第9章 访问控制

1、访问控制访问控制 访问控制（Access Control）是对信息系统资源 的访问范围以及方式进行限制的策略。简单地说， 就是防止合法用户的非法操作。它是建立在身份认 证之上的操作权限控制。身份认证解决了访问者是 否合法者，但并非身份合法就什么都可以做，还要 根据不同的访问者，规定他们分别可以访问哪些资 源，以及对这些可以访问的资源可以用什么方式 （读？写？执行？删除？等）访问。它是基于权限 管理的一种是非常重要的安全策略。对用户权限的 设定，称为授权（Authorization）。 9.3.1 9.3.1 基本概念基本概念 1. 主体与客体 访问控制可以描述为：主动的主体（Subject）使

2、用某 种特定的访问操作去访问一个被动的客体（Object）， 所使用的特定的访问操作受访问监视器控制。这就是图 9.1所示的安全系统逻辑模型。 主体主体 身份认证身份认证 访问控制访问控制 客体客体 访问监视器访问监视器 访问访问 请求请求 权限权限 图图9.1 安全系统逻辑模型安全系统逻辑模型 主体和客体都是访问控制系统中的实体。 主体是发出访问请求的主动方，通常是用户或 用户进程。 客体是被访问的对象，通常是被调用的程序、 进程，要存取的数据、文件、内存、系统、设 备、设施等资源。信息系统的安全目标就是控 制和管理主体对客体的访问。 安全策略，就是对这些访问进行约束的一组规 则和目标，它反

3、映了系统的安全需求，并可以 用达到安全目的而采取的步骤进行描述。 2. 访问权限 （1）Bell-LaPadula安全模型中的访问权限 1973年David Bell和Len Lapadula提出了第一个 也是最著名安全策略模型Bell-LaPadula安全模型， 简称BLP模型。 在基本层面上，定义了两种访问方式： 观察（Observe）：查看客体的内容。 改变（Alter）：改变客体的内容。 在Bell-LaPadula安全模型中定义了4种访问权限： 执行、读、添加（有时也称盲目的写）和写。表 9.1给出了这些访问权限与访问方法之间的关系。 执行执行添加添加读读写写 查查 看看 改改 变变

4、 表表9.1 Bell-LaPadula安全模型中的访问权限安全模型中的访问权限 注意，这里基于效率的考虑，写访问通常包含 读访问。这样，在编辑一个文件时，就无须先打 开一次进行读（了解内容），再打开一次用于写 了。所以写访问包含了查看和改变两种访问形式。 （2）Unix Unix的访问控制用3种权限表示：读（read）、写 （write）、执行（execute）。它们应用于文件和目 录时含义有所不同，如表9.2所示。 用于文件用于文件用于目录用于目录 读读从一个文件读从一个文件读列出目录内容列出目录内容 写写写进一个文件写进一个文件创建或重命名目录中的一个创建或重命名目录中的一个 文件文件

5、执行执行执行一个（程序）文件执行一个（程序）文件搜索目录搜索目录 表表9.2 Unix的访问控制的访问控制3种权限种权限 （3）Windows NT/2000/XP Windows NT/2000/XP的权限分为文件权限和目录 权限。每一个权限级别都确定了一个执行特定的 任务组合的能力，这些任务是： Read（R）、 Execute（X）、 Write（W）、 Set Permission（P）、 Take Ownership（O）。 表9.3表明任务与各种权限级别之间的关联。 权权 限限RXWDPORXWDPO 目目 录录 权权 限限 No AccessNo Access ListListR

6、XRX ReadReadRXRX AddAddXWXW Add and Add and ReadRead RXWRXW ChangeChangeRXWDRXWD Full Full controlcontrol RXWDPORXWDPO 文文 件件 权权 限限 No AccessNo Access ReadReadRXRX ChangeChangeRXWDRXWD Full Full controlcontrol RXWDPORXWDPO 用用 户户 行行 为为 用户不能访问该目录用户不能访问该目录 可以查看目录中的子目录和文件名，也可以进可以查看目录中的子目录和文件名，也可以进 入其子目录入

