《信息安全概論》第6章 訪問控制技術(shù)

1、第六章 訪問控制第六章 訪問控制技術(shù)本章內(nèi)容6.1 訪問控制的模型6.2 訪問控制策略6.3 訪問控制的實現(xiàn)6.4 安全級別與訪問控制6.5 訪問控制與授權(quán)6.6 PMI6.1 訪問控制的模型6.1.1自主訪問控制模型（DAC Model）6.1.2強(qiáng)制訪問控制模型（MAC Model）6.1.3基于角色的訪問控制模型（RBAC Model）訪問控制的模式訪問控制模型：是一種從訪問控制的角度出發(fā)，描述安全系統(tǒng)，建立安全模型的方法。 訪問控制：主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進(jìn)行的不同授權(quán)訪問。訪問控制包括三個要素，即：主體、客體和控制策略。主體（Subject）主體：是指一個提出

2、請求或要求的實體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。主體可以是用戶或其它任何代理用戶行為的實體（例如進(jìn)程、作業(yè)和程序）。簡記為S廣義上講：主體可以是用戶所在的組織（以后稱為用戶組）、用戶本身，也可是用戶使用的計算機(jī)終端、卡機(jī)、手持終端（無線）等，甚至可以是應(yīng)用服務(wù)程序程序或進(jìn)程。 客體（Object）客體：是接受其他實體訪問的被動實體, 簡記為O?？腕w，可以被操作的信息、資源、對象例如：信息、文件、記錄等的集合體，網(wǎng)路上的硬件設(shè)施無線通信中的終端一個客體可以包含另外一個客體控制策略控制策略：是主體對客體的操作行為集和約束條件集, 簡記為KS?？刂撇呗裕菏侵黧w對客體的訪問規(guī)則集規(guī)則集定義了

3、：主體對客體的作用行為客體對主體的條件約束訪問策略體現(xiàn)了一種授權(quán)行為三個要素之間的行為關(guān)系 訪問控制系統(tǒng)三個要素之間的行為關(guān)系三元組（S，O，P）S表示主體O表示客體P表示許可訪問控制關(guān)系示意圖 對主體進(jìn)行認(rèn)證正常的請求信息主體通過驗證，才能訪問客體，但并不保證其有權(quán)限可以對客體進(jìn)行操作。客體對主體的驗證一般會鑒別用戶的標(biāo)識和用戶密碼對主體的具體約束由訪問控制表來控制實現(xiàn)。用戶標(biāo)識（UID：User Identification）： 一個用來鑒別用戶身份的字符串。每個用戶有且只能有唯一的一個用戶標(biāo)識。用戶注冊進(jìn)入系統(tǒng)必須提供用戶標(biāo)識系統(tǒng)審查來確信當(dāng)前用戶是對應(yīng)用戶標(biāo)識的那個用戶。多級安全信息系

4、統(tǒng)多級安全信息系統(tǒng)：由于用戶的訪問涉及到訪問的權(quán)限控制規(guī)則集合，將敏感信息與通常資源分開隔離的系統(tǒng)。多級安全系統(tǒng)將信息資源按照安全屬性分級考慮，可分為兩種。兩種安全類別一種是有層次的安全級別（Hierarchical Classification），分為TS，S，C，RS，U 5級絕密級別（Top Secret）秘密級別（Secret）機(jī)密級別（Confidential）限制級別（Restricted）無級別級（Unclassified）另一種是無層次的安全級別，不對主體和客體按照安全類別分類只是給出客體接受訪問時可以使用的規(guī)則和管理者。訪問控制內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進(jìn)行驗證，

5、然后是對控制策略的選用與管理，最后要對非法用戶或是越權(quán)操作進(jìn)行管理。認(rèn)證：主體對客體的識別認(rèn)證和客體對主體檢驗認(rèn)證。主體和客體的認(rèn)證關(guān)系是相互的，主體也可能變成了客體，取決于當(dāng)前實體的功能是動作的執(zhí)行者還是被執(zhí)行者。控制策略的具體實現(xiàn)：體現(xiàn)在如何設(shè)定規(guī)則集合，對信息資源的合法使用，考慮敏感資源的泄漏，不能越權(quán)審計：當(dāng)管理員有操作賦予權(quán)，他有可能濫用這一權(quán)利，這是無法在策略中加以約束的。必須對這些行為進(jìn)行記錄，從而達(dá)到威懾和保證訪問控制正常實現(xiàn)的目的。訪問控制模型訪問控制安全模型一般包括：主體、客體。為識別和驗證這些實體的子系統(tǒng)?？刂茖嶓w間訪問的監(jiān)視器。建立規(guī)范的訪問控制模型，是實現(xiàn)嚴(yán)格訪問控制

