5.3 訪問控制的授權(quán)與審計(jì)

5.3.1 授權(quán)行為

授權(quán)是資源的所有者或者控制者準(zhǔn)許他人訪問這種資源，這是實(shí)現(xiàn)訪問控制的前提。對(duì)于簡單的個(gè)體和不太復(fù)雜的群體，我們可以考慮基于個(gè)人和組的授權(quán)，即便是這種實(shí)現(xiàn)，管理起來也有可能是困難的。當(dāng)我們面臨的對(duì)象是一個(gè)大型跨國集團(tuán)時(shí)，如何通過正常的授權(quán)以保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問控制的權(quán)限，這是一個(gè)復(fù)雜的問題。

授權(quán)是指客體授予主體一定的權(quán)力，通過這種權(quán)力，主體可以對(duì)客體執(zhí)行某種行為，如登錄、查看文件、修改數(shù)據(jù)、管理賬戶等。授權(quán)行為是指主體履行被客體授予權(quán)力的那些活動(dòng)。因此，訪問控制與授權(quán)密不可分。授權(quán)表示的是一種信任關(guān)系，需要建立一種模型對(duì)這種關(guān)系進(jìn)行描述。

5.3.2 信任模型

信任模型（Trust Model）是指建立和管理信任關(guān)系的框架。信任關(guān)系是這樣一種情形，如果主體能夠符合客體所假定的期望值，那么稱客體對(duì)主體是信任的。信任關(guān)系可以使用期望值來衡量，我們用信任度表示。主客體間建立信任關(guān)系的范疇稱為信任域，也就是主客體和信任關(guān)系的范疇集合，信任域是服從于一組公共策略的系統(tǒng)集。

信任模型有3種基本類型：層次信任模型、對(duì)等信任模型和網(wǎng)狀信任模型。

1．層次信任模型

層次信任模型是實(shí)現(xiàn)最簡單的模型，使用也最為廣泛。建立層次信任模型的基礎(chǔ)是所有的信任用戶都有一個(gè)可信任根。例如，我們通常所說的根管理員，事實(shí)上就是處于根的位置，所有的信任關(guān)系都基于根來產(chǎn)生。

層次信任關(guān)系是一種鏈?zhǔn)降男湃侮P(guān)系，如可信任實(shí)體Leaf CA可以表示為這樣一個(gè)信任鏈：（Root CA, Intermediate CA, Leaf CA），說明可以由Leaf CA向上回溯到產(chǎn)生它的信任根Root CA。這種鏈?zhǔn)降男湃侮P(guān)系我們稱為信任鏈。層次信任模型是一種雙向信任的模型，假設(shè)Leaf Ai和Leaf Bj是要建立信任關(guān)系的雙方，Leaf Ai和Leaf Bj間的信任關(guān)系很容易建立，因?yàn)樗鼈兌蓟诳尚湃胃鵕oot CA。層次信任模型對(duì)應(yīng)于層狀結(jié)構(gòu)，有一個(gè)根節(jié)點(diǎn)Root CA作為信任的起點(diǎn)，也就是信任源。這種建立信任關(guān)系的起點(diǎn)或是依賴點(diǎn)我們稱為信任錨。信任源負(fù)責(zé)下屬的信任管理，下屬再負(fù)責(zé)下面一層的信任管理，如圖5-15所示，這種管理方向是不可逆的。

這個(gè)模型的信任路徑是簡單的，從根節(jié)點(diǎn)到葉子節(jié)點(diǎn)的通路構(gòu)成了簡單唯一的信任路徑。層次信任模型的優(yōu)點(diǎn)在于結(jié)構(gòu)簡單、管理方便、易于實(shí)現(xiàn)；缺點(diǎn)是Leaf Ai和Leaf Xk的信任關(guān)系必須通過根來實(shí)現(xiàn)，而可信任根Root CA是默認(rèn)的，無法通過相互關(guān)系來驗(yàn)證信任，一旦信任根出現(xiàn)問題，那么信任的整個(gè)鏈路就被破壞了。現(xiàn)實(shí)世界中，往往建立一個(gè)統(tǒng)一信任的根是困難的。對(duì)于不在一個(gè)信任域中的兩個(gè)實(shí)體如何來建立信任關(guān)系？這用一個(gè)統(tǒng)一的層次信任模型來實(shí)現(xiàn)需要在建立信任的框架中預(yù)留有未來的發(fā)展余量，而且必須強(qiáng)迫信任域中的各方都統(tǒng)一信任可信任根Root CA。

層次信任模型適用于孤立的、層狀的企業(yè)，對(duì)于有組織邊界交叉的企業(yè)，要應(yīng)用這種模型是很困難的。另外，在層次信任模型的內(nèi)部必須保持相同的管理策略。層次信任模型主要使用在以下3種環(huán)境。

