1概述1.1什么是訪問控制1.2訪問控制與其他安全措施的關(guān)系1.3主體與客體1.4訪問權(quán)限1概述1.1什么是訪問控制11.1什么是訪問控制訪問控制（AccessControl）是對信息系統(tǒng)資源的訪問范圍以及方式進(jìn)行限制的策略。簡單地說，就是防止合法用戶的非法操作。訪問控制是建立在身份認(rèn)證之上的操作權(quán)限控制。身份認(rèn)證解決了訪問者是否合法者，但并非身份合法就什么都可以做，還要根據(jù)不同的訪問者，規(guī)定他們分別可以訪問哪些資源，以及對這些可以訪問的資源可以用什么方式（讀？寫？執(zhí)行？刪除？等）訪問。它是基于權(quán)限管理的一種是非常重要的安全策略。對用戶權(quán)限的設(shè)定，稱為授權(quán)（Authorization）。1.1什么是訪問控制訪問控制（AccessControl2引用監(jiān)視器認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)管理員審計1.2訪問控制與其他安全措施的關(guān)系模型引用監(jiān)視器認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)管理3

訪問控制可以描述為：主動的主體（Subject）使用某種特定的訪問操作去訪問一個被動的客體（Object），所使用的特定的訪問操作受訪問監(jiān)視器控制，如圖：主體

身份認(rèn)證

訪問控制

客體

訪問監(jiān)視器

訪問請求權(quán)限安全系統(tǒng)邏輯模型

1.3主體與客體主體身份認(rèn)證訪問控制客體訪問監(jiān)視器訪問權(quán)限安全系4

主體和客體都是訪問控制系統(tǒng)中的實體。

主體是發(fā)出訪問請求的主動方，通常是用戶或用戶進(jìn)程。

客體是被訪問的對象，通常是被調(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、文件、內(nèi)存、系統(tǒng)、設(shè)備、設(shè)施等資源。信息系統(tǒng)的安全目標(biāo)就是控制和管理主體對客體的訪問。

安全策略，就是對這些訪問進(jìn)行約束的一組規(guī)則和目標(biāo)，它反映了系統(tǒng)的安全需求，并可以用達(dá)到安全目的而采取的步驟進(jìn)行描述。主體和客體都是訪問控制系統(tǒng)中的實體。5（1）Bell-LaPadula安全模型中的訪問權(quán)限

1973年DavidBell和LenLapadula提出了第一個也是最著名安全策略模型Bell-LaPadula安全模型，簡稱BLP模型。在基本層面上，定義了兩種訪問方式：

·

觀察（Observe）：查看客體的內(nèi)容。

·

改變（Alter）：改變客體的內(nèi)容。在Bell-LaPadula安全模型中定義了4種訪問權(quán)限：執(zhí)行、讀、添加（有時也稱盲目的寫）和寫。表9.1給出了這些訪問權(quán)限與訪問方法之間的關(guān)系。1.4訪問權(quán)限（1）Bell-LaPadula安全模型中的訪問權(quán)限1.46

執(zhí)行添加讀寫查看

√√改變

√

√表9.1Bell-LaPadula安全模型中的訪問權(quán)限

注意，這里基于效率的考慮，寫訪問通常包含讀訪問。這樣，在編輯一個文件時，就無須先打開一次進(jìn)行讀（了解內(nèi)容），再打開一次用于寫了。所以寫訪問包含了查看和改變兩種訪問形式。

執(zhí)行添加讀寫查看

√√改變

√

√表9.1B7

（2）Unix

Unix的訪問控制用3種權(quán)限表示：讀（read）、寫（write）、執(zhí)行（execute）。它們應(yīng)用于文件和目錄時含義有所不同，如表9.2所示。

用于文件用于目錄讀從一個文件讀列出目錄內(nèi)容寫寫進(jìn)一個文件創(chuàng)建或重命名目錄中的一個文件執(zhí)行執(zhí)行一個（程序）文件搜索目錄表9.2Unix的訪問控制3種權(quán)限

（2）Unix

用于文件用于目錄讀從一個文件讀列出目8

（3）WindowsNT/2000/XP

WindowsNT/2000/XP的權(quán)限分為文件權(quán)限和目錄權(quán)限。每一個權(quán)限級別都確定了一個執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：

Read（R）、

Execute（X）、

Write（W）、

SetPermission（P）、

TakeOwnership（O）。表9.3表明任務(wù)與各種權(quán)限級別之間的關(guān)聯(lián)。（3）WindowsNT/2000/XP9權(quán)限RXWDPO目錄權(quán)限NoAccess

ListRXReadRXAddXWAddandReadRXWChangeRXWDFullcontrolRXWDPO文件權(quán)限NoAccess

ReadRXChangeRXWDFullcontrolRXWDPO用戶行為用戶不能訪問該目錄可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄具有Linux權(quán)限，用戶可以讀取目錄中的文件和運行目錄中的應(yīng)用程序用戶可以添加文件和子目錄具有Add和Read的權(quán)限具有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄具有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)。用戶不能訪問該文件用戶可以讀取該文件，如果是應(yīng)用程序可以運行具有Read的權(quán)限，還可以修改和刪除文件具有Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)。表9.3WindowsNT/2000/XP表明任務(wù)與各種權(quán)限級別之間的關(guān)聯(lián)

