Ch07 認(rèn)證技術(shù)與訪問(wèn)控制課件

1、信息系統(tǒng)安全原理Ch07 認(rèn)證技術(shù)與訪問(wèn)控制1本章學(xué)習(xí)目的理解報(bào)文認(rèn)證的類型掌握身份認(rèn)證概念、常用的身份認(rèn)證技術(shù)理解身份認(rèn)證的應(yīng)用(PPP，AAA認(rèn)證)掌握訪問(wèn)控制及分類了解訪問(wèn)控制的應(yīng)用環(huán)境2第一部分 認(rèn)證技術(shù)31 概述認(rèn)證（Authentication）就是對(duì)于證據(jù)的辨認(rèn)、核實(shí)、鑒別，以建立某種信任關(guān)系。在通信中，要涉及兩個(gè)方面：一方提供證據(jù)或標(biāo)識(shí)另一方面對(duì)這些證據(jù)或標(biāo)識(shí)的有效性加以辨認(rèn)、核實(shí)、鑒別從認(rèn)證的內(nèi)容看，可以分為數(shù)據(jù)（報(bào)文）認(rèn)證和身份驗(yàn)證；從認(rèn)證過(guò)程看，需要有證據(jù)符（標(biāo)識(shí)）、認(rèn)證算法和認(rèn)證協(xié)議三個(gè)要素。42 報(bào)文認(rèn)證2.1 HASH函數(shù)2.2 數(shù)字簽名2.3 消息認(rèn)證5完整性校驗(yàn)

2、；數(shù)字指紋技術(shù)；計(jì)算指紋容易，反之很困難，不同信息指紋相同的概率極小。Hash是一種直接產(chǎn)生消息認(rèn)證碼的方法Hash函數(shù): h=H(x), 要求:可作用于任何尺寸數(shù)據(jù)且均產(chǎn)生定長(zhǎng)輸出H(x)能夠快速計(jì)算單向性: 給定h，找到x使h=H(x)在計(jì)算上不可行Weak Collision Resistence(WCR):給定x，找到y(tǒng)x使H(x)=H(y)在計(jì)算上不可行Strong Collision Resistence(SCR): 找到y(tǒng)x使H(x)=H(y)在計(jì)算上不可行MD5，SHA172.2 數(shù)字簽名數(shù)字簽名：簡(jiǎn)單地說(shuō)，數(shù)字簽名就是給報(bào)文一個(gè)可以核實(shí)或鑒別的標(biāo)識(shí)。它應(yīng)當(dāng)具有如下一些性質(zhì)：能

3、夠證實(shí)簽名者的身份、簽名日期和時(shí)間；能用于證實(shí)被簽消息的內(nèi)容；可以由第三方驗(yàn)證，可以解決通信雙方的爭(zhēng)議。8102.3 消息認(rèn)證消息認(rèn)證概念：消息認(rèn)證問(wèn)題的背景與消息加密方案的背景很相似，通信雙方也在一個(gè)不安全信道上傳送消息，如互聯(lián)網(wǎng)（internet），但現(xiàn)在的第三者不僅可能截取消息進(jìn)行分析，而且可能偽造或篡改發(fā)送的消息，稱為入侵者。通信雙方希望交換消息而拒絕接受入侵者欺騙的協(xié)議。11三種方式Message encryption：用整個(gè)消息的密文作為認(rèn)證標(biāo)識(shí)接收方必須能夠識(shí)別錯(cuò)誤MAC：一個(gè)公開(kāi)函數(shù)，加上一個(gè)密鑰產(chǎn)生一個(gè)固定長(zhǎng)度的值作為認(rèn)證標(biāo)識(shí)Hash function123.1 口令驗(yàn)證口令