（1）嚴(yán)格的層次結(jié)構(gòu)。

（2）分層管理的PKI商務(wù)環(huán)境。

（3）保密性增強(qiáng)郵件（Privacy-Enhanced Mail, PEM）環(huán)境。

2．對(duì)等信任模型

對(duì)等信任模型是指兩個(gè)或兩個(gè)以上對(duì)等的信任域間建立的信任關(guān)系。對(duì)等信任模型的示意圖如圖5-16所示。相對(duì)而言，對(duì)等信任關(guān)系靈活一些，它可以解決任意已經(jīng)建立信任關(guān)系的兩個(gè)信任模型之間的交互信任。不同信任域的Engineering CA和Marketing CA之間的信任關(guān)系要通過對(duì)等信任域Root CA1和Root CA2的相互認(rèn)證才能實(shí)現(xiàn)，因此這種信任關(guān)系在PKI領(lǐng)域中又叫作交叉認(rèn)證。建立交叉認(rèn)證的兩個(gè)實(shí)體間是對(duì)等的關(guān)系，因?yàn)樗麄兗仁潜或?yàn)證的主體，又是進(jìn)行驗(yàn)證的客體。對(duì)等信任模型不會(huì)建立在信任域以外，這是因?yàn)槿绻我鈨蓚€(gè)主客體都建立對(duì)等信任，那么對(duì)于n個(gè)主客體而言，需要建立n×（n-1）/2個(gè)信任鏈。

對(duì)等信任模型非常適合表示動(dòng)態(tài)變化的信任組織結(jié)構(gòu)，這樣，引入一個(gè)可信任域是易于實(shí)現(xiàn)的。但是在構(gòu)建有效的認(rèn)證路徑時(shí)，也就是說，假定Engineering CA和Marketing CA是建立信任的雙方，那么，很難在整個(gè)信任域中確定Root CA2是否是Marketing CA的最適當(dāng)?shù)男湃卧础?/p>

3．網(wǎng)狀信任模型

網(wǎng)狀信任模型可以看成是對(duì)等信任模型的擴(kuò)充。我們沒有必要在任意兩個(gè)對(duì)等的信任域建立交叉認(rèn)證，完全可以通過建立一個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的信任模型來實(shí)現(xiàn)，也就是建立信任域間的間接信任關(guān)系。網(wǎng)狀信任模型的示例如圖5-17所示。假設(shè)圖中CA是不同的信任域，他們之間的信任關(guān)系用實(shí)線箭頭表示，那么位于相同信任域下的主體間可以建立的信任鏈通過圖中的虛線來表示。

首先，建立一個(gè)恰當(dāng)合理的信任網(wǎng)絡(luò)模型比我們想象的要復(fù)雜得多。我們?cè)?jīng)探討過安全標(biāo)簽列表的實(shí)現(xiàn)，這是引入安全級(jí)別和考慮保護(hù)敏感信息的必然。同樣，在建立的對(duì)等或非對(duì)等的信任集合中，很難想象一個(gè)安全級(jí)別低（如C級(jí)別）的信任域和一個(gè)安全級(jí)別高（如S級(jí)別）的信任域，在他們中間建立的信任模型是什么樣子的。因?yàn)閷?duì)整個(gè)信任域的信任鏈的可信程度很難不令人質(zhì)疑，S級(jí)別可能需要通過使用智能卡才能通過訪問控制最初的驗(yàn)證，而C級(jí)別也許只是進(jìn)行簡單的IP地址檢驗(yàn)就可以任意訪問客體的信息資源。在建立信任模型、實(shí)現(xiàn)訪問控制的過程中，不但要選擇合適的信任模型，保護(hù)客體的資源，而且應(yīng)該避免主體的信息資源暴露在攻擊和危險(xiǎn)的情況下。這種情況下，主客體信息的交換有時(shí)候更多地依賴于可信第三方。另外，網(wǎng)絡(luò)資源和時(shí)限也是一個(gè)問題，盡管主體間有多條信任鏈可以實(shí)現(xiàn)，但我們總是希望耗用最少的時(shí)間，也就是說，走最短的路徑，那么，怎樣來計(jì)算這條路徑也是一個(gè)困難的問題。

其次，跨越多個(gè)可信域根建立的漫長的非層狀的信任路徑被認(rèn)為是不可信的，顯然在這樣的信任關(guān)系實(shí)現(xiàn)上，構(gòu)造合理的信任路徑和檢驗(yàn)適當(dāng)?shù)男湃五^都是巨大的挑戰(zhàn)。因?yàn)槲覀儾坏貌粚?duì)不同的信任錨進(jìn)行驗(yàn)證，不得不要建立一個(gè)從被信任發(fā)起方開始到信任到達(dá)者所在信任域的完整的信任路徑，每一個(gè)驗(yàn)證者還需要建立自己到信任錨的路徑。同時(shí)，信任路徑中的封閉環(huán)路一定要檢測出來并丟棄掉，對(duì)可能存在的多條路徑也要進(jìn)行過濾和優(yōu)先級(jí)的設(shè)置。

5.3.3 信任管理系統(tǒng)

闡述信任模型很容易產(chǎn)生一個(gè)問題，這就是在實(shí)際中是由誰管理信任？如果我們就是信任中的主體，我們憑什么信任他們？這就是信任管理需要解決的問題。