權(quán)限RXWDPO目錄權(quán)限NoAccess

List102訪問控制模型2.1自主訪問控制2.2強制訪問控制2.3基于角色的訪問控制2.4基于任務(wù)的訪問控制2訪問控制模型2.1自主訪問控制112.1自主訪問控制自主訪問控制模型（DACModel，DiscretionaryAccessControlModel）定義：允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體，允許某些用戶自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶（又稱為任意訪問控制）特點：一般資源創(chuàng)建者是資源訪問者的擁有者，但可調(diào)整配合以資源創(chuàng)建者的管理，構(gòu)成完善的訪問控制模型。靈活性高，被大量采用（Windows\Unix\Macintoch）缺點：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。2.1自主訪問控制自主訪問控制模型（DACModel，D122.2強制訪問控制強制訪問控制模型（MACModel：MandatoryAccessControlModel）和DAC模型不同的是，MAC是一種多級訪問控制策略，數(shù)據(jù)所有者無權(quán)決定文件的訪問權(quán)限，權(quán)限由操作系統(tǒng)決定，可能覆蓋所有者的設(shè)置基于安全標(biāo)簽實現(xiàn)：系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性，在實施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進(jìn)行比較，再決定訪問主體能否訪問該受控對象。MAC對訪問主體和受控對象標(biāo)識兩個安全標(biāo)記：一個是具有偏序關(guān)系的安全等級標(biāo)記；另一個是非等級分類標(biāo)記。對于標(biāo)簽的類別，部分可實施須知規(guī)則。BLP模型是一個例子。2.2強制訪問控制強制訪問控制模型（MACModel：M13強制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=<L,C>包括兩個部分：有層次的安全級別和無層次的安全范疇。構(gòu)成一偏序關(guān)系≤。Bell-LaPadula：保證保密性簡單安全特性(無上讀)：僅當(dāng)SC(o)≤SC(s)時，s可以讀取o*-特性(無下寫):僅當(dāng)SC(s)≤SC(o)時，s可以修改oBiba：保證完整性同(上)相反,Biba模型用偏序關(guān)系可以表示為：當(dāng)且僅當(dāng)SC(s)≤SC(o)，允許讀操作當(dāng)且僅當(dāng)SC(s)≥SC(o)，允許寫操作強制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S14自主訪問控制配置的粒度小配置的工作量大，效率低強制訪問控制配置的粒度大缺乏靈活性自主訪問控制152.3基于角色的訪問控制基于角色的訪問控制模型（RBACModel，Role-basedAccessModel）：RBAC模型的基本思想是將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。在很多實際應(yīng)用中，用戶并不是可以訪問的客體信息資源的所有者（這些信息屬于企業(yè)或公司），這樣的話，訪問控制應(yīng)該基于員工的職務(wù)而不是基于員工在哪個組或是誰信息的所有者，即訪問控制是由各個用戶在部門中所擔(dān)任的角色來確定的例如，一個學(xué)校可以有教工、老師、學(xué)生和其他管理人員等角色。2.3基于角色的訪問控制基于角色的訪問控制模型（RBAC16角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。比如：我們假設(shè)Tch1，Tch2，Tch3……Tchi是對應(yīng)的教師，Stud1，Stud2，Stud3…Studj是相應(yīng)的學(xué)生，Mng1，Mng2，Mng3…Mngk是教務(wù)處管理人員老師的權(quán)限為TchMN={查詢成績、上傳所教課程的成績}；學(xué)生的權(quán)限為StudMN={查詢成績、反映意見}；教務(wù)管理人員的權(quán)限為MngMN={查詢、修改成績、打印成績清單}依據(jù)角色的不同，每個主體只能執(zhí)行自己所制定的訪問功能。用戶在一定的部門中具有一定的角色，其所執(zhí)行的操作與其所扮演的角色的職能相匹配角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這17系統(tǒng)管理員負(fù)責(zé)授予用戶各種角色的成員資格或撤消某用戶具有的某個角色，RBAC提供了一種描述用戶和權(quán)限之間的多對多關(guān)系。例如學(xué)校新進(jìn)一名教師Tchx，那么系統(tǒng)管理員只需將Tchx添加到教師這一角色的成員中即可，而無需對訪問控制列表做改動。同一個用戶可以是多個角色的成員，即同一個用戶可以扮演多種角色，比如一個用戶可以是老師，同時也可以作為進(jìn)修的學(xué)生。同樣，一個角色可以擁有多個用戶成員，這與現(xiàn)實是一致的，一個人可以在同一部門中擔(dān)任多種職務(wù)，而且擔(dān)任相同職務(wù)的可能不止一人。角色可以劃分成不同的等級，通過角色等級關(guān)系來反映一個組織的職權(quán)和責(zé)任關(guān)系，這種關(guān)系具有反身性、傳遞性和非對稱性特點，通過繼承行為形成了一個偏序關(guān)系，比如MngMN>TchMN>StudMN。系統(tǒng)管理員負(fù)責(zé)授予用戶各種角色的成員資格或撤消某用戶具有的某18一般步驟：（所有者、管理員和用戶三方參與，體現(xiàn)職責(zé)分離）所有者決定給角色分配特權(quán)，給用戶分配角色管理員代表所有者統(tǒng)一創(chuàng)建角色和功能管理員創(chuàng)建用戶ID并賦予權(quán)限一般步驟：（所有者、管理員和用戶三方參與，體現(xiàn)職責(zé)分離）192.4基于任務(wù)的訪問控制基于任務(wù)的訪問控制（task-basedauthorizationcontrol，TBAC）是一種新的安全模型，從應(yīng)用和企業(yè)層角度來解決安全問題，而非已往從系統(tǒng)的角度。它采用“面向任務(wù)”的觀點，從任務(wù)(活動)的角度來建立安全模型和實現(xiàn)安全機制，在任務(wù)處理的過程中提供動態(tài)實時的安全管理。在TBAC中，對象的訪問權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，這是我們稱其為主動安全模型的原因。