4、的泄密（1）猜測(cè)和發(fā)現(xiàn)口令常用數(shù)據(jù)猜測(cè)，如如家庭成員或朋友的名字、生日、球隊(duì)名稱、城市名、身份證號(hào)碼、電話號(hào)碼、郵政編碼等。字典攻擊。其他，如望遠(yuǎn)鏡窺視等。143.1 口令驗(yàn)證（2）電子監(jiān)控在網(wǎng)絡(luò)或電子系統(tǒng)中，被電子嗅探器、監(jiān)控竊取。（3）訪問(wèn)口令文件在口令文件沒(méi)有強(qiáng)有力保護(hù)的情形下，下載口令文件。在口令文件有保護(hù)的情況下，進(jìn)行蠻力攻擊。（4）通過(guò)人際工程泄露自己將口令告訴他人15對(duì)付線路竊聽(tīng)的措施: 使用保護(hù)口令機(jī)制(如單向函數(shù)) q fididq比較是或不是p id聲稱者驗(yàn)證者消息17對(duì)付重放攻擊的措施 r idnrvgfidqg比較是或不是p聲稱者驗(yàn)證者消息q idnrvsalt18一次

5、性口令令牌裝置同步機(jī)制令牌裝置異步機(jī)制（交互應(yīng)答認(rèn)證服務(wù)器通信“間接的同步”）192021單點(diǎn)登錄包含有每一用戶ID、口令字和對(duì)應(yīng)平臺(tái)登錄命令的批處理文件用戶使用方便管理員需要事先編寫(xiě)腳本管理員跟蹤活替換口令更改機(jī)制腳本本身的機(jī)密性、完整性要求極高平臺(tái)升級(jí)可能會(huì)要求腳本升級(jí)223.3 生物特征身份驗(yàn)證1. 指紋識(shí)別 生物識(shí)別是利用人的唯一（或相同概率極?。┑纳砘蛐袨樘卣髯鳛樯矸菡J(rèn)證的根據(jù)。歷史最為悠久的生物識(shí)別是指紋識(shí)別。著名指紋專家劉持平先生曾經(jīng)論證，早在7000年前我們的祖先就開(kāi)始進(jìn)行指紋識(shí)別的研究。到了春秋戰(zhàn)國(guó)時(shí)代，手印檢驗(yàn)不僅廣泛應(yīng)用于政府和民間的書(shū)信和郵件往來(lái)之中，并已經(jīng)開(kāi)始用于偵

6、訊破案之中。 指紋是一種十分精細(xì)的拓?fù)鋱D形。如下圖所示，一枚指紋不足方寸，上面密布著100120個(gè)特征細(xì)節(jié)，這么多的特征參數(shù)組合的數(shù)量達(dá)到640億種（高爾頓說(shuō)），也有一說(shuō)是一兆的7次冪。并且由于它從胎兒4個(gè)月時(shí)生成后保持終生不變，因此，用它作為人的唯一標(biāo)識(shí)，是非?？煽康?。24指紋的細(xì)節(jié)特征 指紋識(shí)別主要涉及4個(gè)過(guò)程：讀取指紋圖像、提取指紋特征、保存數(shù)據(jù)和比對(duì)。目前已經(jīng)開(kāi)發(fā)出計(jì)算機(jī)指紋識(shí)別系統(tǒng)，可以比較精確地進(jìn)行指紋的自動(dòng)識(shí)別了。25 3. 面像識(shí)別 面像識(shí)別系統(tǒng)包括兩個(gè)技術(shù)環(huán)節(jié)：面像檢測(cè)和面像識(shí)別。 （1）面像檢測(cè) 面像檢測(cè)主要實(shí)現(xiàn)面像的檢測(cè)和定位，即從輸入圖像中找到面像及面像的位置，并將人臉