6、策略所必須的。 訪問控制模型20世紀(jì)70年代，Harrison 等提出了HRU模型。1976年，Jones等人提出了Take-Grant模型。1985年，美國軍方提出可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC，其中描述了兩種著名的訪問控制策略：自主訪問控制模型（DAC）強(qiáng)制訪問控制模型（MAC）1992年， Ferraiolo等提出基于角色的訪問控制（RBAC）基于對象的訪問控制基于任務(wù)的訪問控制。后兩種考慮到網(wǎng)絡(luò)安全和傳輸流。6.1.1 自主訪問控制模型自主訪問控制模型（Discretionary Access Control Model ，DAC Model）根據(jù)自主訪問控制策略建立的一種模型，允許

7、合法用戶訪問策略規(guī)定的客體阻止非授權(quán)用戶訪問客體某些用戶把自己所擁有的訪問權(quán)限授予其它用戶自主訪問控制又稱為任意訪問控制。Linux，Unix、Windows NT或是Server版本的操作系統(tǒng)都提供自主訪問控制的功能。自主訪問控制模型的實現(xiàn)：首先要對用戶的身份進(jìn)行鑒別然后就可以按照訪問控制列表所賦予用戶的權(quán)限，允許和限制用戶使用客體的資源主體控制權(quán)限的修改通常由特權(quán)用戶（管理員）或是特權(quán)用戶組實現(xiàn)。自主訪問控制模型自主訪問控制模型的特點(diǎn)特點(diǎn)：授權(quán)的實施主體自主負(fù)責(zé)賦予和回收其他主體對客體資源的訪問權(quán)限。DAC模型一般采用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制信息，從而達(dá)到對主體訪

8、問權(quán)限的限制目的任意訪問控制優(yōu)點(diǎn)：靈活的數(shù)據(jù)訪問方式缺點(diǎn)： DAC模型的安全防護(hù)相對較低，用戶可以任意傳遞權(quán)限6.1.2 強(qiáng)制訪問控制模型強(qiáng)制訪問控制模型（Mandatory Access Control Model, MAC Model）發(fā)展：最初是為了實現(xiàn)比DAC更為嚴(yán)格的訪問控制策略，美國政府和軍方開發(fā)了各種各樣的控制模型，隨后得到廣泛的商業(yè)關(guān)注和應(yīng)用。MAC與DAC的不同之處：DAC：用戶和客體資源都被賦予一定的安全級別，只有管理員才能夠確定用戶和組的訪問權(quán)限。MAC：是一種多級訪問控制策略，系統(tǒng)對訪問主體和受控對象實行強(qiáng)制訪問控制系統(tǒng)事先給訪問主體和受控對象分配不同的安全級別屬性在實

9、施訪問控制時，系統(tǒng)先對訪問主體和受控對象的安全級別屬性進(jìn)行比較，再決定訪問主體能否訪問該受控對象。 MAC對訪問主體和受控對象標(biāo)識兩個安全標(biāo)記：一個是具有偏序關(guān)系的安全等級標(biāo)記一個是非等級分類標(biāo)記。主體和客體在分屬不同的安全類別時，用SC表示它們構(gòu)成的一個偏序關(guān)系，比如：TS絕密級比密級S高，當(dāng)主體S的安全類別為TS 客體O的安全類別為S時用偏序關(guān)系可以表述為SC(S)SC(O)。強(qiáng)制訪問控制模型主體對客體的訪問根據(jù)偏序關(guān)系，主體對客體的訪問主要有4種方式：（1）向下讀（rd，read down）主體安全級別高于客體信息資源的安全級別時允許查閱的讀操作；（2）向上讀（ru，read up）主體

