數(shù)據(jù)安全保護技術(shù)之訪問控制技術(shù)

數(shù)據(jù)作為信息的重要載體，其安全問題在信息安全中占有非常重

要的地位。數(shù)據(jù)的保密性、可用性、可控性和完好性是數(shù)據(jù)安全技術(shù)的

主要研討內(nèi)容。數(shù)據(jù)保密性的理論基礎(chǔ)是密碼學，而可用性、可控性和

完好性是數(shù)據(jù)安全的重要保障，沒有后者提供技術(shù)保障，再強的加密算

法也難以保證數(shù)據(jù)的安全。與數(shù)據(jù)安全親密相關(guān)的技術(shù)主要有以下幾

種，每種相關(guān)但又有所不同。

1）訪問掌握：該技術(shù)主要用于掌握用戶可否進入系統(tǒng)以及進入系

統(tǒng)的用戶能夠讀寫的數(shù)據(jù)集；

2）數(shù)據(jù)流掌握：該技術(shù)和用戶可訪問數(shù)據(jù)集的分發(fā)有關(guān)，用于防

止數(shù)據(jù)從授權(quán)范圍擴大到非授權(quán)范圍；

3）推理掌握：該技術(shù)用于愛擴1可統(tǒng)計的數(shù)據(jù)庫，以防止查詢者通

過細心設(shè)計的查詢序列推理出機密信息；

4）數(shù)據(jù)加密：該技術(shù)用于愛護機密信息在傳輸或存儲時被非授權(quán)

暴露；

5）數(shù)據(jù)愛護：該技術(shù)主要用于防止數(shù)據(jù)遭到意外或惡意的破壞，

保證數(shù)據(jù)的可用性和完好性。

在上述技術(shù)中，訪問掌握技術(shù)占有重要的地位，其中1）2）3）均

屬于訪問掌握范疇。訪問掌握技術(shù)主要觸及安全模型、掌握策略、掌握

1

策略的完成、授權(quán)與審計等。其中安全模型是訪問掌握的理論基礎(chǔ)，其

它技術(shù)是則完成安全模型的技術(shù)保障。本文側(cè)重論述訪問掌握技術(shù)，有

關(guān)數(shù)據(jù)愛護技術(shù)的其它方面，將漸漸在其它文章中進行探討。

1.訪問掌握

信息系統(tǒng)的安全目標是通過一組規(guī)章來掌握和管理主體對客體的

訪問，這些訪問掌握規(guī)章稱為安全策略，安全策略反應信息系統(tǒng)對安全

的需求。安全模型是制定安全策略的依據(jù)，安全模型是指用形式化的方

法來精確地描述安仝的重要方面（機密性、完好性和可用性）及其與系

統(tǒng)行為的關(guān)系。建立安全模型的主要目的是提高對勝利完成關(guān)鍵安全

需求的理解層次，以及為機密性和完好性查找安全策略，安全模型是構(gòu)

建系統(tǒng)愛護的重要依據(jù)，同時也是建立和評估安全操作系統(tǒng)的重要依

據(jù)。

自20世紀7020XX年X月起，Denning>Bell、Lapadula等人對信

息安全進行了大量的理論研討，特別是1985年國防部公布可信計算機

評估標準《TCSEC》以來，系統(tǒng)安全模型得到了廣泛的研討，并在各種

系統(tǒng)中完成了多種安全模型。這些模型可以分為兩大類：一種是信息流

模型；另一種是訪問掌握模型。

信息流模型主要著眼于對客體之間信息傳輸過程的掌握，它是訪

問掌握模型的一種變形。它不校驗主體對客體的訪問模式，而是試圖掌

握從一個客體到另一個客體的信息流，強迫其依據(jù)兩個客體的安全屬

2

性確定訪問操作是否進行。信息流模型和訪問掌握模型之間差異很小，

但訪問掌握模型不能幫忙系統(tǒng)發(fā)現(xiàn)隱藏通道，而信息流模型通過對信

息流向的分析可以發(fā)現(xiàn)系統(tǒng)中存在的隱藏通道并找到相應的防范對策。

信息流模型是一種基于大事或蹤跡的模型，其焦點是系統(tǒng)用戶可見的

行為。雖然信息流模型在信息安全的理論分析方面有著優(yōu)勢，但是迄今

為止，信息流模型對詳細的完成只能提供較少的幫忙和指導。

訪問掌握模型是從訪問掌握的角度描述安全系統(tǒng)，主要針對系統(tǒng)