7、從背景中分割出來(lái)。現(xiàn)有的面像檢測(cè)方法可以分為3類： （a）基于規(guī)則的面像檢測(cè)：總結(jié)了特定條件下可用于檢測(cè)面像的知識(shí)（如臉型、膚色等），并把這些知識(shí)歸納成指導(dǎo)面像檢測(cè)的規(guī)則。 （b）基于模板匹配的面像檢測(cè)：首先構(gòu)造具有代表性的面像模板，通過(guò)相關(guān)匹配或其他相似性度量檢測(cè)面像。 （c）基于統(tǒng)計(jì)學(xué)習(xí)的面像檢測(cè)：主要利用面部特征點(diǎn)結(jié)構(gòu)灰度分布的共同性。 （2）面像識(shí)別 面像識(shí)別由兩個(gè)過(guò)程組成： （a）面像樣本訓(xùn)練：提取面像特征，形成面像特征庫(kù)。 （b）識(shí)別：用訓(xùn)練好的分類器將待識(shí)別面像的特征同特征庫(kù)中的特征進(jìn)行匹配，輸出識(shí)別結(jié)果。274. DNA識(shí)別脫氧核糖核酸，生物的全部遺傳信息都儲(chǔ)存于DNA分子中；

8、遺傳基因只占DNA全長(zhǎng)的3%-10%；隨機(jī)檢查兩人的DNA圖譜，其完全相同的概率僅為三千億分之一；也許是未來(lái)的主流？不確定283.4 基于密碼的身份驗(yàn)證基于對(duì)稱密碼機(jī)制的單向認(rèn)證（1）TokenAB=Text2|eKAB(TA|B|Text1)（2）B解密，驗(yàn)證B、時(shí)間標(biāo)記或順序號(hào)的正確性AB（1）TokenAB(2)29基于公開(kāi)密碼算法單向認(rèn)證 (1)TokenAB=TA|B|Text2|SSA(TA|B|Text1)(2)B驗(yàn)證A的公開(kāi)密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)AB（1）CertA|TokenAB(2)304.1 PKI概述什么是PKIPKI原理數(shù)字證書(shū)31什么是PKIPKI（Public K

9、ey Infrastructure）是一個(gè)用公鑰概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施普適性：只要遵循必要的原則，就能使用提供的服務(wù)。比如：網(wǎng)絡(luò)基礎(chǔ)設(shè)施、電力基礎(chǔ)設(shè)施等。安全服務(wù)：公鑰密碼的功能、密碼的功能等。32PKI原理原理：數(shù)字證書(shū)權(quán)威認(rèn)證基本組成：33數(shù)字證書(shū)什么是數(shù)字證書(shū)一段包括用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)一個(gè)經(jīng)證書(shū)認(rèn)證中心（CA）簽名的包括公鑰擁有者信息及公鑰信息的文件34數(shù)字證書(shū)的作用網(wǎng)絡(luò)通信的身份證明，解決相互間信任問(wèn)題用戶公鑰信息用戶數(shù)據(jù)加密，保證數(shù)據(jù)保密性、用戶身份的不可抵賴性35數(shù)字證書(shū)的結(jié)構(gòu)版本：用于識(shí)別證書(shū)版本號(hào)，版本號(hào)可

10、以是V1、V2和V3，目前常用的版本是V3序列號(hào)：是由CA分配給證書(shū)的唯一的數(shù)字型標(biāo)識(shí)符。當(dāng)證書(shū)被取消時(shí)，將此證書(shū)的序列號(hào)放入由CA簽發(fā)的CRL中簽名算法標(biāo)識(shí)：用來(lái)標(biāo)識(shí)對(duì)證書(shū)進(jìn)行簽名的算法和算法所需的參數(shù)。協(xié)議規(guī)定，這個(gè)算法同證書(shū)格式中出現(xiàn)的簽名算法必須是同一個(gè)算法簽發(fā)者：為CA的名稱有效期：是一對(duì)日期起始日期和結(jié)束日期，證書(shū)在這段日期之內(nèi)有效主體：為證書(shū)持有者的名稱主體的公開(kāi)密鑰：包括算法名稱，需要的參數(shù)和公開(kāi)密鑰可選項(xiàng)：簽發(fā)者唯一標(biāo)識(shí)、主體唯一標(biāo)識(shí)和擴(kuò)展項(xiàng)都是可選項(xiàng)，可根據(jù)具體需求進(jìn)行選擇3637證書(shū)存儲(chǔ)標(biāo)準(zhǔn)X.509：基本數(shù)字證書(shū)存儲(chǔ)格式，最終由DER算法編碼PKCS7：簽名數(shù)據(jù)的標(biāo)準(zhǔn)格

