在線教務輔導網(wǎng)：教材其余課件及動畫素材請查閱在線教務輔導網(wǎng)QQ:349134187

或者直接輸入下面地址：在線教務輔導網(wǎng)：http://www.shangfuwang1

第六章訪問控制

第六章訪問控制2第六章訪問控制技術本章內(nèi)容6.1訪問控制的模型6.2訪問控制策略6.3訪問控制的實現(xiàn)6.4安全級別與訪問控制6.5訪問控制與授權6.6PMI第六章訪問控制技術本章內(nèi)容36.1訪問控制的模型6.1.1自主訪問控制模型（DACModel）6.1.2強制訪問控制模型（MACModel）6.1.3基于角色的訪問控制模型（RBACModel）6.1訪問控制的模型6.1.1自主訪問控制模型（DACM4訪問控制的模式訪問控制模型：是一種從訪問控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。

訪問控制：主體依據(jù)某些控制策略或權限對客體本身或是其資源進行的不同授權訪問。訪問控制包括三個要素，即：主體、客體和控制策略。訪問控制的模式訪問控制模型：是一種從訪問控制的角度出發(fā)，描述5主體（Subject）主體：是指一個提出請求或要求的實體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。主體可以是用戶或其它任何代理用戶行為的實體（例如進程、作業(yè)和程序）。簡記為S廣義上講：主體可以是用戶所在的組織（以后稱為用戶組）、用戶本身，也可是用戶使用的計算機終端、卡機、手持終端（無線）等，甚至可以是應用服務程序程序或進程。主體（Subject）主體：是指一個提出請求或要求的實體，是6客體（Object）客體：是接受其他實體訪問的被動實體,簡記為O。客體，可以被操作的信息、資源、對象例如：信息、文件、記錄等的集合體，網(wǎng)路上的硬件設施無線通信中的終端一個客體可以包含另外一個客體客體（Object）客體：是接受其他實體訪問的被動實體,簡7控制策略控制策略：是主體對客體的操作行為集和約束條件集,簡記為KS?？刂撇呗裕菏侵黧w對客體的訪問規(guī)則集規(guī)則集定義了：主體對客體的作用行為客體對主體的條件約束訪問策略體現(xiàn)了一種授權行為控制策略控制策略：是主體對客體的操作行為集和約束條件集,簡8三個要素之間的行為關系訪問控制系統(tǒng)三個要素之間的行為關系三元組（S，O，P）S表示主體O表示客體P表示許可三個要素之間的行為關系訪問控制系統(tǒng)三個要素之間的行為關系9訪問控制關系示意圖對主體進行認證正常的請求信息主體通過驗證，才能訪問客體，但并不保證其有權限可以對客體進行操作?？腕w對主體的驗證一般會鑒別用戶的標識和用戶密碼對主體的具體約束由訪問控制表來控制實現(xiàn)。訪問控制關系示意圖對主體進行認證正常的請求信息主體通過驗證10用戶標識（UID：UserIdentification）：一個用來鑒別用戶身份的字符串。每個用戶有且只能有唯一的一個用戶標識。用戶注冊進入系統(tǒng)必須提供用戶標識系統(tǒng)審查來確信當前用戶是對應用戶標識的那個用戶。用戶標識（UID：UserIdentification）：11多級安全信息系統(tǒng)多級安全信息系統(tǒng)：由于用戶的訪問涉及到訪問的權限控制規(guī)則集合，將敏感信息與通常資源分開隔離的系統(tǒng)。多級安全系統(tǒng)將信息資源按照安全屬性分級考慮，可分為兩種。多級安全信息系統(tǒng)多級安全信息系統(tǒng)：12兩種安全類別一種是有層次的安全級別（HierarchicalClassification），分為TS，S，C，RS，U5級絕密級別（TopSecret）秘密級別（Secret）機密級別（Confidential）限制級別（Restricted）無級別級（Unclassified）另一種是無層次的安全級別，不對主體和客體按照安全類別分類只是給出客體接受訪問時可以使用的規(guī)則和管理者。兩種安全類別一種是有層次的安全級別（Hierarchical13訪問控制內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證，然后是對控制策略的選用與管理，最后要對非法用戶或是越權操作進行管理。認證：主體對客體的識別認證和客體對主體檢驗認證。主體和客體的認證關系是相互的，主體也可能變成了客體，取決于當前實體的功能是動作的執(zhí)行者還是被執(zhí)行者?？刂撇呗缘木唧w實現(xiàn)：體現(xiàn)在如何設定規(guī)則集合，對信息資源的合法使用，考慮敏感資源的泄漏，不能越權審計：當管理員有操作賦予權，他有可能濫用這一權利，這是無法在策略中加以約束的。必須對這些行為進行記錄，從而達到威懾和保證訪問控制正常實現(xiàn)的目的。訪問控制內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證，然后14訪問控制模型訪問控制安全模型一般包括：主體、客體。為識別和驗證這些實體的子系統(tǒng)。控制實體間訪問的監(jiān)視器。建立規(guī)范的訪問控制模型，是實現(xiàn)嚴格訪問控制策略所必須的。

訪問控制模型訪問控制安全模型一般包括：15訪問控制模型20世紀70年代，Harrison等提出了HRU模型。1976年，Jones等人提出了Take-Grant模型。1985年，美國軍方提出可信計算機系統(tǒng)評估準則TCSEC，其中描述了兩種著名的訪問控制策略：自主訪問控制模型（DAC）強制訪問控制模型（MAC）1992年，F(xiàn)erraiolo等提出基于角色的訪問控制（RBAC）基于對象的訪問控制基于任務的訪問控制。后兩種考慮到網(wǎng)絡安全和傳輸流。訪問控制模型20世紀70年代，Harrison等提出了HR166.1.1自主訪問控制模型自主訪問控制模型（DiscretionaryAccessControlModel，DACModel）根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶訪問策略規(guī)定的客體阻止非授權用戶訪問客體某些用戶把自己所擁有的訪問權限授予其它用戶自主訪問控制又稱為任意訪問控制。Linux，Unix、WindowsNT或是Server版本的操作系統(tǒng)都提供自主訪問控制的功能。6.1.1自主訪問控制模型自主訪問控制模型17自主訪問控制模型的實現(xiàn)：首先要對用戶的身份進行鑒別然后就可以按照訪問控制列表所賦予用戶的權限，允許和限制用戶使用客體的資源主體控制權限的修改通常由特權用戶（管理員）或是特權用戶組實現(xiàn)。自主訪問控制模型自主訪問控制模型的實現(xiàn)：自主訪問控制模型18自主訪問控制模型的特點特點：授權的實施主體自主負責賦予和回收其他主體對客體資源的訪問權限。DAC模型一般采用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制信息，從而達到對主體訪問權限的限制目的任意訪問控制優(yōu)點：靈活的數(shù)據(jù)訪問方式缺點：DAC模型的安全防護相對較低，用戶可以任意傳遞權限自主訪問控制模型的特點特點：196.1.2強制訪問控制模型強制訪問控制模型（MandatoryAccessControlModel,MACModel）發(fā)展：最初是為了實現(xiàn)比DAC更為嚴格的訪問控制策略，美國政府和軍方開發(fā)了各種各樣的控制模型，隨后得到廣泛的商業(yè)關注和應用。MAC與DAC的不同之處：DAC：用戶和客體資源都被賦予一定的安全級別，只有管理員才能夠確定用戶和組的訪問權限。MAC：是一種多級訪問控制策略，系統(tǒng)對訪問主體和受控對象實行強制訪問控制系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性在實施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。

