網(wǎng)絡(luò)安全訪問控制技術(shù)

網(wǎng)絡(luò)安全

劉敏賢副教授西南科技大學(xué)計算機科學(xué)與技術(shù)學(xué)院當(dāng)前1頁，總共85頁。第9章訪問控制技術(shù)本章的主要內(nèi)容是對入網(wǎng)訪問控制、物理隔離、自主訪問控制和強制訪問控制等技術(shù)的實現(xiàn)原理進(jìn)行了詳細(xì)的論述，并介紹了一些新型訪問控制技術(shù)。當(dāng)前2頁，總共85頁。第9章訪問控制技術(shù)9.1訪問控制技術(shù)概述9.2入網(wǎng)認(rèn)證9.3物理隔離措施9.4自主訪問控制9.5強制訪問控制9.6新型訪問控制技術(shù)當(dāng)前3頁，總共85頁。第9章訪問控制技術(shù)要保證計算機系統(tǒng)實體的安全，必須對計算機系統(tǒng)的訪問進(jìn)行控制訪問控制的基本任務(wù)防止非法用戶即未授權(quán)用戶進(jìn)入系統(tǒng)合法用戶即授權(quán)用戶對系統(tǒng)資源的非法使用第9章第1節(jié)當(dāng)前4頁，總共85頁。問題提出例1：學(xué)校的教務(wù)管理系統(tǒng)全校師生都可以使用，但是只有老師可以輸入考試成績，只有學(xué)生可以對教學(xué)質(zhì)量進(jìn)行評價。。。

例2：作為QQ用戶，執(zhí)行同樣的登錄操作，為什么QQ服務(wù)器可以識別出有的用戶花了錢晉升為QQ會員，有的用戶開通了各種鉆，更多的只是普通的QQ用戶呢？

例3：論壇規(guī)定，發(fā)貼或跟貼必須要先注冊并登錄，而且只有管理員可以刪貼，甚至封貼。當(dāng)前5頁，總共85頁。訪問控制的最基本概念

主體（subject）一個提出請求或要求的實體，是動作的發(fā)起者（不一定是動作的執(zhí)行者），有時也稱為用戶或訪問者（如被授權(quán)使用計算機的人）；主體含義廣泛，可以是用戶、用戶組、計算機終端、外設(shè)卡、手持終端設(shè)備、一個數(shù)據(jù)文件甚至是應(yīng)用服務(wù)程序或進(jìn)程。客體（object）接受其他實體訪問的被動實體，凡是可以被操作的信息、資源、對象都可以作為客體；通常包括文件和文件系統(tǒng)、磁盤和磁帶卷標(biāo)、遠(yuǎn)程終端、信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用、數(shù)據(jù)庫中的數(shù)據(jù)、應(yīng)用資源等。

當(dāng)前6頁，總共85頁。訪問控制的最基本概念

訪問（access）

使信息在主體和客體之間流動的一種交互方式。對文件客體來說，典型的訪問就是讀、寫、執(zhí)行和所有；其中所有權(quán)指誰能改變文件的訪問權(quán)。訪問控制策略（accesscontrolpolicy）主體對客體的訪問規(guī)則集，這個規(guī)則集直接定義了主體對客體的作用行為和客體對主體的條件約束。體現(xiàn)了一種授權(quán)行為，也就是客體對主體的權(quán)限允許，這種允許不能超越規(guī)則集。當(dāng)前7頁，總共85頁。訪問控制指主體依據(jù)某些控制策略或者權(quán)限對客體或其資源進(jìn)行的不同的授權(quán)訪問。可以限制訪問主體（或稱為發(fā)起者，是一個主動的實體，如用戶、進(jìn)程、服務(wù)等）對訪問客體（需要保護(hù)的資源）的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用。訪問控制三要素：