11、式PKCS12：證書(shū)公鑰、私鑰標(biāo)準(zhǔn)格式384.2 PKI組成證書(shū)認(rèn)證中心（CA）證書(shū)庫(kù)、證書(shū)廢除列表密鑰備份及恢復(fù)系統(tǒng)PKI應(yīng)用接口39證書(shū)認(rèn)證中心（CA）CA：一個(gè)值得信賴的公正的第三方機(jī)構(gòu)，PKI的核心管理數(shù)字證書(shū)：證書(shū)簽發(fā)（把用戶的公鑰和用戶的其他信息捆綁在一起）等在網(wǎng)上驗(yàn)證用戶的身份 ：證書(shū)廢除列表管理等RA：CA的組成部分，實(shí)現(xiàn)CA功能的一部分CA面向用戶的窗口，接受用戶申請(qǐng)、審核用戶身份代表CA發(fā)放證書(shū)RS：管理所轄受理點(diǎn)的用戶資料、受理用戶證書(shū)業(yè)務(wù)、審核用戶身份、向受理中心或RA中心申請(qǐng)簽發(fā)證書(shū)和將RA中心或受理中心制作的證書(shū)介質(zhì)分發(fā)給用戶 40CA的作用權(quán)威、可信、第三方機(jī)構(gòu)，

12、為認(rèn)證需求提供數(shù)字證書(shū)相關(guān)服務(wù)41CA的層次結(jié)構(gòu)自上而下信任，下級(jí)信任上級(jí)、下級(jí)由上級(jí)簽發(fā)42CA提供的服務(wù)頒發(fā)證書(shū)：申請(qǐng)證書(shū)、審核身份、證書(shū)簽發(fā)、證書(shū)介質(zhì)制作和發(fā)放廢除證書(shū)：證書(shū)在時(shí)間有效期內(nèi)的不能使用證書(shū)廢除原因：用戶身份信息變更、CA簽名私鑰泄漏、證書(shū)對(duì)應(yīng)私鑰的泄漏、證書(shū)本身遭到損壞、其他可能原因證書(shū)廢除過(guò)程：用戶向業(yè)務(wù)受理點(diǎn)申請(qǐng)、CA審核、CA定期簽發(fā)CRL、在線發(fā)布CRL：包括所有未過(guò)期、已廢除數(shù)字證書(shū)更新證書(shū)：證書(shū)快到期、更換密鑰、43管理密鑰：密鑰的產(chǎn)生（用戶、CA）、存儲(chǔ)（用戶、CA）、分發(fā)（加密傳輸）等根據(jù)用戶需要，CA中心可對(duì)用戶加密私鑰進(jìn)行備份CA中心的簽名私鑰由上級(jí)CA

13、中心備份所有密鑰備份采用密鑰共享技術(shù)，確保單點(diǎn)故障密鑰的恢復(fù)應(yīng)該需要一些條件的滿足：分段數(shù)據(jù)、人數(shù)、算法等44證書(shū)驗(yàn)證真實(shí)性：基于證書(shū)鏈機(jī)制有效性：時(shí)間因素可用性：證書(shū)廢除列表45證書(shū)庫(kù)、證書(shū)廢除列表證書(shū)庫(kù)數(shù)字證書(shū)的集中存放，用戶可檢索到其他用戶證書(shū)X.500，LDAP，WWW，F(xiàn)TP 等是具體的實(shí)現(xiàn)技術(shù)證書(shū)廢除列表管理由于過(guò)期等因素導(dǎo)致無(wú)效的已發(fā)放證書(shū)46密鑰備份及恢復(fù)系統(tǒng)需求：用戶解密私鑰的丟失可能導(dǎo)致數(shù)據(jù)信息丟失密鑰備份和恢復(fù)策略通常由可信機(jī)構(gòu)完成通常只針對(duì)加密用的私鑰，不針對(duì)用于簽名的私鑰（有加密證書(shū)和簽名證書(shū)的概念區(qū)別）47密鑰產(chǎn)生證書(shū)簽發(fā)Bob密鑰使用Bob證書(shū)檢驗(yàn)密鑰過(guò)期密鑰更新

