訪(fǎng)問(wèn)控制——推薦

1、訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制基礎(chǔ)理解訪(fǎng)問(wèn)控制的概念、作用及訪(fǎng)冋控制模型的概念訪(fǎng)問(wèn)控制基礎(chǔ)什么是訪(fǎng)問(wèn)控制為用戶(hù)對(duì)系統(tǒng)資源提供最大限度共享的基礎(chǔ)上，對(duì)用戶(hù)的訪(fǎng)問(wèn)權(quán)進(jìn)行管理，防止對(duì)信息的非授權(quán)篡改和濫用訪(fǎng)問(wèn)控制作用保證用戶(hù)在系統(tǒng)安全策略下正常工作拒絕非法用戶(hù)的非授權(quán)訪(fǎng)問(wèn)請(qǐng)求拒絕合法用戶(hù)越權(quán)的服務(wù)請(qǐng)求訪(fǎng)問(wèn)控制模型基本概念個(gè)信息系統(tǒng)在進(jìn)行安全設(shè)計(jì)和開(kāi)發(fā)時(shí)，必須滿(mǎn)足某一給定的安全策略，即有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)則和實(shí)施細(xì)則。訪(fǎng)問(wèn)控制模型是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單抽象和無(wú)歧義的描述，可以是非形式化的，也可以是形式化的，它綜合了各種因素，包括系統(tǒng)的使用方式、使用環(huán)境、授權(quán)的定義、共亨的資源和

2、受控思想等訪(fǎng)問(wèn)控制特點(diǎn)訪(fǎng)問(wèn)控制模型通過(guò)對(duì)主體的識(shí)別來(lái)限制對(duì)客體的訪(fǎng)問(wèn)權(quán)限，具有以下三個(gè)特點(diǎn)精確的、無(wú)歧義的簡(jiǎn)單的、抽象的，容易理解只涉及安全性質(zhì)，不過(guò)多牽扯系統(tǒng)的功能或其實(shí)現(xiàn)細(xì)節(jié)?；靖拍钪黧w是使信息在客體間流動(dòng)的一種實(shí)體、通常是指人、進(jìn)程或設(shè)備等?？腕w是種信息實(shí)體，或者是從其它主體或客體接收信息的實(shí)體。舉例對(duì)文件進(jìn)行操作的用戶(hù)用戶(hù)調(diào)度并運(yùn)行的某個(gè)進(jìn)程調(diào)度一個(gè)例程的設(shè)備客體舉例數(shù)據(jù)塊、存儲(chǔ)頁(yè)、文件、目錄、程序在系統(tǒng)中，文件是一個(gè)處理單位的最小信息集合，每一個(gè)文件就是一個(gè)客體，如果每個(gè)文件還可以分成若干小塊，而每個(gè)小塊又可以單獨(dú)處理，那么每個(gè)小塊也是一個(gè)客體主體與客體關(guān)系主體接收客體相關(guān)信息和數(shù)

3、據(jù)，也可能改變客體相關(guān)信息。個(gè)主體為了完成任務(wù)，可以創(chuàng)建另外的主體，這些子主體可以獨(dú)立運(yùn)行，并由父主體控制它們客體始終是提供、駐留信息或數(shù)據(jù)的實(shí)體。主體和客體的關(guān)系是相對(duì)的，角色可以互換。訪(fǎng)問(wèn)權(quán)限訪(fǎng)問(wèn)權(quán)限是指主體對(duì)客體所執(zhí)行的操作。文件是系統(tǒng)支持的最基本的保護(hù)客體常見(jiàn)文件訪(fǎng)問(wèn)模式有：讀：允許主體對(duì)客體進(jìn)行讀訪(fǎng)問(wèn)操作寫(xiě)：允許主體對(duì)客體進(jìn)行修改，包括擴(kuò)展、收縮及刪除；執(zhí)行：允許主體將客體作為一種可運(yùn)行文件而運(yùn)行拒絕訪(fǎng)問(wèn)：主體對(duì)客體不具有任何訪(fǎng)問(wèn)權(quán)限訪(fǎng)問(wèn)控制的實(shí)施一般包括兩個(gè)步驟第一步鑒別主體的合法身份；第二步根據(jù)當(dāng)前系統(tǒng)的訪(fǎng)問(wèn)控制規(guī)則授予用戶(hù)相應(yīng)的訪(fǎng)問(wèn)權(quán)限訪(fǎng)問(wèn)控制過(guò)程如下圖所示。l:體訪(fǎng)何栓利實(shí)施

