信息安全概论 第6章 访问控制技术新课件

第六章访问控制2022/11/161

第六章访问控制2022/11/91第六章访问控制技术本章内容6.1访问控制的模型6.2访问控制策略6.3访问控制的实现6.4安全级别与访问控制6.5访问控制与授权6.6PMI2022/11/162第六章访问控制技术本章内容2022/11/926.1访问控制的模型6.1.1自主访问控制模型（DACModel）6.1.2强制访问控制模型（MACModel）6.1.3基于角色的访问控制模型（RBACModel）2022/11/1636.1访问控制的模型6.1.1自主访问控制模型（DACM访问控制的模式访问控制模型：是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法。

访问控制：主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即：主体、客体和控制策略。2022/11/164访问控制的模式访问控制模型：是一种从访问控制的角度出发，描述主体（Subject）主体：是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是用户或其它任何代理用户行为的实体（例如进程、作业和程序）。简记为S广义上讲：主体可以是用户所在的组织（以后称为用户组）、用户本身，也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以是应用服务程序程序或进程。2022/11/165主体（Subject）主体：是指一个提出请求或要求的实体，是客体（Object）客体：是接受其他实体访问的被动实体,简记为O。客体，可以被操作的信息、资源、对象例如：信息、文件、记录等的集合体，网路上的硬件设施无线通信中的终端一个客体可以包含另外一个客体2022/11/166客体（Object）客体：是接受其他实体访问的被动实体,简控制策略控制策略：是主体对客体的操作行为集和约束条件集,简记为KS。控制策略：是主体对客体的访问规则集规则集定义了：主体对客体的作用行为客体对主体的条件约束访问策略体现了一种授权行为2022/11/167控制策略控制策略：是主体对客体的操作行为集和约束条件集,简三个要素之间的行为关系访问控制系统三个要素之间的行为关系三元组（S，O，P）S表示主体O表示客体P表示许可2022/11/168三个要素之间的行为关系访问控制系统三个要素之间的行为关系2访问控制关系示意图对主体进行认证正常的请求信息主体通过验证，才能访问客体，但并不保证其有权限可以对客体进行操作。客体对主体的验证一般会鉴别用户的标识和用户密码对主体的具体约束由访问控制表来控制实现。2022/11/169访问控制关系示意图对主体进行认证正常的请求信息主体通过验证用户标识（UID：UserIdentification）：一个用来鉴别用户身份的字符串。每个用户有且只能有唯一的一个用户标识。用户注册进入系统必须提供用户标识系统审查来确信当前用户是对应用户标识的那个用户。2022/11/1610用户标识（UID：UserIdentification）：多级安全信息系统多级安全信息系统：由于用户的访问涉及到访问的权限控制规则集合，将敏感信息与通常资源分开隔离的系统。多级安全系统将信息资源按照安全属性分级考虑，可分为两种。2022/11/1611多级安全信息系统多级安全信息系统：2022/11/911两种安全类别一种是有层次的安全级别（HierarchicalClassification），分为TS，S，C，RS，U5级绝密级别（TopSecret）秘密级别（Secret）机密级别（Confidential）限制级别（Restricted）无级别级（Unclassified）另一种是无层次的安全级别，不对主体和客体按照安全类别分类只是给出客体接受访问时可以使用的规则和管理者。2022/11/1612两种安全类别一种是有层次的安全级别（Hierarchical访问控制内容访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。认证：主体对客体的识别认证和客体对主体检验认证。主体和客体的认证关系是相互的，主体也可能变成了客体，取决于当前实体的功能是动作的执行者还是被执行者。控制策略的具体实现：体现在如何设定规则集合，对信息资源的合法使用，考虑敏感资源的泄漏，不能越权审计：当管理员有操作赋予权，他有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进行记录，从而达到威慑和保证访问控制正常实现的目的。2022/11/1613访问控制内容访问控制的实现首先要考虑对合法用户进行验证，然后访问控制模型访问控制安全模型一般包括：主体、客体。为识别和验证这些实体的子系统。控制实体间访问的监视器。建立规范的访问控制模型，是实现严格访问控制策略所必须的。

2022/11/1614访问控制模型访问控制安全模型一般包括：2022/11/914访问控制模型20世纪70年代，Harrison等提出了HRU模型。1976年，Jones等人提出了Take-Grant模型。1985年，美国军方提出可信计算机系统评估准则TCSEC，其中描述了两种著名的访问控制策略：自主访问控制模型（DAC）强制访问控制模型（MAC）1992年，Ferraiolo等提出基于角色的访问控制（RBAC）基于对象的访问控制基于任务的访问控制。后两种考虑到网络安全和传输流。2022/11/1615访问控制模型20世纪70年代，Harrison等提出了HR6.1.1自主访问控制模型自主访问控制模型（DiscretionaryAccessControlModel，DACModel）根据自主访问控制策略建立的一种模型，允许合法用户访问策略规定的客体阻止非授权用户访问客体某些用户把自己所拥有的访问权限授予其它用户自主访问控制又称为任意访问控制。Linux，Unix、WindowsNT或是Server版本的操作系统都提供自主访问控制的功能。2022/11/16166.1.1自主访问控制模型自主访问控制模型2022/11自主访问控制模型的实现：首先要对用户的身份进行鉴别然后就可以按照访问控制列表所赋予用户的权限，允许和限制用户使用客体的资源主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现。自主访问控制模型2022/11/1617自主访问控制模型的实现：自主访问控制模型2022/11/91自主访问控制模型的特点特点：授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的任意访问控制优点：灵活的数据访问方式缺点：DAC模型的安全防护相对较低，用户可以任意传递权限2022/11/1618自主访问控制模型的特点特点：2022/11/9186.1.2强制访问控制模型强制访问控制模型（MandatoryAccessControlModel,MACModel）发展：最初是为了实现比DAC更为严格的访问控制策略，美国政府和军方开发了各种各样的控制模型，随后得到广泛的商业关注和应用。MAC与DAC的不同之处：DAC：用户和客体资源都被赋予一定的安全级别，只有管理员才能够确定用户和组的访问权限。MAC：是一种多级访问控制策略，系统对访问主体和受控对象实行强制访问控制系统事先给访问主体和受控对象分配不同的安全级别属性在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。