6.1.2強制訪問控制模型強制訪問控制模型（Mand20MAC對訪問主體和受控對象標識兩個安全標記：一個是具有偏序關系的安全等級標記一個是非等級分類標記。主體和客體在分屬不同的安全類別時，用SC表示它們構成的一個偏序關系，比如：TS絕密級比密級S高，當主體S的安全類別為TS客體O的安全類別為S時用偏序關系可以表述為SC(S)≥SC(O)。強制訪問控制模型MAC對訪問主體和受控對象標識兩個安全標記：強制訪問控制模型21主體對客體的訪問根據(jù)偏序關系，主體對客體的訪問主要有4種方式：（1）向下讀（rd，readdown）主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；（2）向上讀（ru，readup）主體安全級別低于客體信息資源的安全級別時允許的讀操作；（3）向下寫（wd，writedown）主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；（4）向上寫（wu，writeup）主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。主體對客體的訪問根據(jù)偏序關系，主體對客體的訪問主要有4種方式22MAC和DACMAC模型和DAC模型屬于傳統(tǒng)的訪問控制模型。MAC和DAC在實現(xiàn)上通常為每個用戶賦予對客體的訪問權限規(guī)則集用戶自主地把自己所擁有的客體的訪問權限授予其它用戶缺點：系統(tǒng)管理員的工作將變得非常繁重，容易發(fā)生錯誤、安全漏洞。引入新的機制加以解決，即基于角色的訪問控制模型。MAC和DACMAC模型和DAC模型屬于傳統(tǒng)的訪問控制模型。236.1.3基于角色的訪問控制模型角色（Role）：一個可以完成一定事務的命名組，不同的角色通過不同的事務來執(zhí)行各自的功能。事務（Transaction）：一個完成一定功能的過程，可以是一個程序或程序的一部分。角色是代表具有某種能力的人或是某些屬性的人的一類抽象6.1.3基于角色的訪問控制模型角色（Role）：一個可24角色和組的主要區(qū)別在于：用戶屬于組是相對固定的。用戶能被指派到哪些角色則受時間、地點、事件等諸多因素影響。角色比組的抽象級別要高?；诮巧脑L問控制模型角色和組的主要區(qū)別在于：基于角色的訪問控制模型25基于角色的訪問控制模型RBAC基于角色的訪問控制模型（Role-basedAccessModel，RBACModel）的基本思想：將訪問許可權分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。訪問控制應該基于員工的職務，而不是基于員工在哪個組或誰是信息的所有者即訪問控制是由各個用戶在部門中所擔任的角色來確定的，例如，一個學?？梢杂薪坦?、老師、學生和其他管理人員等角色。基于角色的訪問控制模型RBAC基于角色的訪問控制模型（Rol26RBAC從控制主體的角度出發(fā)根據(jù)管理中相對穩(wěn)定的職權和責任來劃分角色，將訪問權限與角色相聯(lián)系這點與傳統(tǒng)的MAC和DAC將權限直接授予用戶的方式不同；通過給用戶分配合適的角色，讓用戶與訪問權限相聯(lián)系?；诮巧脑L問控制模型RBACRBAC基于角色的訪問控制模型RBAC27基于角色的訪問控制模型角色可以看作是一組操作的集合

假設：Tch1，Tch2，Tch3,…,Tchi——教師Stud1,Stud2,Stud3,…,Studj——學生Mng1,Mng2,Mng3,…,Mngk——教務處管理人員對應的權限老師的權限為TchMN={查詢成績、上傳所教課程的成績}；學生的權限為StudMN={查詢成績、反映意見}；教務管理人員的權限為MngMN={查詢、修改成績、打印成績清單}。執(zhí)行的操作與其所扮演的角色的職能相匹配，不同的用戶根據(jù)其職能和責任被賦予相應的角色。基于角色的訪問控制模型角色可以看作是一組操作的集合28基于角色的訪問控制模型系統(tǒng)管理員負責授予用戶各種角色的成員資格或撤消某用戶具有的某個角色。例如學校新教師Tchx，只需將Tchx添加到教師這一角色的成員中，無需對訪問控制列表做改動。同一個用戶可扮演多種角色，比如可以是老師，同時也可以作為進修的學生。RBAC提供了一種描述用戶和權限之間的多對多關系；基于角色的訪問控制模型系統(tǒng)管理員負責授予用戶各種角色的成員資29基于角色的訪問控制模型RBAC簡化了權限設置的管理，是實施面向企業(yè)的安全策略的一種有效的訪問控制方式具有靈活性、方便性和安全性的特點目前在大型數(shù)據(jù)庫系統(tǒng)的權限管理中得到普遍應用。RBAC與DAC的區(qū)別：用戶不能自主地將訪問權限授給別的用戶所在。用戶與客體無直接聯(lián)系，橋梁是角色，只有系統(tǒng)管理員有權定義和分配角色。RBAC與MAC的區(qū)別在于：MAC是基于多級安全需求的，而RBAC則不是?；诮巧脑L問控制模型RBAC簡化了權限設置的管理，是實施面30上述幾個訪問控制模型的缺點上述幾個訪問控制模型的缺點：控制環(huán)境是靜態(tài)的：都是從系統(tǒng)的角度出發(fā)去保護資源，沒有考慮上下文環(huán)境。組織任務與服務相關的信息進一步自動化，需要隨著任務的執(zhí)行而進行動態(tài)授權的保護上。權限沒有時間限制：只要主體擁有對客體的訪問權限，主體就可以無數(shù)次地執(zhí)行該權限。上述幾個訪問控制模型的缺點上述幾個訪問控制模型的缺點：316.2訪問控制策略6.2.1安全策略6.2.2基于身份的安全策略6.2.3基于規(guī)則的安全策略6.2訪問控制策略6.2.1安全策略326.2.1安全策略安全策略建立的需要和目的安全的領域非常廣泛繁雜，構建一個可以抵御風險的安全框架涉及很多細節(jié)。如果能夠提供一種恰當?shù)?、符合安全需求的整體思路，也更加有明確的前進方向。恰當?shù)陌踩呗躁P注的核心集中到最高決策層認為必須注意的方面。一種安全策略實質上表明：必須明確在安全領域的范圍內(nèi)，什么操作是明確允許的，什么操作是一般默認允許的，什么操作是明確不允許的，什么操作是默認不允許的。不要求安全策略作出具體的措施規(guī)定以及何種方式但應該向安全構架的實際搭造者們指出在當前的前提下，什么因素和風險才是最重要的。6.2.1安全策略安全策略建立的需要和目的33安全策略的實施原則圍繞主體、客體和安全控制規(guī)則集三者之間的關系展開的。①最小特權原則：最小特權原則是指主體執(zhí)行操作時，按照主體所需權利的最小化原則分配給主體權力。優(yōu)點：是最大限度地限制了主體實施授權行為，可以避免來自突發(fā)事件、錯誤和未授權用主體的危險。②最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原則分配給主體權力。③多級安全策略：多級安全策略是指主體和客體間的數(shù)據(jù)流向和權限控制按照安全級別的絕密（TS）、秘密（S）、機密（C）、限制（RS）和無級別（U）5級來劃分。優(yōu)點：避免敏感信息的擴散，只有安全級別比他高的主體才能夠訪問。安全策略的實施原則圍繞主體、客體和安全控制規(guī)則集三者之間34安全策略的具體含義和實現(xiàn)安全策略的前提是具有一般性和普遍性安全策略的最主要的問題：如何能使安全策略的這種普遍性和所要分析的實際問題的特殊性相結合。控制策略的制定是一個按照安全需求、依照實例不斷精確細化的求解過程。設計者要考慮到實際應用的前瞻性，有時候并不知道這些具體的需求與細節(jié)是什么；為了能夠描述和了解這些細節(jié)，就需要在安全策略的指導下,對安全涉及到的領域和相關做細致的考查和研究。安全策略的具體含義和實現(xiàn)安全策略的前提是具有一般性和普遍性351989年12月國際標準化組織（ISO）頒布了該標準的第二部分，即ISO7498-2，并首次確定了開放系統(tǒng)互連（OSI）參考模型的信息安全體系結構。按照ISO7498-2中OSI安全體系結構中的定義，訪問控制的安全策略有以下兩種實現(xiàn)方式：基于身份的安全策略，等同于DAC安全策略基于規(guī)則的安全策略，等同于MAC安全策略。1989年12月國際標準化組織（ISO）頒布了該標準的第二部366.2.2基于身份的安全策略基于身份的安全策略（Identification-basedAccessControlPolicies,IDBACP）的目的是過濾對數(shù)據(jù)或資源的訪問，只有能通過認證的那些主體才有可能正常使用客體的資源?；谏矸莸牟呗园ɑ趥€人的策略基于組的策略。6.2.2基于身份的安全策略基于身份的安全策略（I37基于個人的策略基于個人的策略：是指以用戶為中心建立的一種策略，這種策略由一些列表來組成，這些列表限定了針對特定的客體，哪些用戶可以實現(xiàn)何種策操作行為。

