傳統(tǒng)的訪問控制

第二講傳統(tǒng)的訪問控制

訪問控制的基本任務(wù)是：防止非

法用戶選入系統(tǒng)及合法用戶對條

統(tǒng)資源的非法使用，它保證主體

對客體的所有直接訪問都是經(jīng)過

授權(quán)的。

1

基本概葭

不考慮身份鑒別的話颼其內(nèi)容主要包括

非法用戶禁止訪問合法數(shù)據(jù)

2.客體

是一種能夠從其它客體或主體接收信息的實(shí)體

3.主體

是一種可以使信息在客體之間流動的實(shí)體

2

每張表及數(shù)據(jù)項(xiàng)均可看作為一個(gè)客體

它們可被訪問、修改或刪除

如網(wǎng)絡(luò)節(jié)點(diǎn)、內(nèi)存段（類似房間）

4.訪問權(quán)限（訪問模式）、

是指主體對客體可進(jìn)行的金訪問操作

讀（）寫（）添加（）執(zhí)行（）刪除（）

c控制權(quán)

0擁有權(quán):決定別的主體能否訪問這*客體的

權(quán)限

以上表為例插入記錄，其他信息看不見W

co

決定其它家體的被訪問權(quán)

5.自主訪問控制、

是指對某個(gè)客體具有擁有權(quán)（或控制權(quán)）的主

體能夠?qū)υ摷殷w的一種訪問權(quán)或多種訪問權(quán)

自主地授予其它主體，并在隨后的任何時(shí)刻將

這些權(quán)F艮回收。

6.強(qiáng)制訪問控制

系統(tǒng)根據(jù)主體被信任的程度和客體所包含的信

息的機(jī)密性來決定主體對家體的訪問權(quán)，這種

控制往往可以通過對主體和客體膩以安全標(biāo)記

來實(shí)現(xiàn)。

5

例：教務(wù)處查分。但要在學(xué)校的規(guī)定下選行。班

主任可以看，不能給學(xué)生看。必須有一些條件

F艮制。

會計(jì)和出納規(guī)定不能由同一個(gè)人擔(dān)任。

~個(gè)機(jī)構(gòu)，即使~個(gè)文件是你起草的，但這

個(gè)文件有一個(gè)較高的密級，不具備資格或權(quán)限

看的人亦不能給他看。

6

二4主訪問控制

1.自主訪問控制的矩陣模型

條統(tǒng)狀忐用一個(gè)有序三元組表示Q=(,,),

其中主體的集合

-客體的集合

A訪問矩陣，行對應(yīng)于主體,列對應(yīng)客體

設(shè)5=｛§逆2｝，0=｛叫網(wǎng)2匹

miflf2Si

_*{r,w,e}{ci,w}

4一

{r,w,e}{cre}

7

我們稱區(qū)QA)為小統(tǒng)的保護(hù)衣態(tài).系統(tǒng)的保護(hù)狀態(tài)是變化的,其變化是由一些命

令引起的?這些色令則由電變訪問矩陣的一坐基本操作的序列所組成?這些基本猿作是,

?enterrintoA[$,u]將訪問權(quán)r添加到A［八o］中?

?deleterfromA[ho]在A［s.。］中刪除訪問權(quán)r.

?createsubjects生成一個(gè)主體/s

?createobjecto生成一個(gè)客體。‘1

9

?destroysubject$翻除主體

/

?destroyobjecto蚓除客體。

這里r表示某一種訪問權(quán).

襄邑LP式地足義了這些基于操作對仿問矩陣的警我其中，op代表基本操作,Q=

(S.O,A)表示操作前的系統(tǒng)狀態(tài).在表中定義的條件下,執(zhí)行op引起系統(tǒng)狀態(tài)變化，由Q

變成Q'=(S',O,A').］

8

a2?甚本次作

op條付斯?fàn)疃?/p>

enterrinto?oJ?tesS*-S

oteocf-o

八'J??ojLHC

1A'Q.?o,]-AQ>>.。門.當(dāng)o,)X(?,.

deleterfromA[..?oJ?tesS/?S

oteo(/-O

八'J??。門?A[，,?o,」一<r}

JA*C>4*o,1?A[j??oj?當(dāng)(—?o/>#C?t.

createsubject%resS^SLHT)

C/—OU(Z)