4、f客體訪(fǎng)問(wèn)控制決策自主訪(fǎng)問(wèn)控制模型理解自主訪(fǎng)問(wèn)控制模型相關(guān)概念及模型特點(diǎn)理解訪(fǎng)問(wèn)控制列表與訪(fǎng)問(wèn)能力表實(shí)現(xiàn)訪(fǎng)問(wèn)控制功能的區(qū)別。自主訪(fǎng)問(wèn)控制模型自主訪(fǎng)問(wèn)控制自主訪(fǎng)問(wèn)控制(DiscretionaryAccessControl,DAC)資源的所有者，往往也是創(chuàng)建者，可以規(guī)定誰(shuí)有權(quán)訪(fǎng)問(wèn)它們的資源。DAC可為用戶(hù)提供靈活調(diào)整的安全策略，具有較好的易用性和可擴(kuò)展性，具有某種訪(fǎng)可能力的主體能夠自主地將訪(fǎng)問(wèn)權(quán)的某個(gè)子集授予其它主體。DAC常用于多種商業(yè)系統(tǒng)中，但安全性相對(duì)較低。因?yàn)樵贒AC中主體權(quán)限較容易被改變，某些資源不能得到充分保護(hù)，不能抵御特洛伊木馬的攻擊。訪(fǎng)問(wèn)控制矩陣DAC可以用訪(fǎng)問(wèn)控制矩陣來(lái)表示。矩陣

5、中的行表示主體對(duì)所有客體的訪(fǎng)問(wèn)權(quán)限，列表示客體允許主體進(jìn)行的操作權(quán)限，矩陣元素規(guī)定了主體對(duì)客體被準(zhǔn)予的訪(fǎng)問(wèn)權(quán)限畸用戶(hù)a眠OwnR、W、Own用戶(hù)b島虧Own用戶(hù)cR乩W訪(fǎng)問(wèn)控制列表ACL權(quán)限與客體關(guān)聯(lián)在客體上附加一個(gè)主體明細(xì)表的方法來(lái)表示訪(fǎng)問(wèn)控制矩陣的ACL表是自主訪(fǎng)問(wèn)控制實(shí)現(xiàn)中比較好的一種方法訪(fǎng)問(wèn)能力表權(quán)限與主體關(guān)聯(lián)為每個(gè)用戶(hù)維護(hù)一個(gè)表，表示主體可以訪(fǎng)問(wèn)的客體及權(quán)限在訪(fǎng)問(wèn)控制矩陣模型中，訪(fǎng)問(wèn)許可和訪(fǎng)問(wèn)模式描述了主體對(duì)客體所具有的訪(fǎng)問(wèn)權(quán)與控制權(quán)。訪(fǎng)問(wèn)許可定義了改變?cè)L問(wèn)模式的能力或向其他主體傳遞這種能力的能力。訪(fǎng)問(wèn)模式則指明主體對(duì)客體可進(jìn)行的特定訪(fǎng)問(wèn)操作如讀、寫(xiě)、運(yùn)行等。訪(fǎng)問(wèn)許可可以允許主體修改

