计算机安全技术-4操作系统安全

第

四

章

操

作

系

统

安

全刘培顺安全体系结构●

操

作

系

统

是

最

底

层

软

件

系

统，

其

安

全

性

直

接

影响并

决

定了

计

算

机的

安

全

性

能

。一操作系统安金是信息系统安全的最基本、最基础的安全要素。操作系统的任何安全脆弱性和安全漏洞，必然导致信息系统的整体安全脆弱性。操作系统的任何功能性变化，都可导致信息系统安全脆弱性分布情况统安全的第一一在目前的操作系统中，对安全机制的设计不尽完善，存在较多的安全漏洞隐患。面对黑客的盛行，网络攻击的日

，重

的技术愈加先进，计算机操作系统的安全显要运得

尤

为益频繁系

统

安

全确保信息要事

便

是采

取

措

施

保

证

操的变化。丛软件角度来看安

全

体

系

结

构

的

安

全

服

务认证我不认识你!

一

你

是

谁?我怎么相信你就是你?

—要是別人冒充你怎么办?访问控制\

授权我能干什么?我有什么权

利?你能干这个，不能干那个.保密性我与你说话时，別人能不能偷听?完整性收到的传真不太清楚?传送过程过程中别人篡改过没有?防

抵

赖我收到货后，不想付款，想抵赖，怎么样?我将钱寄给你后，你不给发货，想抵赖，如何?身

份

认

证提

纲单机

状

态下身

份

认

证一基于口令的认证方式一基于智能卡的认证方式一基于生物特征的认证方式认

证

的

概

念●认

证

是

一

个

过

程，

通

过

这

个

过

程，一

个

实体像

另

一

个

实

体

证明了某

种

声

称的

属

性

。●认证概念可以分为三个子概念一数据源认证：验证消息的某个声称属性一实体认证：验证消息发送者所声称的身份身

份

认

证●身份认证，用来确定用户在系统中的身份的真实性，包括用户的标识和鉴别，是用户进入系统后的第一道防线。●用户标

识

是

指

用

户

登

录

注

册

在

信息

系

统中

的身

份

标

识

(ID),代表用户的身份信息。●鉴别是验证某些事物的过程。身份

认

证的基

本

途

径●基于你所知道的(

Whatyou

know)

一知识、口令、密码●基于你所拥有的(What

you

have一身份证、信用卡、密钥、智能卡、令牌等

●基于你的个人特征(Whatyouare)一指纹，笔迹，声音，手型，脸型，视网膜，

虹

膜●双因素、多因素认证●

申

请

者(

Claimant)●验

证

者

(

Verifier)●认证信息AI(Authentication●可信第三方(Trusted

Third身

份

认

证的

基

本

模

型Information)

Party)申

请A

I

验

证AI交

换AI验

证AI申

请AI常

用

的

身

份

认

证

技

术

/

协

议●

简

单口

令

认

证●质询/响应认证一一次性口令认证(OTP)一电子令牌

●基于U盾的

身

份

认

证●

基

于

生

物

特

征的

身

份

认

证基

于

口

令

的

身

份

认

证●用户名/口令认证技术是最简单、最普遍的身份识别技术一各类系统的登录等。●口令具有共享秘密的属性，只有用户和系统知道。一例如，用户把他的用户名和口令送服务器，服务器操作系统鉴别该用户。●