中主體對客體的訪問及其安全掌握。訪問掌握安全模型中一般包括主

體、客體，以及為辨認和驗證這些實體的子系統(tǒng)和掌握實體間訪問的參

考監(jiān)視器。通常訪問掌握可以分自主訪問掌握（DAC）和強制訪問掌握

（MAC）。自主訪問掌握機制答應對象的屬主來制定針對該對象的愛護

策略。通常DAC通過授權(quán)列表（或訪問掌握列表ACL）來限定哪些主

體針對哪些客體可以執(zhí)行什么操作。如此可以非常敏捷地對策略進行

調(diào)整。由于其易用性與可擴展性，自主訪問掌握機制常常被用于商業(yè)系

統(tǒng)。

目前的主流操作系統(tǒng)，如UNIX.LinuX和Windows等操作系統(tǒng)都

提供自主訪問掌握功能。自主訪問掌握的一個最大問題是主體的權(quán)限

太大，無意間就可能泄露信息，而且不能防范特洛伊木馬的攻擊。強制

訪問掌握系統(tǒng)給主體和客體分配不同的安全屬性，而且這些安全屬性

不像ACL那樣容易被修改，系統(tǒng)通過比擬主體和客體的安全屬性確定

3

主體是否能夠訪問客體。強制訪問掌握可以防范特洛伊木馬和用戶濫

用權(quán)限，具有更高的安全性，但其完成的代價也更大，一般用在安全級

別要求比擬高的軍事上。

伴著安全需求的不斷發(fā)展和改變，自主訪問掌握和強制訪問掌握

已經(jīng)不能完全滿意需求，研討者提出很多自主訪問掌握和強制訪問掌

握的替代模型，如基于柵格的訪問掌握、基于規(guī)章的訪問掌握、基于角

色的訪問掌握模型和基于任務的訪問掌握等。其中最引人矚目的是基

于角色的訪問掌握（RBAC）。其根本思想是：有一組用戶集和角色集，

在特定的環(huán)境里，某一用戶被指定為一個適宜的角色來訪問系統(tǒng)資源；

在另外一種環(huán)境里，這個用戶又可以被指定為另一個的角色來訪問另

外的網(wǎng)絡(luò)資源，每一個角色都具有其對應的權(quán)限，角色是安全掌握策略

的核心，可以分層，存在偏序、自反、傳遞、反對稱等關(guān)系。與自主訪

問掌握和強制訪問掌握相比，基于角色的訪問掌握具有顯著長處：首先,

它事實上是一種策略無關(guān)的訪問掌握技術(shù)。其次，基于角色的訪問掌握

具有自管理的力量。

此外，基于角色的訪問掌握還便于實施整個組織或單位的網(wǎng)絡(luò)信

息系統(tǒng)的安全策略。目前，基于角色的訪問掌握已在很多安全系統(tǒng)中完

成。例如，在億賽通文檔安全管理系統(tǒng)SmartSec（見“文檔安全加密系

統(tǒng)的完成方式“一文）中，服務器端的用戶管理就采納了基于角色的訪

問掌握方式，從而為用戶管理、安全策略管理等提供了很大的便利。

4

伴著網(wǎng)絡(luò)的深化發(fā)展，基于Host-Terminal環(huán)境的靜態(tài)安全模型和

標準已無法完全反應分布式、動態(tài)改變、發(fā)展快速的Internet的安全問

題。針對日益嚴峻的網(wǎng)絡(luò)安全問題和越來突出的安全需求，“可順應網(wǎng)