6、客體的訪(fǎng)問(wèn)控制表，因此利用它可以實(shí)現(xiàn)對(duì)自主訪(fǎng)問(wèn)控制機(jī)制的控制。在自主訪(fǎng)問(wèn)控制機(jī)制中，有三種基本的控制模式：等級(jí)型、有主型和自由型。等級(jí)型訪(fǎng)問(wèn)許可在等級(jí)型訪(fǎng)問(wèn)許可下，可以將對(duì)修改客體訪(fǎng)問(wèn)控制表的能力的控制組織成等級(jí)型的，例如將控制關(guān)系組織成一個(gè)樹(shù)型的等級(jí)結(jié)構(gòu)。等級(jí)型結(jié)構(gòu)的優(yōu)點(diǎn)是可以通過(guò)選擇值得信任的人擔(dān)任各級(jí)領(lǐng)導(dǎo)，使得我們可以用最可信的方式對(duì)客體實(shí)施控制；缺點(diǎn)是會(huì)同時(shí)有多個(gè)主體有能力修改它的訪(fǎng)問(wèn)控制表有主型有主型是對(duì)客體設(shè)置一個(gè)擁有者，它是唯一有權(quán)訪(fǎng)問(wèn)客體訪(fǎng)問(wèn)控制表（ACL）的主體。擁有者對(duì)其擁有的客體具有全部控制權(quán)，但無(wú)權(quán)將客體的控制權(quán)分配給其他主體。目前，這種控制方法已應(yīng)用于許多系統(tǒng)中，如U

7、NIX系統(tǒng)等。自由型個(gè)客體的生成者可以對(duì)任何一個(gè)主體分配對(duì)它擁有的客體的訪(fǎng)問(wèn)控制表的修改權(quán)，并且還可以使其對(duì)其他主體具有分配這種權(quán)力的能力。優(yōu)點(diǎn)：根據(jù)主體的身份和訪(fǎng)問(wèn)權(quán)限進(jìn)行決策具有某種訪(fǎng)問(wèn)能力的主體能夠自主地將訪(fǎng)問(wèn)權(quán)的某個(gè)子集授予其它主體靈活性高，被大量采用缺點(diǎn)安全性不高信息在傳遞過(guò)程中其訪(fǎng)問(wèn)權(quán)限關(guān)系會(huì)被改變強(qiáng)制訪(fǎng)問(wèn)控制模型理解強(qiáng)制訪(fǎng)問(wèn)控制模型的概念及特點(diǎn)了解Bell-Lapadula模型的作用及特點(diǎn)了解Biba模型的作用及特點(diǎn)了解Clark-Wilson的作用及特點(diǎn)了解ChineseWall模型的作用及特點(diǎn)。強(qiáng)制訪(fǎng)問(wèn)控制模型什么是強(qiáng)制訪(fǎng)問(wèn)控制（MAC）主體和客體都有個(gè)固定的安全屬性，系統(tǒng)用

8、該安全屬性來(lái)決定個(gè)主體是否可以訪(fǎng)問(wèn)某個(gè)客體特點(diǎn)安全屬性是強(qiáng)制的，任何主體都無(wú)法變更安全性較高，應(yīng)用于軍事等安全要求較高的系統(tǒng)但是這種機(jī)制也使用戶(hù)自己受到限制。保護(hù)敏感信息一般使用MAC,需對(duì)用戶(hù)提供靈活的保護(hù)，更多地考慮共享信息時(shí)，使用DAC。BLP模型由D.ElliottBell和Leonard丄Lapadula于1973年提出的一種模擬軍事安全策略的計(jì)算機(jī)訪(fǎng)問(wèn)控制模型簡(jiǎn)稱(chēng)為BLP模型第一個(gè)嚴(yán)格形式化的安全模型多級(jí)訪(fǎng)問(wèn)控制模型，用于保證系統(tǒng)信息的機(jī)密性BLP模型的安全策略包括自主安全策略和強(qiáng)制安全策略?xún)蓚€(gè)部分。自主安全策略使用一個(gè)訪(fǎng)問(wèn)控制矩陣表示，矩陣中的元素表示主體對(duì)客體所有允許的訪(fǎng)問(wèn)模式

