制解决方案核心RBAC建立了基本的用户-角色-权限关系；分层RBAC通过角色继承简化了权限管理；约束RBAC增强了安全性；统一RBAC则集成了所有高级特性，为复杂组织提供全面的访问控制能力基于属性的访问控制ABAC主体属性客体属性环境属性策略引擎用户的身份特征和上下文信息资源的分类、敏感度和元数据访问时间、地点、网络状态等基于属性组合动态计算访问决信息上下文策ABAC模型通过属性和策略实现细粒度的动态访问控制与传统模型相比，ABAC能够考虑更多的上下文信息，支持复杂的授权逻辑系统根据主体属性、客体属性、环境属性和预定义策略规则，动态计算每个访问请求的授权结果，提供了前所未有的灵活性和精确性与比较ABAC RBAC特性维度RBAC ABAC授权方式基于角色的静态授权基于属性的动态授权管理复杂性角色管理相对简单策略管理较为复杂权限粒度粗粒度权限控制细粒度权限控制上下文感知有限的上下文支持丰富的上下文感知扩展性角色数量增长限制策略规则灵活扩展适用场景传统企业环境云计算和动态环境基于信任的访问控制信任度量机制动态信任管理建立数学模型量化信任关系，信任值随着时间和行为变化而考虑历史行为、声誉评价、推动态调整，及时反映实体可信荐关系等多个因素信任值通状况的变化正面行为提升信常用0到1之间的数值表示，动任度，负面行为降低信任度态反映实体的可信程度系统这种动态机制确保访问控制决根据信任度量结果调整访问权策始终基于最新的信任评估结限级别果基于声誉的控制利用社区评价和同行反馈构建声誉系统，作为信任评估的重要依据声誉机制鼓励良好行为，惩戒恶意行为，形成自我调节的信任生态系统访问控制策略语言架构策略表达示例XACMLXACML（eXtensible AccessControl MarkupLanguage）是基于XML的Policy PolicyId=ExamplePolicy访问控制策略语言标准它提供了完整的策略表达框架，包括策略决策点PDP、Rule RuleId=ReadRule Effect=Permit策略执行点PEP、策略信息点PIP和策略管理点PAP等核心组件TargetXACML支持复杂的策略表达，能够处理多种属性类型和复杂的授权逻辑其标准Subjects化的语法和语义确保了不同系统间的策略互操作性SubjectSubjectMatch MatchId=string-equalAttributeValueemployee/AttributeValueSubjectAttributeDesignatorAttributeId=role//SubjectMatch/Subject/Subjects/Target/Rule/Policy此示例展示了基本的XACML策略结构，定义了员工角色用户的读取权限策略通过结构化的XML元素精确描述授权条件和决策逻辑访问控制实现机制操作系统级控制数据库访问控制操作系统提供基础的访问控制机数据库管理系统实现了多层次的访制，包括用户身份验证、文件系统问控制，包括数据库级、表级、行权限、进程隔离等Unix/Linux级和列级权限控制支持基于角色系统采用用户-组-其他的权限模的权限管理、视图机制、存储过程型，Windows系统使用访问控制权限以及动态数据掩码等高级功列表ACL和安全标识符SID能现代数据库还提供了细粒度的现代操作系统还集成了强制访问控审计和监控能力制机制如SELinux应用程序控制应用层访问控制提供了业务逻辑相关的权限管理，包括功能模块权限、数据范围控制、操作权限验证等通过会话管理、令牌验证、API权限控制等技术实现细粒度的业务权限控制，确保应用安全和业务规则的正确执行身份认证技术密码认证双因素认证传统的用户名密码组合结合两种不同类型的认证因子•密码复杂度策略•短信验证码•密码有效期管理•TOTP动态口令•防暴力破解机制•硬件安全令牌多因素认证生物识别组合多种认证方式提升安全性基于人体生物特征的认证•知识因子验证•指纹识别技术•持有因子确认•面部识别系统•生物因子识别•虹膜扫描验证单点登录技术协议Kerberos基于票据的网络认证协议，通过密钥分发中心KDC实现安全的单点登录用户一次认证后可访问多个服务，无需重复输入凭证广泛应用于企业内网环境标准SAML安全断言标记语言支持跨域的身份联邦和单点登录通过XML格式的安全断言在身份提供商和服务提供商之间传递认证和授权信息，实现企业间的身份互信协议OAuth开放授权标准允许第三方应用在不获取用户密码的情况下访问用户资源通过访问令牌机制实现安全的API授权，广泛应用于社交媒体和云服务集成场景OpenID Connect基于OAuth

