第9章 访问控制

1、访问控制访问控制 访问控制（Access Control）是对信息系统资源的访问范围以及方式进行限制的策略。简单地说，就是防止合法用户的非法操作。它是建立在身份认证之上的操作权限控制。身份认证解决了访问者是否合法者，但并非身份合法就什么都可以做，还要根据不同的访问者，规定他们分别可以访问哪些资源，以及对这些可以访问的资源可以用什么方式（读？写？执行？删除？等）访问。它是基于权限管理的一种是非常重要的安全策略。对用户权限的设定，称为授权（Authorization）。 9.3.1 9.3.1 基本概念基本概念 1. 主体与客体 访问控制可以描述为：主动的主体（Subject）使用某种特定的访问操

2、作去访问一个被动的客体（Object），所使用的特定的访问操作受访问监视器控制。这就是图9.1所示的安全系统逻辑模型。 主体主体 身份认证身份认证 访问控制访问控制 客体客体 访问监视器访问监视器 访问访问请求请求 权限权限 图图9.1 安全系统逻辑模型安全系统逻辑模型 主体和客体都是访问控制系统中的实体。 主体是发出访问请求的主动方，通常是用户或用户进程。 客体是被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。 安全策略，就是对这些访问进行约束的一组规则和目标，它反映了系统的安全需求，并可以用达到安全

3、目的而采取的步骤进行描述。 2. 访问权限 （1）Bell-LaPadula安全模型中的访问权限 1973年David Bell和Len Lapadula提出了第一个也是最著名安全策略模型Bell-LaPadula安全模型，简称BLP模型。 在基本层面上，定义了两种访问方式： 观察（Observe）：查看客体的内容。 改变（Alter）：改变客体的内容。 在Bell-LaPadula安全模型中定义了4种访问权限：执行、读、添加（有时也称盲目的写）和写。表9.1给出了这些访问权限与访问方法之间的关系。 执行执行添加添加读读写写查查 看看 改改 变变 表表9.1 Bell-LaPadula安全模型

4、中的访问权限安全模型中的访问权限 注意，这里基于效率的考虑，写访问通常包含读访问。这样，在编辑一个文件时，就无须先打开一次进行读（了解内容），再打开一次用于写了。所以写访问包含了查看和改变两种访问形式。 （2）Unix Unix的访问控制用3种权限表示：读（read）、写（write）、执行（execute）。它们应用于文件和目录时含义有所不同，如表9.2所示。 用于文件用于文件用于目录用于目录读读从一个文件读从一个文件读列出目录内容列出目录内容写写写进一个文件写进一个文件创建或重命名目录中的一个创建或重命名目录中的一个文件文件执行执行执行一个（程序）文件执行一个（程序）文件搜索目录搜索目录表

5、表9.2 Unix的访问控制的访问控制3种权限种权限 （3）Windows NT/2000/XP Windows NT/2000/XP的权限分为文件权限和目录权限。每一个权限级别都确定了一个执行特定的任务组合的能力，这些任务是： Read（R）、 Execute（X）、 Write（W）、 Set Permission（P）、 Take Ownership（O）。 表9.3表明任务与各种权限级别之间的关联。 权权 限限RXWDPORXWDPO目目录录权权限限No AccessNo AccessListListRXRXReadReadRXRXAddAddXWXWAdd and Add and R

6、eadReadRXWRXWChangeChangeRXWDRXWDFull Full controlcontrolRXWDPORXWDPO文文件件权权限限No AccessNo AccessReadReadRXRXChangeChangeRXWDRXWDFull Full controlcontrolRXWDPORXWDPO用用 户户 行行 为为用户不能访问该目录用户不能访问该目录可以查看目录中的子目录和文件名，也可以进可以查看目录中的子目录和文件名，也可以进入其子目录入其子目录具有具有LinuxLinux权限，用户可以读取目录中的文件和权限，用户可以读取目录中的文件和运行目录中的应用程序运行