10、安全級別低于客體信息資源的安全級別時允許的讀操作；（3）向下寫（wd，write down）主體安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作；（4）向上寫（wu，write up）主體安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。MAC和DACMAC模型和DAC模型屬于傳統(tǒng)的訪問控制模型。MAC和DAC在實現(xiàn)上通常為每個用戶賦予對客體的訪問權(quán)限規(guī)則集用戶自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶缺點(diǎn)：系統(tǒng)管理員的工作將變得非常繁重，容易發(fā)生錯誤、安全漏洞。引入新的機(jī)制加以解決，即基于角色的訪問控制模型。6.1.3 基于角色的訪問控制模型角色（Role）：一個

11、可以完成一定事務(wù)的命名組，不同的角色通過不同的事務(wù)來執(zhí)行各自的功能。 事務(wù)（Transaction）：一個完成一定功能的過程，可以是一個程序或程序的一部分。 角色是代表具有某種能力的人或是某些屬性的人的一類抽象角色和組的主要區(qū)別在于：用戶屬于組是相對固定的。用戶能被指派到哪些角色則受時間、地點(diǎn)、事件等諸多因素影響。角色比組的抽象級別要高?；诮巧脑L問控制模型基于角色的訪問控制模型RBAC基于角色的訪問控制模型（Role-based Access Model，RBAC Model）的基本思想：將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。訪問控制應(yīng)該基于員工的

12、職務(wù)，而不是基于員工在哪個組或誰是信息的所有者即訪問控制是由各個用戶在部門中所擔(dān)任的角色來確定的，例如，一個學(xué)校可以有教工、老師、學(xué)生和其他管理人員等角色。RBAC從控制主體的角度出發(fā)根據(jù)管理中相對穩(wěn)定的職權(quán)和責(zé)任來劃分角色，將訪問權(quán)限與角色相聯(lián)系這點(diǎn)與傳統(tǒng)的MAC和DAC將權(quán)限直接授予用戶的方式不同；通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系?；诮巧脑L問控制模型RBAC基于角色的訪問控制模型角色可以看作是一組操作的集合 假設(shè)：Tch 1，Tch 2，Tch 3, , Tchi 教師Stud 1, Stud 2, Stud3, , Stud j學(xué)生Mng 1, Mng 2, Mng

13、3, , Mng k教務(wù)處管理人員對應(yīng)的權(quán)限老師的權(quán)限為Tch MN=查詢成績、上傳所教課程的成績；學(xué)生的權(quán)限為Stud MN=查詢成績、反映意見；教務(wù)管理人員的權(quán)限為Mng MN=查詢、修改成績、打印成績清單。執(zhí)行的操作與其所扮演的角色的職能相匹配，不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色?；诮巧脑L問控制模型系統(tǒng)管理員負(fù)責(zé)授予用戶各種角色的成員資格或撤消某用戶具有的某個角色。例如學(xué)校新教師Tch x，只需將Tch x添加到教師這一角色的成員中，無需對訪問控制列表做改動。同一個用戶可扮演多種角色，比如可以是老師，同時也可以作為進(jìn)修的學(xué)生。RBAC提供了一種描述用戶和權(quán)限之間的多對多關(guān)系；

14、基于角色的訪問控制模型RBAC簡化了權(quán)限設(shè)置的管理，是實施面向企業(yè)的安全策略的一種有效的訪問控制方式具有靈活性、方便性和安全性的特點(diǎn)目前在大型數(shù)據(jù)庫系統(tǒng)的權(quán)限管理中得到普遍應(yīng)用。RBAC與DAC的區(qū)別：用戶不能自主地將訪問權(quán)限授給別的用戶所在。用戶與客體無直接聯(lián)系，橋梁是角色，只有系統(tǒng)管理員有權(quán)定義和分配角色。 RBAC與MAC的區(qū)別在于：MAC是基于多級安全需求的，而RBAC則不是。 上述幾個訪問控制模型的缺點(diǎn)上述幾個訪問控制模型的缺點(diǎn)：控制環(huán)境是靜態(tài)的：都是從系統(tǒng)的角度出發(fā)去保護(hù)資源，沒有考慮上下文環(huán)境。組織任務(wù)與服務(wù)相關(guān)的信息進(jìn)一步自動化，需要隨著任務(wù)的執(zhí)行而進(jìn)行動態(tài)授權(quán)的保護(hù)上。權(quán)限沒