9、主體按照在訪(fǎng)問(wèn)矩哖中被授予的對(duì)客體的訪(fǎng)問(wèn)權(quán)限對(duì)客體進(jìn)行相應(yīng)的訪(fǎng)問(wèn)。強(qiáng)制安全策路對(duì)每個(gè)主體和客體都定義了安全級(jí),安全級(jí)由密級(jí)和范疇枃成。安全級(jí)之間存在支配關(guān)系（密級(jí)高于或等于、范疇包含），根據(jù)安全級(jí)進(jìn)行訪(fǎng)問(wèn)控制。BLP模型的構(gòu)成主體集：S客體集：0安全級(jí)：密級(jí)和范疇密級(jí)：絕密、機(jī)密、秘密、公開(kāi)范疇：軍事，外交，商務(wù)安全級(jí)之間支配關(guān)系（密級(jí)支配、范疇包含）例如L=機(jī)密，外交，商務(wù),L=秘密，商務(wù),貝UL支配LBLP模型的策略BLP模型基于以下兩個(gè)規(guī)則保障數(shù)據(jù)的機(jī)密性（=簡(jiǎn)單安全規(guī)則（向下讀當(dāng)主體的安全級(jí)可以支配客體的安全級(jí)，且主體對(duì)客體有自主型讀權(quán)限，主體可以讀客體。當(dāng)主體的安全級(jí)可以支配客體的安

10、全級(jí)，且主體對(duì)客體有自主型讀權(quán)限，主體可以讀客體。規(guī)則（向上寫(xiě)）當(dāng)客體的安全級(jí)可以支配主體的安全級(jí)，且主體對(duì)客體有自主型寫(xiě)權(quán)限，則主體可以寫(xiě)入客體BLP模型BLP模型可有效防止低級(jí)用戶(hù)和進(jìn)程訪(fǎng)問(wèn)安全級(jí)別更高的信息資源，同時(shí)，安全級(jí)別高的用戶(hù)和進(jìn)程也不能向安全級(jí)別低的用戶(hù)和進(jìn)程寫(xiě)入數(shù)據(jù)，從而有效的保護(hù)機(jī)密性。BLP模型也存在一些局限性。例如，在主體創(chuàng)建客體時(shí)，將客體的安全級(jí)定義為該主體的安全級(jí)，在實(shí)際應(yīng)用中，上級(jí)常常要向下級(jí)下發(fā)文件，這就需要允許系統(tǒng)的安全員對(duì)該客體的安全級(jí)進(jìn)行降級(jí)定義；又如，內(nèi)存管理必須允許所有級(jí)別進(jìn)行讀和寫(xiě)，解決方法是通過(guò)將其抽象化，并且假設(shè)內(nèi)存管理是“可信主體”但這將導(dǎo)致真

11、實(shí)系統(tǒng)信息的泄露BLP模型的關(guān)鍵知識(shí)點(diǎn)第一個(gè)安全策略形式化的數(shù)學(xué)模型多級(jí)安全模型，強(qiáng)調(diào)機(jī)密性訪(fǎng)問(wèn)控制機(jī)制（兩個(gè)重要規(guī)則）簡(jiǎn)單安全規(guī)則（向下讀）規(guī)則（向上寫(xiě)）優(yōu)點(diǎn)：機(jī)密性高，有效的防止機(jī)密信息泄露缺點(diǎn)：完整性缺乏，非法篡改、破壞成為可能Biba模型1977年，Biba對(duì)系統(tǒng)的完整性進(jìn)行了研究，提出了一種與BLP模型在數(shù)學(xué)上對(duì)偶的完整性保護(hù)模型。Biba模型要求對(duì)主、客體按照完整性級(jí)別進(jìn)行劃分。完整性級(jí)別由完整等級(jí)和范疇構(gòu)成，同樣存在支配關(guān)系（完整等級(jí)高于或等于，范疇包含）Biba模型能很好的滿(mǎn)足政府和軍事機(jī)構(gòu)關(guān)于信息分級(jí)的需求，防止非授權(quán)用戶(hù)的修改。Biba模型的構(gòu)成主體集：S客體集：O完整級(jí)：