信任管理的產(chǎn)生是一個(gè)漫長而復(fù)雜的過程，這和企業(yè)的發(fā)展與市場的制約有很大關(guān)系?，F(xiàn)代企業(yè)有向大型化、集團(tuán)化發(fā)展的趨勢，一個(gè)企業(yè)往往包括多個(gè)職能部門，分別完成生產(chǎn)、管理、結(jié)算等功能，而這些職能部門又可劃分為多個(gè)各司其職的更小的部門，與此同時(shí)企業(yè)內(nèi)部的職能劃分越來越細(xì)，獨(dú)立運(yùn)作能力也越來越強(qiáng)，可以獨(dú)立和別的企業(yè)的相應(yīng)或相關(guān)職能部門進(jìn)行交易，所以在現(xiàn)實(shí)的商業(yè)運(yùn)作中企業(yè)內(nèi)部的多級(jí)管理和企業(yè)間的無級(jí)別貿(mào)易是并存的。這種關(guān)系必然反映在信任管理中，怎么來實(shí)現(xiàn)和約束正確的信任關(guān)系來訪問資源和進(jìn)行交易，建立相應(yīng)的信任關(guān)系。目前，層次信任模型的建立和管理在一定的信任域內(nèi)建立是正常的，但在信任域間的交叉認(rèn)證和混合多級(jí)信任模型方面，還沒有就信任管理達(dá)成一致。

信任管理包含了兩個(gè)方面，一是對(duì)于信任鏈的維護(hù)與管理，二是對(duì)信任域間信任關(guān)系的管理與維護(hù)。用戶是信任的主要參與者，因此用戶有必要對(duì)信任鏈加以管理，也就是說應(yīng)該由他自己來判斷該相信誰和該相信什么。信任域的管理通常由認(rèn)證機(jī)構(gòu)來負(fù)責(zé)。

5.3.4 審計(jì)跟蹤概述

審計(jì)是對(duì)訪問控制的必要補(bǔ)充，是訪問控制的一個(gè)重要內(nèi)容。審計(jì)會(huì)對(duì)用戶使用何種信息資源、使用的時(shí)間及如何使用（執(zhí)行何種操作）進(jìn)行記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計(jì)與監(jiān)控能夠再現(xiàn)原有的進(jìn)程和問題，這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。

審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件自始至終的途徑，順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持訪問控制職能的實(shí)現(xiàn)（職能是指記錄系統(tǒng)活動(dòng)并可以跟蹤到對(duì)這些活動(dòng)應(yīng)負(fù)責(zé)任人員的能力）。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶活動(dòng)。系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)。通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程，審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問題以及程序中的錯(cuò)誤。審計(jì)跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的侵害，還能提供對(duì)數(shù)據(jù)恢復(fù)的幫助。

5.3.5 審計(jì)內(nèi)容

審計(jì)跟蹤可以實(shí)現(xiàn)多種安全相關(guān)目標(biāo)，包括個(gè)人職能、事件重建、入侵檢測和故障分析。

（1）個(gè)人職能（individual accountability）。審計(jì)跟蹤是管理人員用來維護(hù)個(gè)人職能的技術(shù)手段。如果用戶知道他們的行為活動(dòng)被記錄在審計(jì)日志中，相應(yīng)的人員需要為自己的行為負(fù)責(zé)，他們就不太會(huì)違反安全策略和繞過安全控制措施。例如，審計(jì)跟蹤可以記錄改動(dòng)前和改動(dòng)后的記錄，以確定是哪個(gè)操作者在什么時(shí)候做了哪些實(shí)際的改動(dòng)，這可以幫助管理層確定錯(cuò)誤到底是由用戶、操作系統(tǒng)、應(yīng)用軟件還是由其他因素造成的。允許用戶訪問特定資源意味著用戶要通過訪問控制和授權(quán)實(shí)現(xiàn)他們的訪問，被授權(quán)的訪問有可能會(huì)被濫用，導(dǎo)致敏感信息的擴(kuò)散，當(dāng)無法阻止用戶通過其合法身份訪問資源時(shí)，審計(jì)跟蹤就能發(fā)揮作用。審計(jì)跟蹤可以用于檢查和檢測他們的活動(dòng)。

（2）事件重建（reconstruction of events）。在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。通過審查系統(tǒng)活動(dòng)的審計(jì)跟蹤可以比較容易地評(píng)估故障損失，確定故障發(fā)生的時(shí)間、原因和過程。通過對(duì)審計(jì)跟蹤的分析就可以重建系統(tǒng)和協(xié)助恢復(fù)數(shù)據(jù)文件；同時(shí)，還有可能避免下次發(fā)生此類故障的情況。

（3）入侵檢測（intrusion detection）。審計(jì)跟蹤記錄可以用來協(xié)助入侵檢測工作。如果將審計(jì)的每一筆記錄都進(jìn)行上下文分析，就可以實(shí)時(shí)發(fā)現(xiàn)或者過后預(yù)防入侵檢測活動(dòng)。實(shí)時(shí)入侵檢測可以及時(shí)發(fā)現(xiàn)非法授權(quán)者對(duì)系統(tǒng)的非法訪問，也可以探測到病毒擴(kuò)散和網(wǎng)絡(luò)攻擊。

（4）故障分析（problem analysis）。