主體、客體、訪問控制策略。訪問控制的最基本概念

當(dāng)前8頁，總共85頁。訪問控制系統(tǒng)要素之間的行為關(guān)系參見下圖：訪問控制的最基本概念

當(dāng)前9頁，總共85頁。訪問控制過程訪問控制由兩個重要過程組成

1、通過認(rèn)證來檢驗主體的合法身份；

2、通過授權(quán)（Authorization）來限制用戶對資源的訪問級別。

在認(rèn)證和授權(quán)后，訪問控制機制將根據(jù)預(yù)先設(shè)定的規(guī)則對用戶訪問的資源進(jìn)行控制，只有規(guī)則允許的資源才能訪問。當(dāng)前10頁，總共85頁。訪問控制過程這種控制通過監(jiān)控器進(jìn)行，每一次用戶對系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問時，都由這個監(jiān)控器來進(jìn)行調(diào)節(jié)控制過程：用戶對系統(tǒng)進(jìn)行訪問時，監(jiān)控器便依據(jù)訪問控制策略，以確定準(zhǔn)備進(jìn)行訪問的用戶是否確實得到了進(jìn)行此項訪問的許可。當(dāng)前11頁，總共85頁。訪問控制過程嚴(yán)格區(qū)分身份認(rèn)證和訪問控制很重要！原因：正確建立用戶的身份是認(rèn)證服務(wù)的責(zé)任，而訪問控制則假定在通過監(jiān)控器實施訪問控制前，用戶的身份就已經(jīng)得到了驗證；因而，訪問控制的有效性取決于用戶的正確識別，同時也取決于監(jiān)控器正確的控制。當(dāng)前12頁，總共85頁。訪問控制技術(shù)概述訪問控制是從計算機系統(tǒng)的處理能力方面對信息提供保護(hù)它按照事先確定的規(guī)則決定主體對客體的訪問是否合法當(dāng)一主體試圖非法使用一個未經(jīng)授權(quán)的資源時，訪問控制機制將拒絕這一企圖，并將這一事件報告給審計跟蹤系統(tǒng)審計跟蹤系統(tǒng)將給出報警，并記入日志檔案當(dāng)前13頁，總共85頁。9.1訪問控制技術(shù)概述網(wǎng)絡(luò)的訪問主要采用基于爭用和定時兩種方法基于爭用的方法意味著網(wǎng)上所有站點按先來先服務(wù)原則爭用帶寬對網(wǎng)絡(luò)的訪問控制是為了防止非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)的非法使用訪問控制要對訪問的申請、批準(zhǔn)和撤消的全過程進(jìn)行有效的控制第9章第1節(jié)當(dāng)前14頁，總共85頁。9.1訪問控制技術(shù)概述訪問控制的內(nèi)容包括用戶身份的識別和認(rèn)證對訪問的控制授權(quán)、確定訪問權(quán)限、實施訪問權(quán)限附加控制除了對直接的訪問進(jìn)行控制外，還應(yīng)對信息的流動和推理攻擊施加控制審計跟蹤對用戶使用何種系統(tǒng)資源、使用的時間、執(zhí)行的操作等問題進(jìn)行完整的記錄，以備非法事件發(fā)生后能進(jìn)行有效的追查第9章第1節(jié)當(dāng)前15頁，總共85頁。9.1訪問控制技術(shù)概述訪問控制的類型自主訪問控制（DAC）用戶可以按自己的意愿對系統(tǒng)參數(shù)做適當(dāng)?shù)男薷?，可以決定哪個用戶可以訪問系統(tǒng)資源強制訪問控制（MAC）用戶和資源都是一個固定的安全屬性，系統(tǒng)利用安全屬性來決定一個用戶是否可以訪問某個資源由于強制訪問控制的安全屬性是固定的，因此用戶或用戶程序不能修改安全屬性基于角色的訪問控制第9章第1節(jié)當(dāng)前16頁，總共85頁。9.2入網(wǎng)認(rèn)證入網(wǎng)認(rèn)證即入網(wǎng)訪問控制。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制入網(wǎng)認(rèn)證控制哪些用戶能夠登錄到服務(wù)器并獲得網(wǎng)絡(luò)資源，也控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)入網(wǎng)認(rèn)證實質(zhì)上就是對用戶的身份進(jìn)行認(rèn)證第9章第2節(jié)當(dāng)前17頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證身份認(rèn)證過程指的是當(dāng)用戶試圖訪問資源的時候，系統(tǒng)確定用戶的身份是否真實的過程認(rèn)證對所有需要安全的服務(wù)來說是至關(guān)重要的，因為認(rèn)證是訪問控制執(zhí)行的前提，是判斷用戶是否有權(quán)訪問信息的先決條件，同時也為日后追究責(zé)任提供不可抵賴的證據(jù)第9章第2節(jié)當(dāng)前18頁，總共85頁。