對文件2而言，授權用戶B有只讀的權利，授權用戶A則被允許讀和寫；對授權用戶N而言，具有對文件1、2和文件N的讀寫權利?；趥€人的策略基于個人的策略：是指以用戶為中心建立的一種策38基于組的策略基于組的策略是基于個人的策略的擴充，指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體。基于身份的安全策略有兩種基本的實現(xiàn)方法：能力表和訪問控制列表?；诮M的策略基于組的策略是基于個人的策略的擴充，指一些用戶396.2.3基于規(guī)則的安全策略基于規(guī)則的安全策略中，授權依賴于敏感性。在實現(xiàn)上，系統(tǒng)比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶可以進行訪問。6.2.3基于規(guī)則的安全策略基于規(guī)則的安全策略中，授權依賴于406.3訪問控制的實現(xiàn)6.3.1訪問控制的實現(xiàn)機制6.3.2訪問控制表6.3.3訪問控制矩陣6.3.4訪問控制能力列表6.3.5訪問控制安全標簽列表6.3.6訪問控制實現(xiàn)的具體類別 6.3訪問控制的實現(xiàn)6.3.1訪問控制的實現(xiàn)機制416.3.1訪問控制的實現(xiàn)機制實現(xiàn)訪問控制的要求：保證授權用戶使用的權限與其所擁有的權限對應制止非授權用戶的非授權行為保證敏感信息的交叉感染。

本章以文件的訪問控制為例做具體說明：用戶訪問信息資源（文件或是數(shù)據(jù)庫），可能的行為有：讀R、寫W和管理O(own)

6.3.1訪問控制的實現(xiàn)機制實現(xiàn)訪問控制的要求：426.3.2訪問控制表訪問控制表（AccessControlLists,ACLs）是以文件為中心建立的訪問權限表。目前，大多數(shù)PC、服務器和主機都使用ACLs作為訪問控制的實現(xiàn)機制。6.3.2訪問控制表訪問控制表（AccessCont436.3.4訪問控制能力列表能力：請求訪問的發(fā)起者所擁有的一個有效標簽（ticket），它授權標簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力（ACCL）表是以用戶為中心建立訪問權限表。

ACCLs的實現(xiàn)與ACLs正好相反。6.3.4訪問控制能力列表能力：請求訪問的發(fā)起者所擁有446.3.3訪問控制矩陣訪問控制矩陣（AccessControlMatrix,ACM）是通過矩陣形式表示訪問控制規(guī)則和授權用戶權限的方法；主體——擁有對哪些客體的哪些訪問權限；客體——有哪些主體對他可以實施訪問其中，特權用戶或特權用戶組可以修改主體的訪問控制權限。缺點：如果用戶和文件系統(tǒng)要管理的文件很多，那么控制矩陣將會成幾何級數(shù)增長，這樣對于增長的矩陣而言，會有大量的空余空間。6.3.3訪問控制矩陣訪問控制矩陣（AccessCon456.3.5訪問控制安全標簽列表安全標簽：限制和附屬在主體或客體上的一組安全屬性信息。訪問控制標簽列表（AccessControlSecurityLabelsLists,ACSLLs）是限定一個用戶對一個客體目標訪問的安全屬性集合。假設用戶UserA為S，UserA請求訪問File2時，S<TS，訪問被拒絕UserA請求訪問FileN時，S>C，允許訪問。安全標簽能對敏感信息加以區(qū)分，這樣就可以對用戶和客體資源強制執(zhí)行安全策略，因此，強制訪問控制經(jīng)常會用到這種實現(xiàn)機制。6.3.5訪問控制安全標簽列表安全標簽：限制和附屬在主466.3.6訪問控制實現(xiàn)的具體類別訪問控制的主要任務：維護網(wǎng)絡系統(tǒng)安全、保證網(wǎng)絡資源不被非法使用和非常訪問。技術實現(xiàn)上包括：（1）接入訪問控制（2）資源訪問控制（3）網(wǎng)絡端口和節(jié)點的訪問控制6.3.6訪問控制實現(xiàn)的具體類別訪問控制的主要任務：47接入訪問控制

接入訪問控制為網(wǎng)絡訪問提供第一層訪問控制控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源控制準許用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。對合法用戶的驗證——用戶名和口令的認證方式可分為三個步驟：用戶名的識別與驗證用戶口令的識別與驗證用戶賬號的缺省限制檢查。

接入訪問控制接入訪問控制為網(wǎng)絡訪問提供第一層訪問控制48資源訪問控制資源訪問控制是指對客體整體資源信息的訪問控制管理。其中包括文件系統(tǒng)的訪問控制（文件目錄訪問控制和系統(tǒng)訪問控制）文件屬性訪問控制信息內(nèi)容訪問控制。文件目錄訪問控制：用戶和用戶組被賦予一定的權限，哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，執(zhí)行何種操作。系統(tǒng)訪問控制：網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限應設置口令鎖定服務器控制臺應設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔應對網(wǎng)絡實施監(jiān)控、報警等。資源訪問控制資源訪問控制是指對客體整體資源信息的訪問控制管理49網(wǎng)絡端口和節(jié)點的訪問控制網(wǎng)絡中的節(jié)點和端口加密傳輸數(shù)據(jù)，其位置的管理必須防止黑客發(fā)動的攻擊。網(wǎng)絡端口和節(jié)點的訪問控制網(wǎng)絡中的節(jié)點和端口加密傳輸數(shù)據(jù)，其位506.4安全級別與訪問控制訪問控制的具體實現(xiàn)與安全的級別聯(lián)系在一起的安全級別有兩個含義：一個是主客體信息資源的安全類別，分為：有層次的安全級別、無層次的安全級別；一個是訪問控制系統(tǒng)實現(xiàn)的安全級別，分為4級：D、C（C1、C2）、B（B1、B2、B3）和A6.4安全級別與訪問控制訪問控制的具體實現(xiàn)與安全的級51計算機系統(tǒng)的安全級別介紹1.D級別D級別是最低的安全級別。系統(tǒng)的訪問控制沒有限制，無需登陸系統(tǒng)就可以訪問數(shù)據(jù)。這個級別的系統(tǒng)包括DOS，WINDOWS98等。計算機系統(tǒng)的安全級別介紹1.D級別52計算機系統(tǒng)的安全級別介紹2.C級別，有兩個子系統(tǒng)，C1和C2C1級稱為選擇性保護級，可以實現(xiàn)自主安全防護，對用戶和數(shù)據(jù)進行分離，保護或限制用戶權限的傳播。C2級具有訪問控制環(huán)境的權力，比C1的訪問控制劃分的更為詳細，能夠實現(xiàn)受控安全保護、個人賬戶管理、審計和資源隔離。這個級別的系統(tǒng)包括Unix、Linux和WindowsNT系統(tǒng)。C級別的安全策略主要是自主存取控制，可以實現(xiàn)①保護數(shù)據(jù)確保非授權用戶無法訪問；②對存取權限的傳播進行控制；③個人用戶數(shù)據(jù)的安全管理。計算機系統(tǒng)的安全級別介紹2.C級別，有兩個子系統(tǒng)，C1和53計算機系統(tǒng)的安全級別介紹3.B級別，提供強制性安全保護和多級安全