14、密鑰生命周期48PKI應(yīng)用接口功能實(shí)現(xiàn)統(tǒng)一、規(guī)范、安全的數(shù)字簽名、加密傳輸數(shù)據(jù)、證書(shū)查詢等功能意義：PKI的價(jià)值所在，最終確保網(wǎng)絡(luò)環(huán)境的可信49PKI系統(tǒng)結(jié)構(gòu)圖504.3 PKI應(yīng)用舉例51電子郵件郵件服務(wù)器MaryRick數(shù)字證書(shū)數(shù)字證書(shū)1.制作數(shù)字信封2.制作數(shù)字簽名3.驗(yàn)證數(shù)字簽名4.解開(kāi)數(shù)字信封郵 件52第二部分 訪問(wèn)控制531 概述1.1 什么是訪問(wèn)控制1.2 訪問(wèn)控制與其他安全措施的關(guān)系1.3 主體與客體1.4 訪問(wèn)權(quán)限541.1 什么是訪問(wèn)控制訪問(wèn)控制（Access Control）是對(duì)信息系統(tǒng)資源的訪問(wèn)范圍以及方式進(jìn)行限制的策略。簡(jiǎn)單地說(shuō)，就是防止合法用戶的非法操作。訪問(wèn)控制是

15、建立在身份認(rèn)證之上的操作權(quán)限控制。身份認(rèn)證解決了訪問(wèn)者是否合法者，但并非身份合法就什么都可以做，還要根據(jù)不同的訪問(wèn)者，規(guī)定他們分別可以訪問(wèn)哪些資源，以及對(duì)這些可以訪問(wèn)的資源可以用什么方式（讀？寫(xiě)？執(zhí)行？刪除？等）訪問(wèn)。它是基于權(quán)限管理的一種是非常重要的安全策略。對(duì)用戶權(quán)限的設(shè)定，稱為授權(quán)（Authorization）。 55引用監(jiān)視器認(rèn)證訪問(wèn)控制授權(quán)數(shù)據(jù)庫(kù)用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)管理員審 計(jì)1.2 訪問(wèn)控制與其他安全措施的關(guān)系模型56 訪問(wèn)控制可以描述為：主動(dòng)的主體（Subject）使用某種特定的訪問(wèn)操作去訪問(wèn)一個(gè)被動(dòng)的客體（Object），所使用的特定的訪問(wèn)操作受訪問(wèn)監(jiān)視器控制，如圖： 主體

16、 身份認(rèn)證 訪問(wèn)控制 客體 訪問(wèn)監(jiān)視器 訪問(wèn)請(qǐng)求 權(quán)限 安全系統(tǒng)邏輯模型 1.3 主體與客體 57 主體和客體都是訪問(wèn)控制系統(tǒng)中的實(shí)體。 主體是發(fā)出訪問(wèn)請(qǐng)求的主動(dòng)方，通常是用戶或用戶進(jìn)程。 客體是被訪問(wèn)的對(duì)象，通常是被調(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、文件、內(nèi)存、系統(tǒng)、設(shè)備、設(shè)施等資源。信息系統(tǒng)的安全目標(biāo)就是控制和管理主體對(duì)客體的訪問(wèn)。 安全策略，就是對(duì)這些訪問(wèn)進(jìn)行約束的一組規(guī)則和目標(biāo)，它反映了系統(tǒng)的安全需求，并可以用達(dá)到安全目的而采取的步驟進(jìn)行描述。 58（1）Bell-LaPadula安全模型中的訪問(wèn)權(quán)限 1973年David Bell和Len Lapadula提出了第一個(gè)也是最著名安全策略