八'[，?O」?A[J?o1?當(dāng),WS?oWO

A*L*?o」—6,當(dāng)oGC/

createobjecto。'6os*-s

<y-OUd

A'Q?o]-At??oj?當(dāng)?WS?oGO

N'J?o']30?當(dāng)sWS/

destroymibicct.，ZGS

cr-o-{?/)

A'[，?o]?A[??o]?當(dāng)?WS*.oW。

destroyobject</o'woS/—S.。-Q-<。')

o'6s人'匚??。]一人[，?o]?當(dāng)?WS*?Cf

7條命令可能由若干個(gè)基本操作構(gòu)成,例如?任何進(jìn)程都可創(chuàng)建一個(gè)新文件.此時(shí)?系

蛻格自動給創(chuàng)建文件的進(jìn)程分配對該文件的擁有權(quán)和讀/寫權(quán)，這可用如下命令來表示，

commandcreatefile(p*f)

createobjectfl

enterOwnintoA[p.f]i

enterrintoA[p.fli

enterwintoA[p.Oi

色睢陛BL型是在營際系統(tǒng)中實(shí)現(xiàn)保護(hù)簞略和機(jī)制的抽象表示.因此，它提供了一個(gè)

幫助理解和描述保護(hù)系統(tǒng)的輔助概念，一個(gè)便于比較不同保護(hù)系統(tǒng)的共同框架和一個(gè)研究

保護(hù)系統(tǒng)固有特性的形式模型.

10

收回授權(quán)的情況，狀忐本身也在變化

存儲結(jié)構(gòu)是一個(gè)大稀疏矩陣12

1.基于能力表的自主訪問控制

我們用二小組y）表示對二t客體的訪問能力?其中，工是該客體的惟一的名字（理

輯地址）r是城工的一組訪問權(quán)的集合,井稱（巧山為能力（Capability）.能力（工，y）是

二j至國,拽有者可對客體；進(jìn)行y中所允許的旭.在系統(tǒng)中，為每一而而存彳

能力表?主體S的能力表由訪問控制矩陣中5所對應(yīng)的行中所有非空項(xiàng)所組成，其形式如未

2?2所示?表長n》0.其中?工，表示客體;“是訪問矩陣A中A[s.項(xiàng)所給出的權(quán)力.I

*2.2他力裊

客體權(quán)雙

XIy1

XIyi

?■■

**

工.y.

13

訪問能力表(CL)

二元*x，y)

V

(客體，{O,R,W})

每個(gè)主體都附加一個(gè)該主體可訪問的客體的明細(xì)表。

14

例2.2在圖2.I所給出的例中,進(jìn)程匕的能力如表2.3所示.

衰2.3進(jìn)程匕的能力表

?體權(quán)事

Mi(r?w.e)

Fi{r*w.a?d.el

圖2.2給出的能力表?提供了對過程代碼A的讀權(quán)和執(zhí)行權(quán)，對數(shù)據(jù)對象B,C的讀權(quán)

和時(shí)數(shù)據(jù)對象D的讀權(quán)與寫權(quán).

AH■代中

Btt?

Dft

S2.2嬉力衰的例子

■—每一主體s的能力表，可以決定jJTS對"的客體訪問以及可上進(jìn)行什么樣的優(yōu)

R.6贏在麗瓦率和空間效記都優(yōu)于訪向運(yùn)薛?但能五蓑近有產(chǎn)而K五?如鬲

行一福套薪;i5定所有有權(quán)訪問它的主體，用戶生成一個(gè)新的客體并對其授權(quán)或制

除一個(gè)客體時(shí)都顯得較為麻煩.

2.基于授權(quán)表的自主訪問控制

我們也可以為楚一個(gè)客體。分配一張授權(quán)費(fèi)?授權(quán)表應(yīng)被授權(quán)訪問害體。的所有主體

及其對。所具有的訪問權(quán)限組?其形式如表2?4所示.表長”》0,其中，九表示主體，星,表

心用。的訪問權(quán)集合.因此,客體。的授權(quán)表由訪問控制矩陣中客體。所對應(yīng)的列中所有

豐空項(xiàng)所組成.

衰2.4授權(quán)表

訪問控制表(ACL)

每個(gè)客體附加一個(gè)它可以訪問的主體的明細(xì)表。

18

?2.5文件人的授權(quán)衰

用戶1D

Pi(r?e.w.a.d)

圖2.3給出了授權(quán)表的另一個(gè)例子.