口令有时由用户选择，有时由系统分配。一通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，

用户即可进入访问。●口令有多种，如一次性口令；还有基于时间的口令基

于

口

令

的

身

份

认

证●用户名/口令具有实现简单的优点，但存在以下安

全缺

点：一大多数系统的口令是明文传送到验证服务器的，容

易

被

截

获

。一口令维护的成本较高。为保证安全性，口令应当经

常更换。另外为避免对口令的字典攻击，

口令应当

保证一定的长度，并且尽量采用随机的字符。但缺

点

是

难

于

记

忆

。一口令容易在输入的时候被攻击者偷窥，而且用户无

法及时发现。●简单和安全是互相矛盾

的两

个

因

素暴力攻击●暴力攻击的一个具体例子是，

一个黑客试图使用

计算机和信息去破解一个密码。●一个黑

客需

要

破

解

—

段

单

一的

被

用

非

对

称

密

钥

加

密的信息，

为了破解这种算法，

一个黑客需要求

助于非常精密复杂的方法，

它使用120个工作站，

两个超级计算机利用从三个主要的研究中心获得的信息，

即使拥有这

种

配备，它也

将

花

掉

八

天的

时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。字

典

文

件一次字典攻击能否成功，很大因素上决定与字典文件。

一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以发部门的简称一般也可以作为学典文件的一部分，这样可以大大的提高破解效率。一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件Sdictrxt.试事术文件(E)编辑(E)格式(Q)帮助()□×|1234512345611118888abcdabedefabc123781124asdf=口

令

保

护

技

术●对口令的使用，存储和更新进行控制一控制口令显示信息一限制注册失败次数：3次或6次

一定期更新口令一避免重复使用一最小长度：6～8个字符一用户被锁一根口令：要求更严一系统生成口令：随机性更好创

建

强

健

的

口

令●在创建安全口令的时候，最好能遵循以下准则：不要做以

下的事：●不要只使用单词或数字—决不要在口令中只使用单词或

数字。一

某些不安全口令包括：-8675309

juan

hackme●不要使用现成词汇

—像名称、词典中的词汇、甚至电视

剧或小说中的用语，

即使在两端使用数字，都应该避免使

用。-

某些不安全口

令包括：mentat123-John1DS-9创

建

强

健

的

口

令不要使用外语中的词汇一口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。一某些不安全口令包括：-Cheguevarabienvenido11dumbkopf不要使用黑客术语一如果你以为在口令中使用黑客术语一又称1337(LEET)一

就会与众不同，

请再三思。许多词汇列表都包含了LEET式术语。一某些不安全口令包括：-

H4X0R

1337不要使用个人信息一千万不要使用个人信息。如果攻击者知道你的身份，推导出你所用口令的任务就会变得非常容易。以下是你在创建口令时应该避免使用的信息类型。一某些不安全口令包括：一你的名字

宠物的名字家庭成员的名字一

生日

你的电话号码或邮政编码创

建

强

健

的

口

令●不要倒转现存词汇

—优秀的口令破译者总是倒转常用词

汇，因此倒转薄弱口令并不会使它更安全。一某些不安全口令包括：-

R0X4H-nauj-9-DS●不要笔录你的口令—决不要把口令写在纸上。把它牢记

在心才更为安全。●不要在所有机器上都使用同样的口令一在每个机器上使

用不同的口令是及其重要的。这样，如果一个系统泄密了，

所有其它系统都不会立即受到威胁。●

做以下的事：口令长度至少为八个字符

—

口令越长越好。若使用MD5口令，它应该至少有15个字符。若使用

DES

口令，使用

最

长

长

度

(

8

个

字

符

)。混和大小写字母一红帽企业Linux

区分大小写，因此混

和大小写会增加口令的强健程度。混和字母和数字—在口令中添加数字，特别是在中间添

加(不只在开头和结尾处)能够加强口令的强健性。包括字母和数字以外的字符一&

、$

、

和

>

之

类

的

特

殊字符可以极大地增强口令的强健性(若使用

DES

口令则不

能

使

用

此

类

字

符

)

。挑选一个你可以记住的口令

—

如果你记不住你的口令，那么它再好也没有用；使用简写或其它记忆方法来帮助你

记

忆

口

令

。创

建

强

健

的

口

令●●●

●安

全

口

令

创

建

方

法●想出一个可记忆的短语，如：●然后只引用第一个字母而把它变成简写(包括标点)。-otrattw,tghwg.●把简写中的字母替换成数字和符号来增加其复杂性。例如，●