17、模型Bell-LaPadula安全模型，簡(jiǎn)稱BLP模型。 在基本層面上，定義了兩種訪問(wèn)方式： 觀察（Observe）：查看客體的內(nèi)容。 改變（Alter）：改變客體的內(nèi)容。 在Bell-LaPadula安全模型中定義了4種訪問(wèn)權(quán)限：執(zhí)行、讀、添加（有時(shí)也稱盲目的寫(xiě)）和寫(xiě)。表9.1給出了這些訪問(wèn)權(quán)限與訪問(wèn)方法之間的關(guān)系。 1.4 訪問(wèn)權(quán)限59執(zhí)行添加讀寫(xiě)查 看改 變Bell-LaPadula安全模型中的訪問(wèn)權(quán)限 注意，這里基于效率的考慮，寫(xiě)訪問(wèn)通常包含讀訪問(wèn)。這樣，在編輯一個(gè)文件時(shí)，就無(wú)須先打開(kāi)一次進(jìn)行讀（了解內(nèi)容），再打開(kāi)一次用于寫(xiě)了。所以寫(xiě)訪問(wèn)包含了查看和改變兩種訪問(wèn)形式。 60（2）Uni

18、x Unix的訪問(wèn)控制用3種權(quán)限表示：讀（read）、寫(xiě)（write）、執(zhí)行（execute）。它們應(yīng)用于文件和目錄時(shí)含義有所不同，如下表所示。 用于文件用于目錄讀從一個(gè)文件讀列出目錄內(nèi)容寫(xiě)寫(xiě)進(jìn)一個(gè)文件創(chuàng)建或重命名目錄中的一個(gè)文件執(zhí)行執(zhí)行一個(gè)（程序）文件搜索目錄Unix的訪問(wèn)控制3種權(quán)限 61（3）Windows NT/2000/XP Windows NT/2000/XP的權(quán)限分為文件權(quán)限和目錄權(quán)限。每一個(gè)權(quán)限級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是： Read（R）、 Execute（X）、 Write（W）、 Set Permission（P）、 Take Ownership（

19、O）。 下表，表明任務(wù)與各種權(quán)限級(jí)別之間的關(guān)聯(lián)。 62權(quán) 限RXWDPO目錄權(quán)限No AccessListRXReadRXAddXWAdd and ReadRXWChangeRXWDFull controlRXWDPO文件權(quán)限No AccessReadRXChangeRXWDFull controlRXWDPO用 戶 行 為用戶不能訪問(wèn)該目錄可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄具有Linux權(quán)限，用戶可以讀取目錄中的文件和運(yùn)行目錄中的應(yīng)用程序用戶可以添加文件和子目錄具有Add 和 Read的權(quán)限具有Add 和 Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄具有Chan

20、ge的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)。用戶不能訪問(wèn)該文件用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行具有 Read的權(quán)限，還可以修改和刪除文件具有Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)。 Windows NT/2000/XP表明任務(wù)與各種權(quán)限級(jí)別之間的關(guān)聯(lián) 632 訪問(wèn)控制模型2.1 自主訪問(wèn)控制2.2 強(qiáng)制訪問(wèn)控制2.3 基于角色的訪問(wèn)控制2.4 基于任務(wù)的訪問(wèn)控制642.1 自主訪問(wèn)控制自主訪問(wèn)控制模型（DAC Model，Discretionary Access Control Model）定義：允許合法用戶以用戶或用戶組的身份訪問(wèn)策略規(guī)定的客體，同時(shí)阻止非授權(quán)