?2.3文件F的授權(quán)表

對于客體F來說.主體A是F的擁有者.對F不僅具有擁有權(quán)而且具有讀權(quán)，寫權(quán)、添

加權(quán)、副除權(quán)和運(yùn)行權(quán)，主體B對F不僅具有讀權(quán)，還具有寫權(quán)：主體C對F不但具有讀權(quán),

還具有運(yùn)行權(quán)，主體D對F只具有該控;

在實(shí)際應(yīng)用中，如果對某.客體可以訪問的主體很多，那么授權(quán)衰會變得很長,占據(jù)較大

的存儲空間,并且在監(jiān)控程序作判別時(shí)，也將花衣較多的CPU時(shí)間.為此，可利用分組與通

配符對反竊裊進(jìn)行*______________J

19

內(nèi).這時(shí)，我們?yōu)槊總€(gè)組分配一個(gè)組名，訪問判決時(shí)可以按組名進(jìn)行.在授權(quán)表中相應(yīng)地設(shè)

匕±3國?！?它可以替代任何蛆名或主體標(biāo)識符.這時(shí)，授權(quán)表瀛壬而如下形工

朝：,

主體標(biāo)識=ID.GN

C中，ID為主一體標(biāo)識符,GN表示該主體所屬的組名.例如,Alpha的授權(quán)表如表2,6所示.

表2.6客體Alph■的授權(quán)我

主體標(biāo)識權(quán)限

小張.Cryptor?c?w

?.Cryptor?e

小李.?T

???n

由授權(quán)表可以看出，屬于Crypto組的所有主體(*.Crypto)對客體都具有讀與運(yùn)行權(quán),

rype組的小張不僅對Alpha具有讀和運(yùn)行權(quán),還具有寫權(quán),無論哪個(gè)組的小李對Alpha

E只可進(jìn)行讀訪問.對于其他任何主體，無論屬于哪個(gè)組(?.?)，對該客體都不具有任何

!式的訪問權(quán)」嗎生這樣西化?爐權(quán)表可大大縮小.

一在客體應(yīng)康喬，。的屆有者可以通豆刪除某個(gè)主體在授權(quán)表中的項(xiàng)目來撤債垓主

小對。的訪問權(quán)限?或通過增加某個(gè)主體在授權(quán)表中的項(xiàng)目來授予該主體對。的訪問權(quán)限.

訪問控制矩陣

?按列看是訪問控制表內(nèi)容

?按行看是訪問能力表內(nèi)容

目標(biāo),標(biāo)”

目標(biāo)目標(biāo)

用戶y

R、/w、

用戶ap_______________

ZLZR、W、Own

、

用戶c'RW

用戶d\R/R、W

23

3,授權(quán)的管理方式―

⑴集中式管理

一個(gè)主體,在創(chuàng)建某個(gè)客體4后，該主體就獲得了對

這一家叔的C權(quán)和其它所有可能權(quán)限。C權(quán)意味著

可以將它對Oj所有其它r除c權(quán)以外）的訪問權(quán)限

授予系統(tǒng)中任何一個(gè)主體，也可以撤銷宗統(tǒng)中任

何主體對。j的其它訪問權(quán)F艮。其它主體因?yàn)閷?。j

不具有C權(quán)，因此即使他們對Oj具有某些訪問權(quán)限,

但它們也無權(quán)將這些權(quán)限轉(zhuǎn)授給別的主體、或被

銷別的主體對Oj的任何訪問權(quán)限--在這種管理

模式下，對于任一客體9，哪些主體可以對其昆

行訪問，可以進(jìn)行什么樣的訪問，完全由Oj的擁

有者決定。

對于任一家體可,完全由可的擁有者決定］

24

⑵分散式管理

在分散式管理橫式下，家體的擁有者不但可將

對該客體的訪問權(quán)授予其它客體，而且可同時(shí)授

予他們對該客體相應(yīng)訪問權(quán)的控制權(quán)(或相應(yīng)訪

問權(quán)的授子權(quán)JO

CU允許傳遹授權(quán)

(2)當(dāng)?個(gè)主體撤銷它所授予的對某個(gè)家體

的某種訪問權(quán)限時(shí)，必須將由于這一授權(quán)而

引起的所有授權(quán)都予以撤銷。

25

例在數(shù)據(jù)庫中，對關(guān)系表的訪問權(quán)限包括：

READ讀表中的行，利用關(guān)系查詢，定義基于關(guān)

系的視圖

INSERT行

DELETE行

UPDATE列

DROP刪除表

26

創(chuàng)建數(shù)據(jù)庫表的一個(gè)例子

?CREATETABLEpublishers

?(

?pub_idchar(4)NOTNULL

?CONSTRAINTUPKCL_pubindPRIMARY...KEY

CLUSTERED

,,

?CHECK(pub_idIN_1389、0736z'-0877',

46221"56，)—

?ORpub_idLIKE199[0-9][0-9]'),

pub_namevarchar(40)NULL,

?cityvarchar(20)NULL,

?statechar(2)NULL,

countryvarchar(30)NULL

?DEFAULT('USA*)]

?)