7、其子目录 具有具有LinuxLinux权限，用户可以读取目录中的文件和权限，用户可以读取目录中的文件和 运行目录中的应用程序运行目录中的应用程序 用户可以添加文件和子目录用户可以添加文件和子目录 具有具有Add Add 和和 ReadRead的权限的权限 具有具有Add Add 和和 ReadRead的权限，另外还可以更改文件的权限，另外还可以更改文件 的内容，删除文件和子目录的内容，删除文件和子目录 具有具有ChangeChange的权限，另外用户可以更改权限和的权限，另外用户可以更改权限和 获取目录的所有权。获取目录的所有权。 用户不能访问该文件用户不能访问该文件 用户可以读取该文件，如果

8、是应用程序可以运用户可以读取该文件，如果是应用程序可以运 行行 具有具有 ReadRead的权限，还可以修改和删除文件的权限，还可以修改和删除文件 具有具有ChangeChange的权限，还可以更改权限和获取文的权限，还可以更改权限和获取文 件的所有权。件的所有权。 表表9.3 Windows NT/2000/XP表明任务与各种权限级别之间的关联表明任务与各种权限级别之间的关联 9.3.2 9.3.2 访问控制结构访问控制结构 对于单个主体和客体进行单独的定义。但是对于数 量众多的主体和客体，就要设计一种合适的实现结 构了。下面介绍几种常用的访问控制结构。 1. 访问控制矩阵 访问控制矩阵也称

9、访问许可矩阵，它用行表示客体， 列表示主体，在行和列的交叉点上设定访问权限。 表9.4为一个访问控制矩阵的例子。 File1File2File3File4 张三张三Own,R,W Own,R,W 李四李四ROwn,R,WWR 王五王五R,WR Own,R,W 表中，一个文件的Own权限的含义是可以授予（Authorize）或者 撤销（Revoke）其他用户对该文件的访问控制权限。例如，张三 对File1具有Own权限，所以张三可以授予或撤销李四和王五对 File1的读（R）写（W）权限。 访问矩阵比较直观，但是表中会出现空白。 2. 访问能力表 能力（Capability）是受一定机制保护的客

10、 体标志，标记了某一主体对客体的访问权限：某 一主体对某一客体有无访问能力，表示了该主体 能不能访问那个客体；而具有什么样的能力，表 示能对那个客体进行一些什么样的访问。 访问能力表着眼于某一主体的访问权限，从主 体出发描述控制信息，很容易获得一个主体所被 授权可以访问的客体及其权限。但要从客体出发 获得哪些主体可以访问它，就困难了。 张三张三File1 Own R W File3 Own R W 李四李四File1 R File2 Own R W File3 W File4 R 王五王五File1 R W File3 R File4 Own R W 图图9.2 访问能力表的例子访问能力表的例

11、子 3. 访问控制表 访问控制表（Access Control List，ACL）与 访问能力表正好相反，是从客体出发描述控制信 息，可以用来对某一资源指定任意一个用户的访 问权限。图9.3是表9.4的访问控制表表示。 ACL的优点是可以容易地查出对某一特定资源 拥有访问权的所有用户，有效地实施授权管理， 是目前采用的最多的一种实现形式。 File1张三张三 Own R W 李四李四 R File2李四李四 Own R W 王五王五 R File3张三张三 Own R W 李四李四 W 王五王五 R W File4李四李四 R 王五王五 Own R W 图图9.3 访问控制表的例子访问控制表的

12、例子 4. 授权关系表 授权关系表（Authorization Relations）描 述了主体和客体之间各种授权关系的组合。表9.5 为表9.4的授权关系表表示。 授权关系表便于使用关系数据库进行存储。只 要按照客体进行排序，就得到了与访问能力表相 当的二维表；按照主体进行排序，就得到了与访 问控制表相当的二维表。 主主 体体访问权限访问权限客客 体体 张三张三OwnFile1 张三张三RFile1 张三张三WFile1 张三张三OwnFile3 张三张三RFile3 张三张三WFile3 李四李四RFile1 李四李四OwnFile2 李四李四RFile2 李四李四WFile2 李四李四W

13、File3 李四李四RFile4 王五王五RFile1 王五王五WFile1 王五王五RFile2 王五王五OwnFile4 王五王五RFile4 王五王五WFile4 表表9.5 授权关系表的一个例子授权关系表的一个例子 9.3.3. 9.3.3. 访问控制实施策略访问控制实施策略 计算机的活动主要是在主体和客体之间进行的。 计算机安全的核心问题就是保证主体对客体访问的 合法性，既通过对数据及程序的读出、写入、修改、 删除、运行等的管理，确保主体对客体的访问是经 过授权的，同时要拒绝非授权的访问，以保证信息 的机密性、完整性和可用性。 例如，当用户或应用程序试图访问一个文件时， 首先需要通过