15、有時間限制：只要主體擁有對客體的訪問權(quán)限，主體就可以無數(shù)次地執(zhí)行該權(quán)限。6.2 訪問控制策略 6.2.1安全策略6.2.2基于身份的安全策略6.2.3基于規(guī)則的安全策略6.2.1 安全策略安全策略建立的需要和目的安全的領(lǐng)域非常廣泛繁雜，構(gòu)建一個可以抵御風(fēng)險的安全框架涉及很多細(xì)節(jié)。如果能夠提供一種恰當(dāng)?shù)?、符合安全需求的整體思路，也更加有明確的前進(jìn)方向。恰當(dāng)?shù)陌踩呗躁P(guān)注的核心集中到最高決策層認(rèn)為必須注意的方面。一種安全策略實質(zhì)上表明：必須明確在安全領(lǐng)域的范圍內(nèi)，什么操作是明確允許的，什么操作是一般默認(rèn)允許的，什么操作是明確不允許的，什么操作是默認(rèn)不允許的。不要求安全策略作出具體的措施規(guī)定以及何種

16、方式但應(yīng)該向安全構(gòu)架的實際搭造者們指出在當(dāng)前的前提下，什么因素和風(fēng)險才是最重要的。 安全策略的實施原則 圍繞主體、客體和安全控制規(guī)則集三者之間的關(guān)系展開的。 最小特權(quán)原則：最小特權(quán)原則是指主體執(zhí)行操作時，按照主體所需權(quán)利的最小化原則分配給主體權(quán)力。優(yōu)點(diǎn)：是最大限度地限制了主體實施授權(quán)行為，可以避免來自突發(fā)事件、錯誤和未授權(quán)用主體的危險。 最小泄漏原則：最小泄漏原則是指主體執(zhí)行任務(wù)時，按照主體所需要知道的信息最小化的原則分配給主體權(quán)力。 多級安全策略：多級安全策略是指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級別的絕密（TS）、秘密（S）、機(jī)密（C）、限制（RS）和無級別（U）5級來劃分。優(yōu)點(diǎn)：避

17、免敏感信息的擴(kuò)散，只有安全級別比他高的主體才能夠訪問。安全策略的具體含義和實現(xiàn) 安全策略的前提是具有一般性和普遍性安全策略的最主要的問題：如何能使安全策略的這種普遍性和所要分析的實際問題的特殊性相結(jié)合?？刂撇呗缘闹贫ㄊ且粋€按照安全需求、依照實例不斷精確細(xì)化的求解過程。設(shè)計者要考慮到實際應(yīng)用的前瞻性，有時候并不知道這些具體的需求與細(xì)節(jié)是什么；為了能夠描述和了解這些細(xì)節(jié)，就需要在安全策略的指導(dǎo)下,對安全涉及到的領(lǐng)域和相關(guān)做細(xì)致的考查和研究。1989年12月國際標(biāo)準(zhǔn)化組織（ISO）頒布了該標(biāo)準(zhǔn)的第二部分，即ISO 7498-2，并首次確定了開放系統(tǒng)互連（OSI） 參考模型的信息安全體系結(jié)構(gòu)。按照IS

18、O 7498-2中OSI安全體系結(jié)構(gòu)中的定義，訪問控制的安全策略有以下兩種實現(xiàn)方式：基于身份的安全策略，等同于DAC安全策略基于規(guī)則的安全策略，等同于MAC安全策略。6.2.2 基于身份的安全策略 基于身份的安全策略（Identification-based Access Control Policies, IDBACP）的目的是過濾對數(shù)據(jù)或資源的訪問，只有能通過認(rèn)證的那些主體才有可能正常使用客體的資源?；谏矸莸牟呗园ɑ趥€人的策略基于組的策略?；趥€人的策略 基于個人的策略：是指以用戶為中心建立的一種策略，這種策略由一些列表來組成，這些列表限定了針對特定的客體，哪些用戶可以實現(xiàn)何種策操作

