第9章 訪問控制

1、訪問控制訪問控制 訪問控制（Access Control）是對信息系統(tǒng)資源的訪問范圍以及方式進行限制的策略。簡單地說，就是防止合法用戶的非法操作。它是建立在身份認(rèn)證之上的操作權(quán)限控制。身份認(rèn)證解決了訪問者是否合法者，但并非身份合法就什么都可以做，還要根據(jù)不同的訪問者，規(guī)定他們分別可以訪問哪些資源，以及對這些可以訪問的資源可以用什么方式（讀？寫？執(zhí)行？刪除？等）訪問。它是基于權(quán)限管理的一種是非常重要的安全策略。對用戶權(quán)限的設(shè)定，稱為授權(quán)（Authorization）。 9.3.1 9.3.1 基本概念基本概念 1. 主體與客體 訪問控制可以描述為：主動的主體（Subject）使用某種特定的訪問操

2、作去訪問一個被動的客體（Object），所使用的特定的訪問操作受訪問監(jiān)視器控制。這就是圖9.1所示的安全系統(tǒng)邏輯模型。 主體主體 身份認(rèn)證身份認(rèn)證 訪問控制訪問控制 客體客體 訪問監(jiān)視器訪問監(jiān)視器 訪問訪問請求請求 權(quán)限權(quán)限 圖圖9.1 安全系統(tǒng)邏輯模型安全系統(tǒng)邏輯模型 主體和客體都是訪問控制系統(tǒng)中的實體。 主體是發(fā)出訪問請求的主動方，通常是用戶或用戶進程。 客體是被訪問的對象，通常是被調(diào)用的程序、進程，要存取的數(shù)據(jù)、文件、內(nèi)存、系統(tǒng)、設(shè)備、設(shè)施等資源。信息系統(tǒng)的安全目標(biāo)就是控制和管理主體對客體的訪問。 安全策略，就是對這些訪問進行約束的一組規(guī)則和目標(biāo)，它反映了系統(tǒng)的安全需求，并可以用達(dá)到安全

3、目的而采取的步驟進行描述。 2. 訪問權(quán)限 （1）Bell-LaPadula安全模型中的訪問權(quán)限 1973年David Bell和Len Lapadula提出了第一個也是最著名安全策略模型Bell-LaPadula安全模型，簡稱BLP模型。 在基本層面上，定義了兩種訪問方式： 觀察（Observe）：查看客體的內(nèi)容。 改變（Alter）：改變客體的內(nèi)容。 在Bell-LaPadula安全模型中定義了4種訪問權(quán)限：執(zhí)行、讀、添加（有時也稱盲目的寫）和寫。表9.1給出了這些訪問權(quán)限與訪問方法之間的關(guān)系。 執(zhí)行執(zhí)行添加添加讀讀寫寫查查 看看 改改 變變 表表9.1 Bell-LaPadula安全模型

4、中的訪問權(quán)限安全模型中的訪問權(quán)限 注意，這里基于效率的考慮，寫訪問通常包含讀訪問。這樣，在編輯一個文件時，就無須先打開一次進行讀（了解內(nèi)容），再打開一次用于寫了。所以寫訪問包含了查看和改變兩種訪問形式。 （2）Unix Unix的訪問控制用3種權(quán)限表示：讀（read）、寫（write）、執(zhí)行（execute）。它們應(yīng)用于文件和目錄時含義有所不同，如表9.2所示。 用于文件用于文件用于目錄用于目錄讀讀從一個文件讀從一個文件讀列出目錄內(nèi)容列出目錄內(nèi)容寫寫寫進一個文件寫進一個文件創(chuàng)建或重命名目錄中的一個創(chuàng)建或重命名目錄中的一個文件文件執(zhí)行執(zhí)行執(zhí)行一個（程序）文件執(zhí)行一個（程序）文件搜索目錄搜索目錄表

