第六章訪問控制第六章訪問控制技術本章內(nèi)容6.1訪問控制的模型6.2訪問控制策略6.3訪問控制的實現(xiàn)6.4安全級別與訪問控制6.5訪問控制與授權6.6PMI6.1訪問控制的模型6.1.1自主訪問控制模型（DACModel）6.1.2強制訪問控制模型（MACModel）6.1.3基于角色的訪問控制模型（RBACModel）訪問控制的模式訪問控制模型：是一種從訪問控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。

訪問控制：主體依據(jù)某些控制策略或權限對客體本身或是其資源進行的不同授權訪問。訪問控制包括三個要素，即：主體、客體和控制策略。主體（Subject）主體：是指一個提出請求或要求的實體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。主體可以是用戶或其它任何代理用戶行為的實體（例如進程、作業(yè)和程序）。簡記為S廣義上講：主體可以是用戶所在的組織（以后稱為用戶組）、用戶本身，也可是用戶使用的計算機終端、卡機、手持終端（無線）等，甚至可以是應用服務程序程序或進程。客體（Object）客體：是接受其他實體訪問的被動實體,簡記為O。客體，可以被操作的信息、資源、對象例如：信息、文件、記錄等的集合體，網(wǎng)路上的硬件設施無線通信中的終端一個客體可以包含另外一個客體控制策略控制策略：是主體對客體的操作行為集和約束條件集,簡記為KS。控制策略：是主體對客體的訪問規(guī)則集規(guī)則集定義了：主體對客體的作用行為客體對主體的條件約束訪問策略體現(xiàn)了一種授權行為三個要素之間的行為關系訪問控制系統(tǒng)三個要素之間的行為關系三元組（S，O，P）S表示主體O表示客體P表示許可（控制策略）訪問控制關系示意圖對主體進行認證正常的請求信息主體通過驗證，才能訪問客體，但并不保證其有權限可以對客體進行操作。客體對主體的驗證一般會鑒別用戶的標識和用戶密碼對主體的具體約束由訪問控制表來控制實現(xiàn)。用戶標識（UID：UserIdentification）：一個用來鑒別用戶身份的字符串。每個用戶有且只能有唯一的一個用戶標識。用戶注冊進入系統(tǒng)必須提供用戶標識系統(tǒng)審查來確信當前用戶是對應用戶標識的那個用戶。多級安全信息系統(tǒng)多級安全信息系統(tǒng)：由于用戶的訪問涉及到訪問的權限控制規(guī)則集合，將敏感信息與通常資源分開隔離的系統(tǒng)。多級安全系統(tǒng)將信息資源按照安全屬性分級考慮，可分為兩種。兩種安全類別一種是有層次的安全級別（HierarchicalClassification），分為TS，S，C，RS，U5級絕密級別（TopSecret）秘密級別（Secret）機密級別（Confidential）限制級別（Restricted）無級別級（Unclassified）另一種是無層次的安全級別，不對主體和客體按照安全類別分類只是給出客體接受訪問時可以使用的規(guī)則和管理者。訪問控制內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證，然后是對控制策略的選用與管理，最后要對非法用戶或是越權操作進行管理。認證：主體對客體的識別認證和客體對主體檢驗認證。主體和客體的認證關系是相互的，主體也可能變成了客體，取決于當前實體的功能是動作的執(zhí)行者還是被執(zhí)行者。控制策略的具體實現(xiàn)：體現(xiàn)在如何設定規(guī)則集合，對信息資源的合法使用，考慮敏感資源的泄漏，不能越權審計：當管理員有操作賦予權，他有可能濫用這一權利，這是無法在策略中加以約束的。必須對這些行為進行記錄，從而達到威懾和保證訪問控制正常實現(xiàn)的目的。訪問控制模型訪問控制安全模型一般包括：主體、客體。為識別和驗證這些實體的子系統(tǒng)。控制實體間訪問的監(jiān)視器。建立規(guī)范的訪問控制模型，是實現(xiàn)嚴格訪問控制策略所必須的。