12、安全級(jí)和范疇安全級(jí)：極為重要，非常重要，重要，范疇：軍事，外交，商務(wù)完整級(jí)存在支配關(guān)系與BLP類(lèi)似，安全級(jí)支配，范疇包含Biba模型的安全策略Biba模型基于以下兩條規(guī)則確保數(shù)據(jù)的完整性向上讀：主體可以讀客體，當(dāng)且僅當(dāng)客體的完整級(jí)別支配主體的完整級(jí)向下寫(xiě)：主體可以寫(xiě)客體，當(dāng)且僅當(dāng)主體的完整級(jí)別支配客體的完整級(jí)Biba模型的安全策略Biba模型關(guān)鍵知識(shí)點(diǎn)強(qiáng)調(diào)完整性的訪(fǎng)問(wèn)控制簽略槙型多級(jí)安全模型，數(shù)學(xué)上與BLP模型對(duì)偶訪(fǎng)問(wèn)控制機(jī)制（兩個(gè)重要規(guī)則）向下寫(xiě)向上讀優(yōu)點(diǎn)：完整性高，有效的防止非法篡改、破壞缺點(diǎn)：機(jī)密性缺乏，無(wú)法保護(hù)機(jī)密信息泄露強(qiáng)制訪(fǎng)問(wèn)控制模型-Clark-WilsonClark-Wilso

13、n模型概念由計(jì)算機(jī)科學(xué)家DavidD.Clarki和會(huì)計(jì)師DavidR.Wilson發(fā)表于1987年確保商業(yè)數(shù)據(jù)完整性的訪(fǎng)問(wèn)控制模型，側(cè)重于滿(mǎn)足商業(yè)應(yīng)用的安全需求*Clark-Wilson模型的訪(fǎng)問(wèn)控制策略*每次操作前和操作后，數(shù)據(jù)都必須滿(mǎn)足這個(gè)一致性條件Clark-Wilson的構(gòu)成兩種數(shù)據(jù)類(lèi)型限制項(xiàng)數(shù)據(jù)非限制項(xiàng)數(shù)據(jù)兩種過(guò)程完整性驗(yàn)證過(guò)程轉(zhuǎn)換過(guò)程轉(zhuǎn)換過(guò)程兩種規(guī)則證明規(guī)則實(shí)施規(guī)則Clark-Wilson安全策略每次操作前和操作后，數(shù)據(jù)都必須滿(mǎn)足這個(gè)一致性條件(數(shù)據(jù)滿(mǎn)足某個(gè)給定的條件)例如：A賬戶(hù)500元，B賬戶(hù)400元，一致性狀態(tài)為A+B=900元，A成100元與B增加100元必須同時(shí)實(shí)現(xiàn)，如

14、果A+B=900不符合，則說(shuō)明存在錯(cuò)誤國(guó)瘧mm-mirtlPKrtuOI為0011癥:單)和Bi*(嶽羊,喘加!CDi?/nn)Clark-Wilson模型確保完整性的安全屬性如下完整性：確保CDI只能由限制的方法來(lái)改變并生成另一個(gè)有效的CDI,該屬性由規(guī)則CR1、CR2、CR5、ER1和ER4來(lái)保證;(2)訪(fǎng)問(wèn)控制：控制訪(fǎng)可資源的能力由規(guī)則CR3、ER2和ER3來(lái)提供；審計(jì)：確定CDI的變化及系統(tǒng)處于有效狀態(tài)的功能由規(guī)則CR1和CR4來(lái)保證；(4)責(zé)任：確保用戶(hù)及其行為唯一對(duì)應(yīng)由規(guī)則ER3來(lái)保證。強(qiáng)制訪(fǎng)問(wèn)控制模型-ChineseWallChineseWall模型概念同時(shí)考慮保密性和完整性的訪(fǎng)

15、問(wèn)控制模型，主要用于解決商業(yè)應(yīng)用中的利益沖突問(wèn)題多邊安全模型，受限于主體已經(jīng)獲得了對(duì)哪些數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限ChineseWall模型訪(fǎng)問(wèn)控制策略將可能會(huì)產(chǎn)生利益沖突的數(shù)據(jù)分成不同的數(shù)據(jù)集，并強(qiáng)制所有主體最多只能訪(fǎng)問(wèn)一個(gè)數(shù)據(jù)集選擇訪(fǎng)問(wèn)哪個(gè)數(shù)據(jù)集并未受強(qiáng)制規(guī)則的限制，用戶(hù)可以自主選擇訪(fǎng)問(wèn)的數(shù)據(jù)集ChineseWall模型的構(gòu)成主體集S客體集O無(wú)害客體，可以公開(kāi)的數(shù)據(jù)有害客體與某公司相關(guān)數(shù)據(jù)構(gòu)成公司數(shù)據(jù)集若干相互競(jìng)爭(zhēng)的公司的數(shù)據(jù)集形成利益沖突類(lèi)安全策略CW-簡(jiǎn)單安全特性CW-特性ChineseWall的示例nJ*Jdinfa亙fi油公uicoi：瓷沁“”澤1打MAC與DAC比較自主訪(fǎng)問(wèn)控制細(xì)粒度靈活性高