2.0的身份认证层，提供标准化的身份验证和用户信息交换机制支持现代Web和移动应用的身份联邦需求，简化了跨平台的用户身份管理协议详解Kerberos认证服务器AS验证用户身份并颁发票据授予票据TGT•用户身份验证•TGT票据生成•会话密钥分发票据授予服务TGS基于TGT为用户颁发服务访问票据•TGT票据验证•服务票据生成•权限信息封装服务访问用户使用服务票据访问目标服务•票据有效性检查•身份信息提取•授权决策执行跨域认证支持不同Kerberos域之间的信任关系•域间信任建立•跨域票据转换•联邦身份管理框架OAuth

2.0授权代码流程最安全的OAuth流程，适用于服务器端应用客户端将用户重定向到授权服务器，用户授权后获得授权代码，客户端使用授权代码换取访问令牌整个过程确保了客户端密钥的安全性和用户凭证的保护隐式授权流程针对公共客户端（如单页应用）的简化流程，直接在重定向URL中返回访问令牌虽然简化了流程，但安全性相对较低，现代应用建议使用授权代码流程配合PKCE扩展客户端凭据流程用于机器对机器的通信场景，客户端使用自己的凭据直接向授权服务器请求访问令牌适用于后端服务间的API调用，无需用户参与授权过程权限管理基础设施架构组件属性证书机制PMI权限管理基础设施PMI是管理和分发权限信息的基础架构，包括属性证书是PKI体系的重要扩展，用于承载用户的权限和属性信属性证书颁发机构AA、属性证书存储库、权限验证服务等核心息与身份证书不同，属性证书具有更短的有效期，能够反映权限组件PMI提供了标准化的权限管理框架，支持复杂的权限分配和的动态变化属性证书支持角色、权限、组织关系等多种属性类验证需求型PMI与公钥基础设施PKI紧密配合，PKI解决身份认证问题，通过属性证书机制，系统可以实现细粒度的权限控制和灵活的权限PMI解决授权问题两者结合为网络环境提供完整的安全服务，支委派属性证书的标准化格式确保了不同系统间的权限信息互操作持大规模分布式系统的安全需求性访问控制列表ACL用户权限直接分配给特定用户的访问权限组权限分配给用户组的权限，组成员继承其他权限系统中所有其他用户的默认权限特殊权限高级权限如所有者变更、ACL修改等继承机制子对象从父对象继承权限设置访问控制列表提供了灵活而精确的权限管理机制现代ACL系统支持复杂的权限组合，包括明确允许、明确拒绝、继承权限等多种类型ACL的层次化结构简化了大规模系统的权限管理，而继承机制确保了权限设置的一致性和可维护性能力表系统能力证书权限委派包含主体身份和访问权限的不可伪造凭能力表系统支持灵活的权限委派机制，主证，通过密码学技术保证其完整性和真实体可以将自己的部分或全部权限委派给其性能力证书可以包含对多个资源的访问他主体委派过程可以设置时间限制、使权限，便于权限的统一管理和验证用次数限制等约束条件权限验证权限撤销资源访问时验证能力证书的有效性，包括提供及时的权限撤销机制，当权限不再需证书真实性、有效期、使用条件等验证要或存在安全风险时，可以快速撤销相关过程独立于权限分配，提高了系统的安全能力证书撤销机制确保了权限的动态管性和可靠性理和安全控制网络访问控制边界防护机制访问控制零信任网络访问VPN网络边界是信息系统安全防护的第一道防虚拟专用网络为远程用户提供安全的网络ZTNA突破传统的网络边界概念，对每个线，通过防火墙、入侵检测系统、网络访访问通道，通过加密隧道技术保护数据传访问请求都进行验证和授权基于永不问控制设备等技术手段，实现对网络流量输安全VPN访问控制包括用户认证、