14、系统调用打开文件。在打开文件之前， 访问控制机制被调用。访问控制机制利用访问控制 表、访问权力表或访问控制矩阵等，检查用户的访 问权限，如果在用户的访问权限内，则可以继续打 开文件；如果用户超出授权权限，则访问被拒绝， 产生错误信息并退出。 然而，访问控制所提供的安全性还与访问控制 实施的策略有关。下面介绍在计算机系统中常用 的3种访问控制实施策略。 1. 自主访问控制 自主访问控制，又称任选访问控制（Discretionary Access Control，DAC）。所以称“自主”，意为：一个拥 有一定访问权限的主体，被看作是一定资源的所有者（也 往往是创建者），在其拥有的资源范围内，所有者

15、可以自 主地直接或间接地将权限传给（分发给）主体，即可以自 主地谁可以访问这些资源。 例如，用户A对客体O具有访问权限，而B没有。 当A将对O的访问权限传递给B后，B就有了对O的 访问权限。这是目前计算机系统中应用最广泛 的一种策略，Unix和Windows系统都是采用自主 型的访问控制策略。DAC的优点是应用灵活。缺 点是，权限传递很容易造成漏洞，所以其安全 级别比较低，不太适合网络环境。 2. 强制访问控制 强制访问控制（Mandatory Access Control， MAC）的基本思想是系统要“强制”主体服从访 问控制政策：系统（系统管理员）给主体和客体 分配了不同的安全属性，用户不

16、能改变自身或任 何客体的安全属性，即不允许单个用户确定访问 权限，只有系统管理员才可以确定用户或用户组 的访问权限。 MAC主要用于多层次安全级别的系统（如军事系 统）中。它预先将主体和客体进行分级，定义出 一些可信任级别及信息的敏感程度安全级别 （如绝密级、机密级、秘密级、无密级等），然 后分别给主体和客体以级别标记。用户必须遵守 安全政策划分的安全级别的设定以及有关访问权 限的设定。当用户提出访问请求时，系统对主、 客体的安全属性进行比较，来决定该主体是否可 以对所请求的客体进行访问。 在典型的应用中，MAC使用两种访问控制关系： 上读/下写用来保证数据完整性和下读/上 写用来保证数据机密

17、性。下读/上写相当于 在一个层次组织中，上级领导可以看下级的资料； 而下级不能看上级的资料，但可以向上级写资料。 MAC比DAC具有更强的访问控制能力。但是实现 的工作量大，管理不便，不够灵活。 3. 基于角色的访问控制 基于角色的访问控制（Role-Based Access Control，RBAC）是20世纪90年代提出的访问控制策 略。它克服了前面两种传统访问控制策略的不足， 成为一种有效的访问控制策略。 为了说明GBAC的原理，首先观察图9.4，并从以下 几个方面来理解角色。 用户用户1 角色角色1 权限权限a 客体客体1 用户用户2 用户用户3 角色角色2 客体客体2 客体客体2 权

18、限权限b 权限权限c 权限权限d 图图9.4 角色的概念角色的概念 （1）在传统的访问控制中，主体与客体直接沟通。 而在基于角色的访问控制中，角色是一个中间层， 主体（用户）与客体之间没有直接的联系，只能靠 角色沟通；用户标识主体本身仅对于身份认证具有 意义，真正决定访问权限的是用户的角色标识。 （2）角色相当于工作部门中的岗位、职位或分工。 一个角色可以对应多个用户（相当于一个岗位可以 有多个职员），也可以有多个权限（对多个资源的 访问权）。角色一方面是用户的集合，一方面又是 权限的集合，它作为中间媒介形成用户集合与某种 授权的关联。这种关联相对于个体具有较强的稳定 性。这样的权限管理与传统的权限管理相比，具有 较强的可操作性和可管理性。 （3）角色由系统管理员定义，角色成员的增减也 只能由系统管理员执行，只有系统管理员才有权定 义和分配角色，并且授权规则是强加给用户的，用 户只能被动地接受，不能自主地决定。 （4）在RBAC系统中，要求区分权限（Authority） 和职责（Responsibility）： 一位系统管理员或安全主管可以修改、分配