訪問控制模型20世紀70年代，Harrison等提出了HRU模型。1976年，Jones等人提出了Take-Grant模型。1985年，美國軍方提出可信計算機系統(tǒng)評估準則TCSEC，其中描述了兩種著名的訪問控制策略：自主訪問控制模型（DAC）強制訪問控制模型（MAC）1992年，F(xiàn)erraiolo等提出基于角色的訪問控制（RBAC）基于對象的訪問控制基于任務的訪問控制。后兩種考慮到網(wǎng)絡安全和傳輸流。6.1.1自主訪問控制模型自主訪問控制模型（DiscretionaryAccessControlModel，DACModel）根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶訪問策略規(guī)定的客體阻止非授權用戶訪問客體某些用戶把自己所擁有的訪問權限授予其它用戶自主訪問控制又稱為任意訪問控制。Linux，Unix、WindowsNT或是Server版本的操作系統(tǒng)都提供自主訪問控制的功能。自主訪問控制模型的實現(xiàn)：首先要對用戶的身份進行鑒別然后就可以按照訪問控制列表所賦予用戶的權限，允許和限制用戶使用客體的資源主體控制權限的修改通常由特權用戶（管理員）或是特權用戶組實現(xiàn)。自主訪問控制模型自主訪問控制模型的特點特點：授權的實施主體自主負責賦予和回收其他主體對客體資源的訪問權限。DAC模型一般采用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制信息，從而達到對主體訪問權限的限制目的任意訪問控制優(yōu)點：靈活的數(shù)據(jù)訪問方式缺點：DAC模型的安全防護相對較低，用戶可以任意傳遞權限6.1.2強制訪問控制模型強制訪問控制模型（MandatoryAccessControlModel,MACModel）發(fā)展：最初是為了實現(xiàn)比DAC更為嚴格的訪問控制策略，美國政府和軍方開發(fā)了各種各樣的控制模型，隨后得到廣泛的商業(yè)關注和應用。MAC與DAC的不同之處：DAC：用戶和客體資源都被賦予一定的安全級別，只有管理員才能夠確定用戶和組的訪問權限。MAC：是一種多級訪問控制策略，系統(tǒng)對訪問主體和受控對象實行強制訪問控制系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性在實施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進行比較，再決定訪問主體能否訪問該受控對象。MAC對訪問主體和受控對象標識兩個安全標記：一個是具有偏序關系的安全等級標記一個是非等級分類標記。主體和客體在分屬不同的安全類別時，用SC表示它們構(gòu)成的一個偏序關系，比如：TS絕密級比密級S高，當主體S的安全類別為TS

客體O的安全類別為S時用偏序關系可以表述為SC(S)≥SC(O)。強制訪問控制模型主體對客體的訪問根據(jù)偏序關系，主體對客體的訪問主要有4種方式：（1）向下讀（rd，readdown）主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；（2）向上讀（ru，readup）主體安全級別低于客體信息資源的安全級別時允許的讀操作；（3）向下寫（wd，writedown）主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；（4）向上寫（wu，writeup）主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。MAC模型Lattice模型Bell-LaPadula模型Biba模型23由于MAC通過分級的安全標簽實現(xiàn)了信息的單向流通，因此它一直被軍方采用，其中最著名的是Bell-LaPadula模型和Biba模型Bell-LaPadula模型具有只允許向下讀、向上寫的特點，可以有效地防止機密信息向下級泄露Biba模型則具有不允許向下讀、向上寫的特點，可以有效地保護數(shù)據(jù)的完整性。