信任，始终验证的原则，ZTNA为每个的监控和控制边界防护不仅要防止外部设备认证、访问策略执行等环节现代用户和设备建立动态的信任评估，根据实攻击，还要控制内部网络的横向移动现VPN解决方案支持细粒度的访问控制，时风险评估结果调整访问权限这种方法代边界防护采用深度包检测、应用识别等可以根据用户身份、设备状态、网络位置特别适合混合云环境和远程办公场景先进技术等因素动态调整访问权限防火墙访问控制技术包过滤防火墙基于IP地址、端口号、协议类型等网络层信息进行访问控制规则简单直观，性能高效，但无法检测应用层攻击适用于基础的网络边界防护和流量控制需求状态检测防火墙维护网络连接状态信息，能够跟踪TCP连接的建立、数据传输和终止过程相比包过滤防火墙，状态检测技术提供了更高的安全性，可以防范连接劫持等攻击应用层网关工作在应用层，能够理解和检查应用协议内容提供最高级别的安全防护，可以检测应用层攻击、恶意代码、数据泄露等威胁但处理复杂，对性能有一定影响下一代防火墙集成了入侵防护、应用识别、用户识别、威胁情报等多种安全功能通过深度包检测技术和机器学习算法，提供智能化的威胁检测和响应能力零信任架构持续验证原则永不信任，始终验证的核心理念•每次访问都进行身份验证•动态评估用户和设备风险•基于上下文的访问决策•最小权限访问控制微隔离技术创建细粒度的安全边界和访问控制•工作负载级别的隔离•软件定义的安全边界•东西向流量监控•动态安全策略执行可视化监控全面的网络和用户行为监控•实时流量分析•异常行为检测•威胁情报集成•安全事件关联分析实施路径渐进式的零信任架构建设方法•现状评估和规划•身份和访问管理升级•网络分段和微隔离•持续优化和完善云环境访问控制云服务模型多租户隔离身份访问管理不同云服务模型下的访问控制责云环境中多个租户共享基础设云IAM提供统一的身份认证和权任分担IaaS模式下用户负责操施，需要确保租户间的数据和访限管理服务，支持单点登录、多作系统和应用层访问控制，问隔离通过虚拟化技术、网络因素认证、角色管理等功能云PaaS模式下平台提供部分访问分段、数据加密等手段实现逻辑IAM通常采用基于角色和属性的控制功能，SaaS模式下主要依赖隔离多租户访问控制需要考虑混合访问控制模型，支持细粒度服务提供商的访问控制机制理性能、安全性和管理复杂性的平的权限控制和动态授权策略解责任边界对于云安全至关重衡要架构SASE安全访问服务边缘将网络和安全功能融合，提供统一的云原生安全服务SASE支持任意地点的用户安全访问云和企业资源，集成了SD-WAN、零信任、CASB等多种技术，简化了混合环境的安全管理容器环境访问控制命名空间隔离提供逻辑上的资源隔离和访问边界服务账户管理为Pod和服务分配专用的身份标识权限控制RBAC基于角色的细粒度API访问控制网络策略控制4控制Pod间的网络通信规则Kubernetes提供了完整的容器访问控制体系，通过多层安全机制确保容器环境的安全性命名空间提供了基础的资源隔离，RBAC实现了精确的权限管理，网络策略控制了容器间的通信，Pod安全策略则限制了容器的运行权限这些机制相互配合，为容器化应用提供了全面的安全防护移动设备访问控制移动设备管理MDM系统提供企业移动设备的统一管理和安全控制包括设备注册、配置策略下发、应用分发、远程擦除等功能MDM确保企业数据在移动设备上的安全性，支持设备合规性检查和安全状态监控企业移动管理EMM扩展了MDM的功能范围，增加了移动应用管理MAM和移动内容管理MCM通过应用容器化技术，EMM可以在个人设备上创建安全的企业工作环境，实现企业数据和个人数据的有效隔离应用沙箱技术通过虚拟化和容器技术为移动应用创建隔离的运行环境沙箱技术限制应用的系统访问权限，防止恶意应用窃取数据或破坏系统现代移动操作系统都内置了沙箱机制，企业可以通过额外的沙箱解决方案增强安全性安全策略BYOD自带设备办公模式需要平衡员工便利性和企业安全需求BYOD策略包括设备注册、安全配置、数据分类、访问控制等方面通过技术手段和管理制度相结合，确保个人设备安全访问企业资源物联网访问控制。