21、用戶訪問(wèn)客體，允許某些用戶自主地把自己所擁有的客體的訪問(wèn)權(quán)限授予其它用戶（又稱為任意訪問(wèn)控制）特點(diǎn)：一般資源創(chuàng)建者是資源訪問(wèn)者的擁有者，但可調(diào)整配合以資源創(chuàng)建者的管理，構(gòu)成完善的訪問(wèn)控制模型。靈活性高，被大量采用（WindowsUnixMacintoch）缺點(diǎn)：信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變。如用戶A可將其對(duì)目標(biāo)O的訪問(wèn)權(quán)限傳遞給用戶B,從而使不具備對(duì)O訪問(wèn)權(quán)限的B可訪問(wèn)O。 652.2 強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制模型（MAC Model：Mandatory Access Control Model）和DAC模型不同的是，MAC是一種多級(jí)訪問(wèn)控制策略，數(shù)據(jù)所有者無(wú)權(quán)決定文件的訪問(wèn)權(quán)限，權(quán)

22、限由操作系統(tǒng)決定，可能覆蓋所有者的設(shè)置基于安全標(biāo)簽實(shí)現(xiàn)：系統(tǒng)事先給訪問(wèn)主體和受控對(duì)象分配不同的安全級(jí)別屬性，在實(shí)施訪問(wèn)控制時(shí)，系統(tǒng)先對(duì)訪問(wèn)主體和受控對(duì)象的安全級(jí)別屬性進(jìn)行比較，再?zèng)Q定訪問(wèn)主體能否訪問(wèn)該受控對(duì)象。MAC對(duì)訪問(wèn)主體和受控對(duì)象標(biāo)識(shí)兩個(gè)安全標(biāo)記：一個(gè)是具有偏序關(guān)系的安全等級(jí)標(biāo)記；另一個(gè)是非等級(jí)分類標(biāo)記。對(duì)于標(biāo)簽的類別，部分可實(shí)施須知規(guī)則。 BLP模型是一個(gè)例子。66強(qiáng)制訪問(wèn)控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個(gè)S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=包括兩個(gè)部分：有層次的安全級(jí)別和無(wú)層次的安全范疇。構(gòu)成一偏序關(guān)系。Bell-LaPadula：保

23、證保密性簡(jiǎn)單安全特性(無(wú)上讀)：僅當(dāng)SC(o)SC(s)時(shí)，s可以讀取o*-特性(無(wú)下寫(xiě)): 僅當(dāng)SC(s) SC(o)時(shí)，s可以修改oBiba：保證完整性同(上)相反,Biba模型用偏序關(guān)系可以表示為：當(dāng)且僅當(dāng)SC(s) SC(o)，允許讀操作當(dāng)且僅當(dāng)SC(s) SC(o)，允許寫(xiě)操作67自主訪問(wèn)控制配置的粒度小配置的工作量大，效率低強(qiáng)制訪問(wèn)控制配置的粒度大缺乏靈活性682.3 基于角色的訪問(wèn)控制基于角色的訪問(wèn)控制模型（RBAC Model，Role-based Access Model）：RBAC模型的基本思想是將訪問(wèn)許可權(quán)分配給一定的角色，用戶通過(guò)飾演不同的角色獲得角色所擁有的訪問(wèn)許可權(quán)

24、。在很多實(shí)際應(yīng)用中，用戶并不是可以訪問(wèn)的客體信息資源的所有者（這些信息屬于企業(yè)或公司），這樣的話，訪問(wèn)控制應(yīng)該基于員工的職務(wù)而不是基于員工在哪個(gè)組或是誰(shuí)信息的所有者，即訪問(wèn)控制是由各個(gè)用戶在部門(mén)中所擔(dān)任的角色來(lái)確定的例如，一個(gè)學(xué)校可以有教工、老師、學(xué)生和其他管理人員等角色。69角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。比如：我們假設(shè)Tch1，Tch2，Tch3Tchi是對(duì)應(yīng)的教師，Stud1，Stud 2，Stud3 Studj是相應(yīng)的學(xué)生，Mng1，Mng 2，Mng 3Mngk是教務(wù)處管理人員老師的權(quán)限為T(mén)chMN=查詢成績(jī)、上傳所教課程的