身份認(rèn)證的概念身份認(rèn)證的作用身份認(rèn)證與鑒別是信息安全中的第一道防線，是保證計算機網(wǎng)絡(luò)系統(tǒng)安全的重要措施之一,對信息系統(tǒng)的安全有著重要的意義。身份認(rèn)證可以確保用戶身份的真實、合法和唯一性。認(rèn)證是對用戶身份和認(rèn)證信息的生成、存儲、同步、驗證和維護(hù)的整個過程的管理。作用：可以防止非法人員進(jìn)入系統(tǒng)，防止非法人員通過各種違法操作獲取不正當(dāng)利益、非法訪問受控信息、惡意破壞系統(tǒng)數(shù)據(jù)的完整性的情況的發(fā)生，嚴(yán)防“病從口入”關(guān)口。當(dāng)前19頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證的依據(jù)用戶所知道的密碼用戶所擁有的智能卡用戶的特征生物學(xué)上的屬性根據(jù)特定地點（或特定時間）通過信任的第三方Kerberos,IKE第9章第2節(jié)當(dāng)前20頁，總共85頁。身份認(rèn)證技術(shù)方法目前，計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：1.用戶名及密碼方式用戶名及密碼方式是最簡單也是最常用的身份認(rèn)證方法，由用戶自己設(shè)定，只有用戶本人知道。只要能夠正確輸入密碼，計算機就認(rèn)為操作者就是合法用戶。2.智能卡認(rèn)證智能卡是一種內(nèi)置集成的電路芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。當(dāng)前21頁，總共85頁。身份認(rèn)證技術(shù)方法目前，計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：3.動態(tài)令牌認(rèn)證動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術(shù)。它采用一種動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示。用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計算機，即可實現(xiàn)身份認(rèn)證。采用一次一密的方法。例：工行、建行（見備注）當(dāng)前22頁，總共85頁。身份認(rèn)證技術(shù)方法目前，計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：4.USBKey認(rèn)證基于USBKey的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。基于USBKey身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。例：工行、建行（見備注）當(dāng)前23頁，總共85頁。身份認(rèn)證技術(shù)方法目前，計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：5.生物識別技術(shù)生物識別技術(shù)主要是指通過可測量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特征包括：簽名、語音、行走步態(tài)等。目前采用的有：指紋識別技術(shù)、視網(wǎng)膜識別技術(shù)、聲音識別技術(shù)當(dāng)前24頁，總共85頁。身份認(rèn)證技術(shù)方法目前，計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：6.CA認(rèn)證CA(CertificationAuthority)是認(rèn)證機構(gòu)的國際通稱，它是對數(shù)字證書的申請者發(fā)放、管理、取消數(shù)字證書的機構(gòu)。