信息安全身份認(rèn)證和訪問控制講義

1信息安全

身份認(rèn)證和訪問控制楊敏武漢大學(xué)國際軟件學(xué)院yangm@2身份認(rèn)證的基本概念身份認(rèn)證機(jī)制訪問控制的基本概念訪問控制實(shí)現(xiàn)方法訪問控制策略主要內(nèi)容3身份認(rèn)證Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.身份認(rèn)證就是確認(rèn)實(shí)體是它所聲明的。身份認(rèn)證是最重要的安全服務(wù)之一。實(shí)體的身份認(rèn)證服務(wù)提供了關(guān)于某個(gè)實(shí)體身份的保證。（所有其它的安全服務(wù)都依賴于該服務(wù)）身份認(rèn)證可以對抗假冒攻擊的危險(xiǎn)4身份認(rèn)證的需求和目的身份認(rèn)證需求：某一成員（聲稱者）提交一個(gè)主體的身份并聲稱它是那個(gè)主體。身份認(rèn)證目的：使別的成員（驗(yàn)證者）獲得對聲稱者所聲稱的事實(shí)的信任。5身份認(rèn)證分類身份認(rèn)證可以分為本地和遠(yuǎn)程兩類。本地身份認(rèn)證（單機(jī)環(huán)境）：實(shí)體在本地環(huán)境的初始化鑒別（就是說，作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。

需要用戶進(jìn)行明確的操作

遠(yuǎn)程身份認(rèn)證（網(wǎng)絡(luò)環(huán)境）：連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。通常將本地鑒別結(jié)果傳送到遠(yuǎn)程。（1）安全（2）易用6身份認(rèn)證分類身份認(rèn)證可以是單向的也可以是雙向的。單向認(rèn)證是指通信雙方中只有一方向另一方進(jìn)行鑒別。雙向認(rèn)證是指通信雙方相互進(jìn)行鑒別。7身份認(rèn)證進(jìn)行身份認(rèn)證的幾種依據(jù)用戶所知道的：密碼、口令用戶所擁有的：身份證、護(hù)照、信用卡、鑰匙用戶本身的特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個(gè)人動作方面的一些特征8主要內(nèi)容身份認(rèn)證的基本概念身份認(rèn)證機(jī)制訪問控制的基本概念訪問控制實(shí)現(xiàn)方法訪問控制策略9常用的身份認(rèn)證機(jī)制A.口令機(jī)制B.一次性口令機(jī)制C.基于智能卡的機(jī)制D.基于個(gè)人特征的機(jī)制10A.口令機(jī)制常規(guī)的口令方案中的口令是不隨時(shí)間變化的口令，該機(jī)制提供弱鑒別(weakauthentication)?？诹罨蛲ㄐ凶謾C(jī)制是最廣泛研究和使用的身份鑒別法。口令系統(tǒng)有許多脆弱點(diǎn)外部泄露口令猜測線路竊聽重放11對付付外外部部泄泄露露的的措措施施?教育育、、培培訓(xùn)訓(xùn)；；?嚴(yán)格格組組織織管管理理辦辦法法和和執(zhí)執(zhí)行行手手續(xù)續(xù)；；?口令令定定期期改改變變；；?每個(gè)個(gè)口口令令只只與與一一個(gè)個(gè)人人有有關(guān)關(guān)；；?輸入入的的口口令令不不再再現(xiàn)現(xiàn)在在終終端端上上；；?使用用易易記記的的口口令令，，不不要要寫寫在在紙紙上上。。12對付付口口令令猜猜測測的的措措施施?教育育、、培培訓(xùn)訓(xùn)；；?嚴(yán)格格限限制制非非法法登登錄錄的的次次數(shù)數(shù)；；?口令令驗(yàn)驗(yàn)證證中中插插入入實(shí)實(shí)時(shí)時(shí)延延遲遲；；?限制制最最小小長長度度，，至至少少6~8字節(jié)節(jié)以以上上?防止止用用戶戶特特征征相相關(guān)關(guān)口口令令，，?口令令定定期期改改變變；；?及時(shí)時(shí)更更改改預(yù)預(yù)設(shè)設(shè)口口令令；；?使用用機(jī)機(jī)器器產(chǎn)產(chǎn)生生的的口口令令。。13強(qiáng)壯壯口口令令應(yīng)應(yīng)符符合合的的規(guī)規(guī)則則個(gè)人人名名字字或或呢呢稱稱電話話號號碼碼、、生生日日等等敏敏感感信信息息輸入入8字字符符以以上上口口令令記錄錄于于紙紙上上或或放放置置于于辦辦公公處處使用用重重復(fù)復(fù)的的字字符符XXXX++++=強(qiáng)壯的口令14對付付線線路路竊竊聽聽的的措措施施使用用保保護(hù)護(hù)口口令令機(jī)機(jī)制制：：如如單單向向函函數(shù)數(shù)。。