2.4基于任務(wù)的訪問控制基于任務(wù)的訪問控制（task-ba20TBAC特點：它是在工作流的環(huán)境考慮對信息的保護(hù)問題。在工作流環(huán)境中，每一步對數(shù)據(jù)的處理都與以前的處理相關(guān)，相應(yīng)的訪問控制也是這樣，因而TBAC是一種上下文相關(guān)的訪問控制模型。它不僅能對不同工作流實行不同的訪問控制策略，而且還能對同一工作流的不同任務(wù)實例實行不同的訪問控制策略。這是“基于任務(wù)”的含義，所以TBAC又是一種基于實例(instance-based)的訪問控制模型。

因為任務(wù)都有時效性，所以在基于任務(wù)的訪問控制中，用戶對于授予他的權(quán)限的使用也是有時效性的。TBAC特點：21信息系統(tǒng)分級保護(hù)課件22通過授權(quán)步的動態(tài)權(quán)限管理，TBAC支持兩個著名的安全控制原則：

最小特權(quán)原則：在執(zhí)行任務(wù)時只給用戶分配所需的權(quán)限，未執(zhí)行任務(wù)或任務(wù)終止后用戶不再擁有所分配的權(quán)限；而且在執(zhí)行任務(wù)過程中，當(dāng)某一權(quán)限不再使用時，授權(quán)步自動將該權(quán)限回收。

職責(zé)分離原則：有時，一些敏感的任務(wù)需要不同的用戶執(zhí)行，如支票處理流程中準(zhǔn)備支票和提交支票的職員必須不同。這可通過授權(quán)步之間的互斥依賴實現(xiàn)。

通過授權(quán)步的動態(tài)權(quán)限管理，TBAC支持兩個著名的安全控制原則233訪問控制實現(xiàn)訪問控制矩陣訪問控制列表訪問控制能力表訪問控制安全標(biāo)簽列表3訪問控制實現(xiàn)訪問控制矩陣24訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實施行為。我們在這里舉個例子說明一下，如下圖所示：訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：25請求者File1File2File3File4JohnOwn,R,W

Own,W,R

AliceROwn,W,RWRBobR,WR

Own,W,R請求者File1File2File3File426訪問控制列表訪問控制列表（accesscontrollists，ACLs）是實現(xiàn)訪問控制矩陣的一種流行的方法。每一個客體與一個ACL相連，表示了能訪問該客體的主體以及訪問權(quán)限。這種方法實質(zhì)上就是按列的方式實現(xiàn)訪問控制矩陣。下圖是上圖的訪問控制列表實現(xiàn)：

訪問控制列表訪問控制列表（accesscontrolli27信息系統(tǒng)分級保護(hù)課件28訪問控制能力表權(quán)利列表(Capabilitylists)是與訪問控制列表對偶的方法。每一個主體與一個權(quán)利列表相連，表示了所有該主體能訪問的客體以及訪問權(quán)限。這種方法實質(zhì)上就是按行的方式實現(xiàn)訪問控制矩陣。下圖是前圖的權(quán)利列表實現(xiàn)：訪問控制能力表權(quán)利列表(Capabilitylists)是29信息系統(tǒng)分級保護(hù)課件30訪問控制安全標(biāo)簽列表安全標(biāo)簽是限制和附屬在主體或客體上的一組安全屬性信息。安全標(biāo)簽的含義比能力更為廣泛和嚴(yán)格，因為它實際上還建立了一個嚴(yán)格的安全等級集合。訪問控制標(biāo)簽列表（ACSLLs：AccessControlSecurityLabelsLists）是限定一個用戶對一個客體目標(biāo)訪問的安全屬性集合。訪問控制標(biāo)簽列表的實現(xiàn)示例見圖4.7，左側(cè)為用戶對應(yīng)的安全級別，右側(cè)為文件系統(tǒng)對應(yīng)的安全級別。假設(shè)請求訪問的用戶UserA的安全級別為S，那么UserA請求訪問文件File2時，由于S<TS，訪問會被拒絕；當(dāng)UserA請求訪問文件FileN時，因為S>C，所以允許訪問。訪問控制安全標(biāo)簽列表安全標(biāo)簽是限制和附屬在主體或客體上的一組31用戶安全級別UserASUserBC············UserXTS文件安全級別File1SFile2TS············FileNC用戶安全級別UserASUserBC············324TCSEC4.1TCSEC簡介4.2D類保護(hù)等級4.3C類保護(hù)等級4.4B類保護(hù)等級4.4A類保護(hù)等級4TCSEC4.1TCSEC簡介334.1TCSEC簡介1985年由美國國防部正式公布了DOD5200.28-STD《可信計算機系統(tǒng)評估準(zhǔn)則》(TCSEC，也稱桔皮書)TCSEC作為軍用標(biāo)準(zhǔn)，提出了美國在軍用信息技術(shù)安全性方面的要求，所提出的要求主要是針對沒有外部連接的多用戶操作系統(tǒng)在TCSEC中，美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施，將計算機安全從高到低分為：A、B、C、D四類八個級別，共27條評估準(zhǔn)則。每一級要求涵蓋安全策略、責(zé)任、保證、文檔四個方面。隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風(fēng)險逐漸減少。4.1TCSEC簡介1985年由美國國防部正式公布了DOD34等級分類保護(hù)等級D類：最低保護(hù)等級D級：無保護(hù)級C類：自主保護(hù)級C1級：自主安全保護(hù)級C2級：控制訪問保護(hù)級B類：強制保護(hù)級B1級：標(biāo)記安全保護(hù)級B2級：機構(gòu)化保護(hù)級B3級：安全區(qū)域保護(hù)級A類：驗證保護(hù)級A1級：驗證設(shè)計級超A1級等級分類保護(hù)等級D類：最低保護(hù)等級D級：無保護(hù)級C類：自主保354.2D類保護(hù)等級D類是最低保護(hù)等級，即無保護(hù)級為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息4.2D類保護(hù)等級D類是最低保護(hù)等級，即無保護(hù)級364.3C類保護(hù)等級C類為自主保護(hù)級具有一定的保護(hù)能力，采用的措施是自主訪問控制和審計跟蹤