CA的作用：是檢查證書持有者身份的合法性，并簽發(fā)證書(用數(shù)學(xué)方法在證書上簽字)，以防證書被偽造或篡改。網(wǎng)絡(luò)身份證的發(fā)放、管理和認(rèn)證就是一個復(fù)雜的過程，也就是CA認(rèn)證。CA職能管理和維護(hù)客戶的證書和證書作廢表維護(hù)自身的安全提供安全審計的依據(jù)當(dāng)前25頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證的評價標(biāo)準(zhǔn)可行性認(rèn)證強度認(rèn)證粒度認(rèn)證數(shù)據(jù)正確不同協(xié)議間的適應(yīng)性第9章第2節(jié)當(dāng)前26頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證的評價標(biāo)準(zhǔn)可行性從用戶的觀點看，認(rèn)證方法應(yīng)該提高用戶訪問應(yīng)用的效率，減少多余的交互認(rèn)證過程，提供一次性認(rèn)證另外所有用戶可訪問的資源應(yīng)該提供友好的界面給用戶訪問第9章第2節(jié)當(dāng)前27頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證的評價標(biāo)準(zhǔn)認(rèn)證強度認(rèn)證強度取決于采用的算法的復(fù)雜度以及密鑰的長度采用更復(fù)雜的算法，更長的密鑰，將能提高系統(tǒng)的認(rèn)證強度，提高系統(tǒng)的安全性第9章第2節(jié)當(dāng)前28頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證的評價標(biāo)準(zhǔn)認(rèn)證粒度身份認(rèn)證只決定是否允許用戶進(jìn)入服務(wù)應(yīng)用。之后如何控制用戶訪問的內(nèi)容，以及控制的粒度也是認(rèn)證系統(tǒng)的重要標(biāo)志有些認(rèn)證系統(tǒng)僅限于判斷用戶是否具有合法身份，有些則按權(quán)限等級劃分成幾個密級，嚴(yán)格控制用戶按照自己所屬的密級訪問第9章第2節(jié)當(dāng)前29頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證的評價標(biāo)準(zhǔn)認(rèn)證數(shù)據(jù)正確消息的接受者能夠驗證消息的合法性、真實性和完整性消息的發(fā)送者對所發(fā)的消息不可抵賴除了合法的消息發(fā)送者外，任何其他人不能偽造合法的消息當(dāng)通信雙方（或多方）發(fā)生爭執(zhí)時，有公正權(quán)威的第3方解決糾紛第9章第2節(jié)當(dāng)前30頁，總共85頁。9.2入網(wǎng)認(rèn)證身份認(rèn)證的評價標(biāo)準(zhǔn)不同協(xié)議間的適應(yīng)性認(rèn)證系統(tǒng)應(yīng)該對所有協(xié)議的應(yīng)用進(jìn)行有效的身份識別除了HTTP以外，安全Email訪問（包括認(rèn)證SMTP、POP或者IMAP）也應(yīng)該包含在認(rèn)證系統(tǒng)中第9章第2節(jié)當(dāng)前31頁，總共85頁。9.2入網(wǎng)認(rèn)證口令認(rèn)證的一般過程用戶名的識別與驗證確定是否存在該用戶的信息用戶口令的識別與驗證確定用戶輸入的口令是否正確用戶帳號的缺省限制檢查 確定該用戶帳號是否可用，以及能夠進(jìn)行哪些操作、訪問哪些資源等用戶的權(quán)限第9章第2節(jié)當(dāng)前32頁，總共85頁。9.2入網(wǎng)認(rèn)證口令認(rèn)證口令認(rèn)證也稱通行字認(rèn)證，是一種根據(jù)已知事物驗證身份的方法通行字的選擇原則易記難以被別人猜中或發(fā)現(xiàn)抗分析能力強需要考慮的方面選擇方法、使用期限、字符長度、分配和管理以及在計算機系統(tǒng)內(nèi)的保護(hù)第9章第2節(jié)當(dāng)前33頁，總共85頁。2023/3/2634口令認(rèn)證技術(shù)