写

其复杂性，如

H。●最后，永远不要在任何系统上使用以上的口令范例。增加换

a:来替大来母Hw变ghw用g个w,字7gw换,7gt,r把@r@来-"ohvoeurs

ir"

andthroughthe

woods,to

grandmother'soegverweeth安全的口令认证技术

-

-

-

-

动态口令●

动

态口

令：

一

般

采

用

双

运

算

因

子

的

计

算

方

式

，

也

就

是

加

密

算

法的

输

入

值

有

两

个

数

值，

其一

为

用

户

密

钥、

另

一

为

变

动

因

子

.一由于用户密钥为固定数值，

因此变动因子必须不断变动才可以算出不断变动的动态密码。一服务器及动态口令系统必须随时保持相同的变

动因子，才能算出相同的动态密码基于

动

态口令的身

份

认

证●

质

询

/

响

应

认

证(Challenge/Response)●

一

次

性口

令

(

OTP)质

询

/

响

应

认

证

协

议·Challenge

and

Response

HandshakeProtocol·Client和Serve

r共享一个密钥MAC的计算可以基于Hash算，对称密钥算法，公开密钥算法Login,IDcIDc,RIDc,MACOK/DisconnectMAC’=H(R,K)比较MAC’和MACMAC=H(R,K)CSID应

答

seed

+seqServer

OTPOTPToken确认Seq-1/rfcs/rfc1760.html一次性

口

令

认

证

(

OTP)·

S/Key●

SecurID利用单向Hash函数生成一次性口令序列，逆序使用/rfc/rfc2289.txtHash(Pass+seed)Hash(Pass+seed)OTP基

于

智

能

卡

认

证

方

式●

基于智能卡的认证可提供双重认证，即你所拥有

的

东

西

认

证

(

您

的

智

能

卡

)

和

你

所

知

道

的

东

西

认

证(

您的PIN

代

码

)●智能卡提高硬件保护措施和加密算法，可

以利用

这些功能加强安全性

能。●当前

比较

常

用

的

是

基

于USB接

口

的智

能

卡，UKEY.-UKey

是一种通过USB

(通用串行总线接口)直接与计算机相

连

、

具

有

密

码

验

证

功

能

、

可

靠

高

速

的

小

型

存

储设

备

。

UKey的

设

计

小

巧

精

致

、

携

带

方

便UKey

自身所具备的存贮器可以用来存储一些个人信息或证书，UKey的内部密码算法可以为数据传输提供安全的管道，

UKey是适用于单机或网络应用的安全防护产品。生

理

特

征

介

绍●

每个人所具有的唯一生理特征一指纹，视网膜，声音，视网膜、虹膜、语音、面部、签名等●

指

纹一一些曲线和分叉以及一些非常微小的特征；一提取指纹中的一些特征并且存储这些特征信息：节省

资源，快速查询；●手掌、

手型一手掌有折痕，起皱，还有凹槽；一还包括每个手指的指纹;一人手的形状(手的长度，宽度和手指)表示了手的几

何

特

征生

理

特

征

介

绍

(

续

)●视

网膜扫描一扫描眼球后方的视网膜上面的血管的图案；

●

虹

膜

扫

描一虹膜是眼睛中位于瞳孔周围的一圈彩色的部分；一虹膜有其独有的图案，

分叉，颜色，环状，光环以及

皱褶

；●语音识

别活

尧

时

说

石

个

不

同

留

果

测

品

签

后

识

别

委

器

酱

这

些

单

说

混

杂

在

一

起，

让

他

再

次

读出

给

出

的

一

素

列

单

词

。●

面

部

扫

描一人

都

有

不

同

的

骨

骼

结

构

，

鼻

梁

，

眼

眶

，

额

头

和

下

颚

形状

。指

纹

识

别●

历史悠久一考古证实，公元前7.00.0年到公元前60

.