對于于每每個(gè)個(gè)用用戶戶，，系系統(tǒng)統(tǒng)將將帳帳戶戶和和散散列列值值對對存存儲儲在在一一個(gè)個(gè)口口令令文文件件中中，，當(dāng)當(dāng)用用戶戶輸輸入入口口令令x，系系統(tǒng)統(tǒng)計(jì)計(jì)算算其其散散列列值值H(x)，然然后后將將該該值值與與口口令令文文件件中中相相應(yīng)應(yīng)的的散散列列值值比比較較，，若若相相同同則則允允許許登登錄錄。。安全全性性僅僅依依賴賴于于口口令令15B.一次次性性口口令令機(jī)機(jī)制制近似似的的強(qiáng)強(qiáng)鑒鑒別別（towardsstrongauthentication)一次次性性口口令令機(jī)機(jī)制制確確保保在在每每次次認(rèn)認(rèn)證證中中所所使使用用的的口口令令不不同同，，以以對對付付重重放放攻攻擊擊。。16雙因因素素動動態(tài)態(tài)口口令令卡卡雙因因素素動動態(tài)態(tài)口口令令卡卡基于于密密鑰鑰/時(shí)間間雙雙因因素素的的身身份份認(rèn)認(rèn)證證機(jī)機(jī)制制；；用戶戶登登錄錄口口令令隨隨時(shí)時(shí)間間變變化化，，口口令令一一次次性性使使用用，，無無法法預(yù)預(yù)測測，，可可以以有有效效抵抵御御密密碼碼竊竊取取和和重重放放攻攻擊擊行行為為17雙因素素動態(tài)態(tài)口令令卡相關(guān)產(chǎn)產(chǎn)品如SecurityDynamics公司的的SecureID設(shè)備基于時(shí)時(shí)間同同步的的動態(tài)態(tài)密碼碼認(rèn)證證系統(tǒng)統(tǒng)RSASecureID美國Axend(現(xiàn)被Symantec公司兼兼并)是較早早推出出雙因因素身身份認(rèn)認(rèn)證系系統(tǒng)的的公司司。我國一一些信信息技技術(shù)公公司也也相繼繼推出出了動動態(tài)口口令認(rèn)認(rèn)證系系統(tǒng)。。如網(wǎng)網(wǎng)泰金金安信信息技技術(shù)公公司、、北京京億青青創(chuàng)新新信息息技術(shù)術(shù)有限限公司司、四川安安盟電電子信信息安安全有有限公公司等。18雙因素素動態(tài)態(tài)口令令卡--舉例北京億億青創(chuàng)創(chuàng)新信信息技技術(shù)有有限公公司---易碼通通（EasyPass）動態(tài)態(tài)口令令系統(tǒng)統(tǒng)。動態(tài)口口令卡卡是發(fā)發(fā)給每每個(gè)用用戶的的動態(tài)態(tài)口令令發(fā)生生器，，通過過同步步信任任認(rèn)證證算法法，以以時(shí)間間為參參數(shù)，，每隔隔16-64秒產(chǎn)生生一個(gè)個(gè)一次次性使使用的的“動動態(tài)口口令””。19雙因素素動態(tài)態(tài)口令令卡--舉例Login: JSMITHPasscode:2468723656PINTOKENCODE令牌碼:每60秒變化一次唯一的64-bit種子內(nèi)部電池與UCT時(shí)鐘同步PASSCODE=+PINTOKENCODE20令牌碼碼的產(chǎn)產(chǎn)生令牌碼碼的產(chǎn)產(chǎn)生?時(shí)間––UCT時(shí)間算法––偽偽隨隨機(jī)函函數(shù)種子––隨隨機(jī)機(jī)數(shù)Algorithmo111011010001010101101010101010=21認(rèn)證過過程訪問請請求(加密密的)訪問請請求被被通過過(加密密的)登錄者者ACE/代理ACE/服務(wù)器User-ID:安盟password:1234234836PIN數(shù)據(jù)庫1234234836算法o11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit種子時(shí)鐘算法o11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit種子時(shí)鐘用戶進(jìn)進(jìn)入一一個(gè)SecurID保護(hù)的的網(wǎng)絡(luò)絡(luò),應(yīng)應(yīng)用用或服服務(wù)。。