7、目录中的应用程序用户可以添加文件和子目录用户可以添加文件和子目录具有具有Add Add 和和 ReadRead的权限的权限具有具有Add Add 和和 ReadRead的权限，另外还可以更改文件的权限，另外还可以更改文件的内容，删除文件和子目录的内容，删除文件和子目录具有具有ChangeChange的权限，另外用户可以更改权限和的权限，另外用户可以更改权限和获取目录的所有权。获取目录的所有权。用户不能访问该文件用户不能访问该文件用户可以读取该文件，如果是应用程序可以运用户可以读取该文件，如果是应用程序可以运行行具有具有 ReadRead的权限，还可以修改和删除文件的权限，还可以修改和删除文件具

8、有具有ChangeChange的权限，还可以更改权限和获取文的权限，还可以更改权限和获取文件的所有权。件的所有权。表表9.3 Windows NT/2000/XP表明任务与各种权限级别之间的关联表明任务与各种权限级别之间的关联 9.3.2 9.3.2 访问控制结构访问控制结构 对于单个主体和客体进行单独的定义。但是对于数量众多的主体和客体，就要设计一种合适的实现结构了。下面介绍几种常用的访问控制结构。 1. 访问控制矩阵 访问控制矩阵也称访问许可矩阵，它用行表示客体，列表示主体，在行和列的交叉点上设定访问权限。表9.4为一个访问控制矩阵的例子。 File1File2File3File4张三张三

9、Own,R,W Own,R,W 李四李四ROwn,R,WWR王五王五R,WR Own,R,W 表中，一个文件的Own权限的含义是可以授予（Authorize）或者撤销（Revoke）其他用户对该文件的访问控制权限。例如，张三对File1具有Own权限，所以张三可以授予或撤销李四和王五对File1的读（R）写（W）权限。 访问矩阵比较直观，但是表中会出现空白。 2. 访问能力表 能力（Capability）是受一定机制保护的客体标志，标记了某一主体对客体的访问权限：某一主体对某一客体有无访问能力，表示了该主体能不能访问那个客体；而具有什么样的能力，表示能对那个客体进行一些什么样的访问。 访问能力

10、表着眼于某一主体的访问权限，从主体出发描述控制信息，很容易获得一个主体所被授权可以访问的客体及其权限。但要从客体出发获得哪些主体可以访问它，就困难了。张三张三File1OwnRWFile3OwnRW李四李四File1RFile2OwnRWFile3WFile4R王五王五File1RWFile3RFile4OwnRW图图9.2 访问能力表的例子访问能力表的例子 3. 访问控制表 访问控制表（Access Control List，ACL）与访问能力表正好相反，是从客体出发描述控制信息，可以用来对某一资源指定任意一个用户的访问权限。图9.3是表9.4的访问控制表表示。 ACL的优点是可以容易地查出

11、对某一特定资源拥有访问权的所有用户，有效地实施授权管理，是目前采用的最多的一种实现形式。 File1张三张三OwnRW李四李四RFile2李四李四OwnRW王五王五RFile3张三张三OwnRW李四李四W王五王五RWFile4李四李四R王五王五OwnRW图图9.3 访问控制表的例子访问控制表的例子 4. 授权关系表 授权关系表（Authorization Relations）描述了主体和客体之间各种授权关系的组合。表9.5为表9.4的授权关系表表示。 授权关系表便于使用关系数据库进行存储。只要按照客体进行排序，就得到了与访问能力表相当的二维表；按照主体进行排序，就得到了与访问控制表相当的二维表

12、。 主主 体体访问权限访问权限客客 体体张三张三OwnFile1张三张三RFile1张三张三WFile1张三张三OwnFile3张三张三RFile3张三张三WFile3李四李四RFile1李四李四OwnFile2李四李四RFile2李四李四WFile2李四李四WFile3李四李四RFile4王五王五RFile1王五王五WFile1王五王五RFile2王五王五OwnFile4王五王五RFile4王五王五WFile4表表9.5 授权关系表的一个例子授权关系表的一个例子 9.3.3. 9.3.3. 访问控制实施策略访问控制实施策略 计算机的活动主要是在主体和客体之间进行的。计算机安全的核心问题就是保

