4身份認(rèn)證和訪問(wèn)控制(武漢大學(xué)國(guó)際軟件學(xué)院信息安全課程).ppt

1、1,信息安全身份認(rèn)證和訪問(wèn)控制,楊敏 武漢大學(xué) 國(guó)際軟件學(xué)院 ,2,身份認(rèn)證的基本概念 身份認(rèn)證機(jī)制 訪問(wèn)控制的基本概念 訪問(wèn)控制實(shí)現(xiàn)方法 訪問(wèn)控制策略,主要內(nèi)容,3,身份認(rèn)證,The property that ensures that the identity of a subject or resource is the one claimed. 身份認(rèn)證就是確認(rèn)實(shí)體是它所聲明的。 身份認(rèn)證是最重要的安全服務(wù)之一。實(shí)體的身份認(rèn)證服務(wù)提供了關(guān)于某個(gè)實(shí)體身份的保證。（所有其它的安全服務(wù)都依賴(lài)于該服務(wù)） 身份認(rèn)證可以對(duì)抗假冒攻擊的危險(xiǎn),4,身份認(rèn)證的需求和目的,身份認(rèn)證需求： 某一成員（聲稱(chēng)者

2、）提交一個(gè)主體的身份并聲稱(chēng)它是那個(gè)主體。 身份認(rèn)證目的： 使別的成員（驗(yàn)證者）獲得對(duì)聲稱(chēng)者所聲稱(chēng)的事實(shí)的信任。,5,身份認(rèn)證分類(lèi),身份認(rèn)證可以分為本地和遠(yuǎn)程兩類(lèi)。 本地身份認(rèn)證（單機(jī)環(huán)境）：實(shí)體在本地環(huán)境的初始化鑒別（就是說(shuō)，作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。 需要用戶(hù)進(jìn)行明確的操作 遠(yuǎn)程身份認(rèn)證（網(wǎng)絡(luò)環(huán)境）：連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。 通常將本地鑒別結(jié)果傳送到遠(yuǎn)程。 （1）安全 （2）易用,6,身份認(rèn)證分類(lèi),身份認(rèn)證可以是單向的也可以是雙向的。 單向認(rèn)證是指通信雙方中只有一方向另一方進(jìn)行鑒別。 雙向認(rèn)證是指通信雙方相互進(jìn)行鑒別。,7,身份認(rèn)證,進(jìn)行身份認(rèn)證的

3、幾種依據(jù) 用戶(hù)所知道的 ：密碼、口令 用戶(hù)所擁有的：身份證、護(hù)照、信用卡、鑰匙 用戶(hù)本身的特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個(gè)人動(dòng)作方面的一些特征,8,主要內(nèi)容,身份認(rèn)證的基本概念 身份認(rèn)證機(jī)制 訪問(wèn)控制的基本概念 訪問(wèn)控制實(shí)現(xiàn)方法 訪問(wèn)控制策略,9,常用的身份認(rèn)證機(jī)制,A. 口令機(jī)制 B. 一次性口令機(jī)制 C. 基于智能卡的機(jī)制 D. 基于個(gè)人特征的機(jī)制,10,A.口令機(jī)制,常規(guī)的口令方案中的口令是不隨時(shí)間變化的口令，該機(jī)制提供弱鑒別(weak authentication)。 口令或通行字機(jī)制是最廣泛研究和使用的身份鑒別法。 口令系統(tǒng)有許多脆弱點(diǎn) 外部泄露 口令猜