24Bell-LaPadula模型（BLPModel）BLP[BellandLaPadula，1976]模型是典型的信息保密性多級安全模型，主要應用于軍事系統(tǒng)。Bell-LaPadula模型是處理多級安全信息系統(tǒng)的設計基礎，客體在處理絕密級數(shù)據(jù)和秘密級數(shù)據(jù)時，要防止處理絕密級數(shù)據(jù)的程序把信息泄露給處理秘密級數(shù)據(jù)的程序。BLP模型的出發(fā)點是維護系統(tǒng)的保密性，有效地防止信息泄露25BLP模型的安全策略包括：強制訪問控制中的安全特性要求對給定安全級別的主體，僅被允許對同一安全級別和較低安全級別上的客體進行“讀”；對給定安全級別上的主體，僅被允許向相同安全級別或較高安全級別上的客體進行“寫”任意訪問控制允許用戶自行定義是否讓個人或組織存取數(shù)據(jù)Bell-LaPadula模型用偏序關系可以表示為（1）rd，當且僅當SC(s)≥SC(o)，允許讀操作（2）wu，當且僅當SC(s)≤SC(o)，允許寫操作。26BLP控制模型的特點有效防止低級用戶和進程訪問安全級別比他們高的信息資源安全級別高的用戶和進程也不能向比他安全級別低的用戶和進程寫入數(shù)據(jù)。BLP模型建立的訪問控制原則（1）無上讀（2）無下寫27BLP控制模型的不足BLP模型“只能向下讀、向上寫”的規(guī)則忽略了完整性的重要安全指標，使非法、越權篡改成為可能BLP模型定義了安全性屬性，即以一組規(guī)則表示什么是一個安全的系統(tǒng)，盡管這種基于規(guī)則的模型比較容易實現(xiàn)，但是它不能更一般地以語義的形式闡明安全性的含義，因此，這種模型不能解釋主客體框架以外的安全性問題。28BLP控制模型的不足例如，在一種遠程讀的情況下，一個高安全級主體向一個低安全級客體發(fā)出遠程讀請求，這種分布式讀請求可以被看作是從高安全級向低安全級的一個消息傳遞，也就是“向下寫”。另一個例子是如何處理可信主體的問題，可信主體可以是管理員或是提供關鍵服務的進程，像設備驅(qū)動程序和存儲管理功能模塊，這些可信主體若不違背BLP模型的規(guī)則就不能正常執(zhí)行它們的任務，而BLP模型對這些可信主體可能引起的泄露危機沒有任何處理和避免的方法29Biba模型（BibaModel）BLP模型的問題BLP模型只解決了信息的保密問題，其在完整性定義存在方面有一定缺陷BLP模型沒有采取有效的措施制來約對信息的非授權修改，因此使非法、越權篡改成為可能Biba模型模仿BLP模型的信息保密性級別，定義了信息完整性級別，在信息流向的定義方面不允許從級別低的進程到級別高的進程，也就是說用戶只能向比自己安全級別低的客體寫入信息，從而防止非法用戶創(chuàng)建安全級別高的客體信息，避免越權、篡改等行為的產(chǎn)生。30Biba控制模型的具體實現(xiàn)Biba模型禁止向上“寫”，這樣使得完整性級別高的文件是一定由完整性高的進程所產(chǎn)生的，從而保證了完整性級別高的文件不會被完整性低的文件或完整性低的進程中的信息所覆蓋。沒有下“讀”用偏序關系可以表示為：ru，當且僅當SC(s)≤SC(o)，允許讀操作wd，當且僅當SC(s)≥SC(o)，允許寫操作31Biba控制模型的特點Biba模型可同時針對有層次的安全級別和無層次的安全種類Biba模型是和BLP模型的相對立的模型，Biba模型改正了被BLP模型所忽略的信息完整性問題，但在一定程度上卻忽視了保密性。MAC和DACMAC模型和DAC模型屬于傳統(tǒng)的訪問控制模型。MAC和DAC在實現(xiàn)上通常為每個用戶賦予對客體的訪問權限規(guī)則集用戶自主地把自己所擁有的客體的訪問權限授予其它用戶缺點：系統(tǒng)管理員的工作將變得非常繁重，容易發(fā)生錯誤、安全漏洞。引入新的機制加以解決，即基于角色的訪問控制模型。6.1.3基于角色的訪問控制模型角色（Role）：一個可以完成一定事務的命名組，不同的角色通過不同的事務來執(zhí)行各自的功能。事務（Transaction）：一個完成一定功能的過程，可以是一個程序或程序的一部分。角色是代表具有某種能力的人或是某些屬性的人的一類抽象角色和組的主要區(qū)別在于：用戶屬于組是相對固定的。用戶能被指派到哪些角色則受時間、地點、事件等諸多因素影響。角色比組的抽象級別要高。基于角色的訪問控制模型基于角色的訪問控制模型RBAC基于角色的訪問控制模型（Role-basedAccessModel，RBACModel）的基本思想：將訪問許可權分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。訪問控制應該基于員工的職務，而不是基于員工在哪個組或誰是信息的所有者即訪問控制是由各個用戶在部門中所擔任的角色來確定的，例如，一個學校可以有教工、老師、學生和其他管理人員等角色。RBAC從控制主體的角度出發(fā)根據(jù)管理中相對穩(wěn)定的職權和責任來劃分角色，將訪問權限與角色相聯(lián)系這點與傳統(tǒng)的MAC和DAC將權限直接授予用戶的方式不同；通過給用戶分配合適的角色，讓用戶與訪問權限相聯(lián)系。基于角色的訪問控制模型RBAC基于角色的訪問控制模型角色可以看作是一組操作的集合