13、证主体对客体访问的合法性，既通过对数据及程序的读出、写入、修改、删除、运行等的管理，确保主体对客体的访问是经过授权的，同时要拒绝非授权的访问，以保证信息的机密性、完整性和可用性。 例如，当用户或应用程序试图访问一个文件时，首先需要通过系统调用打开文件。在打开文件之前，访问控制机制被调用。访问控制机制利用访问控制表、访问权力表或访问控制矩阵等，检查用户的访问权限，如果在用户的访问权限内，则可以继续打开文件；如果用户超出授权权限，则访问被拒绝，产生错误信息并退出。 然而，访问控制所提供的安全性还与访问控制实施的策略有关。下面介绍在计算机系统中常用的3种访问控制实施策略。 1. 自主访问控制 自主访

14、问控制，又称任选访问控制（Discretionary Access Control，DAC）。所以称“自主”，意为：一个拥有一定访问权限的主体，被看作是一定资源的所有者（也往往是创建者），在其拥有的资源范围内，所有者可以自主地直接或间接地将权限传给（分发给）主体，即可以自主地谁可以访问这些资源。 例如，用户A对客体O具有访问权限，而B没有。当A将对O的访问权限传递给B后，B就有了对O的访问权限。这是目前计算机系统中应用最广泛的一种策略，Unix和Windows系统都是采用自主型的访问控制策略。DAC的优点是应用灵活。缺点是，权限传递很容易造成漏洞，所以其安全级别比较低，不太适合网络环境。 2.

15、 强制访问控制 强制访问控制（Mandatory Access Control，MAC）的基本思想是系统要“强制”主体服从访问控制政策：系统（系统管理员）给主体和客体分配了不同的安全属性，用户不能改变自身或任何客体的安全属性，即不允许单个用户确定访问权限，只有系统管理员才可以确定用户或用户组的访问权限。 MAC主要用于多层次安全级别的系统（如军事系统）中。它预先将主体和客体进行分级，定义出一些可信任级别及信息的敏感程度安全级别（如绝密级、机密级、秘密级、无密级等），然后分别给主体和客体以级别标记。用户必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。当用户提出访问请求时，系统对主、客

16、体的安全属性进行比较，来决定该主体是否可以对所请求的客体进行访问。 在典型的应用中，MAC使用两种访问控制关系：上读/下写用来保证数据完整性和下读/上写用来保证数据机密性。下读/上写相当于在一个层次组织中，上级领导可以看下级的资料；而下级不能看上级的资料，但可以向上级写资料。 MAC比DAC具有更强的访问控制能力。但是实现的工作量大，管理不便，不够灵活。 3. 基于角色的访问控制 基于角色的访问控制（Role-Based Access Control，RBAC）是20世纪90年代提出的访问控制策略。它克服了前面两种传统访问控制策略的不足，成为一种有效的访问控制策略。 为了说明GBAC的原理，首

17、先观察图9.4，并从以下几个方面来理解角色。 用户用户1角色角色1权限权限a客体客体1用户用户2用户用户3角色角色2客体客体2客体客体2权限权限b权限权限c权限权限d图图9.4 角色的概念角色的概念 （1）在传统的访问控制中，主体与客体直接沟通。而在基于角色的访问控制中，角色是一个中间层，主体（用户）与客体之间没有直接的联系，只能靠角色沟通；用户标识主体本身仅对于身份认证具有意义，真正决定访问权限的是用户的角色标识。 （2）角色相当于工作部门中的岗位、职位或分工。一个角色可以对应多个用户（相当于一个岗位可以有多个职员），也可以有多个权限（对多个资源的访问权）。角色一方面是用户的集合，一方面又是权限的集合，它作为中间媒介形成用户集合与某种授权的关联。这种关联相对于个体具有较强的稳定性。这样的权限管理与传统的权限管理相比，具有较强的可操作性和可管理性。 （3）角色由系统管理员定义，角色成员的增减也只能由系统管理员执行，只有系统管理员才有权定义和分配角色，并且授权规则是强加给用户的，用户只能被动地接受，不能自主地决定。 （4）在RBAC系统中，要求区分权限（Authority）和职责（Responsibility）： 一位系统管理员或安全主管可以修改、分配访问权