16、配置效率低強(qiáng)制訪(fǎng)問(wèn)控制控制粒度大靈活性不高安全性強(qiáng)基于角色的訪(fǎng)問(wèn)控制模型了解基于角色的訪(fǎng)問(wèn)控制模型基本概念及特點(diǎn)了解基于角色的訪(fǎng)問(wèn)控制模型的構(gòu)成及訪(fǎng)問(wèn)控制規(guī)則。基于角色的訪(fǎng)問(wèn)控制基于角色的訪(fǎng)問(wèn)控制(RBAC)模型系統(tǒng)內(nèi)置多個(gè)角色，將權(quán)限與角色進(jìn)行關(guān)聯(lián)用戶(hù)必須成為某個(gè)角色才能獲得權(quán)限基于角色訪(fǎng)問(wèn)控制模型訪(fǎng)問(wèn)控制策略根據(jù)用戶(hù)所擔(dān)任的角色來(lái)決定用戶(hù)在系統(tǒng)中的訪(fǎng)問(wèn)權(quán)限用戶(hù)必須扮演某種角色，而且還必須激活這一角色，才能對(duì)一個(gè)對(duì)象進(jìn)行訪(fǎng)問(wèn)或執(zhí)行某種操作激活安全管理負(fù)田白覚二沽佃或娠憧迄今為止已經(jīng)討論和發(fā)展了四種基于角色的訪(fǎng)問(wèn)控制模型。RBAC0是基本模型，規(guī)定了所有RBAC系統(tǒng)所必須的最小需求；RBAC1

17、在RBAC0的基礎(chǔ)上增加了角色等級(jí)的概念；RBAC2則在RBAC0的基礎(chǔ)上增加了約束；RBAC3包含了RBAC1和RBAC2，也間接包含了RBAC0RBAC0,由四個(gè)基本要素構(gòu)成：用戶(hù)(U):用戶(hù)為系統(tǒng)的使用者角色才:角色是根據(jù)系統(tǒng)不同工作崗位需求而設(shè)置的會(huì)話(huà)(S):會(huì)話(huà)是系統(tǒng)對(duì)用戶(hù)一次請(qǐng)求的執(zhí)行，每個(gè)會(huì)話(huà)由一個(gè)用戶(hù)建立；權(quán)限:權(quán)限是系統(tǒng)中所有訪(fǎng)問(wèn)權(quán)限的集合在RBAC0中，用戶(hù)與角色、角色與許可均為多對(duì)多的關(guān)系用戶(hù)對(duì)權(quán)限的執(zhí)行必須通過(guò)角色來(lái)關(guān)聯(lián)，以實(shí)現(xiàn)對(duì)信息資源訪(fǎng)問(wèn)的控制。用戶(hù)與會(huì)話(huà)是一對(duì)多的關(guān)系，會(huì)話(huà)是一個(gè)用戶(hù)對(duì)多個(gè)角色的映射，即一個(gè)用戶(hù)激活某個(gè)角色子集。此時(shí)，用戶(hù)的權(quán)限為激活的多個(gè)角色權(quán)限

18、的并集。個(gè)用戶(hù)可以同時(shí)擁有多個(gè)會(huì)話(huà)，每個(gè)會(huì)話(huà)又具有不同的許可。RBAC1包含RBACO的所有元素，并加入了角色等級(jí)的概念在一個(gè)機(jī)構(gòu)中不同的職務(wù)或角色不但具有不同的的權(quán)力，這些權(quán)力之間存在包含關(guān)系，職務(wù)越高權(quán)力越大RBAC1用偏序關(guān)系來(lái)描述角色之間的等級(jí)關(guān)系，高級(jí)別的角色包含低級(jí)別角色的權(quán)限。利用角色等級(jí)的概念，可以實(shí)現(xiàn)多級(jí)安全中的訪(fǎng)問(wèn)控制在多級(jí)安全控制系統(tǒng)內(nèi)，存取類(lèi)的保密級(jí)別是線(xiàn)性排列的。例如：公開(kāi)秘密機(jī)密絕密RBAC1中支持的層次關(guān)系可以容易地實(shí)現(xiàn)多級(jí)安全系統(tǒng)所要求的保密級(jí)別的線(xiàn)性排列的要求。多級(jí)安全系統(tǒng)的另一個(gè)要求就是要能夠支持范疇為了獲得信息的存取權(quán)，提出存取請(qǐng)求的人員必須具備一定的存取