一般只適用于具有一定等級的多用戶環(huán)境具有對主體責(zé)任及其動作審計的能力4.3C類保護(hù)等級C類為自主保護(hù)級37C類分為兩個級別自主安全保護(hù)級（C1級)它具有多種形式的控制能力，對用戶實施訪問控制為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境C1級TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力控制訪問保護(hù)級（C2級)C2級計算機系統(tǒng)比C1級具有更細(xì)粒度的自主訪問控制C2級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為其行為負(fù)責(zé)C類分為兩個級別384.4B類保護(hù)等級B類為強制保護(hù)級主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記，并在此基礎(chǔ)上執(zhí)行一系列強制訪問控制規(guī)則B類系統(tǒng)中的主要數(shù)據(jù)結(jié)構(gòu)必須攜帶敏感標(biāo)記系統(tǒng)的開發(fā)者還應(yīng)為TCB提供安全策略模型以及TCB規(guī)約應(yīng)提供證據(jù)證明訪問監(jiān)控器得到了正確的實施

4.4B類保護(hù)等級B類為強制保護(hù)級39B類分為三個類別標(biāo)記安全保護(hù)級（B1級）：B1級系統(tǒng)要求具有C2級系統(tǒng)的所有特性在此基礎(chǔ)上，還應(yīng)提供安全策略模型的非形式化描述、數(shù)據(jù)標(biāo)記以及命名主體和客體的強制訪問控制并消除測試中發(fā)現(xiàn)的所有缺陷B類分為三個類別40結(jié)構(gòu)化保護(hù)級（B2級）在B2級系統(tǒng)中，TCB建立于一個明確定義并文檔化形式化安全策略模型之上要求將B1級系統(tǒng)中建立的自主和強制訪問控制擴(kuò)展到所有的主體與客體在此基礎(chǔ)上，應(yīng)對隱蔽信道進(jìn)行分析TCB應(yīng)結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，TCB接口必須明確定義，其設(shè)計與實現(xiàn)應(yīng)能夠經(jīng)受更充分的測試和更完善的審查鑒別機制應(yīng)得到加強，提供可信設(shè)施管理以支持系統(tǒng)管理員和操作員的職能提供嚴(yán)格的配置管理控制B2級系統(tǒng)應(yīng)具備相當(dāng)?shù)目節(jié)B透能力結(jié)構(gòu)化保護(hù)級（B2級）41隱蔽信道可共享的資源或?qū)傩园l(fā)送者接收者可修改共享資源或?qū)傩钥勺x取共享資源或?qū)傩噪[蔽信道可共享的資源或?qū)傩园l(fā)送者接收者可修改共享資源或?qū)傩钥?2安全區(qū)域保護(hù)級（B3級）在B3級系統(tǒng)中，TCB必須滿足訪問監(jiān)控器需求訪問監(jiān)控器對所有主體對客體的訪問進(jìn)行仲裁訪問監(jiān)控器本身是抗篡改的訪問監(jiān)控器足夠小訪問監(jiān)控器能夠分析和測試B3級系統(tǒng)支持:安全管理員職能擴(kuò)充審計機制當(dāng)發(fā)生與安全相關(guān)的事件時，發(fā)出信號提供系統(tǒng)恢復(fù)機制系統(tǒng)具有很高的抗?jié)B透能力安全區(qū)域保護(hù)級（B3級）434.5A類保護(hù)等級A類為驗證保護(hù)級A類的特點是使用形式化的安全驗證方法，保證系統(tǒng)的自主和強制安全控制措施能夠有效地保護(hù)系統(tǒng)中存儲和處理的秘密信息或其他敏感信息為證明TCB滿足設(shè)計、開發(fā)及實現(xiàn)等各個方面的安全要求，系統(tǒng)應(yīng)提供豐富的文檔信息4.5A類保護(hù)等級A類為驗證保護(hù)級44A類分為兩個類別驗證設(shè)計級（A1級）A1級系統(tǒng)在功能上和B3級系統(tǒng)是相同的，沒有增加體系結(jié)構(gòu)特性和策略要求最顯著的特點是，要求用形式化設(shè)計規(guī)范和驗證方法來對系統(tǒng)進(jìn)行分析，確保TCB按設(shè)計要求實現(xiàn)從本質(zhì)上說，這種保證是發(fā)展的，它從一個安全策略的形式化模型和設(shè)計的形式化高層規(guī)約（FTLS）開始A類分為兩個類別45針對A1級系統(tǒng)設(shè)計驗證，有5種獨立于特定規(guī)約語言或驗證方法的重要準(zhǔn)則：安全策略的形式化模型必須得到明確標(biāo)識并文檔化，提供該模型與其公理一致以及能夠?qū)Π踩呗蕴峁┳銐蛑С值臄?shù)學(xué)證明應(yīng)提供形式化的高層規(guī)約，包括TCB功能的抽象定義、用于隔離執(zhí)行域的硬件/固件機制的抽象定義應(yīng)通過形式化的技術(shù)（如果可能的化）和非形式化的技術(shù)證明TCB的形式化高層規(guī)約（FTLS）與模型是一致的針對A1級系統(tǒng)設(shè)計驗證，有5種獨立于特定規(guī)約語言或驗證方法的46通過非形式化的方法證明TCB的實現(xiàn)（硬件、固件、軟件）與形式化的高層規(guī)約（FTLS）是一致的。