B級別包括B1、B2和B33個級別。B級安全級別可實現(xiàn)自主存取控制和強制存取控制，包括：①所有敏感標識控制下的主體和客體都有標識；②安全標識對普通用戶是不可變更的；③可以審計：任何試圖違反可讀輸出標記的行為；授權用戶提供的無標識數(shù)據(jù)的安全級別和與之相關的動作；信道和I/O設備的安全級別的改變；用戶身份和與相應的操作；④維護認證數(shù)據(jù)和授權信息；⑤通過控制獨立地址空間來維護進程的隔離。計算機系統(tǒng)的安全級別介紹3.B級別，提供強制性安全保護和54計算機系統(tǒng)的安全級別介紹4.A級別，驗證設計級（VerityDesign）目前最高的安全級別；安全的設計必須給出形式化設計說明和驗證；需要有嚴格的數(shù)學推導過程；包含秘密信道和可信分布的分析，也就是說要保證系統(tǒng)的部件來源有安全保證。例如對這些軟件和硬件在生產(chǎn)、銷售、運輸中進行嚴密跟蹤和嚴格的配置管理，以避免出現(xiàn)安全隱患。計算機系統(tǒng)的安全級別介紹4.A級別，驗證設計級（Veri556.5訪問控制與授權6.5.1授權行為6.5.2信任模型6.5.3信任管理系統(tǒng) 6.5訪問控制與授權6.5.1授權行為566.5.1授權行為授權是資源的所有者或者控制者準許他人訪問這種資源，這是實現(xiàn)訪問控制的前提。對于簡單的個體和不太復雜的群體：可以考慮基于個人和組的授權。對于一個大型跨國集團時：如何通過正常的授權以便保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問控制的權限，這是一個復雜的問題。授權表示的是一種信任關系，需要建立一種模型對這種關系進行描述。本節(jié)將闡述信任模型的建立與信任管理。6.5.1授權行為授權是資源的所有者或者控制者準許576.5.2信任模型概念和定義信任模型（TrustModel）：建立和管理信任關系的框架。信任關系：客體對主體是信任的：如果主體能夠符合客體所假定的期望值。信任關系可以使用期望值來衡量，并用信任度表示。信任域：主客體間建立信任關系的范疇，信任域是服從于一組公共策略的系統(tǒng)集。6.5.2信任模型概念和定義58信任模型信任模型有3種基本類型：層次信任模型網(wǎng)狀信任模型對等信任模型。信任模型信任模型有3種基本類型：59層次信任模型建立層次信任模型的基礎是所有的信任用戶都有一個可信任根。層次信任關系是一種鏈式的信任關系，比如可信任實體A1可以表示為這樣一個信任鏈：（R，C1，A1），A1向上回溯到產(chǎn)生他的信任根R。雙向信任的模型，Ai和Bj都基于可信任根R，容易建立信任關系的很容易根節(jié)點R作為信任的起點，也就是信任源，又稱為信任錨。信任源負責下屬的信任管理，下屬再負責下面一層的信任管理，這種管理方向是不可逆的。層次信任模型建立層次信任模型的基礎是所有的信任用戶都有一個60層次信任模型優(yōu)點：結構簡單，管理方面，易于實現(xiàn)。缺點：是Ai和Xk的信任通過根實現(xiàn)，信任根出現(xiàn)問題，那么信任的整個鏈路就被破壞了?，F(xiàn)實世界中，往往建立一個統(tǒng)一信任的根是困難的。對于不在一個信任域中的兩個實體如何來建立信任關系？層次模型的適用范圍：層次信任模型適用于孤立的、層狀的企業(yè)，對于有組織邊界交叉的企業(yè)，要應用這種模型是很困難的。層次信任模型優(yōu)點：結構簡單，管理方面，易于實現(xiàn)。層次模型的適61對等信任模型對等信任模型：兩個或兩個以上對等的信任域間建立的信任關系。對等信任關系相對靈活，可解決任意已經(jīng)建立信任關系的兩個信任模型之間的交互信任。A1和X1的信任關系要通過對等信任域R1和R2的相互認證才能實現(xiàn)，因此這種信任關系在PKI領域中又叫做交叉認證。兩個實體間是對等的關系，既是被驗證的主體，又是進行驗證的客體。對等信任模型對等信任模型：兩個或兩個以上對等的信任域間建立的62網(wǎng)狀信任模型網(wǎng)狀信任模型是對等信任模型的擴充。因為沒有必要在任意兩個對等的信任域建立交叉認證，完全可以通過建立一個網(wǎng)絡拓撲結構的信任模型來實現(xiàn)。R1，R2～R11是不同的信任域，之間的信任關系用實線箭頭表示。R1和R5信任域下的主體A和B間可以建立的信任鏈共有3條。網(wǎng)狀信任模型網(wǎng)狀信任模型是對等信任模型的擴充。因為沒有必要在636.5.3信任管理系統(tǒng)闡述信任模型很容易產(chǎn)生一個問題，這就是在實際中是由誰在管理信任？如果我們就是信任中的主體，我們憑什么信任他們？這就是信任管理需要解決的問題。信任管理包含了兩個方面，一個是對于信任鏈的維護與管理二個是對信任域間信任關系的管理與維護。信任域的管理通常由認證機構來負責。6.5.3信任管理系統(tǒng)闡述信任模型很容易產(chǎn)生一個問題646.6PKI與PMI的關系6.6.1授權管理6.6.2屬性證書6.6.3PMI結構模型6.6PKI與PMI的關系6.6.1授權管理656.6.1授權管理PMI即是特權管理基礎設施，PMI授權技術主要解決有效授權問題。PMI授權技術提供：在分布式計算環(huán)境中的訪問控制功能將訪問控制機制從具體應用系統(tǒng)中分離出來，使得訪問控制機制和應用系統(tǒng)之間能靈活而方便的結合。PMI授權技術的核心思想：是以資源管理為核心，將對資源的訪問控制權統(tǒng)一交由授權機構進行管理，即由資源的所有者來進行訪問控制。6.6.1授權管理PMI即是特權管理基礎設施，PM66PKI與PMI的關系同PKI的區(qū)別：PKI證明用戶是誰，并將用戶的身份信息保存在用戶的公鑰證書中；PMI證明這個用戶有什么權限，什么屬性，能干什么，并將用戶的屬性信息保存在授權證書（又稱授權證書）中。PMI的最終目標：就是提供一種有效的體系結構來管理用戶的屬性。這包括兩個方面的含義：PMI保證用戶獲取他們有權獲取的信息、做他們有權限進行的操作；PMI應能提供跨應用、跨系統(tǒng)、跨企業(yè)、跨安全域的用戶屬性的管理和交互手段。PKI與PMI的關系同PKI的區(qū)別：67PKI與PMI的關系（續(xù)）PMI建立在PKI提供的可信的身份認證服務的基礎上，以屬性證書的形式實現(xiàn)授權的管理。PMI體系和模型的核心內(nèi)容：是實現(xiàn)屬性證書的有效管理，包括屬性證書的產(chǎn)生、使用、吊銷、失效等。PKI與PMI的關系（續(xù)）68PKI與PMI的關系在一個應用系統(tǒng)中，授權必須以身份認證為基礎，沒有經(jīng)過身份認證的訪問控制是沒有任何意義的。PMI與PKI的關聯(lián)：屬性權威可以在屬性證書中綁定用戶身份證書的有效信息實現(xiàn)，使PKI/PMI體系的基礎設施為信息安全建設提供一個通用的安全平臺。在一個PKI/PMI的安全平臺中，PKI是PMI的基礎，為PMI授權提供了身份認證服務，PMI是PKI的有益的補充，在身份認證的基礎上進一步管理用戶的權限屬性。PKI與PMI的關系在一個應用系統(tǒng)中，授權必須以身份認證為基696.6.2屬性證書在PKI/PMI體系中存在兩種證書：公鑰證書PKC：為了保證用戶身份和公鑰的可信度，將兩者進行捆綁，并由可信的第三方CA——證書的權威機構簽名的數(shù)據(jù)結構，即為公鑰證書。PKI主要作用：身份認證提供安全依據(jù)。屬性證書AC：屬性證書建立在基于公鑰證書的身份認證的基礎上PMI權威機構屬性權威AA(AttributeAuthority)簽發(fā)的將實體與其享有的權力屬性捆綁在一起的數(shù)據(jù)結構，權威機構的數(shù)字簽名保證了綁定的有效性和合法性。PMI作用：授權管理6.6.2屬性證書在PKI/PMI體系中存在兩種證書70公鑰證書與屬性證書公鑰證書保證實體及其公鑰的對應性，為數(shù)據(jù)完整性、實體認證、保密性、授權等安全機制提供身份服務。不直接用公鑰證書來承載屬性而使用獨立的屬性證書原因：身份和屬性的有效時間有很大差異：屬性證書的生命周期往往遠低于用于標識身份的公鑰證書。公鑰證書和屬性證書的管理頒發(fā)部門可能不同。公鑰證書——身份管理系統(tǒng)進行控制屬性證書——與應用緊密相關。公鑰證書與屬性證書公鑰證書保證實體及其公鑰的對應性，為數(shù)據(jù)完71公鑰證書與屬性證書公鑰證書：一個系統(tǒng)中，每個用戶只有一張合法的公鑰證書屬性證書：多個應用可使用同一屬性證書；同一應用的不同操作可頒發(fā)不同的屬性證書。在公鑰證書的擴展域中添加屬性字段：只有那些身份和屬性生命期相同、而且同時CA兼任屬性管理功能的情況下，可以使用公鑰證書來承載屬性。大部分情況下應使用公鑰證書、屬性證書的方式實現(xiàn)屬性的管理。屬性證書的吊銷：與公鑰證書相似，通過證書撤消列表的方式。有效期較長的屬性證書系統(tǒng)：需要維護屬性證書撤消列表；生存周期非常短的屬性證書：證書吊銷是沒有必要的。公鑰證書與屬性證書公鑰證書：72X.509屬性證書格式X.509屬性證書格式736.6.3PMI結構模型基本的特權管理模型包括以下四個實體組成：對象特權聲稱者特權驗證者權威源點/屬性權威：SOA(Source