5、表9.2 Unix的訪問控制的訪問控制3種權(quán)限種權(quán)限 （3）Windows NT/2000/XP Windows NT/2000/XP的權(quán)限分為文件權(quán)限和目錄權(quán)限。每一個權(quán)限級別都確定了一個執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是： Read（R）、 Execute（X）、 Write（W）、 Set Permission（P）、 Take Ownership（O）。 表9.3表明任務(wù)與各種權(quán)限級別之間的關(guān)聯(lián)。 權(quán)權(quán) 限限RXWDPORXWDPO目目錄錄權(quán)權(quán)限限No AccessNo AccessListListRXRXReadReadRXRXAddAddXWXWAdd and Add and R

6、eadReadRXWRXWChangeChangeRXWDRXWDFull Full controlcontrolRXWDPORXWDPO文文件件權(quán)權(quán)限限No AccessNo AccessReadReadRXRXChangeChangeRXWDRXWDFull Full controlcontrolRXWDPORXWDPO用用 戶戶 行行 為為用戶不能訪問該目錄用戶不能訪問該目錄可以查看目錄中的子目錄和文件名，也可以進可以查看目錄中的子目錄和文件名，也可以進入其子目錄入其子目錄具有具有LinuxLinux權(quán)限，用戶可以讀取目錄中的文件和權(quán)限，用戶可以讀取目錄中的文件和運行目錄中的應(yīng)用程序運行

7、目錄中的應(yīng)用程序用戶可以添加文件和子目錄用戶可以添加文件和子目錄具有具有Add Add 和和 ReadRead的權(quán)限的權(quán)限具有具有Add Add 和和 ReadRead的權(quán)限，另外還可以更改文件的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄的內(nèi)容，刪除文件和子目錄具有具有ChangeChange的權(quán)限，另外用戶可以更改權(quán)限和的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)。獲取目錄的所有權(quán)。用戶不能訪問該文件用戶不能訪問該文件用戶可以讀取該文件，如果是應(yīng)用程序可以運用戶可以讀取該文件，如果是應(yīng)用程序可以運行行具有具有 ReadRead的權(quán)限，還可以修改和刪除文件的權(quán)限，還可以修改和刪除文件具

8、有具有ChangeChange的權(quán)限，還可以更改權(quán)限和獲取文的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)。件的所有權(quán)。表表9.3 Windows NT/2000/XP表明任務(wù)與各種權(quán)限級別之間的關(guān)聯(lián)表明任務(wù)與各種權(quán)限級別之間的關(guān)聯(lián) 9.3.2 9.3.2 訪問控制結(jié)構(gòu)訪問控制結(jié)構(gòu) 對于單個主體和客體進行單獨的定義。但是對于數(shù)量眾多的主體和客體，就要設(shè)計一種合適的實現(xiàn)結(jié)構(gòu)了。下面介紹幾種常用的訪問控制結(jié)構(gòu)。 1. 訪問控制矩陣 訪問控制矩陣也稱訪問許可矩陣，它用行表示客體，列表示主體，在行和列的交叉點上設(shè)定訪問權(quán)限。表9.4為一個訪問控制矩陣的例子。 File1File2File3File4張三張三

9、Own,R,W Own,R,W 李四李四ROwn,R,WWR王五王五R,WR Own,R,W 表中，一個文件的Own權(quán)限的含義是可以授予（Authorize）或者撤銷（Revoke）其他用戶對該文件的訪問控制權(quán)限。例如，張三對File1具有Own權(quán)限，所以張三可以授予或撤銷李四和王五對File1的讀（R）寫（W）權(quán)限。 訪問矩陣比較直觀，但是表中會出現(xiàn)空白。 2. 訪問能力表 能力（Capability）是受一定機制保護的客體標(biāo)志，標(biāo)記了某一主體對客體的訪問權(quán)限：某一主體對某一客體有無訪問能力，表示了該主體能不能訪問那個客體；而具有什么樣的能力，表示能對那個客體進行一些什么樣的訪問。 訪問能力