19、行為。 對文件2而言，授權(quán)用戶B有只讀的權(quán)利，授權(quán)用戶A則被允許讀和寫；對授權(quán)用戶N而言，具有對文件1、2和文件N的讀寫權(quán)利?；诮M的策略 基于組的策略是基于個人的策略的擴(kuò)充，指一些用戶被允許使用同樣的訪問控制規(guī)則訪問同樣的客體?；谏矸莸陌踩呗杂袃煞N基本的實現(xiàn)方法：能力表和訪問控制列表。6.2.3基于規(guī)則的安全策略基于規(guī)則的安全策略中，授權(quán)依賴于敏感性。在實現(xiàn)上，系統(tǒng)比較用戶的安全級別和客體資源的安全級別來判斷是否允許用戶可以進(jìn)行訪問。 6.3 訪問控制的實現(xiàn) 6.3.1訪問控制的實現(xiàn)機(jī)制6.3.2訪問控制表6.3.3訪問控制矩陣6.3.4訪問控制能力列表6.3.5訪問控制安全標(biāo)簽列表6.

20、3.6訪問控制實現(xiàn)的具體類別6.3.1 訪問控制的實現(xiàn)機(jī)制實現(xiàn)訪問控制的要求：保證授權(quán)用戶使用的權(quán)限與其所擁有的權(quán)限對應(yīng)制止非授權(quán)用戶的非授權(quán)行為保證敏感信息的交叉感染。 本章以文件的訪問控制為例做具體說明：用戶訪問信息資源（文件或是數(shù)據(jù)庫），可能的行為有：讀R、寫W和管理O(own) 6.3.2 訪問控制表訪問控制表（Access Control Lists, ACLs）是以文件為中心建立的訪問權(quán)限表。目前，大多數(shù)PC、服務(wù)器和主機(jī)都使用ACLs作為訪問控制的實現(xiàn)機(jī)制。6.3.4 訪問控制能力列表能力：請求訪問的發(fā)起者所擁有的一個有效標(biāo)簽（ticket），它授權(quán)標(biāo)簽表明的持有者可以按照何種訪

21、問方式訪問特定的客體。訪問控制能力（ACCL）表是以用戶為中心建立訪問權(quán)限表。ACCLs的實現(xiàn)與ACLs正好相反。6.3.3 訪問控制矩陣訪問控制矩陣（Access Control Matrix, ACM）是通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法；主體擁有對哪些客體的哪些訪問權(quán)限；客體有哪些主體對他可以實施訪問其中，特權(quán)用戶或特權(quán)用戶組可以修改主體的訪問控制權(quán)限。缺點(diǎn)：如果用戶和文件系統(tǒng)要管理的文件很多，那么控制矩陣將會成幾何級數(shù)增長，這樣對于增長的矩陣而言，會有大量的空余空間。6.3.5 訪問控制安全標(biāo)簽列表安全標(biāo)簽：限制和附屬在主體或客體上的一組安全屬性信息。訪問控制標(biāo)簽列表（A

22、ccess Control Security Labels Lists, ACSLLs）是限定一個用戶對一個客體目標(biāo)訪問的安全屬性集合。假設(shè)用戶User A為S，User A請求訪問File 2時，SC，允許訪問。 安全標(biāo)簽?zāi)軐γ舾行畔⒓右詤^(qū)分，這樣就可以對用戶和客體資源強(qiáng)制執(zhí)行安全策略，因此，強(qiáng)制訪問控制經(jīng)常會用到這種實現(xiàn)機(jī)制。 6.3.6 訪問控制實現(xiàn)的具體類別訪問控制的主要任務(wù)：維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。技術(shù)實現(xiàn)上包括： （1）接入訪問控制（2）資源訪問控制（3）網(wǎng)絡(luò)端口和節(jié)點(diǎn)的訪問控制接入訪問控制 接入訪問控制為網(wǎng)絡(luò)訪問提供第一層訪問控制控制哪些用戶能夠登錄