系統(tǒng)統(tǒng)將提提示用用戶輸輸入用用戶名名和一一次性性密碼碼(PASSCODE)PIN123422種子時(shí)間354982安盟身身份認(rèn)認(rèn)證服服務(wù)器器安盟令令牌算法種子時(shí)間354982算法相同的的種子子相同的的時(shí)間間時(shí)間同同步技技術(shù)23C.基于智能卡卡的機(jī)機(jī)制優(yōu)點(diǎn)基于智智能卡卡的認(rèn)認(rèn)證方方式是是一種種雙因因素的的認(rèn)證證方式式（PIN+智能卡卡）智能卡卡提供供硬件件保護(hù)護(hù)措施施和加加密算算法缺點(diǎn)智能卡卡和接接口設(shè)設(shè)備之之間的的信息息流可可能被被截獲獲智能卡卡可能能被偽偽造職員的的作弊弊行為為24基于智能卡卡的機(jī)機(jī)制安全措措施對持卡卡人、、卡和和接口口設(shè)備備的合合法性性的相相互驗(yàn)驗(yàn)證重要數(shù)數(shù)據(jù)加加密后后傳輸輸卡和接接口口設(shè)備備中設(shè)設(shè)置安安全區(qū)區(qū)，安安全區(qū)區(qū)中保保護(hù)邏邏輯電電路或或外部部不可可讀的的存儲儲區(qū)明確有有關(guān)人人員的的責(zé)任任，并并嚴(yán)格格遵守守設(shè)置止止付名名單25基于電電子鑰鑰匙的的機(jī)制制電子鑰鑰匙是是一種種通過過USB直接與與計(jì)算算機(jī)相相連、、具有有密碼碼驗(yàn)證證功能能、可可靠高高速的的小型型存儲儲設(shè)備備，用用于存存儲一一些個(gè)個(gè)人信信息或或證書書，它它內(nèi)部部的密密碼算算法可可以為為數(shù)據(jù)據(jù)傳輸輸提供供安全全的管管道，，是適適合單單機(jī)或或網(wǎng)絡(luò)絡(luò)應(yīng)用用的安安全防防護(hù)產(chǎn)產(chǎn)品。。其安安全保保護(hù)措措施與與智能能卡相相似。。26D.基于生物特特征的的機(jī)制制以人體體唯一一的、、可靠靠的、、穩(wěn)定定的生生物特特征為為依據(jù)據(jù)指紋識識別視網(wǎng)膜膜識別別虹膜識識別手形識識別簽名識識別聲紋識識別27身份認(rèn)認(rèn)證的的基本本概念念身份認(rèn)認(rèn)證機(jī)機(jī)制訪問控控制的的基本本概念念訪問控控制實(shí)實(shí)現(xiàn)方方法訪問控控制策策略主要內(nèi)內(nèi)容28訪問控控制——安全服服務(wù)ISO7498-2定義了了五大大安全全服務(wù)務(wù)對象認(rèn)認(rèn)證訪問控控制數(shù)據(jù)保保密性性數(shù)據(jù)完完整性性防抵賴賴性29基本概概念一般定定義是針對對越權(quán)權(quán)使用用資源源的防防御措措施訪問控控制的的基本本任務(wù)務(wù)是防防止非非法用用戶即即未授授權(quán)用用戶進(jìn)進(jìn)入系系統(tǒng)和和合法法用戶戶即授授權(quán)用用戶對對系統(tǒng)統(tǒng)資源源的非非法使使用用戶身身份的的識別別和認(rèn)認(rèn)證對訪問問的控控制審計(jì)跟跟蹤30訪問控控制授權(quán)數(shù)數(shù)據(jù)庫庫訪問監(jiān)監(jiān)視器器審計(jì)身份認(rèn)認(rèn)證訪問控控制31訪問控控制系系統(tǒng)的的實(shí)體體主體（（subject）發(fā)出訪訪問操操作、、存取取請求求的主主動方方，通通常可可以是是用戶戶或用用戶的的某個(gè)個(gè)進(jìn)程程等客體（（object）被訪問問的對對象，，通常?？梢砸允潜槐徽{(diào)用用的程程序、、進(jìn)程程，要要存取取的數(shù)數(shù)據(jù)、、信息息，要要訪問問的文文件、、系統(tǒng)統(tǒng)或各各種網(wǎng)網(wǎng)絡(luò)設(shè)設(shè)備、、設(shè)施施等資資源安全訪訪問策策略一套規(guī)規(guī)則，，用以以確定定一個(gè)個(gè)主體體是否否對客客體擁擁有訪訪問權(quán)權(quán)限。。