假設：Tch1，Tch2，Tch3,…,Tchi——教師Stud1,Stud2,Stud3,…,Studj——學生Mng1,Mng2,Mng3,…,Mngk——教務處管理人員對應的權限老師的權限為TchMN={查詢成績、上傳所教課程的成績}；學生的權限為StudMN={查詢成績、反映意見}；教務管理人員的權限為MngMN={查詢、修改成績、打印成績清單}。執(zhí)行的操作與其所扮演的角色的職能相匹配，不同的用戶根據(jù)其職能和責任被賦予相應的角色。基于角色的訪問控制模型系統(tǒng)管理員負責授予用戶各種角色的成員資格或撤消某用戶具有的某個角色。例如學校新教師Tchx，只需將Tchx添加到教師這一角色的成員中，無需對訪問控制列表做改動。同一個用戶可扮演多種角色，比如可以是老師，同時也可以作為進修的學生。RBAC提供了一種描述用戶和權限之間的多對多關系；基于角色的訪問控制模型RBAC簡化了權限設置的管理，是實施面向企業(yè)的安全策略的一種有效的訪問控制方式具有靈活性、方便性和安全性的特點目前在大型數(shù)據(jù)庫系統(tǒng)的權限管理中得到普遍應用。RBAC與DAC的區(qū)別：用戶不能自主地將訪問權限授給別的用戶所在。用戶與客體無直接聯(lián)系，橋梁是角色，只有系統(tǒng)管理員有權定義和分配角色。RBAC與MAC的區(qū)別在于：MAC是基于多級安全需求的，而RBAC則不是。上述幾個訪問控制模型的缺點上述幾個訪問控制模型的缺點：控制環(huán)境是靜態(tài)的：都是從系統(tǒng)的角度出發(fā)去保護資源，沒有考慮上下文環(huán)境。組織任務與服務相關的信息進一步自動化，需要隨著任務的執(zhí)行而進行動態(tài)授權的保護上。權限沒有時間限制：只要主體擁有對客體的訪問權限，主體就可以無數(shù)次地執(zhí)行該權限。41

基于任務的訪問控制模型基于任務的訪問控制模型TBACModel，Task-basedAccessControlModel是從應用和企業(yè)層角度來解決安全問題，以為面向任務的觀點，從任務（活動）的角度來建立安全模型和實現(xiàn)安全機制，在任務處理的過程中提供動態(tài)實時的安全管理。

42

基于任務的訪問控制模型TBAC模型由由工作流、授權結(jié)構(gòu)體、受托人集、許可集四部分組成在TBAC中，對象的訪問權限控制并不是靜止不變的，而是隨著執(zhí)行任務的上下文環(huán)境發(fā)生變化。在工作流環(huán)境中，數(shù)據(jù)的處理與上一次的處理相關聯(lián)，相應的訪問控制也如此，因而TBAC是一種上下文相關的訪問控制模型。TBAC不僅能對不同工作流實行不同的訪問控制策略，而且還能對同一工作流的不同任務實例實行不同的訪問控制策略。TBAC是基于任務的，這也表明，TBAC是一種基于實例（instance-based）的訪問控制模型。43

基于任務的訪問控制模型TBAC從工作流中的任務角度建模，可以依據(jù)任務和任務狀態(tài)的不同，對權限進行動態(tài)管理TBAC非常適合分布式計算和多點訪問控制的信息處理控制以及在工作流、分布式處理和事務管理系統(tǒng)中的決策制定44基于對象的訪問控制模型當用戶數(shù)量多、處理的信息數(shù)據(jù)量巨大時，用戶權限的管理任務將變得十分繁重，并且用戶權限難以維護，這就降低了系統(tǒng)的安全性和可靠性對于海量的數(shù)據(jù)和差異較大的數(shù)據(jù)類型，需要用專門的系統(tǒng)和專門的人員加以處理，要是采用RBAC模型的話，安全管理員除了維護用戶和角色的關聯(lián)關系外，還需要將龐大的信息資源訪問權限賦予有限個角色。45基于對象的訪問控制模型當信息資源的種類增加或減少時，安全管理員必須更新所有角色的訪問權限設置；如果受控對象的屬性發(fā)生變化，同時需要將受控對象不同屬性的數(shù)據(jù)分配給不同的訪問主體處理時，安全管理員將不得不增加新的角色，并且還必須更新原來所有角色的訪問權限設置以及訪問主體的角色分配設置，這樣的訪問控制需求變化往往是不可預知的，造成訪問控制管理的難度和工作量巨大。在這種情況下，有必要引入基于受控對象的訪問控制模型。