4、測(cè) 線路竊聽(tīng) 重放,11,對(duì)付外部泄露的措施, 教育、培訓(xùn)； 嚴(yán)格組織管理辦法和執(zhí)行手續(xù)； 口令定期改變； 每個(gè)口令只與一個(gè)人有關(guān)； 輸入的口令不再現(xiàn)在終端上； 使用易記的口令，不要寫(xiě)在紙上。,12,對(duì)付口令猜測(cè)的措施, 教育、培訓(xùn)； 嚴(yán)格限制非法登錄的次數(shù)； 口令驗(yàn)證中插入實(shí)時(shí)延遲； 限制最小長(zhǎng)度，至少68字節(jié)以上 防止用戶(hù)特征相關(guān)口令， 口令定期改變； 及時(shí)更改預(yù)設(shè)口令； 使用機(jī)器產(chǎn)生的口令。,13,強(qiáng)壯口令應(yīng)符合的規(guī)則,個(gè)人名字或呢稱(chēng),電話號(hào)碼、生日等敏感信息,輸入8字符以上口令,記錄于紙上或放置于辦公處,使用重復(fù)的字符,=強(qiáng)壯的口令,14,對(duì)付線路竊聽(tīng)的措施,使用保護(hù)口令機(jī)制：如單向函

5、數(shù)。 對(duì)于每個(gè)用戶(hù)，系統(tǒng)將帳戶(hù)和散列值對(duì)存儲(chǔ)在一個(gè)口令文件中，當(dāng)用戶(hù)輸入口令x，系統(tǒng)計(jì)算其散列值H(x)，然后將該值與口令文件中相應(yīng)的散列值比較，若相同則允許登錄。 安全性?xún)H依賴(lài)于口令,15,B.一次性口令機(jī)制,近似的強(qiáng)鑒別（towards strong authentication) 一次性口令機(jī)制確保在每次認(rèn)證中所使用的口令不同，以對(duì)付重放攻擊。,16,雙因素動(dòng)態(tài)口令卡,雙因素動(dòng)態(tài)口令卡 基于密鑰/時(shí)間雙因素的身份認(rèn)證機(jī)制； 用戶(hù)登錄口令隨時(shí)間變化，口令一次性使用，無(wú)法預(yù)測(cè)，可以有效抵御密碼竊取和重放攻擊行為,17,雙因素動(dòng)態(tài)口令卡,相關(guān)產(chǎn)品 如Security Dynamics公司的Se

6、cureID設(shè)備 基于時(shí)間同步的動(dòng)態(tài)密碼認(rèn)證系統(tǒng)RSA SecureID 美國(guó)Axend(現(xiàn)被Symantec公司兼并)是較早推出雙因素身份認(rèn)證系統(tǒng)的公司。 我國(guó)一些信息技術(shù)公司也相繼推出了動(dòng)態(tài)口令認(rèn)證系統(tǒng)。如網(wǎng)泰金安信息技術(shù)公司、北京億青創(chuàng)新信息技術(shù)有限公司、四川安盟電子信息安全有限公司等。,18,雙因素動(dòng)態(tài)口令卡-舉例,北京億青創(chuàng)新信息技術(shù)有限公司-易碼通（EasyPass）動(dòng)態(tài)口令系統(tǒng)。 動(dòng)態(tài)口令卡是發(fā)給每個(gè)用戶(hù)的動(dòng)態(tài)口令發(fā)生器，通過(guò)同步信任認(rèn)證算法，以時(shí)間為參數(shù)，每隔16-64秒產(chǎn)生一個(gè)一次性使用的“動(dòng)態(tài)口令”。,19,雙因素動(dòng)態(tài)口令卡-舉例,2468,723656,PIN,TOKEN

7、CODE,20,令牌碼的產(chǎn)生,令牌碼的產(chǎn)生? 時(shí)間 UCT時(shí)間 算法 偽隨機(jī)函數(shù) 種子 隨機(jī)數(shù),Algorithm,=,21,認(rèn)證過(guò)程,訪問(wèn)請(qǐng)求 (加密的),訪問(wèn)請(qǐng)求被通過(guò) (加密的),登錄者,ACE/代理,ACE/服務(wù)器,User-ID: 安盟 password: 1234 234836,用戶(hù)進(jìn)入一個(gè) SecurID保護(hù)的網(wǎng)絡(luò), 應(yīng)用或服務(wù)。系統(tǒng)將提示用戶(hù)輸入用戶(hù)名和一次性密碼 (PASSCODE),PIN 1234,22,種子,時(shí)間,354982,安盟身份認(rèn)證服務(wù)器,安盟令牌,算法,種子,時(shí)間,354982,算法,相同的種子,相同的時(shí)間,時(shí)間同步技術(shù),23,C.基于智能卡的機(jī)制,優(yōu)點(diǎn) 基于