2022/11/16196.1.2强制访问控制模型强制访问控制模型（MandMAC对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记一个是非等级分类标记。主体和客体在分属不同的安全类别时，用SC表示它们构成的一个偏序关系，比如：TS绝密级比密级S高，当主体S的安全类别为TS客体O的安全类别为S时用偏序关系可以表述为SC(S)≥SC(O)。强制访问控制模型2022/11/1620MAC对访问主体和受控对象标识两个安全标记：强制访问控制模型主体对客体的访问根据偏序关系，主体对客体的访问主要有4种方式：（1）向下读（rd，readdown）主体安全级别高于客体信息资源的安全级别时允许查阅的读操作；（2）向上读（ru，readup）主体安全级别低于客体信息资源的安全级别时允许的读操作；（3）向下写（wd，writedown）主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作；（4）向上写（wu，writeup）主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。2022/11/1621主体对客体的访问根据偏序关系，主体对客体的访问主要有4种方式MAC和DACMAC模型和DAC模型属于传统的访问控制模型。MAC和DAC在实现上通常为每个用户赋予对客体的访问权限规则集用户自主地把自己所拥有的客体的访问权限授予其它用户缺点：系统管理员的工作将变得非常繁重，容易发生错误、安全漏洞。引入新的机制加以解决，即基于角色的访问控制模型。2022/11/1622MAC和DACMAC模型和DAC模型属于传统的访问控制模型。6.1.3基于角色的访问控制模型角色（Role）：一个可以完成一定事务的命名组，不同的角色通过不同的事务来执行各自的功能。事务（Transaction）：一个完成一定功能的过程，可以是一个程序或程序的一部分。角色是代表具有某种能力的人或是某些属性的人的一类抽象2022/11/16236.1.3基于角色的访问控制模型角色（Role）：一个可角色和组的主要区别在于：用户属于组是相对固定的。用户能被指派到哪些角色则受时间、地点、事件等诸多因素影响。角色比组的抽象级别要高。基于角色的访问控制模型2022/11/1624角色和组的主要区别在于：基于角色的访问控制模型2022/11基于角色的访问控制模型RBAC基于角色的访问控制模型（Role-basedAccessModel，RBACModel）的基本思想：将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。访问控制应该基于员工的职务，而不是基于员工在哪个组或谁是信息的所有者即访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。2022/11/1625基于角色的访问控制模型RBAC基于角色的访问控制模型（RolRBAC从控制主体的角度出发根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系这点与传统的MAC和DAC将权限直接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问权限相联系。基于角色的访问控制模型RBAC2022/11/1626RBAC基于角色的访问控制模型RBAC2022/11/926基于角色的访问控制模型角色可以看作是一组操作的集合

假设：Tch1，Tch2，Tch3,…,Tchi——教师Stud1,Stud2,Stud3,…,Studj——学生Mng1,Mng2,Mng3,…,Mngk——教务处管理人员对应的权限老师的权限为TchMN={查询成绩、上传所教课程的成绩}；学生的权限为StudMN={查询成绩、反映意见}；教务管理人员的权限为MngMN={查询、修改成绩、打印成绩清单}。执行的操作与其所扮演的角色的职能相匹配，不同的用户根据其职能和责任被赋予相应的角色。2022/11/1627基于角色的访问控制模型角色可以看作是一组操作的集合基于角色的访问控制模型系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。例如学校新教师Tchx，只需将Tchx添加到教师这一角色的成员中，无需对访问控制列表做改动。同一个用户可扮演多种角色，比如可以是老师，同时也可以作为进修的学生。RBAC提供了一种描述用户和权限之间的多对多关系；2022/11/1628基于角色的访问控制模型系统管理员负责授予用户各种角色的成员资基于角色的访问控制模型RBAC简化了权限设置的管理，是实施面向企业的安全策略的一种有效的访问控制方式具有灵活性、方便性和安全性的特点目前在大型数据库系统的权限管理中得到普遍应用。RBAC与DAC的区别：用户不能自主地将访问权限授给别的用户所在。用户与客体无直接联系，桥梁是角色，只有系统管理员有权定义和分配角色。RBAC与MAC的区别在于：MAC是基于多级安全需求的，而RBAC则不是。2022/11/1629基于角色的访问控制模型RBAC简化了权限设置的管理，是实施面上述几个访问控制模型的缺点上述几个访问控制模型的缺点：控制环境是静态的：都是从系统的角度出发去保护资源，没有考虑上下文环境。组织任务与服务相关的信息进一步自动化，需要随着任务的执行而进行动态授权的保护上。权限没有时间限制：只要主体拥有对客体的访问权限，主体就可以无数次地执行该权限。2022/11/1630上述几个访问控制模型的缺点上述几个访问控制模型的缺点：2026.2访问控制策略6.2.1安全策略6.2.2基于身份的安全策略6.2.3基于规则的安全策略2022/11/16316.2访问控制策略6.2.1安全策略2022/116.2.1安全策略安全策略建立的需要和目的安全的领域非常广泛繁杂，构建一个可以抵御风险的安全框架涉及很多细节。如果能够提供一种恰当的、符合安全需求的整体思路，也更加有明确的前进方向。恰当的安全策略关注的核心集中到最高决策层认为必须注意的方面。一种安全策略实质上表明：必须明确在安全领域的范围内，什么操作是明确允许的，什么操作是一般默认允许的，什么操作是明确不允许的，什么操作是默认不允许的。不要求安全策略作出具体的措施规定以及何种方式但应该向安全构架的实际搭造者们指出在当前的前提下，什么因素和风险才是最重要的。2022/11/16326.2.1安全策略安全策略建立的需要和目的2022/安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的关系展开的。①最小特权原则：最小特权原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。优点：是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权用主体的危险。②最小泄漏原则：最小泄漏原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。③多级安全策略：多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）5级来划分。优点：避免敏感信息的扩散，只有安全级别比他高的主体才能够访问。2022/11/1633安全策略的实施原则围绕主体、客体和安全控制规则集三者之间安全策略的具体含义和实现安全策略的前提是具有一般性和普遍性安全策略的最主要的问题：如何能使安全策略的这种普遍性和所要分析的实际问题的特殊性相结合。控制策略的制定是一个按照安全需求、依照实例不断精确细化的求解过程。设计者要考虑到实际应用的前瞻性，有时候并不知道这些具体的需求与细节是什么；为了能够描述和了解这些细节，就需要在安全策略的指导下,对安全涉及到的领域和相关做细致的考查和研究。2022/11/1634安全策略的具体含义和实现安全策略的前提是具有一般性和普遍性1989年12月国际标准化组织（ISO）颁布了该标准的第二部分，即ISO7498-2，并首次确定了开放系统互连（OSI）参考模型的信息安全体系结构。按照ISO7498-2中OSI安全体系结构中的定义，访问控制的安全策略有以下两种实现方式：基于身份的安全策略，等同于DAC安全策略基于规则的安全策略，等同于MAC安全策略。2022/11/16351989年12月国际标准化组织（ISO）颁布了该标准的第二部6.2.2基于身份的安全策略基于身份的安全策略（Identification-basedAccessControlPolicies,IDBACP）的目的是过滤对数据或资源的访问，只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的策略包括基于个人的策略基于组的策略。2022/11/16366.2.2基于身份的安全策略基于身份的安全策略（I基于个人的策略基于个人的策略：是指以用户为中心建立的一种策略，这种策略由一些列表来组成，这些列表限定了针对特定的客体，哪些用户可以实现何种策操作行为。