絡(luò)安全模型”和"動態(tài)安全模型”應運而生?；陂]環(huán)掌握的動態(tài)網(wǎng)絡(luò)安

全理論模型在9020XX年X月開頭漸漸形成并得到了快速發(fā)展，20XX

年12月國防部提出了信息安全的動態(tài)模型，即愛護（Protection）—檢

測（Detection）—響應（Response）多環(huán)節(jié)保障體系，后來被通稱為PDR

模型。伴著人們對PDR模型應用和研討的深化，PDR模型中又融入了

策略（Policy）和恢復（Restore）兩個組件，漸漸形成了以安全策略為

中心，集防護、檢測、響應和恢復于一體的動態(tài)安全模型，PDR模型

是一種基于閉環(huán)掌握、主動防備的動態(tài)安全模型，在整體的安全策略掌

握和指導下，在綜合運用防護工具（如防火墻、系統(tǒng)身份認證和加密等

手段）的同口寸，利用檢測工具（如漏洞評估、入侵檢測等系統(tǒng)）了解和

評估系統(tǒng)的安全狀態(tài)，將系統(tǒng)調(diào)整到“最安全”和“風險最低''的狀態(tài)。愛

護、檢測、響應和恢復組成了一個完好的、動態(tài)的安全循環(huán)，在安全策

略的指導下保證信息的安全。

2.訪問掌握策略

訪問掌握策略也稱安全策略，是用來掌握和管理主體對客體訪問

的一系列規(guī)章，它反映信息系統(tǒng)對安全的需求。安全策略的制定和實施

5

是圍繞主體、客體和安全掌握規(guī)章集三者之間的關(guān)系綻開的，在安全策

略的制定和實施中，要遵循以下原則：

1）最小特權(quán)原則：最小特權(quán)原則是指主體執(zhí)行操作時，根據(jù)主體

所需權(quán)利的最小化原則分配給主體權(quán)力。最小特權(quán)原則的長處是最大

程度地限制了主體實施授權(quán)行為，可以防止來自突發(fā)大事、錯誤和未授

權(quán)運用主體的危險。

2）最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務時，根據(jù)主體

所需要明白的信息最小化的原則分配給主體權(quán)力。

3）多級安全策略：多級安全策略是指主體和客體間的數(shù)據(jù)流向和

權(quán)限掌握根據(jù)安全級別的絕密、秘密、機密、限制和無級別五級來劃分。

多級安全策略的長處是防止敏感信息的擴大。具有安全級別的信息資

源，只有安全級別比他高的主體才能夠訪問。

訪問掌握的安全策略有以下兩種完成方式：基于身份的安全策略

和基于規(guī)章的安全策略。目前運用的兩種安全策略，他們建立的基礎(chǔ)都

是授權(quán)行為。就其形式而言，基于身份的安全策略等同于DAC安全策

略，基于規(guī)章的安全策略等同于MAC安全策略。

2.1.基于身份的安全策略

基于身份的安全策略（IDBACP：Identification-

basedAccessControlPolicies）的R的是過濾主體對數(shù)據(jù)或資源的訪問，

6

只有能通過認證的那些主體才有可能正常運用客體資源?；谏矸莸?/p>

策略包括基于個人的策略和基于組的策略?；谏矸莸陌踩呗砸话?/p>

采納力量表或訪問掌握列表進行完成。

基于個人的策略

基于個人的策略(INBACP：Individual-basedAccessControlPolicies)