應(yīng)證明FTLS的元素與TCB的元素是一致的，F(xiàn)TLS應(yīng)表達(dá)用于滿足安全策略的一致的保護(hù)機制，這些保護(hù)機制的元素應(yīng)映射到TCB的要素應(yīng)使用形式化的方法標(biāo)識并分析隱蔽信道，非形式化的方法可以用來標(biāo)識時間隱蔽信道，必須對系統(tǒng)中存在的隱蔽信道進(jìn)行解釋通過非形式化的方法證明TCB的實現(xiàn)（硬件、固件、軟件）與形式47A1級系統(tǒng):要求更嚴(yán)格的配置管理要求建立系統(tǒng)安全分發(fā)的程序支持系統(tǒng)安全管理員的職能A1級系統(tǒng):48超A1級超A1級在A1級基礎(chǔ)上增加的許多安全措施超出了目前的技術(shù)發(fā)展隨著更多、更好的分析技術(shù)的出現(xiàn)，本級系統(tǒng)的要求才會變的更加明確今后，形式化的驗證方法將應(yīng)用到源碼一級，并且時間隱蔽信道將得到全面的分析在這一級，設(shè)計環(huán)境將變的更重要形式化高層規(guī)約的分析將對測試提供幫助TCB開發(fā)中使用的工具的正確性及TCB運行的軟硬件功能的正確性將得到更多的關(guān)注超A1級49超A1級系統(tǒng)涉及的范圍包括：系統(tǒng)體系結(jié)構(gòu)安全測試形式化規(guī)約與驗證可信設(shè)計環(huán)境等超A1級系統(tǒng)涉及的范圍包括：505小結(jié)內(nèi)容小結(jié)：什么是訪問控制強制訪問控制和自主訪問控制信息系統(tǒng)安全分級問題：分析國標(biāo)GB17859-19995小結(jié)內(nèi)容小結(jié)：51ThankYou!ThankYou!521概述1.1什么是訪問控制1.2訪問控制與其他安全措施的關(guān)系1.3主體與客體1.4訪問權(quán)限1概述1.1什么是訪問控制531.1什么是訪問控制訪問控制（AccessControl）是對信息系統(tǒng)資源的訪問范圍以及方式進(jìn)行限制的策略。簡單地說，就是防止合法用戶的非法操作。訪問控制是建立在身份認(rèn)證之上的操作權(quán)限控制。身份認(rèn)證解決了訪問者是否合法者，但并非身份合法就什么都可以做，還要根據(jù)不同的訪問者，規(guī)定他們分別可以訪問哪些資源，以及對這些可以訪問的資源可以用什么方式（讀？寫？執(zhí)行？刪除？等）訪問。它是基于權(quán)限管理的一種是非常重要的安全策略。對用戶權(quán)限的設(shè)定，稱為授權(quán)（Authorization）。1.1什么是訪問控制訪問控制（AccessControl54引用監(jiān)視器認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)管理員審計1.2訪問控制與其他安全措施的關(guān)系模型引用監(jiān)視器認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)管理55

訪問控制可以描述為：主動的主體（Subject）使用某種特定的訪問操作去訪問一個被動的客體（Object），所使用的特定的訪問操作受訪問監(jiān)視器控制，如圖：主體

身份認(rèn)證

訪問控制

客體

訪問監(jiān)視器

訪問請求權(quán)限安全系統(tǒng)邏輯模型

1.3主體與客體主體身份認(rèn)證訪問控制客體訪問監(jiān)視器訪問權(quán)限安全系56

主體和客體都是訪問控制系統(tǒng)中的實體。

主體是發(fā)出訪問請求的主動方，通常是用戶或用戶進(jìn)程。

客體是被訪問的對象，通常是被調(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、文件、內(nèi)存、系統(tǒng)、設(shè)備、設(shè)施等資源。信息系統(tǒng)的安全目標(biāo)就是控制和管理主體對客體的訪問。

安全策略，就是對這些訪問進(jìn)行約束的一組規(guī)則和目標(biāo)，它反映了系統(tǒng)的安全需求，并可以用達(dá)到安全目的而采取的步驟進(jìn)行描述。主體和客體都是訪問控制系統(tǒng)中的實體。57（1）Bell-LaPadula安全模型中的訪問權(quán)限

1973年DavidBell和LenLapadula提出了第一個也是最著名安全策略模型Bell-LaPadula安全模型，簡稱BLP模型。在基本層面上，定義了兩種訪問方式：