对文件2而言，授权用户B有只读的权利，授权用户A则被允许读和写；对授权用户N而言，具有对文件1、2和文件N的读写权利。2022/11/1637基于个人的策略基于个人的策略：是指以用户为中心建立的一种策基于组的策略基于组的策略是基于个人的策略的扩充，指一些用户被允许使用同样的访问控制规则访问同样的客体。基于身份的安全策略有两种基本的实现方法：能力表和访问控制列表。2022/11/1638基于组的策略基于组的策略是基于个人的策略的扩充，指一些用户6.2.3基于规则的安全策略基于规则的安全策略中，授权依赖于敏感性。在实现上，系统比较用户的安全级别和客体资源的安全级别来判断是否允许用户可以进行访问。2022/11/16396.2.3基于规则的安全策略基于规则的安全策略中，授权依赖于6.3访问控制的实现6.3.1访问控制的实现机制6.3.2访问控制表6.3.3访问控制矩阵6.3.4访问控制能力列表6.3.5访问控制安全标签列表6.3.6访问控制实现的具体类别 2022/11/16406.3访问控制的实现6.3.1访问控制的实现机制6.3.1访问控制的实现机制实现访问控制的要求：保证授权用户使用的权限与其所拥有的权限对应制止非授权用户的非授权行为保证敏感信息的交叉感染。

本章以文件的访问控制为例做具体说明：用户访问信息资源（文件或是数据库），可能的行为有：读R、写W和管理O(own)

2022/11/16416.3.1访问控制的实现机制实现访问控制的要求：26.3.2访问控制表访问控制表（AccessControlLists,ACLs）是以文件为中心建立的访问权限表。目前，大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。2022/11/16426.3.2访问控制表访问控制表（AccessCont6.3.4访问控制能力列表能力：请求访问的发起者所拥有的一个有效标签（ticket），它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力（ACCL）表是以用户为中心建立访问权限表。

ACCLs的实现与ACLs正好相反。2022/11/16436.3.4访问控制能力列表能力：请求访问的发起者所拥有6.3.3访问控制矩阵访问控制矩阵（AccessControlMatrix,ACM）是通过矩阵形式表示访问控制规则和授权用户权限的方法；主体——拥有对哪些客体的哪些访问权限；客体——有哪些主体对他可以实施访问其中，特权用户或特权用户组可以修改主体的访问控制权限。缺点：如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会有大量的空余空间。2022/11/16446.3.3访问控制矩阵访问控制矩阵（AccessCon6.3.5访问控制安全标签列表安全标签：限制和附属在主体或客体上的一组安全属性信息。访问控制标签列表（AccessControlSecurityLabelsLists,ACSLLs）是限定一个用户对一个客体目标访问的安全属性集合。假设用户UserA为S，UserA请求访问File2时，S<TS，访问被拒绝UserA请求访问FileN时，S>C，允许访问。安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略，因此，强制访问控制经常会用到这种实现机制。2022/11/16456.3.5访问控制安全标签列表安全标签：限制和附属在主6.3.6访问控制实现的具体类别访问控制的主要任务：维护网络系统安全、保证网络资源不被非法使用和非常访问。技术实现上包括：（1）接入访问控制（2）资源访问控制（3）网络端口和节点的访问控制2022/11/16466.3.6访问控制实现的具体类别访问控制的主要任务：接入访问控制

接入访问控制为网络访问提供第一层访问控制控制哪些用户能够登录到服务器并获取网络资源控制准许用户入网的时间和在哪台工作站入网。对合法用户的验证——用户名和口令的认证方式可分为三个步骤：用户名的识别与验证用户口令的识别与验证用户账号的缺省限制检查。

2022/11/1647接入访问控制接入访问控制为网络访问提供第一层访问控制202资源访问控制资源访问控制是指对客体整体资源信息的访问控制管理。其中包括文件系统的访问控制（文件目录访问控制和系统访问控制）文件属性访问控制信息内容访问控制。文件目录访问控制：用户和用户组被赋予一定的权限，哪些用户和用户组可以访问哪些目录、子目录、文件和其他资源，执行何种操作。系统访问控制：网络系统管理员应当为用户指定适当的访问权限应设置口令锁定服务器控制台应设定服务器登录时间限制、非法访问者检测和关闭的时间间隔应对网络实施监控、报警等。2022/11/1648资源访问控制资源访问控制是指对客体整体资源信息的访问控制管理网络端口和节点的访问控制网络中的节点和端口加密传输数据，其位置的管理必须防止黑客发动的攻击。2022/11/1649网络端口和节点的访问控制网络中的节点和端口加密传输数据，其位6.4安全级别与访问控制访问控制的具体实现与安全的级别联系在一起的安全级别有两个含义：一个是主客体信息资源的安全类别，分为：有层次的安全级别、无层次的安全级别；一个是访问控制系统实现的安全级别，分为4级：D、C（C1、C2）、B（B1、B2、B3）和A2022/11/16506.4安全级别与访问控制访问控制的具体实现与安全的级计算机系统的安全级别介绍1.D级别D级别是最低的安全级别。系统的访问控制没有限制，无需登陆系统就可以访问数据。这个级别的系统包括DOS，WINDOWS98等。2022/11/1651计算机系统的安全级别介绍1.D级别2022/11/951计算机系统的安全级别介绍2.C级别，有两个子系统，C1和C2C1级称为选择性保护级，可以实现自主安全防护，对用户和数据进行分离，保护或限制用户权限的传播。C2级具有访问控制环境的权力，比C1的访问控制划分的更为详细，能够实现受控安全保护、个人账户管理、审计和资源隔离。这个级别的系统包括Unix、Linux和WindowsNT系统。C级别的安全策略主要是自主存取控制，可以实现①保护数据确保非授权用户无法访问；②对存取权限的传播进行控制；③个人用户数据的安全管理。2022/11/1652计算机系统的安全级别介绍2.C级别，有两个子系统，C1和计算机系统的安全级别介绍3.B级别，提供强制性安全保护和多级安全