32訪問控控制的的目的的限制主主體對對訪問問客體體的訪訪問權(quán)權(quán)限，，從而而使計(jì)計(jì)算機(jī)機(jī)系統(tǒng)統(tǒng)在合合法范范圍內(nèi)內(nèi)使用用；決定用用戶能能做什什么，，也決決定代代表一一定用用戶利利益的的程序序能做做什么么33身份認(rèn)認(rèn)證的的基本本概念念身份認(rèn)認(rèn)證機(jī)機(jī)制訪問控控制的的基本本概念念訪問控控制實(shí)實(shí)現(xiàn)方方法訪問控控制策策略主要內(nèi)內(nèi)容34訪問控控制的的實(shí)現(xiàn)現(xiàn)方法法A.訪問控控制矩矩陣B.訪問能能力表表C.訪問控控制表表D.授權(quán)關(guān)關(guān)系表表35A.訪問控控制矩矩陣訪問控控制表表示為為一個(gè)個(gè)矩陣陣的形形式列表示示客體體（各各種資資源））行表示示主體體（通通常為為用戶戶）行和列列的交交叉點(diǎn)點(diǎn)表示示某個(gè)個(gè)主體體對某某個(gè)客客體的的訪問問權(quán)限限（比比如讀讀、寫寫、執(zhí)執(zhí)行、、修改改、刪刪除等等）36File1File2File3File4Account1Account2JohnOwnRWOwnRWInquiryCreditAliceROwnRWWInquiryDebitInquiryCreditBobRWROwnRWInquiryDebitOwn的確切切含義義可能能因系系統(tǒng)不不同而而異，，通常常一個(gè)個(gè)文件件的Own權(quán)限表表示授授予（（authorize）或撤撤銷（（revoke）其他他用戶戶對該該文件件的訪訪問控控制權(quán)權(quán)限。。37缺點(diǎn):訪問控控制矩矩陣中中很多多單元元是空空白項(xiàng)項(xiàng)為了減減輕系系統(tǒng)開開銷與與浪費(fèi)費(fèi)從主體體（行行）出出發(fā)，，表示示矩陣陣的某某一行行的信信息——訪問能能力表表（AccessCapabilitiesList）從客體體（列列）出出發(fā)，，表示示矩陣陣某一一列的的信息息——訪問控控制表表（AccessControlList）38B.訪問能能力表表能力（（Capability）是受受一定定機(jī)制制保護(hù)護(hù)的客客體標(biāo)標(biāo)志，，標(biāo)記記了客客體以以及主主體（（訪問問者））對客客體的的訪問問權(quán)限限。只有當(dāng)當(dāng)一個(gè)個(gè)主體體對某某個(gè)客客體擁擁有訪訪問的的能力力時(shí)，，它才才能訪訪問這這個(gè)客客體。。39File1OwnRWFile3OwnRWFile1RWFile2RFile4OwnRWJohnBob40訪問能能力表表的優(yōu)優(yōu)點(diǎn)：：訪問能能力表表著眼眼于某某一主主體的的訪問問權(quán)限限，以以主體體的出出發(fā)點(diǎn)點(diǎn)描述述控制制信息息，因因此很很容易易獲得得一個(gè)個(gè)主體體所被被授權(quán)權(quán)可以以訪問問的客客體及及其權(quán)權(quán)限。。訪問能能力表表的缺缺點(diǎn)：：如果要要求獲獲得對對某一一特定定客體體有特特定權(quán)權(quán)限的的所有有主體體比較較困難難。訪問控控制服服務(wù)應(yīng)應(yīng)該能能夠控控制可可訪問問某一一個(gè)客客體的的主體體集合合，能能夠授授予或或取消消主體體的訪訪問權(quán)權(quán)限。。于是是出現(xiàn)現(xiàn)了以以客體體為出出發(fā)點(diǎn)點(diǎn)的實(shí)實(shí)現(xiàn)方方式——訪問控控制表表。41C.訪問控控制表表訪問控控制表表（ACL）對某某個(gè)指指定的的資源源指定定任意意一個(gè)個(gè)用戶戶的權(quán)權(quán)限，，還可可以將將具有有相同同權(quán)限限的用用戶分分組，，并授授予組組的訪訪問權(quán)權(quán)限JohnOwnRWBobRFile1AliceRW42訪問控控制表表的優(yōu)優(yōu)點(diǎn)：：訪問控控制表表（ACL）表述述直觀觀、易易于理理解，，比較較容易易查出出對某某一特特定資資源擁擁有訪訪問權(quán)權(quán)限的的所有有用戶戶，有有效地地實(shí)施施授權(quán)權(quán)管理理。在一些些實(shí)際際應(yīng)用用中，，還對對ACL進(jìn)行了了擴(kuò)展展，以以進(jìn)一一步控控制用用戶的的合法法訪問問時(shí)間間，是是否需需要審審計(jì)等等訪問控控制表表的局局限：：應(yīng)用用到網(wǎng)網(wǎng)絡(luò)規(guī)規(guī)模較較大、、需求求復(fù)雜雜的企企業(yè)的的內(nèi)部部網(wǎng)絡(luò)絡(luò)時(shí)當(dāng)網(wǎng)絡(luò)絡(luò)中資資源很很多時(shí)時(shí)，需需要在在ACL中設(shè)定定大量量的表表項(xiàng)。。