ofAttributeAuthority)/AA（AttributeAuthority）6.6.3PMI結構模型基本的特權管理模型包括以下四74PMI結構模型組成SOA(Source

ofAttributeAuthority)：授權管理體系的中心業(yè)務節(jié)點是整個授權系統(tǒng)的最終信任源和最高管理機構，相當于PKI系統(tǒng)中的根CA，對整個系統(tǒng)特權分發(fā)負有最終的責任。中心的主要職責：授權策略的管理、應用授權受理、中心的設立審核及管理等。AA（AttributeAuthority）：授權管理體系的核心服務節(jié)點對應于具體應用系統(tǒng)的授權管理分系統(tǒng)，由各應用部門管理，SOA授權給它管理一部分或全部屬性的權力。中心的職責：應用授權受理?？梢杂卸鄠€層次，上級AA可授權給下級AA，下級可管理的屬性的范圍不超過上級。PMI結構模型組成SOA(SourceofAttrib75PMI結構模型組成特權持有者：使用屬性證書的實體或人。一個AA：在很多使用環(huán)境中，系統(tǒng)只存在一個AA，即SOA，管理所有的特權和屬性，并直接分配特權給最終用戶；多級AA：在大型的復雜的環(huán)境中，則存在多級AA，PMI呈樹狀體系結構，分層進行管理,屬性的驗證較復雜，類似PKI系統(tǒng)中的信任鏈（1）驗證最終用戶持有的屬性證書（2）逐級回溯，驗證各級的權力和有效性，直至SOA對象：被保護的資源，表現(xiàn)為各種機密文件、數(shù)據(jù)庫等。PMI結構模型組成特權持有者：使用屬性證書的實體或人。76本章小結訪問控制技術在操作系統(tǒng)安全、數(shù)據(jù)庫安全和一般信息系統(tǒng)安全體系中被大量采用，它控制信息系統(tǒng)的資源只能按照所授予的權限被訪問。在訪問控制實現(xiàn)過程中需要考慮的因素包括：主體與客體屬性、屬性的關聯(lián)方法、具體應用對安全策略的需求等。當前主要的訪問控制策略包括三種：自主訪問控制、強制訪問控制和基于角色的訪問控制，本章對著三種訪問控制策略的基本概念并對其性能進行了介紹，結合訪問控制策略進一步介紹了訪問控制的實現(xiàn)方式以及安全級別與訪問控制的關系，同事，借鑒PKI的實現(xiàn)方式，重點介紹了授權管理基礎設施的基本概念，屬性證書的特點和功能，以及PKI與PMI的關系。本章小結訪問控制技術在操作系統(tǒng)安全、數(shù)據(jù)庫安全和一般信息系統(tǒng)77在線教務輔導網(wǎng)：教材其余課件及動畫素材請查閱在線教務輔導網(wǎng)QQ:349134187

或者直接輸入下面地址：在線教務輔導網(wǎng)：http://www.shangfuwang78

第六章訪問控制

第六章訪問控制79第六章訪問控制技術本章內(nèi)容6.1訪問控制的模型6.2訪問控制策略6.3訪問控制的實現(xiàn)6.4安全級別與訪問控制6.5訪問控制與授權6.6PMI第六章訪問控制技術本章內(nèi)容806.1訪問控制的模型6.1.1自主訪問控制模型（DACModel）6.1.2強制訪問控制模型（MACModel）6.1.3基于角色的訪問控制模型（RBACModel）6.1訪問控制的模型6.1.1自主訪問控制模型（DACM81訪問控制的模式訪問控制模型：是一種從訪問控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。

訪問控制：主體依據(jù)某些控制策略或權限對客體本身或是其資源進行的不同授權訪問。訪問控制包括三個要素，即：主體、客體和控制策略。訪問控制的模式訪問控制模型：是一種從訪問控制的角度出發(fā)，描述82主體（Subject）主體：是指一個提出請求或要求的實體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。主體可以是用戶或其它任何代理用戶行為的實體（例如進程、作業(yè)和程序）。簡記為S廣義上講：主體可以是用戶所在的組織（以后稱為用戶組）、用戶本身，也可是用戶使用的計算機終端、卡機、手持終端（無線）等，甚至可以是應用服務程序程序或進程。主體（Subject）主體：是指一個提出請求或要求的實體，是83客體（Object）客體：是接受其他實體訪問的被動實體,簡記為O。客體，可以被操作的信息、資源、對象例如：信息、文件、記錄等的集合體，網(wǎng)路上的硬件設施無線通信中的終端一個客體可以包含另外一個客體客體（Object）客體：是接受其他實體訪問的被動實體,簡84控制策略控制策略：是主體對客體的操作行為集和約束條件集,簡記為KS?？刂撇呗裕菏侵黧w對客體的訪問規(guī)則集規(guī)則集定義了：主體對客體的作用行為客體對主體的條件約束訪問策略體現(xiàn)了一種授權行為控制策略控制策略：是主體對客體的操作行為集和約束條件集,簡85三個要素之間的行為關系訪問控制系統(tǒng)三個要素之間的行為關系三元組（S，O，P）S表示主體O表示客體P表示許可三個要素之間的行為關系訪問控制系統(tǒng)三個要素之間的行為關系86訪問控制關系示意圖對主體進行認證正常的請求信息主體通過驗證，才能訪問客體，但并不保證其有權限可以對客體進行操作。客體對主體的驗證一般會鑒別用戶的標識和用戶密碼對主體的具體約束由訪問控制表來控制實現(xiàn)。訪問控制關系示意圖對主體進行認證正常的請求信息主體通過驗證87用戶標識（UID：UserIdentification）：一個用來鑒別用戶身份的字符串。每個用戶有且只能有唯一的一個用戶標識。用戶注冊進入系統(tǒng)必須提供用戶標識系統(tǒng)審查來確信當前用戶是對應用戶標識的那個用戶。用戶標識（UID：UserIdentification）：88多級安全信息系統(tǒng)多級安全信息系統(tǒng)：由于用戶的訪問涉及到訪問的權限控制規(guī)則集合，將敏感信息與通常資源分開隔離的系統(tǒng)。多級安全系統(tǒng)將信息資源按照安全屬性分級考慮，可分為兩種。多級安全信息系統(tǒng)多級安全信息系統(tǒng)：89兩種安全類別一種是有層次的安全級別（HierarchicalClassification），分為TS，S，C，RS，U5級絕密級別（TopSecret）秘密級別（Secret）機密級別（Confidential）限制級別（Restricted）無級別級（Unclassified）另一種是無層次的安全級別，不對主體和客體按照安全類別分類只是給出客體接受訪問時可以使用的規(guī)則和管理者。兩種安全類別一種是有層次的安全級別（Hierarchical90訪問控制內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證，然后是對控制策略的選用與管理，最后要對非法用戶或是越權操作進行管理。認證：主體對客體的識別認證和客體對主體檢驗認證。主體和客體的認證關系是相互的，主體也可能變成了客體，取決于當前實體的功能是動作的執(zhí)行者還是被執(zhí)行者?？刂撇呗缘木唧w實現(xiàn)：體現(xiàn)在如何設定規(guī)則集合，對信息資源的合法使用，考慮敏感資源的泄漏，不能越權審計：當管理員有操作賦予權，他有可能濫用這一權利，這是無法在策略中加以約束的。必須對這些行為進行記錄，從而達到威懾和保證訪問控制正常實現(xiàn)的目的。訪問控制內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證，然后91訪問控制模型訪問控制安全模型一般包括：主體、客體。為識別和驗證這些實體的子系統(tǒng)?？刂茖嶓w間訪問的監(jiān)視器。建立規(guī)范的訪問控制模型，是實現(xiàn)嚴格訪問控制策略所必須的。