B级别包括B1、B2和B33个级别。B级安全级别可实现自主存取控制和强制存取控制，包括：①所有敏感标识控制下的主体和客体都有标识；②安全标识对普通用户是不可变更的；③可以审计：任何试图违反可读输出标记的行为；授权用户提供的无标识数据的安全级别和与之相关的动作；信道和I/O设备的安全级别的改变；用户身份和与相应的操作；④维护认证数据和授权信息；⑤通过控制独立地址空间来维护进程的隔离。2022/11/1653计算机系统的安全级别介绍3.B级别，提供强制性安全保护和计算机系统的安全级别介绍4.A级别，验证设计级（VerityDesign）目前最高的安全级别；安全的设计必须给出形式化设计说明和验证；需要有严格的数学推导过程；包含秘密信道和可信分布的分析，也就是说要保证系统的部件来源有安全保证。例如对这些软件和硬件在生产、销售、运输中进行严密跟踪和严格的配置管理，以避免出现安全隐患。2022/11/1654计算机系统的安全级别介绍4.A级别，验证设计级（Veri6.5访问控制与授权6.5.1授权行为6.5.2信任模型6.5.3信任管理系统 2022/11/16556.5访问控制与授权6.5.1授权行为2022/116.5.1授权行为授权是资源的所有者或者控制者准许他人访问这种资源，这是实现访问控制的前提。对于简单的个体和不太复杂的群体：可以考虑基于个人和组的授权。对于一个大型跨国集团时：如何通过正常的授权以便保证合法的用户使用公司公布的资源，而不合法的用户不能得到访问控制的权限，这是一个复杂的问题。授权表示的是一种信任关系，需要建立一种模型对这种关系进行描述。本节将阐述信任模型的建立与信任管理。2022/11/16566.5.1授权行为授权是资源的所有者或者控制者准许6.5.2信任模型概念和定义信任模型（TrustModel）：建立和管理信任关系的框架。信任关系：客体对主体是信任的：如果主体能够符合客体所假定的期望值。信任关系可以使用期望值来衡量，并用信任度表示。信任域：主客体间建立信任关系的范畴，信任域是服从于一组公共策略的系统集。2022/11/16576.5.2信任模型概念和定义2022/11/957信任模型信任模型有3种基本类型：层次信任模型网状信任模型对等信任模型。2022/11/1658信任模型信任模型有3种基本类型：2022/11/958层次信任模型建立层次信任模型的基础是所有的信任用户都有一个可信任根。层次信任关系是一种链式的信任关系，比如可信任实体A1可以表示为这样一个信任链：（R，C1，A1），A1向上回溯到产生他的信任根R。双向信任的模型，Ai和Bj都基于可信任根R，容易建立信任关系的很容易根节点R作为信任的起点，也就是信任源，又称为信任锚。信任源负责下属的信任管理，下属再负责下面一层的信任管理，这种管理方向是不可逆的。2022/11/1659层次信任模型建立层次信任模型的基础是所有的信任用户都有一个层次信任模型优点：结构简单，管理方面，易于实现。缺点：是Ai和Xk的信任通过根实现，信任根出现问题，那么信任的整个链路就被破坏了。现实世界中，往往建立一个统一信任的根是困难的。对于不在一个信任域中的两个实体如何来建立信任关系？层次模型的适用范围：层次信任模型适用于孤立的、层状的企业，对于有组织边界交叉的企业，要应用这种模型是很困难的。2022/11/1660层次信任模型优点：结构简单，管理方面，易于实现。层次模型的适对等信任模型对等信任模型：两个或两个以上对等的信任域间建立的信任关系。对等信任关系相对灵活，可解决任意已经建立信任关系的两个信任模型之间的交互信任。A1和X1的信任关系要通过对等信任域R1和R2的相互认证才能实现，因此这种信任关系在PKI领域中又叫做交叉认证。两个实体间是对等的关系，既是被验证的主体，又是进行验证的客体。2022/11/1661对等信任模型对等信任模型：两个或两个以上对等的信任域间建立的网状信任模型网状信任模型是对等信任模型的扩充。因为没有必要在任意两个对等的信任域建立交叉认证，完全可以通过建立一个网络拓扑结构的信任模型来实现。R1，R2～R11是不同的信任域，之间的信任关系用实线箭头表示。R1和R5信任域下的主体A和B间可以建立的信任链共有3条。2022/11/1662网状信任模型网状信任模型是对等信任模型的扩充。因为没有必要在6.5.3信任管理系统阐述信任模型很容易产生一个问题，这就是在实际中是由谁在管理信任？如果我们就是信任中的主体，我们凭什么信任他们？这就是信任管理需要解决的问题。信任管理包含了两个方面，一个是对于信任链的维护与管理二个是对信任域间信任关系的管理与维护。信任域的管理通常由认证机构来负责。2022/11/16636.5.3信任管理系统阐述信任模型很容易产生一个问题6.6PKI与PMI的关系6.6.1授权管理6.6.2属性证书6.6.3PMI结构模型2022/11/16646.6PKI与PMI的关系6.6.1授权管理2026.6.1授权管理PMI即是特权管理基础设施，PMI授权技术主要解决有效授权问题。PMI授权技术提供：在分布式计算环境中的访问控制功能将访问控制机制从具体应用系统中分离出来，使得访问控制机制和应用系统之间能灵活而方便的结合。PMI授权技术的核心思想：是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制。2022/11/16656.6.1授权管理PMI即是特权管理基础设施，PMPKI与PMI的关系同PKI的区别：PKI证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；PMI证明这个用户有什么权限，什么属性，能干什么，并将用户的属性信息保存在授权证书（又称授权证书）中。PMI的最终目标：就是提供一种有效的体系结构来管理用户的属性。这包括两个方面的含义：PMI保证用户获取他们有权获取的信息、做他们有权限进行的操作；PMI应能提供跨应用、跨系统、跨企业、跨安全域的用户属性的管理和交互手段。2022/11/1666PKI与PMI的关系同PKI的区别：2022/11/966PKI与PMI的关系（续）PMI建立在PKI提供的可信的身份认证服务的基础上，以属性证书的形式实现授权的管理。PMI体系和模型的核心内容：是实现属性证书的有效管理，包括属性证书的产生、使用、吊销、失效等。2022/11/1667PKI与PMI的关系（续）2022/11/967PKI与PMI的关系在一个应用系统中，授权必须以身份认证为基础，没有经过身份认证的访问控制是没有任何意义的。PMI与PKI的关联：属性权威可以在属性证书中绑定用户身份证书的有效信息实现，使PKI/PMI体系的基础设施为信息安全建设提供一个通用的安全平台。在一个PKI/PMI的安全平台中，PKI是PMI的基础，为PMI授权提供了身份认证服务，PMI是PKI的有益的补充，在身份认证的基础上进一步管理用户的权限属性。2022/11/1668PKI与PMI的关系在一个应用系统中，授权必须以身份认证为基6.6.2属性证书在PKI/PMI体系中存在两种证书：公钥证书PKC：为了保证用户身份和公钥的可信度，将两者进行捆绑，并由可信的第三方CA——证书的权威机构签名的数据结构，即为公钥证书。PKI主要作用：身份认证提供安全依据。属性证书AC：属性证书建立在基于公钥证书的身份认证的基础上PMI权威机构属性权威AA(AttributeAuthority)签发的将实体与其享有的权力属性捆绑在一起的数据结构，权威机构的数字签名保证了绑定的有效性和合法性。PMI作用：授权管理2022/11/16696.6.2属性证书在PKI/PMI体系中存在两种证书公钥证书与属性证书公钥证书保证实体及其公钥的对应性，为数据完整性、实体认证、保密性、授权等安全机制提供身份服务。不直接用公钥证书来承载属性而使用独立的属性证书原因：身份和属性的有效时间有很大差异：属性证书的生命周期往往远低于用于标识身份的公钥证书。公钥证书和属性证书的管理颁发部门可能不同。公钥证书——身份管理系统进行控制属性证书——与应用紧密相关。2022/11/1670公钥证书与属性证书公钥证书保证实体及其公钥的对应性，为数据完公钥证书与属性证书公钥证书：一个系统中，每个用户只有一张合法的公钥证书属性证书：多个应用可使用同一属性证书；同一应用的不同操作可颁发不同的属性证书。在公钥证书的扩展域中添加属性字段：只有那些身份和属性生命期相同、而且同时CA兼任属性管理功能的情况下，可以使用公钥证书来承载属性。大部分情况下应使用公钥证书、属性证书的方式实现属性的管理。属性证书的吊销：与公钥证书相似，通过证书撤消列表的方式。有效期较长的属性证书系统：需要维护属性证书撤消列表；生存周期非常短的属性证书：证书吊销是没有必要的。2022/11/1671公钥证书与属性证书公钥证书：2022/11/971X.509属性证书格式2022/11/1672X.509属性证书格式2022/11/9726.6.3PMI结构模型基本的特权管理模型包括以下四个实体组成：对象特权声称者特权验证者权威源点/属性权威：SOA(Source