27

顯示居住在加利福尼亞州且姓名不為

McBadden的作者列。

?SELECTau_fnam一，

phon一AST一1一phon一

?FROMauthors

?WHEREstat一=1CA1and

auInam一<>'McBadd一n'

28

?INSERTINTOT1(column_4)

!

?VALUES(Explicitvalu一')

?INSERTINTOT1(column_2rcolumn_4)

1

?VALUES(*Explicitvalu一'，Explicit

valueT)

?INSERTINTOT1(column_2zcolumn_3zcolumn_4)

?VALUES(*Explicitvalu一'，-44,'Explicit

value1)

?SELECT*FROMT1W

29

一個(gè)帶有WHERE條件的修改語句。

?UPDATEauthors

?SETstat一='PC，，city二

1BayCity1

?WHEREstat一=S'ANDcity

=fOakland1

30

?GRANT語句是授權(quán)語句~它可以把語

句權(quán)限或者對象權(quán)限授予查覬用戶和

角色。

?DENY語句用于拒絕給當(dāng)前數(shù)據(jù)庫內(nèi)的

用戶或者角色授予權(quán)限，并防止用戶或

角色通過其組或角色成員繼承權(quán)限。

31

下圖表示數(shù)據(jù)庫中對某個(gè)關(guān)系X的授權(quán)情況（課本P22）

10

AR(y),i(y)A\JR(y)J(y)f\JpR(y)J(y)\J

15

R(n)

除了控制權(quán)外，其它都可以授出去

33

關(guān)系X的授權(quán)表

用表授予READINSERTS.控制

戶者

BXA1010

DXA150n

CXB2020y

DXC3030y

34

在t=40用戶A撤銷T對B的授權(quán)后

關(guān)系X的授權(quán)袤的變?yōu)椋?/p>

用表授予READINSERT控制、

戶者n

DXA150J

36

⑶受限的分散式管理

受F艮的分散式管理模式，是將系統(tǒng)中對客體的

訪問權(quán)限限制在一定的主體范圍內(nèi)，要求極

據(jù)客體擁有者的意愿進(jìn)行。

例客體o的擁有者可對系統(tǒng)內(nèi)不允

許對客體。進(jìn)行寫訪問的主體發(fā)放黑令牌,

阻止其它有權(quán)對o進(jìn)行寫訪問的主體將這一

訪問權(quán)授予這些主體。

例第一機(jī)構(gòu)的組織結(jié)構(gòu)。頂級節(jié)點(diǎn)可看作條

統(tǒng)管理員/索統(tǒng)安全員/系統(tǒng)中所有咨源的擁

有者，他對濟(jì)源的訪問具有絕對的控制權(quán)。37

假設(shè)圖2.5表示某一公司的組織結(jié)構(gòu).頂級節(jié)點(diǎn)總經(jīng)理在權(quán)限的管理上可看作是系統(tǒng)

M員或系統(tǒng)安全員或者系統(tǒng)中所有資源的擁有者,他對資源的訪問權(quán)具有絕對的控制權(quán).

為了制5制權(quán)進(jìn)行分散管理，而又不至于添用,他可將其控制權(quán)分別授予兩個(gè)部門經(jīng)理，兩

個(gè)鼾1經(jīng)理又可在各自管精的范圈內(nèi)對其4目經(jīng)理進(jìn)行授予“….在這種等級結(jié)構(gòu)中，最屁

層的主體睡睡體里只可能隨訪問權(quán)，唯具有對訪問權(quán)的授予權(quán).蛔層的主體對

】舸熊氏具有訪問白，里里生鄴磔送j也喳場幽幽須里竺電.

解麗加而誦即為固定，出現(xiàn)安全問題時(shí),便于就一

BflMl

<48*12411613

—

—1——1