10、表著眼于某一主體的訪問權(quán)限，從主體出發(fā)描述控制信息，很容易獲得一個主體所被授權(quán)可以訪問的客體及其權(quán)限。但要從客體出發(fā)獲得哪些主體可以訪問它，就困難了。張三張三File1OwnRWFile3OwnRW李四李四File1RFile2OwnRWFile3WFile4R王五王五File1RWFile3RFile4OwnRW圖圖9.2 訪問能力表的例子訪問能力表的例子 3. 訪問控制表 訪問控制表（Access Control List，ACL）與訪問能力表正好相反，是從客體出發(fā)描述控制信息，可以用來對某一資源指定任意一個用戶的訪問權(quán)限。圖9.3是表9.4的訪問控制表表示。 ACL的優(yōu)點是可以容易地查出

11、對某一特定資源擁有訪問權(quán)的所有用戶，有效地實施授權(quán)管理，是目前采用的最多的一種實現(xiàn)形式。 File1張三張三OwnRW李四李四RFile2李四李四OwnRW王五王五RFile3張三張三OwnRW李四李四W王五王五RWFile4李四李四R王五王五OwnRW圖圖9.3 訪問控制表的例子訪問控制表的例子 4. 授權(quán)關(guān)系表 授權(quán)關(guān)系表（Authorization Relations）描述了主體和客體之間各種授權(quán)關(guān)系的組合。表9.5為表9.4的授權(quán)關(guān)系表表示。 授權(quán)關(guān)系表便于使用關(guān)系數(shù)據(jù)庫進行存儲。只要按照客體進行排序，就得到了與訪問能力表相當(dāng)?shù)亩S表；按照主體進行排序，就得到了與訪問控制表相當(dāng)?shù)亩S表

12、。 主主 體體訪問權(quán)限訪問權(quán)限客客 體體張三張三OwnFile1張三張三RFile1張三張三WFile1張三張三OwnFile3張三張三RFile3張三張三WFile3李四李四RFile1李四李四OwnFile2李四李四RFile2李四李四WFile2李四李四WFile3李四李四RFile4王五王五RFile1王五王五WFile1王五王五RFile2王五王五OwnFile4王五王五RFile4王五王五WFile4表表9.5 授權(quán)關(guān)系表的一個例子授權(quán)關(guān)系表的一個例子 9.3.3. 9.3.3. 訪問控制實施策略訪問控制實施策略 計算機的活動主要是在主體和客體之間進行的。計算機安全的核心問題就是保

13、證主體對客體訪問的合法性，既通過對數(shù)據(jù)及程序的讀出、寫入、修改、刪除、運行等的管理，確保主體對客體的訪問是經(jīng)過授權(quán)的，同時要拒絕非授權(quán)的訪問，以保證信息的機密性、完整性和可用性。 例如，當(dāng)用戶或應(yīng)用程序試圖訪問一個文件時，首先需要通過系統(tǒng)調(diào)用打開文件。在打開文件之前，訪問控制機制被調(diào)用。訪問控制機制利用訪問控制表、訪問權(quán)力表或訪問控制矩陣等，檢查用戶的訪問權(quán)限，如果在用戶的訪問權(quán)限內(nèi)，則可以繼續(xù)打開文件；如果用戶超出授權(quán)權(quán)限，則訪問被拒絕，產(chǎn)生錯誤信息并退出。 然而，訪問控制所提供的安全性還與訪問控制實施的策略有關(guān)。下面介紹在計算機系統(tǒng)中常用的3種訪問控制實施策略。 1. 自主訪問控制 自主訪

14、問控制，又稱任選訪問控制（Discretionary Access Control，DAC）。所以稱“自主”，意為：一個擁有一定訪問權(quán)限的主體，被看作是一定資源的所有者（也往往是創(chuàng)建者），在其擁有的資源范圍內(nèi)，所有者可以自主地直接或間接地將權(quán)限傳給（分發(fā)給）主體，即可以自主地誰可以訪問這些資源。 例如，用戶A對客體O具有訪問權(quán)限，而B沒有。當(dāng)A將對O的訪問權(quán)限傳遞給B后，B就有了對O的訪問權(quán)限。這是目前計算機系統(tǒng)中應(yīng)用最廣泛的一種策略，Unix和Windows系統(tǒng)都是采用自主型的訪問控制策略。DAC的優(yōu)點是應(yīng)用靈活。缺點是，權(quán)限傳遞很容易造成漏洞，所以其安全級別比較低，不太適合網(wǎng)絡(luò)環(huán)境。 2.