而且且為了了實(shí)現(xiàn)現(xiàn)整個(gè)個(gè)組織織范圍圍內(nèi)的的一致致的控控制策策略，，需要要各管管理部部門的的密切切合作作。單純使使用ACL，不易易實(shí)現(xiàn)現(xiàn)最小小權(quán)限限原則則及復(fù)復(fù)雜的的安全全政策策43D.授權(quán)關(guān)系系表使用一張張表描述述主體和和客體之之間的關(guān)關(guān)系，可可以對表表進(jìn)行排排序主體訪問權(quán)限客體JohnOwnFile1JohnRFile1JohnWFile1JohnOwnFile3JohnRFile3JohnWFile3AliceRFile1………………44身份認(rèn)證證的基本本概念身份認(rèn)證證機(jī)制訪問控制制的基本本概念訪問控制制實(shí)現(xiàn)方方法訪問控制制策略主要內(nèi)容容45訪問控制制策略A.自主訪問問控制（（DAC）B.強(qiáng)制訪問問控制（（MAC）C.基于角色色的訪問問控制（（RBAC）DACMACRBAC訪問控制46A.自主訪問問控制自主訪問問控制（（DAC）最早出現(xiàn)現(xiàn)在七十十年代初初期的分分時(shí)系統(tǒng)統(tǒng)中，它它是多用用戶環(huán)境境下最常常用的一一種訪問問控制手手段。用戶可以以按自己己的意愿愿對系統(tǒng)統(tǒng)參數(shù)做做適當(dāng)?shù)牡男薷?，，可以決決定哪個(gè)個(gè)用戶可可以訪問問系統(tǒng)資資源。DAC有時(shí)又被被稱為為為基于主主人的訪訪問控制制47自主訪問問控制優(yōu)點(diǎn)根據(jù)主體體的身份份及允許許訪問的的權(quán)限進(jìn)進(jìn)行決策策自主是指指具有某某種訪問問能力的的主體能能夠自主主地將訪訪問權(quán)的的某個(gè)子子集授予予其它主主體。靈活性高高，被大大量采用用，Windows、UNIX系統(tǒng)采用用。缺點(diǎn)過于靈活活、限制制較弱、、可能存存在安全全隱患如用戶A把目標(biāo)X的訪問權(quán)權(quán)賦予了了用戶B，用戶B可能會把把X訪問權(quán)轉(zhuǎn)轉(zhuǎn)賦予用用戶C，而A可能并不不愿意讓讓C訪問X用戶A把目標(biāo)X的訪問權(quán)權(quán)賦予了了用戶B，而根據(jù)據(jù)系統(tǒng)基基本安全全規(guī)則，，B并不能訪訪問X。48自主訪問問控制——基于個(gè)人人的策略略根據(jù)哪些些用戶可可對一個(gè)個(gè)目標(biāo)實(shí)實(shí)施哪一一種行為為的列表表來表示示。等價(jià)于用用一個(gè)目目標(biāo)的訪訪問矩陣陣列來描描述基礎(chǔ)(前提)：一個(gè)隱隱含的、、或者顯顯式的缺缺省策略略例如，全全部權(quán)限限否決最小特權(quán)權(quán)原則：：要求最最大限度度地限制制每個(gè)用用戶為實(shí)實(shí)施授權(quán)權(quán)任務(wù)所所需要的的許可集集合在不同的的環(huán)境下下，缺省省策略不不盡相同同，例如如，在公公開的布布告板環(huán)環(huán)境中，，所有用用戶都可可以得到到所有公公開的信信息對于特定定的用戶戶，有時(shí)時(shí)候需要要提供顯顯式的否否定許可可例如，對對于違紀(jì)紀(jì)的內(nèi)部部員工，，禁止訪訪問內(nèi)部部一些信信息49自主訪問問控制——基于組的的策略一組用戶戶對于一一個(gè)目標(biāo)標(biāo)具有同同樣的訪訪問許可可。是基基于身份份的策略略的另一一種情形形相當(dāng)于，，把訪問問矩陣中中多個(gè)行行壓縮為為一個(gè)行行。實(shí)際使用用時(shí)先定義組組的成員員對用戶組組授權(quán)同一個(gè)組組可以被被重復(fù)使使用組的成員員可以改改變50B.強(qiáng)制訪問問控制強(qiáng)制訪問問控制（（MAC）基于規(guī)則則的訪問問控制，，主體和和客體分分別定義義安全等等級標(biāo)記記，在自自主訪問問控制的的基礎(chǔ)上上還必須須受到安安全標(biāo)記記的約束束。安全標(biāo)記記是限制制在目標(biāo)標(biāo)上的一一組安全全屬性信信息項(xiàng)。。