ofAttributeAuthority)/AA（AttributeAuthority）2022/11/16736.6.3PMI结构模型基本的特权管理模型包括以下四PMI结构模型组成SOA(Source

ofAttributeAuthority)：授权管理体系的中心业务节点是整个授权系统的最终信任源和最高管理机构，相当于PKI系统中的根CA，对整个系统特权分发负有最终的责任。中心的主要职责：授权策略的管理、应用授权受理、中心的设立审核及管理等。AA（AttributeAuthority）：授权管理体系的核心服务节点对应于具体应用系统的授权管理分系统，由各应用部门管理，SOA授权给它管理一部分或全部属性的权力。中心的职责：应用授权受理。可以有多个层次，上级AA可授权给下级AA，下级可管理的属性的范围不超过上级。2022/11/1674PMI结构模型组成SOA(SourceofAttribPMI结构模型组成特权持有者：使用属性证书的实体或人。一个AA：在很多使用环境中，系统只存在一个AA，即SOA，管理所有的特权和属性，并直接分配特权给最终用户；多级AA：在大型的复杂的环境中，则存在多级AA，PMI呈树状体系结构，分层进行管理,属性的验证较复杂，类似PKI系统中的信任链（1）验证最终用户持有的属性证书（2）逐级回溯，验证各级的权力和有效性，直至SOA对象：被保护的资源，表现为各种机密文件、数据库等。2022/11/1675PMI结构模型组成特权持有者：使用属性证书的实体或人。20本章小结访问控制技术在操作系统安全、数据库安全和一般信息系统安全体系中被大量采用，它控制信息系统的资源只能按照所授予的权限被访问。在访问控制实现过程中需要考虑的因素包括：主体与客体属性、属性的关联方法、具体应用对安全策略的需求等。当前主要的访问控制策略包括三种：自主访问控制、强制访问控制和基于角色的访问控制，本章对着三种访问控制策略的基本概念并对其性能进行了介绍，结合访问控制策略进一步介绍了访问控制的实现方式以及安全级别与访问控制的关系，同事，借鉴PKI的实现方式，重点介绍了授权管理基础设施的基本概念，属性证书的特点和功能，以及PKI与PMI的关系。2022/11/1676本章小结访问控制技术在操作系统安全、数据库安全和一般信息系统在线教务辅导网：

更多课程配套课件资源请访问在线教务辅导网2022/11/1677在线教务辅导网：http://www.shangfuwang2022/11/16782022/11/9782022/11/16792022/11/9792022/11/16802022/11/9802022/11/16812022/11/9812022/11/16822022/11/982馋死2022/11/1683馋死2022/11/9832022/11/16842022/11/9842022/11/16852022/11/9852022/11/16862022/11/9862022/11/16872022/11/9872022/11/16882022/11/9882022/11/16892022/11/9892022/11/16902022/11/9902022/11/16912022/11/9912022/11/16922022/11/9922022/11/16932022/11/9932022/11/16942022/11/9942022/11/16952022/11/995PPT研究院POWERPOINTACADEMY2022/11/1696PPT研究院POWERPOINTACADEMY2022/12022/11/16972022/11/9972022/11/16982022/11/998

第六章访问控制2022/11/1699

第六章访问控制2022/11/91第六章访问控制技术本章内容6.1访问控制的模型6.2访问控制策略6.3访问控制的实现6.4安全级别与访问控制6.5访问控制与授权6.6PMI2022/11/16100第六章访问控制技术本章内容2022/11/926.1访问控制的模型6.1.1自主访问控制模型（DACModel）6.1.2强制访问控制模型（MACModel）6.1.3基于角色的访问控制模型（RBACModel）2022/11/161016.1访问控制的模型6.1.1自主访问控制模型（DACM访问控制的模式访问控制模型：是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法。