安全口令為了防止攻擊者猜測出口令，選擇的安全口令應(yīng)滿足以下要求：

（1）口令長度適中（2）不回送顯示（3）記錄和報告（4）自動斷開連接（5）口令存儲的安全性目前，口令的存儲有以下兩種方法：①明文存儲；②散列（Hash）函數(shù)存儲。當(dāng)前34頁，總共85頁。9.2入網(wǎng)認(rèn)證安全性要求口令認(rèn)證方案無無口令低合法用戶公用口令中每個用戶一個單獨的口令高要求一次一密，或口令分散*系統(tǒng)中不存儲口令的原文第9章第2節(jié)當(dāng)前35頁，總共85頁。9.2入網(wǎng)認(rèn)證認(rèn)證方式單向認(rèn)證雙向認(rèn)證詢問認(rèn)證受理的用戶可利用他所知道、而別人不太知道的一些信息向申請用戶提問一系列不大相關(guān)的問題第9章第2節(jié)當(dāng)前36頁，總共85頁。9.3物理隔離措施物理隔離物理隔離技術(shù)是一種將內(nèi)外網(wǎng)絡(luò)從物理上斷開，但保持邏輯連接的網(wǎng)絡(luò)安全技術(shù)任何時候內(nèi)外網(wǎng)絡(luò)都不存在連通的物理連接，同時原有的傳輸協(xié)議必須被中斷邏輯連接指能進(jìn)行適度的數(shù)據(jù)交換第9章第3節(jié)當(dāng)前37頁，總共85頁。9.3物理隔離措施1999年12月29日國家保密局發(fā)布的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》中第二章第六條規(guī)定：“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接，必須進(jìn)行物理隔離”第9章第3節(jié)當(dāng)前38頁，總共85頁。網(wǎng)絡(luò)隔離概述網(wǎng)絡(luò)隔離（NetworkIsolation）技術(shù)是網(wǎng)絡(luò)安全技術(shù)的一個大門類。隨著近幾年隔離技術(shù)的飛速發(fā)展，目前的隔離技術(shù)已比較完善，涵蓋了幾乎所有級別用戶的網(wǎng)絡(luò)隔離需求。

網(wǎng)絡(luò)隔離技術(shù)基礎(chǔ)

網(wǎng)絡(luò)中的“隔離”一詞與現(xiàn)實生活中的“隔離”存在某種認(rèn)識上的區(qū)別，從傳統(tǒng)意義來理解“隔離”使兩個網(wǎng)絡(luò)真正分開，但這樣來談網(wǎng)絡(luò)安全是沒有任何意義的。事實上，網(wǎng)絡(luò)安全中的“隔離”后的兩個網(wǎng)絡(luò)并非完全沒有聯(lián)系，還是需要有正常的應(yīng)用層數(shù)據(jù)交換的。

目前可以采用的隔離方法主要有以下三類：物理隔離：通過一定軟、硬件方法使得訪問內(nèi)、外網(wǎng)的設(shè)備、線路、存儲均相對獨立。網(wǎng)絡(luò)隔離：利用協(xié)議轉(zhuǎn)換進(jìn)行網(wǎng)間的數(shù)據(jù)交換。安全隔離：利用專用設(shè)備實現(xiàn)僅在應(yīng)用層進(jìn)行數(shù)據(jù)交換。當(dāng)前39頁，總共85頁。

2.網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程

到目前為止，整個網(wǎng)絡(luò)隔離技術(shù)的發(fā)展經(jīng)歷了以下五代：第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——網(wǎng)絡(luò)協(xié)議隔離第四代隔離技術(shù)——空氣開關(guān)網(wǎng)閘隔離第五代隔離技術(shù)——安全網(wǎng)閘隔離

當(dāng)前40頁，總共85頁。物理隔離原理

物理隔離技術(shù)的指導(dǎo)思想與防火墻有很大的不同：防火墻的思路是在保障互連互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互連互通。雖然物理隔離技術(shù)存在多種隔離方式，但是它們的隔離原理卻基本上一樣。

當(dāng)前41頁，總共85頁。9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案客戶端的物理隔離集線器級的物理隔離服務(wù)器端的物理隔離主要物理隔離產(chǎn)品

物理隔離卡物理隔離集線器物理隔離網(wǎng)閘。第9章第3節(jié)當(dāng)前42頁，總共85頁。9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案客戶端的物理隔離第9章第3節(jié)當(dāng)前43頁，總共85頁。9.3物理隔離措施網(wǎng)絡(luò)安全隔離卡是以物理方式將一臺PC虛擬為兩個電腦，實現(xiàn)工作站的雙重狀態(tài)第9章第3節(jié)當(dāng)前44頁，總共85頁。9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案集線器級的物理隔離