·

觀察（Observe）：查看客體的內(nèi)容。

·

改變（Alter）：改變客體的內(nèi)容。在Bell-LaPadula安全模型中定義了4種訪問權(quán)限：執(zhí)行、讀、添加（有時也稱盲目的寫）和寫。表9.1給出了這些訪問權(quán)限與訪問方法之間的關(guān)系。1.4訪問權(quán)限（1）Bell-LaPadula安全模型中的訪問權(quán)限1.458

執(zhí)行添加讀寫查看

√√改變

√

√表9.1Bell-LaPadula安全模型中的訪問權(quán)限

注意，這里基于效率的考慮，寫訪問通常包含讀訪問。這樣，在編輯一個文件時，就無須先打開一次進(jìn)行讀（了解內(nèi)容），再打開一次用于寫了。所以寫訪問包含了查看和改變兩種訪問形式。

執(zhí)行添加讀寫查看

√√改變

√

√表9.1B59

（2）Unix

Unix的訪問控制用3種權(quán)限表示：讀（read）、寫（write）、執(zhí)行（execute）。它們應(yīng)用于文件和目錄時含義有所不同，如表9.2所示。

用于文件用于目錄讀從一個文件讀列出目錄內(nèi)容寫寫進(jìn)一個文件創(chuàng)建或重命名目錄中的一個文件執(zhí)行執(zhí)行一個（程序）文件搜索目錄表9.2Unix的訪問控制3種權(quán)限

（2）Unix

用于文件用于目錄讀從一個文件讀列出目60

（3）WindowsNT/2000/XP

WindowsNT/2000/XP的權(quán)限分為文件權(quán)限和目錄權(quán)限。每一個權(quán)限級別都確定了一個執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：

Read（R）、

Execute（X）、

Write（W）、

SetPermission（P）、

TakeOwnership（O）。表9.3表明任務(wù)與各種權(quán)限級別之間的關(guān)聯(lián)。（3）WindowsNT/2000/XP61權(quán)限RXWDPO目錄權(quán)限NoAccess

ListRXReadRXAddXWAddandReadRXWChangeRXWDFullcontrolRXWDPO文件權(quán)限NoAccess

ReadRXChangeRXWDFullcontrolRXWDPO用戶行為用戶不能訪問該目錄可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄具有Linux權(quán)限，用戶可以讀取目錄中的文件和運行目錄中的應(yīng)用程序用戶可以添加文件和子目錄具有Add和Read的權(quán)限具有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄具有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)。用戶不能訪問該文件用戶可以讀取該文件，如果是應(yīng)用程序可以運行具有Read的權(quán)限，還可以修改和刪除文件具有Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)。表9.3WindowsNT/2000/XP表明任務(wù)與各種權(quán)限級別之間的關(guān)聯(lián)