访问控制：主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即：主体、客体和控制策略。2022/11/16102访问控制的模式访问控制模型：是一种从访问控制的角度出发，描述主体（Subject）主体：是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是用户或其它任何代理用户行为的实体（例如进程、作业和程序）。简记为S广义上讲：主体可以是用户所在的组织（以后称为用户组）、用户本身，也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以是应用服务程序程序或进程。2022/11/16103主体（Subject）主体：是指一个提出请求或要求的实体，是客体（Object）客体：是接受其他实体访问的被动实体,简记为O。客体，可以被操作的信息、资源、对象例如：信息、文件、记录等的集合体，网路上的硬件设施无线通信中的终端一个客体可以包含另外一个客体2022/11/16104客体（Object）客体：是接受其他实体访问的被动实体,简控制策略控制策略：是主体对客体的操作行为集和约束条件集,简记为KS。控制策略：是主体对客体的访问规则集规则集定义了：主体对客体的作用行为客体对主体的条件约束访问策略体现了一种授权行为2022/11/16105控制策略控制策略：是主体对客体的操作行为集和约束条件集,简三个要素之间的行为关系访问控制系统三个要素之间的行为关系三元组（S，O，P）S表示主体O表示客体P表示许可2022/11/16106三个要素之间的行为关系访问控制系统三个要素之间的行为关系2访问控制关系示意图对主体进行认证正常的请求信息主体通过验证，才能访问客体，但并不保证其有权限可以对客体进行操作。客体对主体的验证一般会鉴别用户的标识和用户密码对主体的具体约束由访问控制表来控制实现。2022/11/16107访问控制关系示意图对主体进行认证正常的请求信息主体通过验证用户标识（UID：UserIdentification）：一个用来鉴别用户身份的字符串。每个用户有且只能有唯一的一个用户标识。用户注册进入系统必须提供用户标识系统审查来确信当前用户是对应用户标识的那个用户。2022/11/16108用户标识（UID：UserIdentification）：多级安全信息系统多级安全信息系统：由于用户的访问涉及到访问的权限控制规则集合，将敏感信息与通常资源分开隔离的系统。多级安全系统将信息资源按照安全属性分级考虑，可分为两种。2022/11/16109多级安全信息系统多级安全信息系统：2022/11/911两种安全类别一种是有层次的安全级别（HierarchicalClassification），分为TS，S，C，RS，U5级绝密级别（TopSecret）秘密级别（Secret）机密级别（Confidential）限制级别（Restricted）无级别级（Unclassified）另一种是无层次的安全级别，不对主体和客体按照安全类别分类只是给出客体接受访问时可以使用的规则和管理者。2022/11/16110两种安全类别一种是有层次的安全级别（Hierarchical访问控制内容访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。认证：主体对客体的识别认证和客体对主体检验认证。主体和客体的认证关系是相互的，主体也可能变成了客体，取决于当前实体的功能是动作的执行者还是被执行者。控制策略的具体实现：体现在如何设定规则集合，对信息资源的合法使用，考虑敏感资源的泄漏，不能越权审计：当管理员有操作赋予权，他有可能滥用这一权利，这是无法在策略中加以约束的。必须对这些行为进行记录，从而达到威慑和保证访问控制正常实现的目的。2022/11/16111访问控制内容访问控制的实现首先要考虑对合法用户进行验证，然后访问控制模型访问控制安全模型一般包括：主体、客体。为识别和验证这些实体的子系统。控制实体间访问的监视器。建立规范的访问控制模型，是实现严格访问控制策略所必须的。

2022/11/16112访问控制模型访问控制安全模型一般包括：2022/11/914访问控制模型20世纪70年代，Harrison等提出了HRU模型。1976年，Jones等人提出了Take-Grant模型。1985年，美国军方提出可信计算机系统评估准则TCSEC，其中描述了两种著名的访问控制策略：自主访问控制模型（DAC）强制访问控制模型（MAC）1992年，Ferraiolo等提出基于角色的访问控制（RBAC）基于对象的访问控制基于任务的访问控制。后两种考虑到网络安全和传输流。2022/11/16113访问控制模型20世纪70年代，Harrison等提出了HR6.1.1自主访问控制模型自主访问控制模型（DiscretionaryAccessControlModel，DACModel）根据自主访问控制策略建立的一种模型，允许合法用户访问策略规定的客体阻止非授权用户访问客体某些用户把自己所拥有的访问权限授予其它用户自主访问控制又称为任意访问控制。Linux，Unix、WindowsNT或是Server版本的操作系统都提供自主访问控制的功能。2022/11/161146.1.1自主访问控制模型自主访问控制模型2022/11自主访问控制模型的实现：首先要对用户的身份进行鉴别然后就可以按照访问控制列表所赋予用户的权限，允许和限制用户使用客体的资源主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现。自主访问控制模型2022/11/16115自主访问控制模型的实现：自主访问控制模型2022/11/91自主访问控制模型的特点特点：授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的任意访问控制优点：灵活的数据访问方式缺点：DAC模型的安全防护相对较低，用户可以任意传递权限2022/11/16116自主访问控制模型的特点特点：2022/11/9186.1.2强制访问控制模型强制访问控制模型（MandatoryAccessControlModel,MACModel）发展：最初是为了实现比DAC更为严格的访问控制策略，美国政府和军方开发了各种各样的控制模型，随后得到广泛的商业关注和应用。MAC与DAC的不同之处：DAC：用户和客体资源都被赋予一定的安全级别，只有管理员才能够确定用户和组的访问权限。MAC：是一种多级访问控制策略，系统对访问主体和受控对象实行强制访问控制系统事先给访问主体和受控对象分配不同的安全级别属性在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。