00年，指纹作为身份鉴别

已在古中国和古叙利亚使用。从那时出土的粘土陶器上留有的陶艺匠人

的指纹，纸稿上印有的起草者的大拇指指纹，古城市的房屋留下的砖匠

一对大拇指指纹的印记中可以看出，指纹认证已被应用于当时社会的许

多领域里。19世

纪初

，

科

学

发

现

了

至

今

仍

被

承

认

的

指

纹

的

两

个

重

要

特

征

，

即

两个不同手指的指纹纹脊的式样不同，和指纹纹脊的式样终生不改变。这个有关指纹唯一性和终身不变性的研究成果在指纹鉴别犯罪中得到正式应用。-1.9世纪末到20世纪初，阿根廷、苏格兰等国相继将指纹识别技术应

用于罪犯鉴别。最初的指纹识别采用手工方法，即将指纹卡片存放在指纹库中，需要时在指纹库中人工查找由指纹专家比对指纹卡。20世纪60年代后，人们利用计算机代替了效率低、投入高的手工方式来处理指纹，个人电脑和光学扫描仪成为指纹取像工具。g

0年代后期，低价位取像设备的出现，为个人身份识别技术的发展提供了舞台。第一代指纹识别系统，属于光学识别系统，光学指纹识别系统由于光不能穿透皮肤表层(死性皮肤层),所以只能够扫描手指皮肤的表面，或者扫描到死性皮肤层，但不能深入真皮层。

在这种情况下，手指表面的干净程度，直接影响到识别的效果。如果，

用户手指上粘了较多的灰尘，可能就会出现识别出错的情况。并且，如果人们按照手指，做一个指纹手模，也可能通过识别系统，对于用户而言，这具有不安全性。第二代指纹识别系统，

采用了电容传感器技术，并采用了小信号来创建山脉状指纹图像的半导体设备。指纹识别器的电容传感器发出电子信

号，电子信号将穿过手指的表面和死性皮肤层，而达到手指皮肤的活体层(真皮层),直接读取指纹图案，从而大大提高了系统的安全性。已保存模板1K保存数据和比较模板1K提取特征指纹