8、智能卡的認(rèn)證方式是一種雙因素的認(rèn)證方式（PIN+智能卡） 智能卡提供硬件保護(hù)措施和加密算法 缺點(diǎn) 智能卡和接口設(shè)備之間的信息流可能被截獲 智能卡可能被偽造 職員的作弊行為,24,基于智能卡的機(jī)制,安全措施 對(duì)持卡人、卡和接口設(shè)備的合法性的相互驗(yàn)證 重要數(shù)據(jù)加密后傳輸 卡和 接口設(shè)備中設(shè)置安全區(qū)，安全區(qū)中保護(hù)邏輯電路或外部不可讀的存儲(chǔ)區(qū) 明確有關(guān)人員的責(zé)任，并嚴(yán)格遵守 設(shè)置止付名單,25,基于電子鑰匙的機(jī)制,電子鑰匙是一種通過(guò)USB直接與計(jì)算機(jī)相連、具有密碼驗(yàn)證功能、可靠高速的小型存儲(chǔ)設(shè)備，用于存儲(chǔ)一些個(gè)人信息或證書(shū)，它內(nèi)部的密碼算法可以為數(shù)據(jù)傳輸提供安全的管道，是適合單機(jī)或網(wǎng)絡(luò)應(yīng)用的安全防護(hù)產(chǎn)

9、品。其安全保護(hù)措施與智能卡相似。,26,D.基于生物特征的機(jī)制,以人體唯一的、可靠的、穩(wěn)定的生物特征為依據(jù) 指紋識(shí)別 視網(wǎng)膜識(shí)別 虹膜識(shí)別 手形識(shí)別 簽名識(shí)別 聲紋識(shí)別,27,身份認(rèn)證的基本概念 身份認(rèn)證機(jī)制 訪問(wèn)控制的基本概念 訪問(wèn)控制實(shí)現(xiàn)方法 訪問(wèn)控制策略,主要內(nèi)容,28,訪問(wèn)控制安全服務(wù),ISO7498-2定義了五大安全服務(wù) 對(duì)象認(rèn)證 訪問(wèn)控制 數(shù)據(jù)保密性 數(shù)據(jù)完整性 防抵賴(lài)性,29,基本概念,一般定義 是針對(duì)越權(quán)使用資源的防御措施 訪問(wèn)控制的基本任務(wù)是防止非法用戶(hù)即未授權(quán)用戶(hù)進(jìn)入系統(tǒng)和合法用戶(hù)即授權(quán)用戶(hù)對(duì)系統(tǒng)資源的非法使用 用戶(hù)身份的識(shí)別和認(rèn)證 對(duì)訪問(wèn)的控制 審計(jì)跟蹤,30,訪問(wèn)控制,

10、授權(quán)數(shù)據(jù)庫(kù),訪問(wèn)監(jiān)視器,審計(jì),身份認(rèn)證,訪問(wèn)控制,31,訪問(wèn)控制系統(tǒng)的實(shí)體,主體（subject） 發(fā)出訪問(wèn)操作、存取請(qǐng)求的主動(dòng)方，通常可以是用戶(hù)或用戶(hù)的某個(gè)進(jìn)程等 客體（object） 被訪問(wèn)的對(duì)象，通常可以是被調(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪問(wèn)的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源 安全訪問(wèn)策略 一套規(guī)則，用以確定一個(gè)主體是否對(duì)客體擁有訪問(wèn)權(quán)限。,32,訪問(wèn)控制的目的,限制主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用； 決定用戶(hù)能做什么，也決定代表一定用戶(hù)利益的程序能做什么,33,身份認(rèn)證的基本概念 身份認(rèn)證機(jī)制 訪問(wèn)控制的基本概念 訪問(wèn)控制實(shí)現(xiàn)方法 訪問(wèn)控制策略,