25、成績(jī)；學(xué)生的權(quán)限為Stud MN=查詢成績(jī)、反映意見(jiàn)；教務(wù)管理人員的權(quán)限為MngMN=查詢、修改成績(jī)、打印成績(jī)清單依據(jù)角色的不同，每個(gè)主體只能執(zhí)行自己所制定的訪問(wèn)功能。用戶在一定的部門(mén)中具有一定的角色，其所執(zhí)行的操作與其所扮演的角色的職能相匹配70系統(tǒng)管理員負(fù)責(zé)授予用戶各種角色的成員資格或撤消某用戶具有的某個(gè)角色，RBAC提供了一種描述用戶和權(quán)限之間的多對(duì)多關(guān)系。例如學(xué)校新進(jìn)一名教師Tchx，那么系統(tǒng)管理員只需將Tchx添加到教師這一角色的成員中即可，而無(wú)需對(duì)訪問(wèn)控制列表做改動(dòng)。同一個(gè)用戶可以是多個(gè)角色的成員，即同一個(gè)用戶可以扮演多種角色，比如一個(gè)用戶可以是老師，同時(shí)也可以作為進(jìn)修的學(xué)生。同樣

26、，一個(gè)角色可以擁有多個(gè)用戶成員，這與現(xiàn)實(shí)是一致的，一個(gè)人可以在同一部門(mén)中擔(dān)任多種職務(wù)，而且擔(dān)任相同職務(wù)的可能不止一人。角色可以劃分成不同的等級(jí)，通過(guò)角色等級(jí)關(guān)系來(lái)反映一個(gè)組織的職權(quán)和責(zé)任關(guān)系，這種關(guān)系具有反身性、傳遞性和非對(duì)稱性特點(diǎn)，通過(guò)繼承行為形成了一個(gè)偏序關(guān)系，比如MngMNTchMNStud MN。71一般步驟： （所有者、管理員和用戶三方參與，體現(xiàn)職責(zé)分離）所有者決定給角色分配特權(quán)，給用戶分配角色管理員代表所有者統(tǒng)一創(chuàng)建角色和功能管理員創(chuàng)建用戶ID并賦予權(quán)限722.4 基于任務(wù)的訪問(wèn)控制基于任務(wù)的訪問(wèn)控制（task-based authorization control，TBAC）是一

27、種新的安全模型，從應(yīng)用和企業(yè)層角度來(lái)解決安全問(wèn)題，而非已往從系統(tǒng)的角度。它采用“面向任務(wù)”的觀點(diǎn)，從任務(wù)(活動(dòng))的角度來(lái)建立安全模型和實(shí)現(xiàn)安全機(jī)制，在任務(wù)處理的過(guò)程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理。在TBAC中，對(duì)象的訪問(wèn)權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，這是我們稱其為主動(dòng)安全模型的原因。 73TBAC特點(diǎn)：它是在工作流的環(huán)境考慮對(duì)信息的保護(hù)問(wèn)題。在工作流環(huán)境中，每一步對(duì)數(shù)據(jù)的處理都與以前的處理相關(guān)，相應(yīng)的訪問(wèn)控制也是這樣，因而TBAC是一種上下文相關(guān)的訪問(wèn)控制模型。它不僅能對(duì)不同工作流實(shí)行不同的訪問(wèn)控制策略，而且還能對(duì)同一工作流的不同任務(wù)實(shí)例實(shí)行不同的訪問(wèn)控制策略。這是“基于任務(wù)”的含義，所以TBAC又是一種基于實(shí)例(instance-based)的訪問(wèn)控制模型。 因?yàn)槿蝿?wù)都有時(shí)效性，所以在基于任務(wù)的訪問(wèn)控制中，用戶對(duì)于授予他的權(quán)限的使用也是有時(shí)效性的。7475通過(guò)授權(quán)步的動(dòng)態(tài)權(quán)限管理，TBAC支持兩個(gè)著名的安全控制原則： 最小特權(quán)原則：在執(zhí)行任務(wù)時(shí)只給用戶分配所需的權(quán)限，未執(zhí)行任務(wù)或任務(wù)終止后用戶不再擁有所分配