识

别读取指纹图像小

结身份认证的途径●质询/响应认证方式t

t访

问

控

制

的

基

本

概

念●什么是访问控制●访问控制的基本模型●访问控制和其他安全机制的关系什

么

是

访

问

控

制●访问控制是网络安全防范和保护的主要核心策略，

它

的主要

任

务

是

保

证

网

络

资

源

不

被

非

法

使

用

和

访问

。●访

问控

制

规

定

了

主体

对

客

体

访

问

的

限

制

，

并

在

身份识别的基础上，根据身份对提出资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施

，

也

是计

算

机

系

统

最

重

要

和

最

基

础

的

安

全机

制

。访

问

控

制

的

基

本

概

念●

主

体(Subject)一主体是一个主动的实体，它提出对资源访问请求。如

用户，程序，进程等。●

客

体(Object)一含有被访问资源的被动实体，如网络、计算机、数据

库、文件、目录、计算机程序、

外设、网络。●授权(Authorization)一对资源的使用，读、写、修改、删除等操作，例如访

问

文

件

、

目

录

、

外

设

；

访

问

数

据

库

；

访个网站储

器

；问问访

问

控

制

的

基

本

概

念●访问可以被描述为一个三元组

(s,a,o

)一主体，发起者

：Subject,Initiator一客体，目

标:Object,

Target一访问操作

:AccessRead/Write/Exec访

问

控

制

模

型访问控制执行功能

客体主体

决策请求

决

策主体的访问

客体的访问控制信息

访问控制决策功能

控制信息访问控制政策规则

上下文信息(如时间，地址等)访问请求提交访问访问控制的基本概念●访问

控制

信

息

(ACI)的表

示一主体访问控制属性一客体访问控制属性一访问控制政策规则●授权

(

Authorization)一怎样把访问控制属性信息分配给主体或客体

一

如何浏览、修改、回收访问控制权限●

访问

控

制功

能

的

实

施一控制实施部件如何获得实体的访问控制信息

一

怎样执行(S,O,M)一

主体的集合

S={s₁

,Sz,…,Sm

}一

客体的集合

O={o₁

,0₂,…,

n

一

所有操作的集合

A={R,

'一

访问控制矩阵

M=访

问控制矩阵●

访

问控制机制可以用一个三元组来表示对

于

任

意

s,∈S,o

,

∈O

,存在a,∈

M

决定s,对C均的

操

作

。比

如

a,={R,W},a=φ·

矩

阵

的

的i行

S;表示了主体s;对所有客体的操作权

限，称为主体s;

的

能

力

表(Capability

List)·

矩阵的第j列0表示客体o;允许所有主体的操作，称

为o;的访问控制表(ACL)方问控制矩阵●能力表与主体关联，规定主体所能访问的客体和权限。●

表示形式：一用户Profile,由于客体相当多，分类复杂，不便于授权管理

一授权证书，

属性证书●从能力表得到一个主体所有的访问权限，很容易●从能力表浏览一个客体所允许的访问控制权限，很困难能

力

表(

Capability

List)O₅RWEO₁RWO₂RS;访问控制表(Access

ControlList)OS;

S₂S₅R

R

RW

WE●访问控制表与客体关联，规定能够访问它的主体和权限易分组，授权管难易容容困且很很而限限得权权少问问体访访客有的比所有般体体量主客单数●●●身份认证

访问控制主体审计Log●认

证、授

权、审

计(

AAA)授权(authorization)授权信息访问

控

制

与

其

他

安

全

机

制的

关

系客体访问控制与其他安全机制的关系●身分认证一

身份认证是访问控制的前提●

保

密

性一限制用户对数据的访问(读取操作),可以实现数据保密服务●完整性一限制用户对数据的修改(写操作),实现数据完整性保护●

可

用

性一

限制用户对资源的使用量，

保证系统的可用性●安全管理相关的活动一访问控制功能通常和审计、入侵检测联系在一起访问

控

制

政

策

模

型●

自主型访问控制(DAC)●强制型访问控制(MAC)●基于角色的访问控制(RBAC)访

问

控

制

的

一

般

策

略访问控制基于角色

访问控制自主访问控制强制访问控制自主型访问控制政策·DiscretionaryAccessControl

,DAC●每个客体有一个属主，

属主可以按照自己的

意愿把客体的访问控制

权限授予

其

他

主

体●

DAC

是一种分布式授权管理的模式●控制灵活，

易于管理，是目前应用最为普遍

的访问控制政策访

问

许

可●访问许可与访问模式描述了主体对客体所具有的

控制权与

访问权.一访问许可定义了改变访问模式的能力或向其它主体

传送这种能力的能力.一访问模式则指明主体对客体可进行何种形式的特定的访问操作：读\写\运行.问

控

制，

通

常

包

括目

录

式

访问

控

制，

访问控

制

表，

访问

控

制

矩

阵

等

方

式

。●自主访问控制包括身份型(Identity-based)访问控制和用户指定型(User-directed)访访

问

模

式Access

Mode●系统支持的最基本的保护客体：文件，对文件

的

访问模式

设

置

如

下

：(1)读-拷贝(Read-copy)(

2

)

写

-

删

除

(write-delete)(3

)