23、到服務(wù)器并獲取網(wǎng)絡(luò)資源控制準(zhǔn)許用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。對合法用戶的驗證用戶名和口令的認(rèn)證方式可分為三個步驟：用戶名的識別與驗證用戶口令的識別與驗證用戶賬號的缺省限制檢查。 資源訪問控制資源訪問控制是指對客體整體資源信息的訪問控制管理。其中包括文件系統(tǒng)的訪問控制（文件目錄訪問控制和系統(tǒng)訪問控制）文件屬性訪問控制信息內(nèi)容訪問控制。文件目錄訪問控制：用戶和用戶組被賦予一定的權(quán)限，哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，執(zhí)行何種操作。系統(tǒng)訪問控制：網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限應(yīng)設(shè)置口令鎖定服務(wù)器控制臺應(yīng)設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔應(yīng)對

24、網(wǎng)絡(luò)實施監(jiān)控、報警等。網(wǎng)絡(luò)端口和節(jié)點(diǎn)的訪問控制網(wǎng)絡(luò)中的節(jié)點(diǎn)和端口加密傳輸數(shù)據(jù)，其位置的管理必須防止黑客發(fā)動的攻擊。6.4 安全級別與訪問控制 訪問控制的具體實現(xiàn)與安全的級別聯(lián)系在一起的安全級別有兩個含義：一個是主客體信息資源的安全類別，分為： 有層次的安全級別、無層次的安全級別；一個是訪問控制系統(tǒng)實現(xiàn)的安全級別，分為4級：D、C（C1、C2）、B（B1、B2、B3）和A計算機(jī)系統(tǒng)的安全級別介紹 1. D級別D級別是最低的安全級別。系統(tǒng)的訪問控制沒有限制，無需登陸系統(tǒng)就可以訪問數(shù)據(jù)。這個級別的系統(tǒng)包括DOS，WINDOWS98等。計算機(jī)系統(tǒng)的安全級別介紹 2. C級別，有兩個子系統(tǒng)，C1和C2C

25、1級稱為選擇性保護(hù)級，可以實現(xiàn)自主安全防護(hù)，對用戶和數(shù)據(jù)進(jìn)行分離，保護(hù)或限制用戶權(quán)限的傳播。C2級具有訪問控制環(huán)境的權(quán)力，比C1的訪問控制劃分的更為詳細(xì)，能夠?qū)崿F(xiàn)受控安全保護(hù)、個人賬戶管理、審計和資源隔離。這個級別的系統(tǒng)包括Unix、Linux和Windows NT系統(tǒng)。C級別的安全策略主要是自主存取控制，可以實現(xiàn) 保護(hù)數(shù)據(jù)確保非授權(quán)用戶無法訪問； 對存取權(quán)限的傳播進(jìn)行控制； 個人用戶數(shù)據(jù)的安全管理。計算機(jī)系統(tǒng)的安全級別介紹 3. B級別，提供強(qiáng)制性安全保護(hù)和多級安全 B級別包括B1、B2和B3 3個級別。B級安全級別可實現(xiàn)自主存取控制和強(qiáng)制存取控制，包括： 所有敏感標(biāo)識控制下的主體和客體都有

26、標(biāo)識； 安全標(biāo)識對普通用戶是不可變更的； 可以審計：任何試圖違反可讀輸出標(biāo)記的行為；授權(quán)用戶提供的無標(biāo)識數(shù)據(jù)的安全級別和與之相關(guān)的動作；信道和I/O設(shè)備的安全級別的改變；用戶身份和與相應(yīng)的操作； 維護(hù)認(rèn)證數(shù)據(jù)和授權(quán)信息； 通過控制獨(dú)立地址空間來維護(hù)進(jìn)程的隔離。計算機(jī)系統(tǒng)的安全級別介紹 4. A級別，驗證設(shè)計級（Verity Design）目前最高的安全級別；安全的設(shè)計必須給出形式化設(shè)計說明和驗證；需要有嚴(yán)格的數(shù)學(xué)推導(dǎo)過程；包含秘密信道和可信分布的分析，也就是說要保證系統(tǒng)的部件來源有安全保證。例如對這些軟件和硬件在生產(chǎn)、銷售、運(yùn)輸中進(jìn)行嚴(yán)密跟蹤和嚴(yán)格的配置管理，以避免出現(xiàn)安全隱患。 6.5 訪問