第9章第3節(jié)當(dāng)前45頁，總共85頁。9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案集線器級的物理隔離物理隔離網(wǎng)閘

第9章第3節(jié)當(dāng)前46頁，總共85頁。9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案服務(wù)器端的物理隔離

第9章第3節(jié)當(dāng)前47頁，總共85頁。9.3物理隔離措施物理隔離的優(yōu)點安全級別高，保障強易于在現(xiàn)有涉密網(wǎng)上安裝物理隔離的未盡之處資源消耗大缺乏管理認(rèn)證、訪問控制、審計、取證妨礙應(yīng)用第9章第3節(jié)當(dāng)前48頁，總共85頁。9.4自主訪問控制自主訪問控制由客體自主地來確定各個主體對它的直接訪問權(quán)限（又稱訪問模式）在自主訪問控制下，用戶可以按自己的意愿對系統(tǒng)的參數(shù)做適當(dāng)?shù)男薷?，以決定哪個用戶可以訪問他們的文件第9章第4節(jié)當(dāng)前49頁，總共85頁。9.4自主訪問控制自主訪問控制DiscretionaryAccessControl,簡稱DAC自主訪問控制基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的自主是指對其它具有授予某種訪問權(quán)力的主體能夠自主地（可能是間接的）將訪問權(quán)的某個子集授予其它主體第9章第4節(jié)當(dāng)前50頁，總共85頁。自主訪問控制的實現(xiàn)機制DAC一般采用以下三種機制來存放不同主體的訪問控制權(quán)限，從而完成對主體訪問權(quán)限的限制：

1、訪問控制矩陣

2、訪問控制列表

3、訪問控制能力列表當(dāng)前51頁，總共85頁。訪問控制矩陣ACM從概念上來說，訪問控制可以通過使用和維護(hù)一個訪問控制矩陣（AccessControlMatrix)來實現(xiàn)。訪問控制矩陣是通過二維矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法；包含三個元素：主體、客體和訪問權(quán)限。訪問控制矩陣的行對應(yīng)于主體，列對應(yīng)于客體；第i行第j列的元素是訪問權(quán)限的集合，列出了允許主體si對客體oj進(jìn)行訪問的權(quán)限。當(dāng)前52頁，總共85頁。9.4自主訪問控制訪問控制矩陣第9章第4節(jié)當(dāng)前53頁，總共85頁。訪問控制矩陣

訪問控制矩陣實例如下圖所示：

客體主體Bob.docAJohn.exeBob擁有讀、寫執(zhí)行Alice寫擁有執(zhí)行John讀、寫擁有當(dāng)前54頁，總共85頁。訪問控制矩陣

訪問控制的任務(wù)就是確保系統(tǒng)的操作是按照訪問控制矩陣授權(quán)的訪問來執(zhí)行。優(yōu)點：清晰地實現(xiàn)認(rèn)證與訪問控制的相互分離。缺點：在較大系統(tǒng)中，如果用戶和資源都非常多，那么訪問控制矩陣非常巨大；而且每個用戶可能訪問的資源有限，矩陣中許多格可能都為空，浪費存儲空間；因此較少使用。簡單的解決方法：將訪問控制矩陣按行或按列進(jìn)行劃分。如果按行劃分，得到訪問控制能力表；如果按列劃分，得到廣泛應(yīng)用的訪問控制列表。當(dāng)前55頁，總共85頁。9.4自主訪問控制DAC的實現(xiàn)方法基于行的DAC(訪問控制列表)權(quán)力表（CapabilitiesList）前綴表（Profiles）口令（Password）基于列的DAC(訪問控制能力列表)保護(hù)位（ProtectionBits）訪問控制表（AccessControlList，ACL）第9章第4節(jié)當(dāng)前56頁，總共85頁。訪問控制列表ACL