權(quán)限RXWDPO目錄權(quán)限NoAccess

List622訪問控制模型2.1自主訪問控制2.2強制訪問控制2.3基于角色的訪問控制2.4基于任務(wù)的訪問控制2訪問控制模型2.1自主訪問控制632.1自主訪問控制自主訪問控制模型（DACModel，DiscretionaryAccessControlModel）定義：允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體，允許某些用戶自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶（又稱為任意訪問控制）特點：一般資源創(chuàng)建者是資源訪問者的擁有者，但可調(diào)整配合以資源創(chuàng)建者的管理，構(gòu)成完善的訪問控制模型。靈活性高，被大量采用（Windows\Unix\Macintoch）缺點：信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。2.1自主訪問控制自主訪問控制模型（DACModel，D642.2強制訪問控制強制訪問控制模型（MACModel：MandatoryAccessControlModel）和DAC模型不同的是，MAC是一種多級訪問控制策略，數(shù)據(jù)所有者無權(quán)決定文件的訪問權(quán)限，權(quán)限由操作系統(tǒng)決定，可能覆蓋所有者的設(shè)置基于安全標(biāo)簽實現(xiàn)：系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性，在實施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進(jìn)行比較，再決定訪問主體能否訪問該受控對象。MAC對訪問主體和受控對象標(biāo)識兩個安全標(biāo)記：一個是具有偏序關(guān)系的安全等級標(biāo)記；另一個是非等級分類標(biāo)記。對于標(biāo)簽的類別，部分可實施須知規(guī)則。BLP模型是一個例子。2.2強制訪問控制強制訪問控制模型（MACModel：M65強制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=<L,C>包括兩個部分：有層次的安全級別和無層次的安全范疇。構(gòu)成一偏序關(guān)系≤。Bell-LaPadula：保證保密性簡單安全特性(無上讀)：僅當(dāng)SC(o)≤SC(s)時，s可以讀取o*-特性(無下寫):僅當(dāng)SC(s)≤SC(o)時，s可以修改oBiba：保證完整性同(上)相反,Biba模型用偏序關(guān)系可以表示為：當(dāng)且僅當(dāng)SC(s)≤SC(o)，允許讀操作當(dāng)且僅當(dāng)SC(s)≥SC(o)，允許寫操作強制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S66自主訪問控制配置的粒度小配置的工作量大，效率低強制訪問控制配置的粒度大缺乏靈活性自主訪問控制672.3基于角色的訪問控制基于角色的訪問控制模型（RBACModel，Role-basedAccessModel）：RBAC模型的基本思想是將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。在很多實際應(yīng)用中，用戶并不是可以訪問的客體信息資源的所有者（這些信息屬于企業(yè)或公司），這樣的話，訪問控制應(yīng)該基于員工的職務(wù)而不是基于員工在哪個組或是誰信息的所有者，即訪問控制是由各個用戶在部門中所擔(dān)任的角色來確定的例如，一個學(xué)校可以有教工、老師、學(xué)生和其他管理人員等角色。2.3基于角色的訪問控制基于角色的訪問控制模型（RBAC68角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。比如：我們假設(shè)Tch1，Tch2，Tch3……Tchi是對應(yīng)的教師，Stud1，Stud2，Stud3…Studj是相應(yīng)的學(xué)生，Mng1，Mng2，Mng3…Mngk是教務(wù)處管理人員老師的權(quán)限為TchMN={查詢成績、上傳所教課程的成績}；學(xué)生的權(quán)限為StudMN={查詢成績、反映意見}；教務(wù)管理人員的權(quán)限為MngMN={查詢、修改成績、打印成績清單}依據(jù)角色的不同，每個主體只能執(zhí)行自己所制定的訪問功能。用戶在一定的部門中具有一定的角色，其所執(zhí)行的操作與其所扮演的角色的職能相匹配角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這69系統(tǒng)管理員負(fù)責(zé)授予用戶各種角色的成員資格或撤消某用戶具有的某個角色，RBAC提供了一種描述用戶和權(quán)限之間的多對多關(guān)系。例如學(xué)校新進(jìn)一名教師Tchx，那么系統(tǒng)管理員只需將Tchx添加到教師這一角色的成員中即可，而無需對訪問控制列表做改動。同一個用戶可以是多個角色的成員，即同一個用戶可以扮演多種角色，比如一個用戶可以是老師，同時也可以作為進(jìn)修的學(xué)生。同樣，一個角色可以擁有多個用戶成員，這與現(xiàn)實是一致的，一個人可以在同一部門中擔(dān)任多種職務(wù)，而且擔(dān)任相同職務(wù)的可能不止一人。角色可以劃分成不同的等級，通過角色等級關(guān)系來反映一個組織的職權(quán)和責(zé)任關(guān)系，這種關(guān)系具有反身性、傳遞性和非對稱性特點，通過繼承行為形成了一個偏序關(guān)系，比如MngMN>TchMN>StudMN。系統(tǒng)管理員負(fù)責(zé)授予用戶各種角色的成員資格或撤消某用戶具有的某70一般步驟：（所有者、管理員和用戶三方參與，體現(xiàn)職責(zé)分離）所有者決定給角色分配特權(quán)，給用戶分配角色管理員代表所有者統(tǒng)一創(chuàng)建角色和功能管理員創(chuàng)建用戶ID并賦予權(quán)限一般步驟：（所有者、管理員和用戶三方參與，體現(xiàn)職責(zé)分離）712.4基于任務(wù)的訪問控制基于任務(wù)的訪問控制（task-basedauthorizationcontrol，TBAC）是一種新的安全模型，從應(yīng)用和企業(yè)層角度來解決安全問題，而非已往從系統(tǒng)的角度。它采用“面向任務(wù)”的觀點，從任務(wù)(活動)的角度來建立安全模型和實現(xiàn)安全機制，在任務(wù)處理的過程中提供動態(tài)實時的安全管理。在TBAC中，對象的訪問權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，這是我們稱其為主動安全模型的原因。

2.4基于任務(wù)的訪問控制基于任務(wù)的訪問控制（task-ba72TBAC特點：它是在工作流的環(huán)境考慮對信息的保護(hù)問題。在工作流環(huán)境中，每一步對數(shù)據(jù)的處理都與以前的處理相關(guān)，相應(yīng)的訪問控制也是這樣，因而TBAC是一種上下文相關(guān)的訪問控制模型。它不僅能對不同工作流實行不同的訪問控制策略，而且還能對同一工作流的不同任務(wù)實例實行不同的訪問控制策略。這是“基于任務(wù)”的含義，所以TBAC又是一種基于實例(instance-based)的訪問控制模型。

因為任務(wù)都有時效性，所以在基于任務(wù)的訪問控制中，用戶對于授予他的權(quán)限的使用也是有時效性的。TBAC特點：73信息系統(tǒng)分級保護(hù)課件74通過授權(quán)步的動態(tài)權(quán)限管理，TBAC支持兩個著名的安全控制原則：

最小特權(quán)原則：在執(zhí)行任務(wù)時只給用戶分配所需的權(quán)限，未執(zhí)行任務(wù)或任務(wù)終止后用戶不再擁有所分配的權(quán)限；而且在執(zhí)行任務(wù)過程中，當(dāng)某一權(quán)限不再使用時，授權(quán)步自動將該權(quán)限回收。

職責(zé)分離原則：有時，一些敏感的任務(wù)需要不同的用戶執(zhí)行，如支票處理流程中準(zhǔn)備支票和提交支票的職員必須不同。這可通過授權(quán)步之間的互斥依賴實現(xiàn)。

通過授權(quán)步的動態(tài)權(quán)限管理，TBAC支持兩個著名的安全控制原則753訪問控制實現(xiàn)訪問控制矩陣訪問控制列表訪問控制能力表訪問控制安全標(biāo)簽列表3訪問控制實現(xiàn)訪問控制矩陣76訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：行對應(yīng)于用戶，列對應(yīng)于目標(biāo)，每個矩陣元素規(guī)定了相應(yīng)的用戶對應(yīng)于相應(yīng)的目標(biāo)被準(zhǔn)予的訪問許可、實施行為。我們在這里舉個例子說明一下，如下圖所示：訪問控制矩陣任何訪問控制策略最終均可被模型化為訪問矩陣形式：77請求者File1File2File3File4JohnOwn,R,W