27、控制與授權(quán) 6.5.1授權(quán)行為6.5.2信任模型6.5.3信任管理系統(tǒng)6.5.1 授權(quán)行為授權(quán)是資源的所有者或者控制者準(zhǔn)許他人訪問這種資源，這是實現(xiàn)訪問控制的前提。對于簡單的個體和不太復(fù)雜的群體：可以考慮基于個人和組的授權(quán)。對于一個大型跨國集團(tuán)時：如何通過正常的授權(quán)以便保證合法的用戶使用公司公布的資源，而不合法的用戶不能得到訪問控制的權(quán)限，這是一個復(fù)雜的問題。授權(quán)表示的是一種信任關(guān)系，需要建立一種模型對這種關(guān)系進(jìn)行描述。本節(jié)將闡述信任模型的建立與信任管理。6.5.2 信任模型概念和定義信任模型（Trust Model）：建立和管理信任關(guān)系的框架。信任關(guān)系：客體對主體是信任的：如果主體能夠符合客

28、體所假定的期望值。信任關(guān)系可以使用期望值來衡量，并用信任度表示。信任域：主客體間建立信任關(guān)系的范疇，信任域是服從于一組公共策略的系統(tǒng)集。信任模型信任模型有3種基本類型：層次信任模型網(wǎng)狀信任模型對等信任模型。 層次信任模型 建立層次信任模型的基礎(chǔ)是所有的信任用戶都有一個可信任根。層次信任關(guān)系是一種鏈?zhǔn)降男湃侮P(guān)系，比如可信任實體A1可以表示為這樣一個信任鏈：（R，C1，A1），A1向上回溯到產(chǎn)生他的信任根R。雙向信任的模型，Ai和Bj都基于可信任根R，容易建立信任關(guān)系的很容易根節(jié)點(diǎn)R作為信任的起點(diǎn)，也就是信任源，又稱為信任錨。信任源負(fù)責(zé)下屬的信任管理，下屬再負(fù)責(zé)下面一層的信任管理，這種管理方向是不

29、可逆的。層次信任模型優(yōu)點(diǎn)：結(jié)構(gòu)簡單，管理方面，易于實現(xiàn)。缺點(diǎn)：是Ai和Xk的信任通過根實現(xiàn)，信任根出現(xiàn)問題，那么信任的整個鏈路就被破壞了。現(xiàn)實世界中，往往建立一個統(tǒng)一信任的根是困難的。對于不在一個信任域中的兩個實體如何來建立信任關(guān)系？層次模型的適用范圍：層次信任模型適用于孤立的、層狀的企業(yè)，對于有組織邊界交叉的企業(yè)，要應(yīng)用這種模型是很困難的。對等信任模型對等信任模型：兩個或兩個以上對等的信任域間建立的信任關(guān)系。對等信任關(guān)系相對靈活，可解決任意已經(jīng)建立信任關(guān)系的兩個信任模型之間的交互信任。A1和X1的信任關(guān)系要通過對等信任域R1和R2的相互認(rèn)證才能實現(xiàn)，因此這種信任關(guān)系在PKI領(lǐng)域中又叫做交叉認(rèn)

30、證。兩個實體間是對等的關(guān)系，既是被驗證的主體，又是進(jìn)行驗證的客體。網(wǎng)狀信任模型網(wǎng)狀信任模型是對等信任模型的擴(kuò)充。因為沒有必要在任意兩個對等的信任域建立交叉認(rèn)證，完全可以通過建立一個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的信任模型來實現(xiàn)。R1，R2R11是不同的信任域，之間的信任關(guān)系用實線箭頭表示。R1和R5信任域下的主體A和B 間可以建立的信任鏈共有3條。6.5.3 信任管理系統(tǒng)闡述信任模型很容易產(chǎn)生一個問題，這就是在實際中是由誰在管理信任？如果我們就是信任中的主體，我們憑什么信任他們？這就是信任管理需要解決的問題。信任管理包含了兩個方面，一個是對于信任鏈的維護(hù)與管理二個是對信任域間信任關(guān)系的管理與維護(hù)。信任域的管理通