訪問控制列表（AccesscontrolList）是以文件為中心建立訪問權(quán)限表。對于每個資源，訪問控制列表中列出可能的用戶和用戶的訪問權(quán)限。

訪問控制列表是基于訪問控制矩陣中列的自主訪問控制區(qū)，它在一個客體上附加一個主體明細(xì)表來表示各個主體對這個客體的訪問權(quán)限；明細(xì)表中的每一項都包括主體的身份和主體對這個客體的訪問權(quán)限。當(dāng)前57頁，總共85頁。訪問控制列表ACL

例如，前面訪問控制矩陣實例對應(yīng)的訪問控制列表如下所示：

acl(Bob.doc）={(Bob,{擁有})，(Alice,{寫})，

(John,{讀、寫}))}acl(A）={(Bob,{讀、寫})，(Alice,{擁有})}

acl(John.exe）={(Bob,{執(zhí)行})，（Alice,{執(zhí)行})，

(John,{擁有}))}當(dāng)前58頁，總共85頁。訪問控制列表ACL

優(yōu)點：實現(xiàn)簡單、實用，大多數(shù)PC、服務(wù)器和主機都使用ACL作為訪問控制的實現(xiàn)機制。適用情況：系統(tǒng)需要區(qū)分的用戶相對較少，并且這些用戶大都比較穩(wěn)定。缺點：如訪問控制列表太大或經(jīng)常改變，那么維護(hù)訪問控制列表就成為一個問題。當(dāng)前59頁，總共85頁。訪問控制能力列表ACCL

能力指訪問請求者所擁有的一個有效標(biāo)簽，它授權(quán)標(biāo)簽的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力列表以用戶為中心建立訪問權(quán)限表，是常用的基于行的自主訪問控制；它為每個主體附加一個該主體能夠訪問的客體的明細(xì)表。

當(dāng)前60頁，總共85頁。訪問控制能力列表ACCL

例如，前面訪問控制矩陣實例對應(yīng)的訪問控制能力表如下所示：

cap(Bob）={(Bob.doc,{擁有})，(A,{讀、寫})，

(John.exe,{執(zhí)行})}cap(Alice）={(Bob.doc,{寫})，(A,{擁有})

,(John.exe,{執(zhí)行})}

cap(John）={(Bob.doc,{讀、寫}),

(John.exe,{擁有})}當(dāng)前61頁，總共85頁。訪問控制能力列表ACCL訪問控制能力表在時間效率和空間效率上都優(yōu)于訪問控制矩陣。缺點：對于一個給定的客體，要確定所有有權(quán)訪問它的主體、用戶生成一個新的客體并對其授權(quán)、或刪除一個客體時都比較復(fù)雜。當(dāng)前62頁，總共85頁。9.4自主訪問控制DAC的訪問類型(控制模式)