訪問控制模型訪問控制安全模型一般包括：92訪問控制模型20世紀70年代，Harrison等提出了HRU模型。1976年，Jones等人提出了Take-Grant模型。1985年，美國軍方提出可信計算機系統(tǒng)評估準則TCSEC，其中描述了兩種著名的訪問控制策略：自主訪問控制模型（DAC）強制訪問控制模型（MAC）1992年，F(xiàn)erraiolo等提出基于角色的訪問控制（RBAC）基于對象的訪問控制基于任務的訪問控制。后兩種考慮到網(wǎng)絡安全和傳輸流。訪問控制模型20世紀70年代，Harrison等提出了HR936.1.1自主訪問控制模型自主訪問控制模型（DiscretionaryAccessControlModel，DACModel）根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶訪問策略規(guī)定的客體阻止非授權用戶訪問客體某些用戶把自己所擁有的訪問權限授予其它用戶自主訪問控制又稱為任意訪問控制。Linux，Unix、WindowsNT或是Server版本的操作系統(tǒng)都提供自主訪問控制的功能。6.1.1自主訪問控制模型自主訪問控制模型94自主訪問控制模型的實現(xiàn)：首先要對用戶的身份進行鑒別然后就可以按照訪問控制列表所賦予用戶的權限，允許和限制用戶使用客體的資源主體控制權限的修改通常由特權用戶（管理員）或是特權用戶組實現(xiàn)。自主訪問控制模型自主訪問控制模型的實現(xiàn)：自主訪問控制模型95自主訪問控制模型的特點特點：授權的實施主體自主負責賦予和回收其他主體對客體資源的訪問權限。DAC模型一般采用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制信息，從而達到對主體訪問權限的限制目的任意訪問控制優(yōu)點：靈活的數(shù)據(jù)訪問方式缺點：DAC模型的安全防護相對較低，用戶可以任意傳遞權限自主訪問控制模型的特點特點：966.1.2強制訪問控制模型強制訪問控制模型（MandatoryAccessControlModel,MACModel）發(fā)展：最初是為了實現(xiàn)比DAC更為嚴格的訪問控制策略，美國政府和軍方開發(fā)了各種各樣的控制模型，隨后得到廣泛的商業(yè)關注和應用。MAC與DAC的不同之處：DAC：用戶和客體資源都被賦予一定的安全級別，只有管理員才能夠確定用戶和組的訪問權限。MAC：是一種多級訪問控制策略，系統(tǒng)對訪問主體和受控對象實行強制訪問控制系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性在實施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。

6.1.2強制訪問控制模型強制訪問控制模型（Mand97MAC對訪問主體和受控對象標識兩個安全標記：一個是具有偏序關系的安全等級標記一個是非等級分類標記。主體和客體在分屬不同的安全類別時，用SC表示它們構成的一個偏序關系，比如：TS絕密級比密級S高，當主體S的安全類別為TS客體O的安全類別為S時用偏序關系可以表述為SC(S)≥SC(O)。強制訪問控制模型MAC對訪問主體和受控對象標識兩個安全標記：強制訪問控制模型98主體對客體的訪問根據(jù)偏序關系，主體對客體的訪問主要有4種方式：（1）向下讀（rd，readdown）主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；（2）向上讀（ru，readup）主體安全級別低于客體信息資源的安全級別時允許的讀操作；（3）向下寫（wd，writedown）主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；（4）向上寫（wu，writeup）主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。主體對客體的訪問根據(jù)偏序關系，主體對客體的訪問主要有4種方式99MAC和DACMAC模型和DAC模型屬于傳統(tǒng)的訪問控制模型。MAC和DAC在實現(xiàn)上通常為每個用戶賦予對客體的訪問權限規(guī)則集用戶自主地把自己所擁有的客體的訪問權限授予其它用戶缺點：系統(tǒng)管理員的工作將變得非常繁重，容易發(fā)生錯誤、安全漏洞。引入新的機制加以解決，即基于角色的訪問控制模型。MAC和DACMAC模型和DAC模型屬于傳統(tǒng)的訪問控制模型。1006.1.3基于角色的訪問控制模型角色（Role）：一個可以完成一定事務的命名組，不同的角色通過不同的事務來執(zhí)行各自的功能。事務（Transaction）：一個完成一定功能的過程，可以是一個程序或程序的一部分。角色是代表具有某種能力的人或是某些屬性的人的一類抽象6.1.3基于角色的訪問控制模型角色（Role）：一個可101角色和組的主要區(qū)別在于：用戶屬于組是相對固定的。用戶能被指派到哪些角色則受時間、地點、事件等諸多因素影響。角色比組的抽象級別要高?；诮巧脑L問控制模型角色和組的主要區(qū)別在于：基于角色的訪問控制模型102基于角色的訪問控制模型RBAC基于角色的訪問控制模型（Role-basedAccessModel，RBACModel）的基本思想：將訪問許可權分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。訪問控制應該基于員工的職務，而不是基于員工在哪個組或誰是信息的所有者即訪問控制是由各個用戶在部門中所擔任的角色來確定的，例如，一個學校可以有教工、老師、學生和其他管理人員等角色。基于角色的訪問控制模型RBAC基于角色的訪問控制模型（Rol103RBAC從控制主體的角度出發(fā)根據(jù)管理中相對穩(wěn)定的職權和責任來劃分角色，將訪問權限與角色相聯(lián)系這點與傳統(tǒng)的MAC和DAC將權限直接授予用戶的方式不同；通過給用戶分配合適的角色，讓用戶與訪問權限相聯(lián)系?；诮巧脑L問控制模型RBACRBAC基于角色的訪問控制模型RBAC104基于角色的訪問控制模型角色可以看作是一組操作的集合