31、常由認(rèn)證機(jī)構(gòu)來負(fù)責(zé)。 6.6 PKI與PMI的關(guān)系6.6.1 授權(quán)管理6.6.2 屬性證書6.6.3 PMI結(jié)構(gòu)模型6.6.1 授權(quán)管理 PMI即是特權(quán)管理基礎(chǔ)設(shè)施，PMI授權(quán)技術(shù)主要解決有效授權(quán)問題。PMI授權(quán)技術(shù)提供：在分布式計算環(huán)境中的訪問控制功能將訪問控制機(jī)制從具體應(yīng)用系統(tǒng)中分離出來，使得訪問控制機(jī)制和應(yīng)用系統(tǒng)之間能靈活而方便的結(jié)合。PMI授權(quán)技術(shù)的核心思想：是以資源管理為核心，將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理，即由資源的所有者來進(jìn)行訪問控制。PKI與PMI的關(guān)系同PKI的區(qū)別：PKI證明用戶是誰，并將用戶的身份信息保存在用戶的公鑰證書中；PMI證明這個用戶有什么權(quán)限，什么

32、屬性，能干什么，并將用戶的屬性信息保存在授權(quán)證書（又稱授權(quán)證書）中。PMI的最終目標(biāo)：就是提供一種有效的體系結(jié)構(gòu)來管理用戶的屬性。這包括兩個方面的含義：PMI保證用戶獲取他們有權(quán)獲取的信息、做他們有權(quán)限進(jìn)行的操作；PMI應(yīng)能提供跨應(yīng)用、跨系統(tǒng)、跨企業(yè)、跨安全域的用戶屬性的管理和交互手段。PKI與PMI的關(guān)系（續(xù)）PMI建立在PKI提供的可信的身份認(rèn)證服務(wù)的基礎(chǔ)上， 以屬性證書的形式實現(xiàn)授權(quán)的管理。PMI體系和模型的核心內(nèi)容：是實現(xiàn)屬性證書的有效管理，包括屬性證書的產(chǎn)生、使用、吊銷、失效等。PKI與PMI的關(guān)系在一個應(yīng)用系統(tǒng)中，授權(quán)必須以身份認(rèn)證為基礎(chǔ)，沒有經(jīng)過身份認(rèn)證的訪問控制是沒有任何意義的

33、。PMI與PKI 的關(guān)聯(lián)：屬性權(quán)威可以在屬性證書中綁定用戶身份證書的有效信息實現(xiàn)，使PKI/PMI體系的基礎(chǔ)設(shè)施為信息安全建設(shè)提供一個通用的安全平臺。在一個PKI/PMI 的安全平臺中，PKI是PMI的基礎(chǔ)，為PMI授權(quán)提供了身份認(rèn)證服務(wù)，PMI是PKI的有益的補(bǔ)充，在身份認(rèn)證的基礎(chǔ)上進(jìn)一步管理用戶的權(quán)限屬性。 6.6.2 屬性證書在PKI/PMI體系中存在兩種證書：公鑰證書PKC：為了保證用戶身份和公鑰的可信度，將兩者進(jìn)行捆綁，并由可信的第三方CA證書的權(quán)威機(jī)構(gòu)簽名的數(shù)據(jù)結(jié)構(gòu)，即為公鑰證書。PKI主要作用：身份認(rèn)證提供安全依據(jù)。屬性證書AC：屬性證書建立在基于公鑰證書的身份認(rèn)證的基礎(chǔ)上PMI權(quán)威機(jī)構(gòu)屬性權(quán)威AA (Attribute Authority)簽發(fā)的將實體與其享有的權(quán)力屬性捆綁在一起的數(shù)據(jù)結(jié)構(gòu)，權(quán)威機(jī)構(gòu)的數(shù)字簽名保證了綁定的有效性和合法性。PMI作用：授權(quán)管理公鑰證書與屬性證書公鑰證書保證實體及其公鑰的對應(yīng)性，為數(shù)據(jù)完整性、實體認(rèn)證、保密性、授權(quán)等安全機(jī)制提供身份服務(wù)。不直接用公鑰證書來承載屬性而使用獨(dú)立的屬性證書原因：身份和屬性的有效時間有很大差異： 屬性證書的生命周期往往遠(yuǎn)低于用于標(biāo)識身份的公鑰證書。公鑰證書和屬性證書的管理頒發(fā)部門可能不同。 公鑰證書身份管理系統(tǒng)進(jìn)行控制 屬性證書與應(yīng)用緊密相關(guān)。公鑰證書與屬性證書公鑰證書：一