运

行(Execute)(4)无效(Null)基

于

个

人

的

策

略●根据哪些用户可对一个目标实施哪一种行为的列

表

来

表

示

。●等价于用一个目标的访问矩阵列来描述●基础(前提):一个隐含的、或者显式的缺省策略一例如，全部权限否决一最小特权原则：

要求最大限度地限制每个用户为实施

授权任务所需要的许可集合一在不同的环境下，缺省策略不尽相同，例如，在公开

的布告板环境中，所有用户都可以得到所有公开的信

息一对于特定的用户，有时候需要提供显式的否定许可

●例如，对于违纪的内部员工，禁止访问内部一些信息基

于

组

的

策

略●一组用户对于一个目标具有同样的访问许可。是

基于身份的策略的另一种情形·相当于，把访问矩阵中多个行压缩为一个行。·

实

际

使

用

时一先定义组的成员-对用户组授权一同一个组可以被重复使用一组的成员可以改变表

示

和

实

现●基于组的策略在表示和实现上更容易和更有效●在基于个人的策略中，对于系统中每一个需要保护的客体(I

为)

控问

，表中包括主体标识符客一D，●将属于同一部门或工作性质相同的人归为一组

(Group),

分配组名GN,

主体标识=ID1.GN●

对

客

体I张三.CRYPTO.re*.CRYPTO.re李四.CRYPTO.r*.*.nID1.reID2.rID3.eIdn.rew●

对

客

体I自主型访问控制(DAC

)●无法控

制

信

息

流

动一信息在移动过程中其访问权限关系会被改变。如用户A

可将其对目标O的访问权限传递给用户B,从

而使不具备对O

访问权限的B

可访问O。●

特洛

伊

木

马

的

威

胁一特洛伊木马

(Trojan)是一段计算机程序，它附在

合法程序的中

，执

行

一

些

非

法操

作

而

不被

用

户

发

现一个用户能读取某些数据，

然后他就可以把这些数据转发给其他原本没有这一权限的人。这是因为，

自主访问控制策略

本身没有对已经具有权限的用户如何使用和传播信息强加任

何限制。但在强制策略系统中，

高安全等级数据传播到低安全等级是受到限制的。在自主访问控制策略环境中，

为了保

证安全，默认参考设置是拒绝访问，

以提高信息的安全性。强

制

型

访问

控

制

(

MAC)

MandatoryAccessControl级别属性

，在

实

施

访

问

控

制

时

，

系

统

先

对

访

问

主

体和受控对象的安全级别属性进行比较，再决定

访

问主体

能

否访

问

该

受

控

对

象一

体和客体的安全级别满足一定规则时，才

-晃鼻轰青密个固定的安全级别，只有系统绝一密贫机修秘智密责普金●簪●·MAC是一种多级访问控制策略，它的主要特点是

，全系统事先

给访

问

主

体

和

受

控

对

象

分

配

不

同

的

安系统对访问主体和受控对象实行强制访问控制多级安全系统●多级安全系统将信息资源按照安全属性分级考虑，

安全类别有两种类型●一种是有层次的

安全

级

别

(Hierarchical

la密ssi

),(Top

Se

r

,S,

,R

,

(

Secr

：机密

级

别

(Confidential

),

限制

级

别●另一种是无层次的安全级别，不对主

体和客

体

按

照安全类别分类，

只是给出客体接受访问时可以

使用的规则和管理者。et)五级别U)Tet为c分级别fication(Restricted)和无级别级(Unclassified)强

制

访

问

策

略●将每个用户及文件赋于一个访问级别，如，最高秘

密

级(Top

Secret),秘密级(

Secret)

,

机

密

级(Confidential

)

及

无

级

别

级(Unclassified)。其级别为T>S>C>U,

系

统根据主体和客体的敏感标记来决定访问模式。访

d：

down):

用户级别大于文件级别的读操作

；一

上写

(

Write

up):

用户级别小于文件级别的写操作；作；ea括(r包一下写(Write

down):用户级别等于文件级别的写操依据Bell-Lapadula

安全模型所制定的原则是利用不上读/

不下写来保证数据的保密性。即不允许低信任级别的用户

读高敏感度的信息，

也不允许高敏感度的信息写入低敏感

度区域，禁止信息从高级别流向低级别。强制访问控制通

过这种梯度安全标签实现信息的单向流通.允许写允许写Secret禁止写Unclassified客体禁止读允许读Secret允许读UnclassifiedBell-Lapadula安全模型客体Top