假設：Tch1，Tch2，Tch3,…,Tchi——教師Stud1,Stud2,Stud3,…,Studj——學生Mng1,Mng2,Mng3,…,Mngk——教務處管理人員對應的權限老師的權限為TchMN={查詢成績、上傳所教課程的成績}；學生的權限為StudMN={查詢成績、反映意見}；教務管理人員的權限為MngMN={查詢、修改成績、打印成績清單}。執(zhí)行的操作與其所扮演的角色的職能相匹配，不同的用戶根據(jù)其職能和責任被賦予相應的角色?；诮巧脑L問控制模型角色可以看作是一組操作的集合105基于角色的訪問控制模型系統(tǒng)管理員負責授予用戶各種角色的成員資格或撤消某用戶具有的某個角色。例如學校新教師Tchx，只需將Tchx添加到教師這一角色的成員中，無需對訪問控制列表做改動。同一個用戶可扮演多種角色，比如可以是老師，同時也可以作為進修的學生。RBAC提供了一種描述用戶和權限之間的多對多關系；基于角色的訪問控制模型系統(tǒng)管理員負責授予用戶各種角色的成員資106基于角色的訪問控制模型RBAC簡化了權限設置的管理，是實施面向企業(yè)的安全策略的一種有效的訪問控制方式具有靈活性、方便性和安全性的特點目前在大型數(shù)據(jù)庫系統(tǒng)的權限管理中得到普遍應用。RBAC與DAC的區(qū)別：用戶不能自主地將訪問權限授給別的用戶所在。用戶與客體無直接聯(lián)系，橋梁是角色，只有系統(tǒng)管理員有權定義和分配角色。RBAC與MAC的區(qū)別在于：MAC是基于多級安全需求的，而RBAC則不是?；诮巧脑L問控制模型RBAC簡化了權限設置的管理，是實施面107上述幾個訪問控制模型的缺點上述幾個訪問控制模型的缺點：控制環(huán)境是靜態(tài)的：都是從系統(tǒng)的角度出發(fā)去保護資源，沒有考慮上下文環(huán)境。組織任務與服務相關的信息進一步自動化，需要隨著任務的執(zhí)行而進行動態(tài)授權的保護上。權限沒有時間限制：只要主體擁有對客體的訪問權限，主體就可以無數(shù)次地執(zhí)行該權限。上述幾個訪問控制模型的缺點上述幾個訪問控制模型的缺點：1086.2訪問控制策略6.2.1安全策略6.2.2基于身份的安全策略6.2.3基于規(guī)則的安全策略6.2訪問控制策略6.2.1安全策略1096.2.1安全策略安全策略建立的需要和目的安全的領域非常廣泛繁雜，構建一個可以抵御風險的安全框架涉及很多細節(jié)。如果能夠提供一種恰當?shù)摹⒎习踩枨蟮恼w思路，也更加有明確的前進方向。恰當?shù)陌踩呗躁P注的核心集中到最高決策層認為必須注意的方面。一種安全策略實質上表明：必須明確在安全領域的范圍內(nèi)，什么操作是明確允許的，什么操作是一般默認允許的，什么操作是明確不允許的，什么操作是默認不允許的。不要求安全策略作出具體的措施規(guī)定以及何種方式但應該向安全構架的實際搭造者們指出在當前的前提下，什么因素和風險才是最重要的。6.2.1安全策略安全策略建立的需要和目的110安全策略的實施原則圍繞主體、客體和安全控制規(guī)則集三者之間的關系展開的。①最小特權原則：最小特權原則是指主體執(zhí)行操作時，按照主體所需權利的最小化原則分配給主體權力。優(yōu)點：是最大限度地限制了主體實施授權行為，可以避免來自突發(fā)事件、錯誤和未授權用主體的危險。②最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原則分配給主體權力。③多級安全策略：多級安全策略是指主體和客體間的數(shù)據(jù)流向和權限控制按照安全級別的絕密（TS）、秘密（S）、機密（C）、限制（RS）和無級別（U）5級來劃分。優(yōu)點：避免敏感信息的擴散，只有安全級別比他高的主體才能夠訪問。安全策略的實施原則圍繞主體、客體和安全控制規(guī)則集三者之間111安全策略的具體含義和實現(xiàn)安全策略的前提是具有一般性和普遍性安全策略的最主要的問題：如何能使安全策略的這種普遍性和所要分析的實際問題的特殊性相結合。控制策略的制定是一個按照安全需求、依照實例不斷精確細化的求解過程。設計者要考慮到實際應用的前瞻性，有時候并不知道這些具體的需求與細節(jié)是什么；為了能夠描述和了解這些細節(jié)，就需要在安全策略的指導下,對安全涉及到的領域和相關做細致的考查和研究。安全策略的具體含義和實現(xiàn)安全策略的前提是具有一般性和普遍性1121989年12月國際標準化組織（ISO）頒布了該標準的第二部分，即ISO7498-2，并首次確定了開放系統(tǒng)互連（OSI）參考模型的信息安全體系結構。按照ISO7498-2中OSI安全體系結構中的定義，訪問控制的安全策略有以下兩種實現(xiàn)方式：基于身份的安全策略，等同于DAC安全策略基于規(guī)則的安全策略，等同于MAC安全策略。1989年12月國際標準化組織（ISO）頒布了該標準的第二部1136.2.2基于身份的安全策略基于身份的安全策略（Identification-basedAccessControlPolicies,IDBACP）的目的是過濾對數(shù)據(jù)或資源的訪問，只有能通過認證的那些主體才有可能正常使用客體的資源?；谏矸莸牟呗园ɑ趥€人的策略基于組的策略。6.2.2基于身份的安全策略基于身份的安全策略（I114基于個人的策略基于個人的策略：是指以用戶為中心建立的一種策略，這種策略由一些列表來組成，這些列表限定了針對特定的客體，哪些用戶可以實現(xiàn)何種策操作行為。

對文件2而言，授權用戶B有只讀的權利，授權用戶A則被允許讀和寫；對授權用戶N而言，具有對文件1、2和文件N的讀寫權利?；趥€人的策略基于個人的策略：是指以用戶為中心建立的一種策115基于組的策略基于組的策略是基于個人的策略的擴充，指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體。基于身份的安全策略有兩種基本的實現(xiàn)方法：能力表和訪問控制列表。基于組的策略基于組的策略是基于個人的策略的擴充，指一些用戶1166.2.3基于規(guī)則的安全策略基于規(guī)則的安全策略中，授權依賴于敏感性。在實現(xiàn)上，系統(tǒng)比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶可以進行訪問。6.2.3基于規(guī)則的安全策略基于規(guī)則的安全策略中，授權依賴于1176.3訪問控制的實現(xiàn)6.3.1訪問控制的實現(xiàn)機制6.3.2訪問控制表6.3.3訪問控制矩陣6.3.4訪問控制能力列表6.3.5訪問控制安全標簽列表6.3.6訪問控制實現(xiàn)的具體類別 6.3訪問控制的實現(xiàn)6.3.1訪問控制的實現(xiàn)機制1186.3.1訪問控制的實現(xiàn)機制實現(xiàn)訪問控制的要求：保證授權用戶使用的權限與其所擁有的權限對應制止非授權用戶的非授權行為保證敏感信息的交叉感染。

本章以文件的訪問控制為例做具體說明：用戶訪問信息資源（文件或是數(shù)據(jù)庫），可能的行為有：讀R、寫W和管理O(own)

6.3.1訪問控制的實現(xiàn)機制實現(xiàn)訪問控制的要求：1196.3.2訪問控制表訪問控制表（AccessControlLists,ACLs）是以文件為中心建立的訪問權限表。目前，大多數(shù)PC、服務器和主機都使用ACLs作為訪問控制的實現(xiàn)機制。6.3.2訪問控制表訪問控制表（AccessCont1206.3.4訪問控制能力列表能力：請求訪問的發(fā)起者所擁有的一個有效標簽（ticket），它授權標簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力（ACCL）表是以用戶為中心建立訪問權限表。

ACCLs的實現(xiàn)與ACLs正好相反。6.3.4訪問控制能力列表能力：請求訪問的發(fā)起者所擁有1216.3.3訪問控制矩陣訪問控制矩陣（AccessControlMatrix,ACM）是通過矩陣形式表示訪問控制規(guī)則和授權用戶權限的方法；主體——擁有對哪些客體的哪些訪問權限；客體——有哪些主體對他可以實施訪問其中，特權用戶或特權用戶組可以修改主體的訪問控制權限。缺點：如果用戶和文件系統(tǒng)要管理的文件很多，那么控制矩陣將會成幾何級數(shù)增長，這樣對于增長的矩陣而言，會有大量的空余空間。6.3.3訪問控制矩陣訪問控制矩陣（AccessCon1226.3.5訪問控制安全標簽列表安全標簽：限制和附屬在主體或客體上的一組安全屬性信息。訪問控制標簽列表（AccessControlSecurityLabelsLists,ACSLLs）是限定一個用戶對一個客體目標訪問的安全屬性集合。假設用戶UserA為S，UserA請求訪問File2時，S<TS，訪問被拒絕UserA請求訪問FileN時，S>C，允許訪問。安全標簽能對敏感信息加以區(qū)分，這樣就可以對用戶和客體資源強制執(zhí)行安全策略，因此，強制訪問控制經(jīng)常會用到這種實現(xiàn)機制。6.3.5訪問控制安全標簽列表安全標簽：限制和附屬在主1236.3.6訪問控制實現(xiàn)的具體類別訪問控制的主要任務：維護網(wǎng)絡系統(tǒng)安全、保證網(wǎng)絡資源不被非法使用和非常訪問。技術實現(xiàn)上包括：（1）接入訪問控制（2）資源訪問控制（3）網(wǎng)絡端口和節(jié)點的訪問控制6.3.6訪問控制實現(xiàn)的具體類別訪問控制的主要任務：124接入訪問控制