46基于對象的訪問控制模型基于對象的訪問控制OBACModel：Object-basedAccessControlModel控制策略和控制規(guī)則是OBAC訪問控制系統(tǒng)的核心所在，在基于受控對象的訪問控制模型中，將訪問控制列表與受控對象或受控對象的屬性相關聯(lián)，并將訪問控制選項設計成為用戶、組或角色及其對應權限的集合允許對策略和規(guī)則進行重用、繼承和派生操作不僅可以對受控對象本身進行訪問控制，受控對象的屬性也可以進行訪問控制，而且派生對象可以繼承父對象的訪問控制設置，這對于信息量巨大、信息內(nèi)容更新變化頻繁的管理信息系統(tǒng)非常有益，可以減輕由于信息資源的派生、演化和重組等帶來的分配、設定角色權限等的工作量。47基于對象的訪問控制模型從信息系統(tǒng)的數(shù)據(jù)差異變化和用戶需求出發(fā)，地解決了信息數(shù)據(jù)量大、數(shù)據(jù)種類繁多、數(shù)據(jù)更新變化頻繁的大型管理信息系統(tǒng)的安全管理OBAC從受控對象的角度出發(fā)，將訪問主體的訪問權限直接與受控對象相關聯(lián)定義對象的訪問控制列表，增、刪、修改訪問控制項易于操作當受控對象的屬性發(fā)生改變，或受控對象發(fā)生繼承和派生時，無須更新訪問主體的權限，只要修改受控對象的相應訪問控制項即可，減少了訪問主體的權限管理，降低了授權數(shù)據(jù)管理的復雜性6.2訪問控制策略6.2.1安全策略6.2.2基于身份的安全策略6.2.3基于規(guī)則的安全策略6.2.1安全策略安全策略建立的需要和目的安全的領域非常廣泛繁雜，構(gòu)建一個可以抵御風險的安全框架涉及很多細節(jié)。如果能夠提供一種恰當?shù)摹⒎习踩枨蟮恼w思路，也更加有明確的前進方向。恰當?shù)陌踩呗躁P注的核心集中到最高決策層認為必須注意的方面。一種安全策略實質(zhì)上表明：必須明確在安全領域的范圍內(nèi)，什么操作是明確允許的，什么操作是一般默認允許的，什么操作是明確不允許的，什么操作是默認不允許的。不要求安全策略作出具體的措施規(guī)定以及何種方式但應該向安全構(gòu)架的實際搭造者們指出在當前的前提下，什么因素和風險才是最重要的。

安全策略的實施原則圍繞主體、客體和安全控制規(guī)則集三者之間的關系展開的。①最小特權原則：最小特權原則是指主體執(zhí)行操作時，按照主體所需權利的最小化原則分配給主體權力。優(yōu)點：是最大限度地限制了主體實施授權行為，可以避免來自突發(fā)事件、錯誤和未授權用主體的危險。②最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原則分配給主體權力。③多級安全策略：多級安全策略是指主體和客體間的數(shù)據(jù)流向和權限控制按照安全級別的絕密（TS）、秘密（S）、機密（C）、限制（RS）和無級別（U）5級來劃分。優(yōu)點：避免敏感信息的擴散，只有安全級別比他高的主體才能夠訪問。安全策略的具體含義和實現(xiàn)安全策略的前提是具有一般性和普遍性安全策略的最主要的問題：如何能使安全策略的這種普遍性和所要分析的實際問題的特殊性相結(jié)合。控制策略的制定是一個按照安全需求、依照實例不斷精確細化的求解過程。設計者要考慮到實際應用的前瞻性，有時候并不知道這些具體的需求與細節(jié)是什么；為了能夠描述和了解這些細節(jié)，就需要在安全策略的指導下,對安全涉及到的領域和相關做細致的考查和研究。1989年12月國際標準化組織（ISO）頒布了該標準的第二部分，即ISO7498-2，并首次確定了開放系統(tǒng)互連（OSI）參考模型的信息安全體系結(jié)構(gòu)。按照ISO7498-2中OSI安全體系結(jié)構(gòu)中的定義，訪問控制的安全策略有以下兩種實現(xiàn)方式：基于身份的安全策略，等同于DAC安全策略基于規(guī)則的安全策略，等同于MAC安全策略。6.2.2基于身份的安全策略基于身份的安全策略（Identification-basedAccessControlPolicies,IDBACP）的目的是過濾對數(shù)據(jù)或資源的訪問，只有能通過認證的那些主體才有可能正常使用客體的資源。基于身份的策略包括基于個人的策略基于組的策略。基于個人的策略基于個人的策略：是指以用戶為中心建立的一種策略，這種策略由一些列表來組成，這些列表限定了針對特定的客體，哪些用戶可以實現(xiàn)何種策操作行為。