2022/11/161176.1.2强制访问控制模型强制访问控制模型（MandMAC对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记一个是非等级分类标记。主体和客体在分属不同的安全类别时，用SC表示它们构成的一个偏序关系，比如：TS绝密级比密级S高，当主体S的安全类别为TS客体O的安全类别为S时用偏序关系可以表述为SC(S)≥SC(O)。强制访问控制模型2022/11/16118MAC对访问主体和受控对象标识两个安全标记：强制访问控制模型主体对客体的访问根据偏序关系，主体对客体的访问主要有4种方式：（1）向下读（rd，readdown）主体安全级别高于客体信息资源的安全级别时允许查阅的读操作；（2）向上读（ru，readup）主体安全级别低于客体信息资源的安全级别时允许的读操作；（3）向下写（wd，writedown）主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作；（4）向上写（wu，writeup）主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。2022/11/16119主体对客体的访问根据偏序关系，主体对客体的访问主要有4种方式MAC和DACMAC模型和DAC模型属于传统的访问控制模型。MAC和DAC在实现上通常为每个用户赋予对客体的访问权限规则集用户自主地把自己所拥有的客体的访问权限授予其它用户缺点：系统管理员的工作将变得非常繁重，容易发生错误、安全漏洞。引入新的机制加以解决，即基于角色的访问控制模型。2022/11/16120MAC和DACMAC模型和DAC模型属于传统的访问控制模型。6.1.3基于角色的访问控制模型角色（Role）：一个可以完成一定事务的命名组，不同的角色通过不同的事务来执行各自的功能。事务（Transaction）：一个完成一定功能的过程，可以是一个程序或程序的一部分。角色是代表具有某种能力的人或是某些属性的人的一类抽象2022/11/161216.1.3基于角色的访问控制模型角色（Role）：一个可角色和组的主要区别在于：用户属于组是相对固定的。用户能被指派到哪些角色则受时间、地点、事件等诸多因素影响。角色比组的抽象级别要高。基于角色的访问控制模型2022/11/16122角色和组的主要区别在于：基于角色的访问控制模型2022/11基于角色的访问控制模型RBAC基于角色的访问控制模型（Role-basedAccessModel，RBACModel）的基本思想：将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。访问控制应该基于员工的职务，而不是基于员工在哪个组或谁是信息的所有者即访问控制是由各个用户在部门中所担任的角色来确定的，例如，一个学校可以有教工、老师、学生和其他管理人员等角色。2022/11/16123基于角色的访问控制模型RBAC基于角色的访问控制模型（RolRBAC从控制主体的角度出发根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系这点与传统的MAC和DAC将权限直接授予用户的方式不同；通过给用户分配合适的角色，让用户与访问权限相联系。基于角色的访问控制模型RBAC2022/11/16124RBAC基于角色的访问控制模型RBAC2022/11/926基于角色的访问控制模型角色可以看作是一组操作的集合

假设：Tch1，Tch2，Tch3,…,Tchi——教师Stud1,Stud2,Stud3,…,Studj——学生Mng1,Mng2,Mng3,…,Mngk——教务处管理人员对应的权限老师的权限为TchMN={查询成绩、上传所教课程的成绩}；学生的权限为StudMN={查询成绩、反映意见}；教务管理人员的权限为MngMN={查询、修改成绩、打印成绩清单}。执行的操作与其所扮演的角色的职能相匹配，不同的用户根据其职能和责任被赋予相应的角色。2022/11/16125基于角色的访问控制模型角色可以看作是一组操作的集合基于角色的访问控制模型系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色。例如学校新教师Tchx，只需将Tchx添加到教师这一角色的成员中，无需对访问控制列表做改动。同一个用户可扮演多种角色，比如可以是老师，同时也可以作为进修的学生。RBAC提供了一种描述用户和权限之间的多对多关系；2022/11/16126基于角色的访问控制模型系统管理员负责授予用户各种角色的成员资基于角色的访问控制模型RBAC简化了权限设置的管理，是实施面向企业的安全策略的一种有效的访问控制方式具有灵活性、方便性和安全性的特点目前在大型数据库系统的权限管理中得到普遍应用。RBAC与DAC的区别：用户不能自主地将访问权限授给别的用户所在。用户与客体无直接联系，桥梁是角色，只有系统管理员有权定义和分配角色。RBAC与MAC的区别在于：MAC是基于多级安全需求的，而RBAC则不是。2022/11/16127基于角色的访问控制模型RBAC简化了权限设置的管理，是实施面上述几个访问控制模型的缺点上述几个访问控制模型的缺点：控制环境是静态的：都是从系统的角度出发去保护资源，没有考虑上下文环境。组织任务与服务相关的信息进一步自动化，需要随着任务的执行而进行动态授权的保护上。权限没有时间限制：只要主体拥有对客体的访问权限，主体就可以无数次地执行该权限。2022/11/16128上述几个访问控制模型的缺点上述几个访问控制模型的缺点：2026.2访问控制策略6.2.1安全策略6.2.2基于身份的安全策略6.2.3基于规则的安全策略2022/11/161296.2访问控制策略6.2.1安全策略2022/116.2.1安全策略安全策略建立的需要和目的安全的领域非常广泛繁杂，构建一个可以抵御风险的安全框架涉及很多细节。如果能够提供一种恰当的、符合安全需求的整体思路，也更加有明确的前进方向。恰当的安全策略关注的核心集中到最高决策层认为必须注意的方面。一种安全策略实质上表明：必须明确在安全领域的范围内，什么操作是明确允许的，什么操作是一般默认允许的，什么操作是明确不允许的，什么操作是默认不允许的。不要求安全策略作出具体的措施规定以及何种方式但应该向安全构架的实际搭造者们指出在当前的前提下，什么因素和风险才是最重要的。2022/11/161306.2.1安全策略安全策略建立的需要和目的2022/安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的关系展开的。①最小特权原则：最小特权原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。优点：是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错误和未授权用主体的危险。②最小泄漏原则：最小泄漏原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权力。③多级安全策略：多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）5级来划分。优点：避免敏感信息的扩散，只有安全级别比他高的主体才能够访问。2022/11/16131安全策略的实施原则围绕主体、客体和安全控制规则集三者之间安全策略的具体含义和实现安全策略的前提是具有一般性和普遍性安全策略的最主要的问题：如何能使安全策略的这种普遍性和所要分析的实际问题的特殊性相结合。控制策略的制定是一个按照安全需求、依照实例不断精确细化的求解过程。设计者要考虑到实际应用的前瞻性，有时候并不知道这些具体的需求与细节是什么；为了能够描述和了解这些细节，就需要在安全策略的指导下,对安全涉及到的领域和相关做细致的考查和研究。2022/11/16132安全策略的具体含义和实现安全策略的前提是具有一般性和普遍性1989年12月国际标准化组织（ISO）颁布了该标准的第二部分，即ISO7498-2，并首次确定了开放系统互连（OSI）参考模型的信息安全体系结构。按照ISO7498-2中OSI安全体系结构中的定义，访问控制的安全策略有以下两种实现方式：基于身份的安全策略，等同于DAC安全策略基于规则的安全策略，等同于MAC安全策略。2022/11/161331989年12月国际标准化组织（ISO）颁布了该标准的第二部6.2.2基于身份的安全策略基于身份的安全策略（Identification-basedAccessControlPolicies,IDBACP）的目的是过滤对数据或资源的访问，只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的策略包括基于个人的策略基于组的策略。2022/11/161346.2.2基于身份的安全策略基于身份的安全策略（I基于个人的策略基于个人的策略：是指以用户为中心建立的一种策略，这种策略由一些列表来组成，这些列表限定了针对特定的客体，哪些用户可以实现何种策操作行为。