是指以用戶為中心建立的一種策略，這種策略由一組列表組成，這些列

表限定了針對特定的客體，哪些用戶可以完成何種操作行為。

基于組的策略：

基于組的策略(GBACP：Group-basedAccessControlPolicies)是基

于個人的策略的擴充，指一些用戶(構(gòu)成安全組)被答應運用同樣的訪

問掌握規(guī)章訪問同樣的客體。

22基于規(guī)章的安全策略

基于規(guī)章的安全策略中的授權(quán)通常依靠于敏感性。在一個安全系

統(tǒng)中，數(shù)據(jù)或資源被標注安全標記(Token)。代表用戶進行活動的進程

可以得到與其原發(fā)者相應的安全標記?；谝?guī)章的安全策略在完成上,

由系統(tǒng)通過比擬用戶的安全級別和客體資源的安全級別來推斷是否答

應用戶可以進行訪問。

3.訪問掌握的完成

7

由于安全策略是由一系列規(guī)章組成的，因此如何表達和運用這些

規(guī)章是完成訪問掌握的關(guān)鍵。由于規(guī)章的表達和運用有多種方式可供

選擇，因此訪問掌握的完成也有多種方式，每種方式均有其長處和缺點,

在詳細實施中，可依據(jù)實際情況進行選擇和處理。常用的訪問掌握有以

下幾種形式。

3.1.訪問掌握表

訪問掌握表(ACL：AccessControlList)是以文件為中心建立的訪

問權(quán)限表，一般稱作ACLo其主要長處在于完成簡潔，對系統(tǒng)性能影

響小。

它是目前大多數(shù)操作系統(tǒng)(如Windows、LinuX等)采納的訪問掌

握方式。同時，它也是信息安全管理系統(tǒng)中常常采納的訪問掌握方式。

例如，在億賽通文檔安全管理系統(tǒng)SmartSec中，客戶端提供的“文件訪

問掌握''模塊就是通過ACL方式進行完成的。

32訪問掌握矩陣

訪問掌握矩陣(ACM：AccessControlMatriX)是通過矩陣形式表示

訪問掌握規(guī)章和授權(quán)用戶權(quán)限的方法：也就是說，對每個主體而言，都

擁有對哪些客體的哪些訪問權(quán)限；而對客體而言，有哪些主體可對它實

施訪問；將這種關(guān)聯(lián)關(guān)系加以描述，就形成了掌握矩陣。訪問掌握矩陣

的完成很易于理解，但是查找和完成起來有肯定的難度，特別是當用戶

8

和文件系統(tǒng)要管理的文件許多時，掌握矩陣將會呈幾何級數(shù)增長，會占

用大量的系統(tǒng)資源，引起系統(tǒng)性能的下降。

33訪問掌握力量列表

力量是訪問掌握中的一個重要概念，它是指懇求訪問的發(fā)起者所

擁有的一個有效標簽(Ticket),它授權(quán)標簽說明的持有者可以根據(jù)何種

訪問方式訪問特定的客體。與ACL以文件為中心不同，訪問掌握力量

表(ACCL：AccessControlCapabilitiesList)是以用戶為中心建立訪問權(quán)

限表。

3.4.訪問掌握安全標簽列表

安全標簽是限制和附屬在主體或客體上的一組安全屬性信息。安

全標簽的含義比力量更為廣泛和嚴格，由于它事實上還建立了一個嚴

格的安全等級集合。訪問掌握標簽列表(ACSLL：

AccessControlSecurityLabelsList)是限定用戶對客體目標訪問的安全屬

性集合。

4.訪問掌握與授權(quán)

授權(quán)是資源的全部者或掌握者準許他人訪問這些資源，是完成訪

問掌握的前提。對于簡潔的個體和不太冗雜的群體，我們可以考慮基于

個人和組的授權(quán)，即便是這種完成，管理起來也有可能是困難的。當我

們面臨的對象是一個大型跨地區(qū)、甚至跨國集團時，如何通過正確的授

9

權(quán)以便保證合法的用戶運用公司公布的資源，而不合法的用戶不能得

到訪問掌握的權(quán)限，這是一個冗雜的問題。授權(quán)是指客體授予主體肯定

的權(quán)力，通過這種權(quán)力，主體可以對客體執(zhí)行某種行為，例如登陸，查

看文件、修改數(shù)據(jù)、管理帳戶等。

授權(quán)行為是指主體履行被客體授予權(quán)力的那些活動。因此，訪問掌

握與授權(quán)密不行分。授權(quán)表示的是一種信任關(guān)系，一般需要建立一種模

型對這種關(guān)系