對文件2而言，授權用戶B有只讀的權利，授權用戶A則被允許讀和寫；對授權用戶N而言，具有對文件1、2和文件N的讀寫權利。基于組的策略基于組的策略是基于個人的策略的擴充，指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體。基于身份的安全策略有兩種基本的實現(xiàn)方法：能力表和訪問控制列表。6.2.3基于規(guī)則的安全策略基于規(guī)則的安全策略中，授權依賴于敏感性。在實現(xiàn)上，系統(tǒng)比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶可以進行訪問。6.3訪問控制的實現(xiàn)6.3.1訪問控制的實現(xiàn)機制6.3.2訪問控制表6.3.3訪問控制矩陣6.3.4訪問控制能力列表6.3.5訪問控制安全標簽列表6.3.6訪問控制實現(xiàn)的具體類別 6.3.1訪問控制的實現(xiàn)機制實現(xiàn)訪問控制的要求：保證授權用戶使用的權限與其所擁有的權限對應制止非授權用戶的非授權行為保證敏感信息的交叉感染。

以文件的訪問控制為例做具體說明：用戶訪問信息資源（文件或是數(shù)據(jù)庫），可能的行為有：讀R、寫W和管理O(own)6.3.3訪問控制矩陣訪問控制矩陣（AccessControlMatrix,ACM）是通過矩陣形式表示訪問控制規(guī)則和授權用戶權限的方法；主體——擁有對哪些客體的哪些訪問權限；客體——有哪些主體對他可以實施訪問其中，特權用戶或特權用戶組可以修改主體的訪問控制權限。缺點：如果用戶和文件系統(tǒng)要管理的文件很多，那么控制矩陣將會成幾何級數(shù)增長，這樣對于增長的矩陣而言，會有大量的空余空間。6.3.2訪問控制表訪問控制表（AccessControlLists,ACLs）是以文件為中心建立的訪問權限表。目前，大多數(shù)PC、服務器和主機都使用ACLs作為訪問控制的實現(xiàn)機制。6.3.4訪問控制能力列表能力：請求訪問的發(fā)起者所擁有的一個有效標簽（ticket），它授權標簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力（ACCL）表是以用戶為中心建立訪問權限表。

ACCLs的實現(xiàn)與ACLs正好相反。6.3.5訪問控制安全標簽列表安全標簽：限制和附屬在主體或客體上的一組安全屬性信息。訪問控制標簽列表（AccessControlSecurityLabelsLists,ACSLLs）是限定一個用戶對一個客體目標訪問的安全屬性集合。假設用戶UserA為S，UserA請求訪問File2時，S<TS，訪問被拒絕UserA請求訪問FileN時，S>C，允許訪問。安全標簽能對敏感信息加以區(qū)分，這樣就可以對用戶和客體資源強制執(zhí)行安全策略，因此，強制訪問控制經(jīng)常會用到這種實現(xiàn)機制。6.3.6訪問控制實現(xiàn)的具體類別訪問控制的主要任務：維護網(wǎng)絡系統(tǒng)安全、保證網(wǎng)絡資源不被非法使用和非常訪問。技術實現(xiàn)上包括：（1）接入訪問控制（2）資源訪問控制（3）網(wǎng)絡端口和節(jié)點的訪問控制接入訪問控制接入訪問控制為網(wǎng)絡訪問提供第一層訪問控制控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源控制準許用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。對合法用戶的驗證——用戶名和口令的認證方式可分為三個步驟：用戶名的識別與驗證用戶口令的識別與驗證用戶賬號的缺省限制檢查。資源訪問控制資源訪問控制是指對客體整體資源信息的訪問控制管理。其中包括文件系統(tǒng)的訪問控制（文件目錄訪問控制和系統(tǒng)訪問控制）文件屬性訪問控制信息內(nèi)容訪問控制。文件目錄訪問控制：用戶和用戶組被賦予一定的權限，哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，執(zhí)行何種操作。系統(tǒng)訪問控制：網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限應設置口令鎖定服務器控制臺應設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔應對網(wǎng)絡實施監(jiān)控、報警等。網(wǎng)絡端口和節(jié)點的訪問控制網(wǎng)絡中的節(jié)點和端口加密傳輸數(shù)據(jù)，其位置的管理必須防止黑客發(fā)動的攻擊。6.4安全級別與訪問控制訪問控制的具體實現(xiàn)與安全的級別聯(lián)系在一起的安全級別有兩個含義：一個是主客體信息資源的安全類別，分為：有層次的安全級別、無層次的安全級別；一個是訪問控制系統(tǒng)實現(xiàn)的安全級別，分為4級：D、C（C1、C2）、B（B1、B2、B3）和A計算機系統(tǒng)的安全級別介紹1.D級別D級別是最低的安全級別。系統(tǒng)的訪問控制沒有限制，無需登陸系統(tǒng)就可以訪問數(shù)據(jù)。這個級別的系統(tǒng)包括DOS，WINDOWS98等。計算機系統(tǒng)的安全級別介紹2.C級別，有兩個子系統(tǒng)，C1和C2C1級稱為選擇性保護級，可以實現(xiàn)自主安全防護，對用戶和數(shù)據(jù)進行分離，保護或限制用戶權限的傳播。C2級具有訪問控制環(huán)境的權力，比C1的訪問控制劃分的更為詳細，能夠?qū)崿F(xiàn)受控安全保護、個人賬戶管理、審計和資源隔離。這個級別的系統(tǒng)包括Unix、Linux和WindowsNT系統(tǒng)。C級別的安全策略主要是自主存取控制，可以實現(xiàn)①保護數(shù)據(jù)確保非授權用戶無法訪問；②對存取權限的傳播進行控制；③個人用戶數(shù)據(jù)的安全管理。計算機系統(tǒng)的安全級別介紹3.B級別，提供強制性安全保護和多級安全