11、主要內(nèi)容,34,訪問(wèn)控制的實(shí)現(xiàn)方法,A. 訪問(wèn)控制矩陣 B. 訪問(wèn)能力表 C. 訪問(wèn)控制表 D. 授權(quán)關(guān)系表,35,A.訪問(wèn)控制矩陣,訪問(wèn)控制表示為一個(gè)矩陣的形式 列表示客體（各種資源） 行表示主體（通常為用戶(hù)） 行和列的交叉點(diǎn)表示某個(gè)主體對(duì)某個(gè)客體的訪問(wèn)權(quán)限（比如讀、寫(xiě)、執(zhí)行、修改、刪除等）,36,Own的確切含義可能因系統(tǒng)不同而異，通常一個(gè)文件的Own權(quán)限表示授予（authorize）或撤銷(xiāo)（revoke）其他用戶(hù)對(duì)該文件的訪問(wèn)控制權(quán)限。,37,缺點(diǎn): 訪問(wèn)控制矩陣中很多單元是空白項(xiàng) 為了減輕系統(tǒng)開(kāi)銷(xiāo)與浪費(fèi) 從主體（行）出發(fā)，表示矩陣的某一行的信息訪問(wèn)能力表（Access Capabili

12、ties List） 從客體（列）出發(fā)，表示矩陣某一列的信息訪問(wèn)控制表（Access Control List）,38,B.訪問(wèn)能力表,能力（Capability）是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了客體以及主體（訪問(wèn)者）對(duì)客體的訪問(wèn)權(quán)限。 只有當(dāng)一個(gè)主體對(duì)某個(gè)客體擁有訪問(wèn)的能力時(shí)，它才能訪問(wèn)這個(gè)客體。,39,John,Bob,40,訪問(wèn)能力表的優(yōu)點(diǎn)： 訪問(wèn)能力表著眼于某一主體的訪問(wèn)權(quán)限，以主體的出發(fā)點(diǎn)描述控制信息，因此很容易獲得一個(gè)主體所被授權(quán)可以訪問(wèn)的客體及其權(quán)限。 訪問(wèn)能力表的缺點(diǎn)： 如果要求獲得對(duì)某一特定客體有特定權(quán)限的所有主體比較困難。 訪問(wèn)控制服務(wù)應(yīng)該能夠控制可訪問(wèn)某一個(gè)客體的主體集

13、合，能夠授予或取消主體的訪問(wèn)權(quán)限。于是出現(xiàn)了以客體為出發(fā)點(diǎn)的實(shí)現(xiàn)方式訪問(wèn)控制表。,41,C.訪問(wèn)控制表,訪問(wèn)控制表（ACL）對(duì)某個(gè)指定的資源指定任意一個(gè)用戶(hù)的權(quán)限，還可以將具有相同權(quán)限的用戶(hù)分組，并授予組的訪問(wèn)權(quán)限,File1,42,訪問(wèn)控制表的優(yōu)點(diǎn)： 訪問(wèn)控制表（ACL）表述直觀、易于理解，比較容易查出對(duì)某一特定資源擁有訪問(wèn)權(quán)限的所有用戶(hù)，有效地實(shí)施授權(quán)管理。 在一些實(shí)際應(yīng)用中，還對(duì)ACL進(jìn)行了擴(kuò)展，以進(jìn)一步控制用戶(hù)的合法訪問(wèn)時(shí)間，是否需要審計(jì)等 訪問(wèn)控制表的局限：應(yīng)用到網(wǎng)絡(luò)規(guī)模較大、需求復(fù)雜的企業(yè)的內(nèi)部網(wǎng)絡(luò)時(shí) 當(dāng)網(wǎng)絡(luò)中資源很多時(shí)，需要在ACL中設(shè)定大量的表項(xiàng)。而且為了實(shí)現(xiàn)整個(gè)組織范圍內(nèi)的一