19、類(lèi)，他的存取類(lèi)的范疇的集合應(yīng)該包括信息存取類(lèi)的全部范疇。角色的層次結(jié)構(gòu)RBAC1中的角色可以容易地實(shí)現(xiàn)所要求的保密存取類(lèi)的范疇的要求。RBAC2包含RBAC0的所有概念，加入了約束的限制約束是制定高層安全策略的有效機(jī)制，特別是在分布式系統(tǒng)中常見(jiàn)的約束條件就是互斥條件，一個(gè)用戶(hù)只能在互斥的角色集中分配其中一個(gè)，防止系統(tǒng)中的重要特權(quán)失控。RBAC3RBAC3結(jié)合了RBAC1和RBAC2，同時(shí)具備角色等級(jí)和約束。角色等級(jí)和約束之間存在一些矛盾。例如，測(cè)試工程師和程序員角色是互斥的，項(xiàng)目管理角色同時(shí)具有測(cè)試工程師和程序員角色的權(quán)限，違反了角色約束的互斥性。一般情況下，高級(jí)角色違反這種約束是可以接受的，

20、而在其它情形下，則需要考慮這種排斥。在角色數(shù)量限制中也存在類(lèi)似問(wèn)題。如，一個(gè)用戶(hù)只能指派到最多一個(gè)角色中，項(xiàng)目管理的用戶(hù)指派到他的下級(jí)角色就違反了這一約束。在應(yīng)用RBAC3時(shí)，需要根據(jù)系統(tǒng)的實(shí)際安全需求來(lái)制定合理的約東RBAC模型的特點(diǎn)便于授權(quán)管理(角色的變動(dòng)遠(yuǎn)遠(yuǎn)低于個(gè)體的變動(dòng))便于處理工作分級(jí)，如文件等資源分級(jí)管理利用安全約束，容易實(shí)現(xiàn)各種安全策略，如最小特權(quán)、職責(zé)分離等便于任務(wù)分擔(dān)，不同角色完成不同的任務(wù)特權(quán)管理基礎(chǔ)設(shè)施了解PMI的主要功能、體系架構(gòu)及應(yīng)用。特權(quán)管理基礎(chǔ)設(shè)施特權(quán)管理基礎(chǔ)設(shè)施(PrivilegeManagementInfrastructure,PMI)PMI提供了一種在多應(yīng)用

21、環(huán)境中的權(quán)限管理和訪(fǎng)冋控制機(jī)制，將權(quán)限管理和訪(fǎng)可控制從具體應(yīng)用系統(tǒng)中分離出來(lái)，使得訪(fǎng)問(wèn)控制機(jī)制和應(yīng)用系統(tǒng)之間能靈活而方便的結(jié)合。PMI能提供一種相對(duì)獨(dú)立于應(yīng)用的有效的體系結(jié)構(gòu)，將應(yīng)用資源和用戶(hù)身份及訪(fǎng)問(wèn)權(quán)限之間建立對(duì)應(yīng)關(guān)系，支持應(yīng)用權(quán)限的有效管理和訪(fǎng)問(wèn)控制，以保證用戶(hù)能獲取他們有權(quán)獲取的信息、做有權(quán)限操作。PMI建立在PKI提供的可信的身份認(rèn)證服務(wù)的基礎(chǔ)上采用基于屬性證書(shū)的授權(quán)模式，為應(yīng)用提供用戶(hù)身份到應(yīng)用權(quán)限的映射功能PMI主要功能PMI是與應(yīng)用相關(guān)的授權(quán)服務(wù)管理基礎(chǔ)設(shè)施其主要功能包括：對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述系統(tǒng)地建立起對(duì)用戶(hù)身份到應(yīng)用授權(quán)的映射支持應(yīng)用訪(fǎng)問(wèn)控制PMI和PKI之間的