在訪問問控制中中，一個(gè)個(gè)安全標(biāo)標(biāo)記隸屬屬于一個(gè)個(gè)用戶、、一個(gè)目目標(biāo)、一一個(gè)訪問問請求。。系統(tǒng)強(qiáng)制制主體服服從訪問問控制策策略。主主要用于于多層次次安全級級別的軍軍事應(yīng)用用中。51強(qiáng)制訪問問控制將主體和和客體分分級定義用戶戶的可信信任級別別及信息息的敏感感程度，，如，絕絕密級，，機(jī)密級級，秘密密級，無無密級。。根據(jù)主體體和客體體的級別別關(guān)系決決定訪問問模式訪問控制制關(guān)系分分為上讀/下寫（完完整性））下讀/上寫（保保密性））通過梯度度安全標(biāo)標(biāo)簽實(shí)現(xiàn)現(xiàn)單向信信息流通通模式。。52強(qiáng)制訪問問控制安全標(biāo)簽簽是限制制在目標(biāo)標(biāo)上的一一組安全全屬性信信息項(xiàng)。。在訪問問控制中中，一個(gè)個(gè)安全標(biāo)標(biāo)簽隸屬屬于一個(gè)個(gè)用戶、、一個(gè)目目標(biāo)、一一個(gè)訪問問請求或或傳輸中中的一個(gè)個(gè)訪問控控制信息息。最通常的的用途是是支持多多級訪問問控制策策略。在在處處理一個(gè)個(gè)訪問請請求時(shí)，，目標(biāo)環(huán)環(huán)境比較較請求上上的標(biāo)簽簽和目標(biāo)標(biāo)上的標(biāo)標(biāo)簽，應(yīng)應(yīng)用策略略規(guī)則（（如BellLapadula規(guī)則）決決定是允允許還是是拒絕訪訪問。53強(qiáng)制訪問問控制強(qiáng)制訪問問控制(MAC)中，系統(tǒng)統(tǒng)包含主主體集S和客體集集O，每個(gè)S中的主體體s及客體集集中的客客體o，都屬于于一固定定的安全全類SC，安全類類SC=<L,C>包括兩個(gè)個(gè)部分：：有層次次的安全全級別和和無層次次的安全全范疇。。構(gòu)成一一偏序關(guān)關(guān)系≤Bell-LaPadula：保證保保密性Biba：保證完完整性54強(qiáng)制訪問問控制Bell-LaPadula模型（BLP模型）安全屬性性用二元元組表示示（密級級，類別別集合））密級集合合為{絕密，機(jī)機(jī)密，秘秘密，無無密}，且絕密密>機(jī)密>秘密>無密類別集合合是系統(tǒng)統(tǒng)中非分分層元素素集合中中的一個(gè)個(gè)子集，，具體的的元素依依賴于所所考慮的的環(huán)境和和應(yīng)用領(lǐng)領(lǐng)域安全屬性性的集合合滿足偏偏序關(guān)系系為每個(gè)用用戶分配配一個(gè)安安全屬性性，為每每個(gè)客體體也分配配一個(gè)安安全屬性性55強(qiáng)制訪問問控制Bell-LaPadula模型中主主體對客客體訪問問的兩個(gè)個(gè)規(guī)則簡單安全全原則：僅當(dāng)主主體的敏敏感級不不低于客客體敏感感級且主主體的類類別集合合包含客客體時(shí)，，才允許許該主體體讀該客客體。即即主體只只能讀密密級等于于或低于于它的客客體星規(guī)則：僅當(dāng)主主體的敏敏感級不不高于客客體敏感感級且客客體的類類別集合合包含主主體的類類別集合合時(shí)，才才允許該該主體寫寫該客體體。即主主體只能能寫等于于或高于于它的客客體。56強(qiáng)制制訪訪問問控控制制下讀讀：：低低信信任任級級別別的的用用戶戶不不能能讀讀高高敏敏感感度度的的信信息息，，只只能能讀讀比比它它信信任任級級別別更更低低的的低低敏敏感感信信息息上寫寫：：不不允允許許高高敏敏感感度度的的信信息息寫寫入入低低敏敏感感度度區(qū)區(qū)域域，，只只能能寫寫入入更更高高敏敏感感度度區(qū)區(qū)域域?qū)崿F(xiàn)現(xiàn)數(shù)數(shù)據(jù)據(jù)的的保保密密性性R/WWWWTSRR/WWWSRRR/WWCRRRR/WUTSSCU主體體客體體TS（絕絕密密））、、S（機(jī)機(jī)密密））、、C（秘秘密密））、、U（無無密密））信息流57例如如，，某某單單位位部部分分行行政政機(jī)機(jī)構(gòu)構(gòu)如如下下圖圖：：58假設(shè)設(shè)計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)中中的的數(shù)數(shù)據(jù)據(jù)的的密密級級