15、 強制訪問控制 強制訪問控制（Mandatory Access Control，MAC）的基本思想是系統(tǒng)要“強制”主體服從訪問控制政策：系統(tǒng)（系統(tǒng)管理員）給主體和客體分配了不同的安全屬性，用戶不能改變自身或任何客體的安全屬性，即不允許單個用戶確定訪問權(quán)限，只有系統(tǒng)管理員才可以確定用戶或用戶組的訪問權(quán)限。 MAC主要用于多層次安全級別的系統(tǒng)（如軍事系統(tǒng)）中。它預(yù)先將主體和客體進行分級，定義出一些可信任級別及信息的敏感程度安全級別（如絕密級、機密級、秘密級、無密級等），然后分別給主體和客體以級別標(biāo)記。用戶必須遵守安全政策劃分的安全級別的設(shè)定以及有關(guān)訪問權(quán)限的設(shè)定。當(dāng)用戶提出訪問請求時，系統(tǒng)對主、客

16、體的安全屬性進行比較，來決定該主體是否可以對所請求的客體進行訪問。 在典型的應(yīng)用中，MAC使用兩種訪問控制關(guān)系：上讀/下寫用來保證數(shù)據(jù)完整性和下讀/上寫用來保證數(shù)據(jù)機密性。下讀/上寫相當(dāng)于在一個層次組織中，上級領(lǐng)導(dǎo)可以看下級的資料；而下級不能看上級的資料，但可以向上級寫資料。 MAC比DAC具有更強的訪問控制能力。但是實現(xiàn)的工作量大，管理不便，不夠靈活。 3. 基于角色的訪問控制 基于角色的訪問控制（Role-Based Access Control，RBAC）是20世紀(jì)90年代提出的訪問控制策略。它克服了前面兩種傳統(tǒng)訪問控制策略的不足，成為一種有效的訪問控制策略。 為了說明GBAC的原理，首

17、先觀察圖9.4，并從以下幾個方面來理解角色。 用戶用戶1角色角色1權(quán)限權(quán)限a客體客體1用戶用戶2用戶用戶3角色角色2客體客體2客體客體2權(quán)限權(quán)限b權(quán)限權(quán)限c權(quán)限權(quán)限d圖圖9.4 角色的概念角色的概念 （1）在傳統(tǒng)的訪問控制中，主體與客體直接溝通。而在基于角色的訪問控制中，角色是一個中間層，主體（用戶）與客體之間沒有直接的聯(lián)系，只能靠角色溝通；用戶標(biāo)識主體本身僅對于身份認(rèn)證具有意義，真正決定訪問權(quán)限的是用戶的角色標(biāo)識。 （2）角色相當(dāng)于工作部門中的崗位、職位或分工。一個角色可以對應(yīng)多個用戶（相當(dāng)于一個崗位可以有多個職員），也可以有多個權(quán)限（對多個資源的訪問權(quán)）。角色一方面是用戶的集合，一方面又是權(quán)限的集合，它作為中間媒介形成用戶集合與某種授權(quán)的關(guān)聯(lián)。這種關(guān)聯(lián)相對于個體具有較強的穩(wěn)定性。這樣的權(quán)限管理與傳統(tǒng)的權(quán)限管理相比，具有較強的可操作性和可管理性。 （3）角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員執(zhí)行，只有系統(tǒng)管理員才有權(quán)定義和分配角色，并且授權(quán)規(guī)則是強加給用戶的，用戶只能被動地接受，不能自主地決定。 （4）在RBAC系統(tǒng)中，要求區(qū)分權(quán)限（Authority）和職責(zé)（Responsibility）： 一位系統(tǒng)管理員或安全主管可以修改、分配訪問權(quán)