B級別包括B1、B2和B33個級別。B級安全級別可實現(xiàn)自主存取控制和強制存取控制，包括：①所有敏感標識控制下的主體和客體都有標識；②安全標識對普通用戶是不可變更的；③可以審計：任何試圖違反可讀輸出標記的行為；授權用戶提供的無標識數(shù)據(jù)的安全級別和與之相關的動作；信道和I/O設備的安全級別的改變；用戶身份和與相應的操作；④維護認證數(shù)據(jù)和授權信息；⑤通過控制獨立地址空間來維護進程的隔離。計算機系統(tǒng)的安全級別介紹4.A級別，驗證設計級（VerityDesign）目前最高的安全級別；安全的設計必須給出形式化設計說明和驗證；需要有嚴格的數(shù)學推導過程；包含秘密信道和可信分布的分析，也就是說要保證系統(tǒng)的部件來源有安全保證。例如對這些軟件和硬件在生產(chǎn)、銷售、運輸中進行嚴密跟蹤和嚴格的配置管理，以避免出現(xiàn)安全隱患。6.5訪問控制與授權6.5.1授權行為6.5.2信任模型6.5.3信任管理系統(tǒng) 6.5.1授權行為授權是資源的所有者或者控制者準許他人訪問這種資源，這是實現(xiàn)訪問控制的前提。對于簡單的個體和不太復雜的群體：可以考慮基于個人和組的授權。對于一個大型跨國集團時：如何通過正常的授權以便保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問控制的權限，這是一個復雜的問題。授權表示的是一種信任關系，需要建立一種模型對這種關系進行描述。本節(jié)將闡述信任模型的建立與信任管理。6.5.2信任模型概念和定義信任模型（TrustModel）：建立和管理信任關系的框架。信任關系：客體對主體是信任的：如果主體能夠符合客體所假定的期望值。信任關系可以使用期望值來衡量，并用信任度表示。信任域：主客體間建立信任關系的范疇，信任域是服從于一組公共策略的系統(tǒng)集。信任模型信任模型有3種基本類型：層次信任模型網(wǎng)狀信任模型對等信任模型。層次信任模型建立層次信任模型的基礎是所有的信任用戶都有一個可信任根。層次信任關系是一種鏈式的信任關系，比如可信任實體A1可以表示為這樣一個信任鏈：（R，C1，A1），A1向上回溯到產(chǎn)生他的信任根R。雙向信任的模型，Ai和Bj都基于可信任根R，容易建立信任關系的很容易根節(jié)點R作為信任的起點，也就是信任源，又稱為信任錨。信任源負責下屬的信任管理，下屬再負責下面一層的信任管理，這種管理方向是不可逆的。層次信任模型優(yōu)點：結(jié)構(gòu)簡單，管理方面，易于實現(xiàn)。缺點：是Ai和Xk的信任通過根實現(xiàn)，信任根出現(xiàn)問題，那么信任的整個鏈路就被破壞了。現(xiàn)實世界中，往往建立一個統(tǒng)一信任的根是困難的。對于不在一個信任域中的兩個實體如何來建立信任關系？層次模型的適用范圍：層次信任模型適用于孤立的、層狀的企業(yè)，對于有組織邊界交叉的企業(yè)，要應用這種模型是很困難的。對等信任模型對等信任模型：兩個或兩個以上對等的信任域間建立的信任關系。對等信任關系相對靈活，可解決任意已經(jīng)建立信任關系的兩個信任模型之間的交互信任。