14、致的控制策略，需要各管理部門(mén)的密切合作。 單純使用ACL，不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策,43,D.授權(quán)關(guān)系表,使用一張表描述主體和客體之間的關(guān)系，可以對(duì)表進(jìn)行排序,44,身份認(rèn)證的基本概念 身份認(rèn)證機(jī)制 訪問(wèn)控制的基本概念 訪問(wèn)控制實(shí)現(xiàn)方法 訪問(wèn)控制策略,主要內(nèi)容,45,訪問(wèn)控制策略,A. 自主訪問(wèn)控制（DAC） B. 強(qiáng)制訪問(wèn)控制（MAC） C. 基于角色的訪問(wèn)控制（RBAC）,46,A.自主訪問(wèn)控制,自主訪問(wèn)控制（DAC） 最早出現(xiàn)在七十年代初期的分時(shí)系統(tǒng)中，它是多用戶(hù)環(huán)境下最常用的一種訪問(wèn)控制手段。 用戶(hù)可以按自己的意愿對(duì)系統(tǒng)參數(shù)做適當(dāng)?shù)男薷?，可以決定哪個(gè)用戶(hù)可以訪問(wèn)系統(tǒng)資源。

15、DAC有時(shí)又被稱(chēng)為為基于主人的訪問(wèn)控制,47,自主訪問(wèn)控制,優(yōu)點(diǎn) 根據(jù)主體的身份及允許訪問(wèn)的權(quán)限進(jìn)行決策 自主是指具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體。 靈活性高，被大量采用，Windows、UNIX系統(tǒng)采用。 缺點(diǎn) 過(guò)于靈活、限制較弱、可能存在安全隱患 如用戶(hù)A把目標(biāo)X的訪問(wèn)權(quán)賦予了用戶(hù)B，用戶(hù)B可能會(huì)把X訪問(wèn)權(quán)轉(zhuǎn)賦予用戶(hù)C，而A可能并不愿意讓C訪問(wèn)X 用戶(hù)A把目標(biāo)X的訪問(wèn)權(quán)賦予了用戶(hù)B，而根據(jù)系統(tǒng)基本安全規(guī)則，B并不能訪問(wèn)X。,48,自主訪問(wèn)控制基于個(gè)人的策略,根據(jù)哪些用戶(hù)可對(duì)一個(gè)目標(biāo)實(shí)施哪一種行為的列表來(lái)表示。 等價(jià)于用一個(gè)目標(biāo)的訪問(wèn)矩陣列來(lái)描述 基礎(chǔ)(前提)：

16、一個(gè)隱含的、或者顯式的缺省策略 例如，全部權(quán)限否決 最小特權(quán)原則：要求最大限度地限制每個(gè)用戶(hù)為實(shí)施授權(quán)任務(wù)所需要的許可集合 在不同的環(huán)境下，缺省策略不盡相同，例如，在公開(kāi)的布告板環(huán)境中，所有用戶(hù)都可以得到所有公開(kāi)的信息 對(duì)于特定的用戶(hù)，有時(shí)候需要提供顯式的否定許可 例如，對(duì)于違紀(jì)的內(nèi)部員工，禁止訪問(wèn)內(nèi)部一些信息,49,自主訪問(wèn)控制基于組的策略,一組用戶(hù)對(duì)于一個(gè)目標(biāo)具有同樣的訪問(wèn)許可。是基于身份的策略的另一種情形 相當(dāng)于，把訪問(wèn)矩陣中多個(gè)行壓縮為一個(gè)行。 實(shí)際使用時(shí) 先定義組的成員 對(duì)用戶(hù)組授權(quán) 同一個(gè)組可以被重復(fù)使用 組的成員可以改變,50,B.強(qiáng)制訪問(wèn)控制,強(qiáng)制訪問(wèn)控制（MAC） 基于規(guī)則的