Own,W,R

AliceROwn,W,RWRBobR,WR

Own,W,R請求者File1File2File3File478訪問控制列表訪問控制列表（accesscontrollists，ACLs）是實現(xiàn)訪問控制矩陣的一種流行的方法。每一個客體與一個ACL相連，表示了能訪問該客體的主體以及訪問權(quán)限。這種方法實質(zhì)上就是按列的方式實現(xiàn)訪問控制矩陣。下圖是上圖的訪問控制列表實現(xiàn)：

訪問控制列表訪問控制列表（accesscontrolli79信息系統(tǒng)分級保護(hù)課件80訪問控制能力表權(quán)利列表(Capabilitylists)是與訪問控制列表對偶的方法。每一個主體與一個權(quán)利列表相連，表示了所有該主體能訪問的客體以及訪問權(quán)限。這種方法實質(zhì)上就是按行的方式實現(xiàn)訪問控制矩陣。下圖是前圖的權(quán)利列表實現(xiàn)：訪問控制能力表權(quán)利列表(Capabilitylists)是81信息系統(tǒng)分級保護(hù)課件82訪問控制安全標(biāo)簽列表安全標(biāo)簽是限制和附屬在主體或客體上的一組安全屬性信息。安全標(biāo)簽的含義比能力更為廣泛和嚴(yán)格，因為它實際上還建立了一個嚴(yán)格的安全等級集合。訪問控制標(biāo)簽列表（ACSLLs：AccessControlSecurityLabelsLists）是限定一個用戶對一個客體目標(biāo)訪問的安全屬性集合。訪問控制標(biāo)簽列表的實現(xiàn)示例見圖4.7，左側(cè)為用戶對應(yīng)的安全級別，右側(cè)為文件系統(tǒng)對應(yīng)的安全級別。假設(shè)請求訪問的用戶UserA的安全級別為S，那么UserA請求訪問文件File2時，由于S<TS，訪問會被拒絕；當(dāng)UserA請求訪問文件FileN時，因為S>C，所以允許訪問。訪問控制安全標(biāo)簽列表安全標(biāo)簽是限制和附屬在主體或客體上的一組83用戶安全級別UserASUserBC············UserXTS文件安全級別File1SFile2TS············FileNC用戶安全級別UserASUserBC············844TCSEC4.1TCSEC簡介4.2D類保護(hù)等級4.3C類保護(hù)等級4.4B類保護(hù)等級4.4A類保護(hù)等級4TCSEC4.1TCSEC簡介854.1TCSEC簡介1985年由美國國防部正式公布了DOD5200.28-STD《可信計算機系統(tǒng)評估準(zhǔn)則》(TCSEC，也稱桔皮書)TCSEC作為軍用標(biāo)準(zhǔn)，提出了美國在軍用信息技術(shù)安全性方面的要求，所提出的要求主要是針對沒有外部連接的多用戶操作系統(tǒng)在TCSEC中，美國國防部按處理信息的等級和應(yīng)采用的響應(yīng)措施，將計算機安全從高到低分為：A、B、C、D四類八個級別，共27條評估準(zhǔn)則。每一級要求涵蓋安全策略、責(zé)任、保證、文檔四個方面。隨著安全等級的提高，系統(tǒng)的可信度隨之增加，風(fēng)險逐漸減少。4.1TCSEC簡介1985年由美國國防部正式公布了DOD86等級分類保護(hù)等級D類：最低保護(hù)等級D級：無保護(hù)級C類：自主保護(hù)級C1級：自主安全保護(hù)級C2級：控制訪問保護(hù)級B類：強制保護(hù)級B1級：標(biāo)記安全保護(hù)級B2級：機構(gòu)化保護(hù)級B3級：安全區(qū)域保護(hù)級A類：驗證保護(hù)級A1級：驗證設(shè)計級超A1級等級分類保護(hù)等級D類：最低保護(hù)等級D級：無保護(hù)級C類：自主保874.2D類保護(hù)等級D類是最低保護(hù)等級，即無保護(hù)級為那些經(jīng)過評估，但不滿足較高評估等級要求的系統(tǒng)設(shè)計的，只具有一個級別該類是指不符合要求的那些系統(tǒng)，因此，這種系統(tǒng)不能在多用戶環(huán)境下處理敏感信息4.2D類保護(hù)等級D類是最低保護(hù)等級，即無保護(hù)級884.3C類保護(hù)等級C類為自主保護(hù)級具有一定的保護(hù)能力，采用的措施是自主訪問控制和審計跟蹤

一般只適用于具有一定等級的多用戶環(huán)境具有對主體責(zé)任及其動作審計的能力4.3C類保護(hù)等級C類為自主保護(hù)級89C類分為兩個級別自主安全保護(hù)級（C1級)它具有多種形式的控制能力，對用戶實施訪問控制為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞C1級的系統(tǒng)適用于處理同一敏感級別數(shù)據(jù)的多用戶環(huán)境C1級TCB通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力控制訪問保護(hù)級（C2級)C2級計算機系統(tǒng)比C1級具有更細(xì)粒度的自主訪問控制C2級通過注冊過程控制、審計安全相關(guān)事件以及資源隔離，使單個用戶為其行為負(fù)責(zé)C類分為兩個級別904.4B類保護(hù)等級B類為強制保護(hù)級主要要求是TCB應(yīng)維護(hù)完整的安全標(biāo)記