為為：：一般般＜＜秘秘密密＜＜機(jī)機(jī)密密＜＜絕絕密密定義義校校長長的的安安全全級級C校長長＝（（絕絕密密，，{人人事事處處,教教務(wù)務(wù)處處,財(cái)財(cái)務(wù)務(wù)處處,設(shè)設(shè)備備處處}）），，（即即校校長長的的密密級級為為絕絕密密，，部部門門屬屬性性為為所所有有的的部部門門））教務(wù)務(wù)處處長長的的安安全全級級C教=(機(jī)機(jī)密密,{教教務(wù)務(wù)處處})財(cái)務(wù)務(wù)處處長長的的安安全全級級C財(cái)=(機(jī)機(jī)密密,{財(cái)財(cái)務(wù)務(wù)處處})財(cái)務(wù)務(wù)一一科科長長的的安安全全級級C一財(cái)財(cái)=(秘秘密密,{財(cái)財(cái)務(wù)務(wù)處處})財(cái)務(wù)務(wù)處處工工作作人人員員的的安安全全級級C工=(一一般般,{財(cái)財(cái)務(wù)務(wù)處處})假設(shè)設(shè)財(cái)財(cái)務(wù)務(wù)一一科科長長產(chǎn)產(chǎn)生生了了一一份份工工作作文文件件A，，文件件A的安安全全級級定定義義為為與與一一科科長長的的安安全全級級相相同同，，即即CA=(秘密密,{財(cái)財(cái)務(wù)務(wù)處處})，，那那么么，，對對于于文文件件A，，只有有校校長長和和財(cái)財(cái)務(wù)務(wù)處處長長能能看看到到，，而而教教務(wù)務(wù)處處長長不不能能看看，，盡盡管管教教務(wù)務(wù)處處長長的的密密級級是是機(jī)機(jī)密密級級，，可可以以看看秘秘密密級級的的文文件件，，但但教教務(wù)務(wù)處處長長的的部部門門屬屬性性僅僅是是{教教務(wù)務(wù)處處},他他無無權(quán)權(quán)看看財(cái)財(cái)務(wù)務(wù)處處的的信信息息。。59強(qiáng)制訪問控控制BLP模型的不足足應(yīng)用領(lǐng)域較較窄，使用用不靈活，，一般只用用于軍方等等具有明顯顯等級觀念念的領(lǐng)域完整性方面面控制的不不夠好，強(qiáng)強(qiáng)調(diào)信息向向高安全級級的方向流流動，對高高安全級信信息的完整整性保護(hù)不不夠60強(qiáng)制訪問控控制Biba模型Biba等人于70年代提出的的，它主要要是針對信信息完整性性保護(hù)方面面的。與BLP模型類似，，Biba模型用完整整性等級取取代了BLP模型中的敏敏感等級，，而訪問控控制的限制制正好與BLP模型相反：：61強(qiáng)制訪問控控制Biba模型的規(guī)則則簡單完整規(guī)規(guī)則。僅當(dāng)主體體的完整級級大于等于于客體的完完整級且主主體的類別別集合包含含客體的類類別集時(shí)，，才允許該該主體寫該該客體。即即主體只能能向下寫，而不能向向上寫，也也就是說主主體只能寫寫（修改））完整性級級別等于或或低于它的的客體。完整性制約約規(guī)則（星星規(guī)則）。僅當(dāng)主體體的完整級級不高于客客體完整級級且客體的的類別集合合包含主體體的類別集集合時(shí)，才才允許該主主體讀客體體。即主體體只能從上讀，而不能從從下讀。62強(qiáng)制訪問控控制缺陷實(shí)現(xiàn)工作量量大管理不便不夠靈活過于偏重保保密性，對對其他方面面，如系統(tǒng)統(tǒng)連續(xù)工作作能力、授授權(quán)的可管管理性等方方面考慮不不足63C.基于角色的的訪問控制制20世紀(jì)90年代出現(xiàn)，，可以有效效地克服傳傳統(tǒng)訪問控控制技術(shù)中中存在的不不足之處，，減少授權(quán)權(quán)管理的復(fù)復(fù)雜性，降降低管理開開銷。起源于UNIX系統(tǒng)等操作作系統(tǒng)中組組的概念基于角色的的訪問控制制是一個(gè)復(fù)復(fù)合的規(guī)則則，可以被被認(rèn)為是DAC和MAC的變體。一一個(gè)身份被被分配給一一個(gè)被授權(quán)權(quán)的組?