17、訪問(wèn)控制，主體和客體分別定義安全等級(jí)標(biāo)記，在自主訪問(wèn)控制的基礎(chǔ)上還必須受到安全標(biāo)記的約束。 安全標(biāo)記是限制在目標(biāo)上的一組安全屬性信息項(xiàng)。在訪問(wèn)控制中，一個(gè)安全標(biāo)記隸屬于一個(gè)用戶(hù)、一個(gè)目標(biāo)、一個(gè)訪問(wèn)請(qǐng)求。 系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制策略。主要用于多層次安全級(jí)別的軍事應(yīng)用中。,51,強(qiáng)制訪問(wèn)控制,將主體和客體分級(jí) 定義用戶(hù)的可信任級(jí)別及信息的敏感程度，如，絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無(wú)密級(jí)。 根據(jù)主體和客體的級(jí)別關(guān)系決定訪問(wèn)模式 訪問(wèn)控制關(guān)系分為 上讀/下寫(xiě)（完整性） 下讀/上寫(xiě)（保密性） 通過(guò)梯度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。,52,強(qiáng)制訪問(wèn)控制,安全標(biāo)簽是限制在目標(biāo)上的一組安全屬性信息項(xiàng)。在訪問(wèn)控制

18、中，一個(gè)安全標(biāo)簽隸屬于一個(gè)用戶(hù)、一個(gè)目標(biāo)、一個(gè)訪問(wèn)請(qǐng)求或傳輸中的一個(gè)訪問(wèn)控制信息。 最通常的用途是支持多級(jí)訪問(wèn)控制策略。 在處理一個(gè)訪問(wèn)請(qǐng)求時(shí)，目標(biāo)環(huán)境比較請(qǐng)求上的標(biāo)簽和目標(biāo)上的標(biāo)簽，應(yīng)用策略規(guī)則（如Bell Lapadula規(guī)則）決定是允許還是拒絕訪問(wèn)。,53,強(qiáng)制訪問(wèn)控制,強(qiáng)制訪問(wèn)控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個(gè)S中的主體s及客體集中的客體o，都屬于一固定的安全類(lèi)SC，安全類(lèi)SC=包括兩個(gè)部分：有層次的安全級(jí)別和無(wú)層次的安全范疇。構(gòu)成一偏序關(guān)系 Bell-LaPadula：保證保密性 Biba：保證完整性,54,強(qiáng)制訪問(wèn)控制,Bell-LaPadula模型（BLP模型）

19、安全屬性用二元組表示（密級(jí)，類(lèi)別集合） 密級(jí)集合為絕密，機(jī)密，秘密，無(wú)密，且絕密機(jī)密秘密無(wú)密 類(lèi)別集合是系統(tǒng)中非分層元素集合中的一個(gè)子集，具體的元素依賴(lài)于所考慮的環(huán)境和應(yīng)用領(lǐng)域 安全屬性的集合滿(mǎn)足偏序關(guān)系 為每個(gè)用戶(hù)分配一個(gè)安全屬性，為每個(gè)客體也分配一個(gè)安全屬性,55,強(qiáng)制訪問(wèn)控制,Bell-LaPadula模型中主體對(duì)客體訪問(wèn)的兩個(gè)規(guī)則 簡(jiǎn)單安全原則：僅當(dāng)主體的敏感級(jí)不低于客體敏感級(jí)且主體的類(lèi)別集合包含客體時(shí)，才允許該主體讀該客體。即主體只能讀密級(jí)等于或低于它的客體 星規(guī)則：僅當(dāng)主體的敏感級(jí)不高于客體敏感級(jí)且客體的類(lèi)別集合包含主體的類(lèi)別集合時(shí)，才允許該主體寫(xiě)該客體。即主體只能寫(xiě)等于或高于它的

20、客體。,56,強(qiáng)制訪問(wèn)控制,下讀：低信任級(jí)別的用戶(hù)不能讀高敏感度的信息，只能讀比它信任級(jí)別更低的低敏感信息 上寫(xiě)：不允許高敏感度的信息寫(xiě)入低敏感度區(qū)域，只能寫(xiě)入更高敏感度區(qū)域 實(shí)現(xiàn)數(shù)據(jù)的保密性,主體,客體,TS（絕密）、S（機(jī)密）、C（秘密）、U（無(wú)密）,57,例如，某單位部分行政機(jī)構(gòu)如下圖：,58,假設(shè)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)的密級(jí)為： 一般秘密機(jī)密絕密 定義校長(zhǎng)的安全級(jí) C校長(zhǎng)（絕密，人事處,教務(wù)處,財(cái)務(wù)處,設(shè)備處）， （即校長(zhǎng)的密級(jí)為絕密，部門(mén)屬性為所有的部門(mén)） 教務(wù)處長(zhǎng)的安全級(jí) C教=(機(jī)密,教務(wù)處) 財(cái)務(wù)處長(zhǎng)的安全級(jí) C財(cái)=(機(jī)密,財(cái)務(wù)處) 財(cái)務(wù)一科長(zhǎng)的安全級(jí) C一財(cái)=(秘密,財(cái)務(wù)處) 財(cái)