对文件2而言，授权用户B有只读的权利，授权用户A则被允许读和写；对授权用户N而言，具有对文件1、2和文件N的读写权利。2022/11/16135基于个人的策略基于个人的策略：是指以用户为中心建立的一种策基于组的策略基于组的策略是基于个人的策略的扩充，指一些用户被允许使用同样的访问控制规则访问同样的客体。基于身份的安全策略有两种基本的实现方法：能力表和访问控制列表。2022/11/16136基于组的策略基于组的策略是基于个人的策略的扩充，指一些用户6.2.3基于规则的安全策略基于规则的安全策略中，授权依赖于敏感性。在实现上，系统比较用户的安全级别和客体资源的安全级别来判断是否允许用户可以进行访问。2022/11/161376.2.3基于规则的安全策略基于规则的安全策略中，授权依赖于6.3访问控制的实现6.3.1访问控制的实现机制6.3.2访问控制表6.3.3访问控制矩阵6.3.4访问控制能力列表6.3.5访问控制安全标签列表6.3.6访问控制实现的具体类别 2022/11/161386.3访问控制的实现6.3.1访问控制的实现机制6.3.1访问控制的实现机制实现访问控制的要求：保证授权用户使用的权限与其所拥有的权限对应制止非授权用户的非授权行为保证敏感信息的交叉感染。

本章以文件的访问控制为例做具体说明：用户访问信息资源（文件或是数据库），可能的行为有：读R、写W和管理O(own)

2022/11/161396.3.1访问控制的实现机制实现访问控制的要求：26.3.2访问控制表访问控制表（AccessControlLists,ACLs）是以文件为中心建立的访问权限表。目前，大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。2022/11/161406.3.2访问控制表访问控制表（AccessCont6.3.4访问控制能力列表能力：请求访问的发起者所拥有的一个有效标签（ticket），它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力（ACCL）表是以用户为中心建立访问权限表。

ACCLs的实现与ACLs正好相反。2022/11/161416.3.4访问控制能力列表能力：请求访问的发起者所拥有6.3.3访问控制矩阵访问控制矩阵（AccessControlMatrix,ACM）是通过矩阵形式表示访问控制规则和授权用户权限的方法；主体——拥有对哪些客体的哪些访问权限；客体——有哪些主体对他可以实施访问其中，特权用户或特权用户组可以修改主体的访问控制权限。缺点：如果用户和文件系统要管理的文件很多，那么控制矩阵将会成几何级数增长，这样对于增长的矩阵而言，会有大量的空余空间。2022/11/161426.3.3访问控制矩阵访问控制矩阵（AccessCon6.3.5访问控制安全标签列表安全标签：限制和附属在主体或客体上的一组安全属性信息。访问控制标签列表（AccessControlSecurityLabelsLists,ACSLLs）是限定一个用户对一个客体目标访问的安全属性集合。假设用户UserA为S，UserA请求访问File2时，S<TS，访问被拒绝UserA请求访问FileN时，S>C，允许访问。安全标签能对敏感信息加以区分，这样就可以对用户和客体资源强制执行安全策略，因此，强制访问控制经常会用到这种实现机制。2022/11/161436.3.5访问控制安全标签列表安全标签：限制和附属在主6.3.6访问控制实现的具体类别访问控制的主要任务：维护网络系统安全、保证网络资源不被非法使用和非常访问。技术实现上包括：（1）接入访问控制（2）资源访问控制（3）网络端口和节点的访问控制2022/11/161446.3.6访问控制实现的具体类别访问控制的主要任务：接入访问控制

接入访问控制为网络访问提供第一层访问控制控制哪些用户能够登录到服务器并获取网络资源控制准许用户入网的时间和在哪台工作站入网。对合法用户的验证——用户名和口令的认证方式可分为三个步骤：用户名的识别与验证用户口令的识别与验证用户账号的缺省限制检查。

2022/11/16145接入访问控制接入访问控制为网络访问提供第一层访问控制202资源访问控制资源访问控制是指对客体整体资源信息的访问控制管理。其中包括文件系统的访问控制（文件目录访问控制和系统访问控制）文件属性访问控制信息内容访问控制。文件目录访问控制：用户和用户组被赋予一定的权限，哪些用户和用户组可以访问哪些目录、子目录、文件和其他资源，执行何种操作。系统访问控制：网络系统管理员应当为用户指定适当的访问权限应设置口令锁定服务器控制台应设定服务器登录时间限制、非法访问者检测和关闭的时间间隔应对网络实施监控、报警等。2022/11/16146资源访问控制资源访问控制是指对客体整体资源信息的访问控制管理网络端口和节点的访问控制网络中的节点和端口加密传输数据，其位置的管理必须防止黑客发动的攻击。2022/11/16147网络端口和节点的访问控制网络中的节点和端口加密传输数据，其位6.4安全级别与访问控制访问控制的具体实现与安全的级别联系在一起的安全级别有两个含义：一个是主客体信息资源的安全类别，分为：有层次的安全级别、无层次的安全级别；一个是访问控制系统实现的安全级别，分为4级：D、C（C1、C2）、B（B1、B2、B3）和A2022/11/161486.4安全级别与访问控制访问控制的具体实现与安全的级计算机系统的安全级别介绍1.D级别D级别是最低的安全级别。系统的访问控制没有限制，无需登陆系统就可以访问数据。这个级别的系统包括DOS，WINDOWS98等。2022/11/16149计算机系统的安全级别介绍1.D级别2022/11/951计算机系统的安全级别介绍2.C级别，有两个子系统，C1和C2C1级称为选择性保护级，可以实现自主安全防护，对用户和数据进行分离，保护或限制用户权限的传播。C2级具有访问控制环境的权力，比C1的访问控制划分的更为详细，能够实现受控安全保护、个人账户管理、审计和资源隔离。这个级别的系统包括Unix、Linux和WindowsNT系统。C级别的安全策略主要是自主存取控制，可以实现①保护数据确保非授权用户无法访问；②对存取权限的传播进行控制；③个人用户数据的安全管