等級型有主型（Owner）自由型（Laissez-faire）第9章第4節(jié)當(dāng)前63頁，總共85頁。9.4自主訪問控制DAC的優(yōu)點方便、實用可由用戶自由定制可擴展性強缺點管理分散、用戶關(guān)系不清權(quán)限易被濫用第9章第4節(jié)當(dāng)前64頁，總共85頁。9.5強制訪問控制強制訪問控制MandatoryAccessControl，簡稱MAC用戶與文件都有一個固定的安全屬性，系統(tǒng)利用安全屬性來決定一個用戶是否可以訪問某個文件安全屬性是強制性的，它是由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則分配的，用戶或用戶的程序不能修改安全屬性第9章第5節(jié)當(dāng)前65頁，總共85頁。9.5強制訪問控制強制訪問控制如果系統(tǒng)認(rèn)為具有某一安全屬性的用戶不適于訪問某個文件，那么任何人（包括文件的擁有者）都無法使該用戶具有訪問文件的能力強制訪問控制是比任意訪問控制更強的一種訪問控制機制，它可以通過無法回避的訪問限制來防止某些對系統(tǒng)的非法入侵強制訪問控制可以防止一個進(jìn)程生成共享文件，從而防止一個進(jìn)程通過共享文件把信息從一個進(jìn)程傳送給另一個進(jìn)程第9章第5節(jié)當(dāng)前66頁，總共85頁。強制訪問控制（MAC）強制訪問控制（MandatoryAccessControl）是比DAC更為嚴(yán)格的訪問控制策略。具體實現(xiàn)時，每個用戶及文件都被賦予一定的安全級別，用戶不能改變自身或任何客體的安全級別，只有系統(tǒng)管理員可以確定用戶和組的訪問權(quán)限。系統(tǒng)通過比較用戶和訪問的文件的安全級別來決定用戶是否可以訪問該文件。當(dāng)前67頁，總共85頁。Bell-LaPadual模型安全屬性用二元組表示（密級、類別集合）密級：絕密、機密、秘密、公開絕密>機密>秘密>公開模型對系統(tǒng)中的每個用戶分配一個安全屬性，它反映了對用戶不將敏感信息泄露給不持有相應(yīng)安全屬性用戶的置信度。當(dāng)前68頁，總共85頁。訪問模式當(dāng)前69頁，總共85頁。9.5強制訪問控制Bell-LaPadual模型簡單安全規(guī)則僅當(dāng)主體的敏感級不低于客體敏感級且主體的類別集合包含客體時，才允許該主體讀該客體。即主體只能讀密級等于或低于它的客體，也就是說主體只能從下讀，而不能從上讀星規(guī)則僅當(dāng)主體的敏感級不高于客體敏感級且客體的類別集合包含主體的類別集合時，才允許該主體寫該客體。即主體只能寫密級等于或高于它的客體，也就是說主體只能向上寫，而不能向下寫第9章第5節(jié)當(dāng)前70頁，總共85頁。安全策略當(dāng)前71頁，總共85頁。Biba模型

基于信息完整性保護(hù)

用完整性取代敏感等級當(dāng)前72頁，總共85頁。9.5強制訪問控制Biba模型簡單完整規(guī)則僅當(dāng)主體的完整級大于等于客體的完整級且主體的類別集合包含客體的類別集時，才允許該主體寫該客體。即主體只能向下寫，而不能向上寫，也就是說主體只能寫（修改）完整性級別等于或低于它的客體完整性制約規(guī)則（星規(guī)則）僅當(dāng)主體的完整級不高于客體完整級且客體的類別集合包含主體的類別集合時，才允許該主體讀讀客體。即主體只能從上讀，而不能從下讀第9章第5節(jié)當(dāng)前73頁，總共85頁。Biba模型安全策略當(dāng)前74頁，總共85頁。9.6新型訪問控制技術(shù)基于角色的訪問控制技術(shù)

RBAC（

Role-BasedAccessControl）

NIST（NationalInstituteofStandardTechnology）

基于任務(wù)的訪問控制技術(shù)

TBAC

（Task-BasedAccessControl）

基于組機制的訪問控制技術(shù)

…第9章第6節(jié)當(dāng)前75頁，總共85頁。9.6新型訪問控制技術(shù)四種RBAC模型基本模型RBAC0

角色的層次結(jié)構(gòu)RBAC1約束模型RBAC2混合模型RBAC3第9章第6節(jié)當(dāng)前76頁，總共85頁。基于角色的訪問控制RBAC

Role-basedAccessControl，RBAC基本思想:

將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。與MAC和DAC將權(quán)限直接授予用戶的方式不同，RBAC從控制主體的角度出發(fā)，根據(jù)管理中相對穩(wěn)定的職權(quán)和責(zé)任來劃分角色，將訪問權(quán)限與角色相聯(lián)系；通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。當(dāng)前77頁，總共85頁?；诮巧脑L問控制

RBAC角色可以看做是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色。依據(jù)RBAC策略，系統(tǒng)定義各種角色，每種角色可以完成一定的職能，不同的用戶根據(jù)其