接入訪問控制為網(wǎng)絡訪問提供第一層訪問控制控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源控制準許用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。對合法用戶的驗證——用戶名和口令的認證方式可分為三個步驟：用戶名的識別與驗證用戶口令的識別與驗證用戶賬號的缺省限制檢查。

接入訪問控制接入訪問控制為網(wǎng)絡訪問提供第一層訪問控制125資源訪問控制資源訪問控制是指對客體整體資源信息的訪問控制管理。其中包括文件系統(tǒng)的訪問控制（文件目錄訪問控制和系統(tǒng)訪問控制）文件屬性訪問控制信息內(nèi)容訪問控制。文件目錄訪問控制：用戶和用戶組被賦予一定的權限，哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，執(zhí)行何種操作。系統(tǒng)訪問控制：網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限應設置口令鎖定服務器控制臺應設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔應對網(wǎng)絡實施監(jiān)控、報警等。資源訪問控制資源訪問控制是指對客體整體資源信息的訪問控制管理126網(wǎng)絡端口和節(jié)點的訪問控制網(wǎng)絡中的節(jié)點和端口加密傳輸數(shù)據(jù)，其位置的管理必須防止黑客發(fā)動的攻擊。網(wǎng)絡端口和節(jié)點的訪問控制網(wǎng)絡中的節(jié)點和端口加密傳輸數(shù)據(jù)，其位1276.4安全級別與訪問控制訪問控制的具體實現(xiàn)與安全的級別聯(lián)系在一起的安全級別有兩個含義：一個是主客體信息資源的安全類別，分為：有層次的安全級別、無層次的安全級別；一個是訪問控制系統(tǒng)實現(xiàn)的安全級別，分為4級：D、C（C1、C2）、B（B1、B2、B3）和A6.4安全級別與訪問控制訪問控制的具體實現(xiàn)與安全的級128計算機系統(tǒng)的安全級別介紹1.D級別D級別是最低的安全級別。系統(tǒng)的訪問控制沒有限制，無需登陸系統(tǒng)就可以訪問數(shù)據(jù)。這個級別的系統(tǒng)包括DOS，WINDOWS98等。計算機系統(tǒng)的安全級別介紹1.D級別129計算機系統(tǒng)的安全級別介紹2.C級別，有兩個子系統(tǒng)，C1和C2C1級稱為選擇性保護級，可以實現(xiàn)自主安全防護，對用戶和數(shù)據(jù)進行分離，保護或限制用戶權限的傳播。C2級具有訪問控制環(huán)境的權力，比C1的訪問控制劃分的更為詳細，能夠實現(xiàn)受控安全保護、個人賬戶管理、審計和資源隔離。這個級別的系統(tǒng)包括Unix、Linux和WindowsNT系統(tǒng)。C級別的安全策略主要是自主存取控制，可以實現(xiàn)①保護數(shù)據(jù)確保非授權用戶無法訪問；②對存取權限的傳播進行控制；③個人用戶數(shù)據(jù)的安全管理。計算機系統(tǒng)的安全級別介紹2.C級別，有兩個子系統(tǒng)，C1和130計算機系統(tǒng)的安全級別介紹3.B級別，提供強制性安全保護和多級安全

B級別包括B1、B2和B33個級別。B級安全級別可實現(xiàn)自主存取控制和強制存取控制，包括：①所有敏感標識控制下的主體和客體都有標識；②安全標識對普通用戶是不可變更的；③可以審計：任何試圖違反可讀輸出標記的行為；授權用戶提供的無標識數(shù)據(jù)的安全級別和與之相關的動作；信道和I/O設備的安全級別的改變；用戶身份和與相應的操作；④維護認證數(shù)據(jù)和授權信息；⑤通過控制獨立地址空間來維護進程的隔離。計算機系統(tǒng)的安全級別介紹3.B級別，提供強制性安全保護和131計算機系統(tǒng)的安全級別介紹4.A級別，驗證設計級（VerityDesign）目前最高的安全級別；安全的設計必須給出形式化設計說明和驗證；需要有嚴格的數(shù)學推導過程；包含秘密信道和可信分布的分析，也就是說要保證系統(tǒng)的部件來源有安全保證。例如對這些軟件和硬件在生產(chǎn)、銷售、運輸中進行嚴密跟蹤和嚴格的配置管理，以避免出現(xiàn)安全隱患。計算機系統(tǒng)的安全級別介紹4.A級別，驗證設計級（Veri1326.5訪問控制與授權6.5.1授權行為6.5.2信任模型6.5.3信任管理系統(tǒng) 6.5訪問控制與授權6.5.1授權行為1336.5.1授權行為授權是資源的所有者或者控制者準許他人訪問這種資源，這是實現(xiàn)訪問控制的前提。對于簡單的個體和不太復雜的群體：可以考慮基于個人和組的授權。對于一個大型跨國集團時：如何通過正常的授權以便保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問控制的權限，這是一個復雜的問題。授權表示的是一種信任關系，需要建立一種模型對這種關系進行描述。本節(jié)將闡述信任模型的建立與信任管理。6.5.1授權行為授權是資源的所有者或者控制者準許1346.5.2信任模型概念和定義信任模型（TrustModel）：建立和管理信任關系的框架。信任關系：客體對主體是信任的：如果主體能夠符合客體所假定的期望值。信任關系可以使用期望值來衡量，并用信任度表示。信任域：主客體間建立信任關系的范疇，信任域是服從于一組公共策略的系統(tǒng)集。6.5.2信任模型概念和定義135信任模型信任模型有3種基本類型：層次信任模型網(wǎng)狀信任模型對等信任模型。信任模型信任模型有3種基本類型：136層次信任模型建立層次信任模型的基礎是所有的信任用戶都有一個可信任根。層次信任關系是一種鏈式的信任關系，比如可信任實體A1可以表示為這樣一個信任鏈：（R，C1，A1），A1向上回溯到產(chǎn)生他的信任根R。雙向信任的模型，Ai和Bj都基于可信任根R，容易建立信任關系的很容易根節(jié)點R作為信任的起點，也就是信任源，又稱為信任錨。信任源負責下屬的信任管理，下屬再負責下面一層的信任管理，這種管理方向是不可逆的。層次信任模型建立層次信任模型的基礎是所有的信任用戶都有一個137層次信任模型優(yōu)點：結構簡單，管理方面，易于實現(xiàn)。缺點：是Ai和Xk的信任通過根實現(xiàn)，信任根出現(xiàn)問題，那么信任的整個鏈路就被破壞了。現(xiàn)實世界中，往往建立一個統(tǒng)一信任的根是困難的。對于不在一個信任域中的兩個實體如何來建立信任關系？層次模型的適用范圍：層次信任模型適用于孤立的、層狀的企業(yè)，對于有組織邊界交叉的企業(yè)，要應用這種模型是很困難的。層次信任模型優(yōu)點：結構簡單，管理方面，易于實現(xiàn)。層次模型的適138對等信任模型對等信任模型：兩個或兩個以上對等的信任域間建立的信任關系。對等信任關系相對靈活，可解決任意已經(jīng)建立信任關系的兩個信任模型之間的交互信任。A1和X1的信任關系要通過對等信任域R1和R2的相互認證才能實現(xiàn)，因此這種信任關系在PKI領域中又叫做交叉認證。兩個實體間是對等的關系，既是被驗證的主體，又是進行驗證的客體。對等信任模型對等信任模型：兩個或兩個以上對等的信任域間建立的139網(wǎng)狀信任模型網(wǎng)狀信任模型是對等信任模型的擴充。因為沒有必要在任意兩個對等的信任域建立交叉認證，完全可以通過建立一個網(wǎng)絡拓撲結構的信任模型來實現(xiàn)。R1，R2～R11是不同的信任域，之間的信任關系用實線箭頭表示。R1和R5信任域下的主體A和B間可以建立的信任鏈共有3條。網(wǎng)狀信任模型網(wǎng)狀信任模型是對等信任模型的擴充。因為沒有必要在1406.5.3信任管理系統(tǒng)闡述信任模型很容易產(chǎn)生一個問題，這就是在實際中是由誰在管理信任？如果我們就是信任中的主體，我們憑什么信任他們？這就是信