21、務(wù)處工作人員的安全級(jí) C工=(一般,財(cái)務(wù)處) 假設(shè)財(cái)務(wù)一科長(zhǎng)產(chǎn)生了一份工作文件A，文件A的安全級(jí)定義為與一科長(zhǎng)的安全級(jí)相同，即CA=(秘密,財(cái)務(wù)處)，那么，對(duì)于文件A，只有校長(zhǎng)和財(cái)務(wù)處長(zhǎng)能看到，而教務(wù)處長(zhǎng)不能看，盡管教務(wù)處長(zhǎng)的密級(jí)是機(jī)密級(jí)，可以看秘密級(jí)的文件，但教務(wù)處長(zhǎng)的部門(mén)屬性?xún)H是教務(wù)處,他無(wú)權(quán)看財(cái)務(wù)處的信息。,59,強(qiáng)制訪問(wèn)控制,BLP模型的不足 應(yīng)用領(lǐng)域較窄，使用不靈活，一般只用于軍方等具有明顯等級(jí)觀念的領(lǐng)域 完整性方面控制的不夠好，強(qiáng)調(diào)信息向高安全級(jí)的方向流動(dòng)，對(duì)高安全級(jí)信息的完整性保護(hù)不夠,60,強(qiáng)制訪問(wèn)控制,Biba模型 Biba等人于70年代提出的，它主要是針對(duì)信息完整性保護(hù)方面

22、的。與BLP模型類(lèi)似，Biba模型用完整性等級(jí)取代了BLP模型中的敏感等級(jí)，而訪問(wèn)控制的限制正好與BLP模型相反：,61,強(qiáng)制訪問(wèn)控制,Biba模型的規(guī)則 簡(jiǎn)單完整規(guī)則。僅當(dāng)主體的完整級(jí)大于等于客體的完整級(jí)且主體的類(lèi)別集合包含客體的類(lèi)別集時(shí)，才允許該主體寫(xiě)該客體。即主體只能向下寫(xiě)，而不能向上寫(xiě)，也就是說(shuō)主體只能寫(xiě)（修改）完整性級(jí)別等于或低于它的客體。 完整性制約規(guī)則（星規(guī)則）。僅當(dāng)主體的完整級(jí)不高于客體完整級(jí)且客體的類(lèi)別集合包含主體的類(lèi)別集合時(shí)，才允許該主體讀客體。即主體只能從上讀，而不能從下讀。,62,強(qiáng)制訪問(wèn)控制,缺陷 實(shí)現(xiàn)工作量大 管理不便 不夠靈活 過(guò)于偏重保密性，對(duì)其他方面，如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等方面考慮不足,63,C.基于角色的訪問(wèn)控制,20世紀(jì)90年代出現(xiàn)，可以有效地克服傳統(tǒng)訪問(wèn)控制技術(shù)中存在的不足之處，減少授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷(xiāo)。 起源于UNIX系統(tǒng)等操作系統(tǒng)中組的概念 基于角色的訪問(wèn)控制是一個(gè)復(fù)合的規(guī)則，可以被認(rèn)為是DAC和MAC的變體。一個(gè)身份被分配給一個(gè)被授權(quán)的組。 基本思路：管理員創(chuàng)建角色，給角色分配權(quán)限，給角色分配用戶(hù)，角色所屬的用戶(hù)可以執(zhí)行相應(yīng)的權(quán)限,64