22、主要區(qū)別在于PMI主要進(jìn)行授權(quán)管理，證明這個(gè)用戶(hù)有什么權(quán)限能干什么，即“你能做什么”P(pán)KI主要進(jìn)行身份鑒別，證明用戶(hù)身份，即“你是誰(shuí)”兩者之間的關(guān)系，通常使用護(hù)照和簽證的關(guān)系來(lái)表述，護(hù)照是身份證明，可以用來(lái)唯一標(biāo)識(shí)個(gè)人信息;而簽證具有屬性類(lèi)別，同一個(gè)護(hù)照可以有多個(gè)國(guó)家的簽證，能在指定時(shí)間進(jìn)入對(duì)應(yīng)的國(guó)家。PMI體系架構(gòu)PMI是屬性證書(shū)、屬性權(quán)威、屬性證書(shū)庫(kù)等部件的集合體，用來(lái)實(shí)現(xiàn)權(quán)限和屬性證書(shū)的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷(xiāo)等功能其主要組件包括SOAAAARA用戶(hù)證書(shū)庫(kù)等信任源點(diǎn)(SOA)SOA是特權(quán)管理基礎(chǔ)設(shè)施的信任源點(diǎn)，是整個(gè)授權(quán)系統(tǒng)最高管理機(jī)構(gòu)，相當(dāng)于PKI系統(tǒng)中的根CA,對(duì)整個(gè)系統(tǒng)特權(quán)分發(fā)

23、負(fù)有最終的責(zé)任。SOA的主要職責(zé)是授權(quán)策略的管理、應(yīng)用授權(quán)受理、屬性權(quán)威(AA)的設(shè)立審核及管理等。屬性權(quán)威機(jī)構(gòu)(AA)特權(quán)管理基礎(chǔ)設(shè)施的核心服務(wù)節(jié)點(diǎn)，是對(duì)應(yīng)于具體應(yīng)用系統(tǒng)的授權(quán)管理分系統(tǒng)，由各應(yīng)用部門(mén)管理，SOA授權(quán)給它管理一部分或全部屬性的權(quán)力AA中心的職責(zé)主要包括應(yīng)用授權(quán)受理?？梢杂卸鄠€(gè)層次，上級(jí)AA可授權(quán)給下級(jí)AA,下級(jí)可管理的屬性的范圍不超過(guò)上級(jí)屬性注冊(cè)權(quán)威機(jī)構(gòu)(ARA)ARA和RA的位置類(lèi)似，ARA是AA的延伸，主要負(fù)責(zé)提供屬性證書(shū)注冊(cè)、審核以及分發(fā)功能。用戶(hù)指使用屬性證書(shū)的終端實(shí)體，也稱(chēng)特權(quán)持有者證書(shū)/ACRL庫(kù)主要用于發(fā)布PMI用戶(hù)的屬性證書(shū)以及屬性證書(shū)的撤消列表ACRL，以供查詢(xún)使用。在PMI和PKI起建設(shè)時(shí)，也可以直接使用PKI的LDAP作為PMI的證書(shū)/CRL庫(kù)。屬性證書(shū)PMI使用屬性證書(shū)表示和容納權(quán)限信息，對(duì)權(quán)限生命周期的管理是通過(guò)管理證書(shū)的生命周期實(shí)現(xiàn)的。屬性證書(shū)是一種輕量級(jí)的數(shù)據(jù)體，這種數(shù)據(jù)體不包含公鑰信息，只包含證書(shū)持有人ID、發(fā)行證書(shū)ID簽名算法、有效期、屬性等信息等。屬性證書(shū)的申請(qǐng)、簽發(fā)、注銷(xiāo)、驗(yàn)證流程對(duì)應(yīng)著權(quán)限的申請(qǐng)、發(fā)放、撤銷(xiāo)和使用驗(yàn)證的