A1和X1的信任關系要通過對等信任域R1和R2的相互認證才能實現(xiàn)，因此這種信任關系在PKI領域中又叫做交叉認證。兩個實體間是對等的關系，既是被驗證的主體，又是進行驗證的客體。網(wǎng)狀信任模型網(wǎng)狀信任模型是對等信任模型的擴充。因為沒有必要在任意兩個對等的信任域建立交叉認證，完全可以通過建立一個網(wǎng)絡拓撲結(jié)構(gòu)的信任模型來實現(xiàn)。R1，R2～R11是不同的信任域，之間的信任關系用實線箭頭表示。R1和R5信任域下的主體A和B間可以建立的信任鏈共有3條。6.5.3信任管理系統(tǒng)闡述信任模型很容易產(chǎn)生一個問題，這就是在實際中是由誰在管理信任？如果我們就是信任中的主體，我們憑什么信任他們？這就是信任管理需要解決的問題。信任管理包含了兩個方面，一個是對于信任鏈的維護與管理二個是對信任域間信任關系的管理與維護。信任域的管理通常由認證機構(gòu)來負責。6.6PKI與PMI的關系6.6.1授權管理6.6.2屬性證書6.6.3PMI結(jié)構(gòu)模型6.6.1授權管理PMI即是特權管理基礎設施，PMI授權技術主要解決有效授權問題。PMI授權技術提供：在分布式計算環(huán)境中的訪問控制功能將訪問控制機制從具體應用系統(tǒng)中分離出來，使得訪問控制機制和應用系統(tǒng)之間能靈活而方便的結(jié)合。PMI授權技術的核心思想：是以資源管理為核心，將對資源的訪問控制權統(tǒng)一交由授權機構(gòu)進行管理，即由資源的所有者來進行訪問控制。PKI與PMI的關系同PKI的區(qū)別：PKI證明用戶是誰，并將用戶的身份信息保存在用戶的公鑰證書中；PMI證明這個用戶有什么權限，什么屬性，能干什么，并將用戶的屬性信息保存在授權證書（又稱授權證書）中。PMI的最終目標：就是提供一種有效的體系結(jié)構(gòu)來管理用戶的屬性。這包括兩個方面的含義：PMI保證用戶獲取他們有權獲取的信息、做他們有權限進行的操作；PMI應能提供跨應用、跨系統(tǒng)、跨企業(yè)、跨安全域的用戶屬性的管理和交互手段。PKI與PMI的關系（續(xù)）PMI建立在PKI提供的可信的身份認證服務的基礎上，以屬性證書的形式實現(xiàn)授權的管理。PMI體系和模型的核心內(nèi)容：是實現(xiàn)屬性證書的有效管理，包括屬性證書的產(chǎn)生、使用、吊銷、失效等。PKI與PMI的關系在一個應用系統(tǒng)中，授權必須以身份認證為基礎，沒有經(jīng)過身份認證的訪問控制是沒有任何意義的。PMI與PKI的關聯(lián)：屬性權威可以在屬性證書中綁定用戶身份證書的有效信息實現(xiàn)，使PKI/PMI體系的基礎設施為信息安全建設提供一個通用的安全平臺。在一個PKI/PMI的安全平臺中，PKI是PMI的基礎，為PMI授權提供了身份認證服務，PMI是PKI的有益的補充，在身份認證的基礎上進一步管理用戶的權限屬性。6.6.2屬性證書在PKI/PMI體系中存在兩種證書：公鑰證書PKC：為了保證用戶身份和公鑰的可信度，將兩者進行捆綁，并由可信的第三方CA——證書的權威機構(gòu)簽名的數(shù)據(jù)結(jié)構(gòu)，即為公鑰證書。PKI主要作用：身份認