Secret主体Top

Secret主体Top

SecretTop

SecretUnclassifiedUnclassifiedSecretSecretBiba

安主体Hi

ghintegrityMediumintegrityLowintegrity全

模

型主体Hi

ghintegrityMedium

integrityLowintegrity禁止写允许写允许写客体HighintegrityMedium

integrityLowintegrity●依据Biba

安全模型所制定的原则是利用不下读/不上写来

保

证

数

据的完

整

性。

在

实际

应

用中，完

整性保护主要是为了避免应用程序修改某些重要的系

统

程

序

或

系

统

数

据

库

。客体Hi

ghintegrityMedium

integrityLowintegrity允许读允许读禁止读自主/强制访问的问题●自

主

访问

控

制一配置的粒度小一配置的工作量大，效率低●

强

制

访问

控

制一配置的粒度大缺乏灵活性基

于

角

色

的

策

略·与现代的商业环境相结合的产物·基于角色的访问控制是一个复合的规则，可以被

认为是IBAC和RBAC的变体。一个身份被分配给

一

个

被

授

权的组

。·起源于UNIX系统或别的操作系统中组的概念·

10yearhistory·

责

任

分

离(separationofduties)·角色分层(role

hierarchies)·角色激活(roleactivation)·用户角色关系的约束(constraints

on

user/rolemembership)RBAC

模

型●

RBAC模型的基本思想是将访问许可权分配给一定的角色

，用户通过饰演不

同

的

角

色

获得

角

色所

拥有

的访

问许可权。●在很多实际应用中，用户并不是可以访问的客体

信息资源的所有者(这些信息属于企业或公司),

这样的话，访

问控制应

该基

于

员

工

的职

务而

不

是

基于员工在哪个组或是谁信息的所有者，即访问

控制是由各个用户在部门中所担任的角色来确定的

，一

校可以有教工、老师、学生和其他管理人

员等

角色例如，一个角

色

的

定

义●每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作●RBAC

从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角

色相联系，这点与传统的MAC和DAC

将权限直接

授予用户的方式不同；通过给用户分配合适的角

色，让用户与访问权限相联系。角色成为访问控

制中访问主体和受控对象之间的一座桥梁。●

集合一角色：

一组用户的集合+一组操作权限的集合的别用户区组的：与组色角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这

些操作集由系统管理员分配给角色。在下面的实例中，我们假设Tch1,Tch2,Tch3

.

…

…

Tchi

是对应的教师，Stud1,Stud2,Stud3…Studj是相应的学生，

Mng1,Mng2,Mng

3…

Mngk是教务处管理人员，的权限为

=查{

绩、

}

的成绩};用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的;程MNN={dMuhStTc一一角色的职能相匹配，这正是基于角色的访问控制(RBAC)

的根本特征，即：依据RBAC策略，系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，

一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。一教务管理人员的权限为MngMN={

查询、修改成绩、打印成绩清单}。那么,依据角色的不同，每个主体只能执行自己所制定的访问功能。角

色

的

特

点●●●

●角

色

的

特

点●系统管理员负责授予用户各种角色的成员资格或

撤消

某

用

户

具

有

的

某

个

角

色

。●例如学校新进一名教师Tchx

,那么系统管理员只需将Tch

x添加到教师这一角色的成员中即可，而无需对访问控制列表做改动。●同一个用户可以是多个角色的成员，即同一个用

户可以扮演多种角色，比如一个用户可以是老师，

同

时也可

以

作

为

进

修

的

学

生

。

同

样

，

一

个

角

色

可以拥有

多个

用

户

成

员

，

这

与

现

实

是

一

致

的

，一个人可以在同一部门中担任多种职务，而且担任相

同职

务

的

可

能

不

止

一

人

。

因

此RBAC

提供了一种描述用户和权限之间的多对多关系AcquireRoleRBAC

与

传

统

访

问

控

制

的

差