；舅悸罚海汗芾韱T創(chuàng)創(chuàng)建角色，，給角色分分配權(quán)限，，給角色分分配用戶，，角色所屬屬的用戶可可以執(zhí)行相相應(yīng)的權(quán)限限64基于角色的的訪問控制制所謂角色，，就是一個(gè)個(gè)或一組用用戶在組織織內(nèi)可執(zhí)行行的操作的的集合角色由系統(tǒng)統(tǒng)管理員定定義，角色色成員的增增減只能由由系統(tǒng)管理理員執(zhí)行，，而且授權(quán)權(quán)規(guī)定是強(qiáng)強(qiáng)加給用戶戶的，用戶戶只能被動動接受，用用戶也不能能自主的將將訪問權(quán)限限傳給他人人，這是一一種非自主主型訪問控控制65基于角色的的訪問控制制每個(gè)角色與與一組用戶戶和有關(guān)的的動作相互互關(guān)聯(lián)，角角色中所屬屬的用戶可可以有權(quán)執(zhí)執(zhí)行這些操操作角色與組的的區(qū)別組：一組用用戶的集合合角色：一組組用戶的集集合+一組操作權(quán)權(quán)限的集合合客體1客體2客體3用戶1用戶2用戶3角色1角色2權(quán)限a權(quán)限b權(quán)限c權(quán)限d66基于角色的的訪問控制制傳統(tǒng)的訪問問控制機(jī)制制直接將訪訪問主體（（發(fā)出訪問問操作、存存取要求的的主動方））和客體（（被調(diào)用的的程序或欲欲存取的數(shù)數(shù)據(jù)訪問））相聯(lián)系RBAC在主體和客客體中間加加入了角色色，通過角角色溝通主主體和客體體RBAC中，用戶的的標(biāo)識對于于身份認(rèn)證證以及審計(jì)計(jì)記錄非常常有用，但但真正決定定訪問權(quán)限限的是用戶戶對應(yīng)的角角色標(biāo)識67基于角色的的訪問控制制與DAC的區(qū)別用戶與客體體沒有直接接聯(lián)系，只只要通過角角色才享有有該角色所所對于的權(quán)權(quán)限，從而而訪問相應(yīng)應(yīng)的客體，，因此用戶戶不能自主主地將訪問問權(quán)限授給給別的用戶戶與MAC的區(qū)別MAC是基于多級級安全需求求的，但RBAC不是在軍事系統(tǒng)統(tǒng)中關(guān)心的的是防止信信息從高安安全級流向向低安全級級，即限制制“誰可以以讀/寫什么信息息”基于角色控控制的系統(tǒng)統(tǒng)關(guān)心保護(hù)護(hù)系統(tǒng)的完完整性，即即“誰可以以對什么信信息執(zhí)行何何種動作””角色控制比比較靈活，，根據(jù)配置置可以使某某些角色接接近DAC，而某些角角色更接近近于MAC68三條安全原原則:最小權(quán)限：：用戶所擁擁有的權(quán)利利不能超過過他執(zhí)行工工作時(shí)所需需的權(quán)限責(zé)任分離：：多個(gè)互斥斥的角色合合作完成重重要工作數(shù)據(jù)抽象：：可以定義義抽象的權(quán)權(quán)限，而不不僅僅是操操作系統(tǒng)中中的讀、寫寫、執(zhí)行等等基于角色的的訪問控制制69優(yōu)勢便于授權(quán)管管理便于角色劃劃分便于賦予最最小權(quán)限原原則便于職責(zé)分分離便于客體分分類基于角色的的訪問控制制9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Thursday,December29,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。03:48:5503:48:5503:4812/29/20223:48:55AM11、以我獨(dú)獨(dú)沈久，，愧君相相見頻。。。12月-2203:48:5503:48Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。03:48:5503:48:5503:48Thursday,December29,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2203:48:5503:48:55December29,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。29十十二二月月20223:48:55上上午午03:48:5512月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月223:48上上午午12月月-2203:48December29,202216、行動出出成果，，工作出出財(cái)富。。。2022/12/293:48:5503:48:5529December202217、做前，，能夠環(huán)環(huán)視四周周；做時(shí)時(shí)，你只只能或者者最好沿沿著以腳腳為起點(diǎn)點(diǎn)的射線線向前。。。3:48:55上午午3:48上