網(wǎng)絡(luò)安全基礎(chǔ)3-訪問控制技術(shù)

第4講訪問控制技術(shù)網(wǎng)絡(luò)安全基礎(chǔ)主要內(nèi)容§1訪問控制的概念與意義§2訪問控制三要素§3訪問控制過程§4常用的訪問控制模型§5訪問控制基本技術(shù)1、訪問控制的概念

與目的訪問控制（AccessControl）是指主體依據(jù)某些控制策略或權(quán)限對客體或其資源進(jìn)行不同的授權(quán)訪問。通過某種途徑顯式地準(zhǔn)許或者限制訪問能力及范圍的一種方法針對越權(quán)使用系統(tǒng)資源的防御措施32023/1/12安全管理員授權(quán)數(shù)據(jù)庫身份認(rèn)證用戶訪問監(jiān)視器資源審計(jì)訪問控制審計(jì)員管理安全系統(tǒng)的邏輯結(jié)構(gòu)限制已授權(quán)的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪問本系統(tǒng)資源?？诹钫J(rèn)證不能取代訪問控制。保證系統(tǒng)資源受控地合法地使用通過限制對關(guān)鍵資源的訪問，防止非法用戶侵入，防止合法用戶不慎操作造成的破壞限制用戶能做什么，限制系統(tǒng)對用戶操作的響應(yīng)滿足國際標(biāo)準(zhǔn)協(xié)議的要求1、訪問控制的概念

與目的目的：控制什么能干什么不能干52023/1/122、訪問控制三要素

三個要素：主體客體控制策略62023/1/12主體（subject）：訪問的發(fā)起者主體是指一個提出請求或要求的實(shí)體，是動作的發(fā)起者，但不一定是動作的執(zhí)行者。實(shí)體表示一個計(jì)算機(jī)資源（物理設(shè)備、數(shù)據(jù)文件、內(nèi)存或進(jìn)程）或一個合法用戶）。主體簡記為S。

主體的含義很廣泛，可以是用戶所在在組織（用戶組）、用戶本身、也可以是用戶使用的計(jì)算機(jī)終端、卡機(jī)、手持終端等，甚至可以是應(yīng)用服務(wù)程序或進(jìn)程。72023/1/12客體（Object）：客體是接收其他實(shí)體訪問的被動實(shí)體,簡記為O?？腕w的概念也很廣泛，是可供訪問的各種軟硬件資源（信息、資源、對象）。在信息社會里，客體可以是信息、文件、記錄等的集合體，也可以是網(wǎng)絡(luò)上的硬件資源，無線通信中的終端、甚至一個客體可以包含另外一個客體。82023/1/12控制策略主體對客體的訪問規(guī)則集，這個規(guī)則集直接定義了主體可以進(jìn)行的作用行為和客體對主體的約束條件。是主體對客體的操作行為集和約束條件集。體現(xiàn)為一種授權(quán)行為。是客體對主體的權(quán)限允許，這種允許不能超越規(guī)則集。92023/1/12訪問控制策略任何訪問控制策略最終可被模型化為訪問矩陣形式。每一行：用戶每一列：目標(biāo)矩陣元素：相應(yīng)的用戶對目標(biāo)的訪問許可。102023/1/12訪問控制與其他安全機(jī)制的關(guān)系賬號、認(rèn)證、授權(quán)、審計(jì)（4A）授權(quán)信息Log身份認(rèn)證訪問控制審計(jì)授權(quán)（authorization）主體客體112023/1/12AuthenticationAuthorizationAudit賬號（Account）訪問控制關(guān)系圖3個要素之間的關(guān)系可以使用三元組（S,O,P)表示，當(dāng)主體S提出的一系列正常的請求信息（I1，I2,..In)，通過信息系統(tǒng)的入口達(dá)到控制規(guī)則集KS監(jiān)視的監(jiān)控器，由KS判斷是否允許或拒絕這次請求。3、訪問控制過程122023/1/12多級安全系統(tǒng)：訪問控制過程中將敏感信息與通常資源分開隔離訪問控制過程首先認(rèn)證：KS判斷是否是合法主體，而不是假冒的欺騙者。主體通過驗(yàn)證，才能訪問客體，但還不能保證其有權(quán)限可以對客體進(jìn)行操作。認(rèn)證后，根據(jù)用戶提交的用戶標(biāo)識（UID），執(zhí)行一個可靠的審查，然后對其選用控制策略（控制策略的具體實(shí)現(xiàn)）。最后對非法用戶或越權(quán)操作進(jìn)行審計(jì)（審計(jì)）。132023/1/12認(rèn)證認(rèn)證是主體對客體的識別認(rèn)證與客體對主體的檢驗(yàn)認(rèn)證。主體和客體的認(rèn)證關(guān)系是相互的，當(dāng)一個主體受到另外一個客體的訪問時，這個主體也就變成了客體。一個實(shí)體可以在某一時刻是主體，而在另一時刻是客體，這取決于當(dāng)前實(shí)體的功能是動作的執(zhí)行者還是動作的被執(zhí)行者。142023/1/12控制策略具體實(shí)現(xiàn)規(guī)則集設(shè)定方法：如何設(shè)定規(guī)則集合。允許授權(quán)用戶、限制非法用戶：確保正常用戶對信息資源的合法使用，防止非法用戶使用。保護(hù)敏感信息：考慮敏感資源的泄露。禁止越權(quán)訪問：對于合法用戶而言，也不能越權(quán)行駛控制策略所賦予其權(quán)力以外的功能。152023/1/12審計(jì)部分濫用權(quán)力問題：客體的管理者有操作賦予權(quán)，他有可能濫用這一權(quán)力，這是無法在策略中加以約束的。審計(jì)方法：記錄操作日志。記錄用戶對系統(tǒng)的關(guān)鍵操作。目的：到達(dá)威懾和保護(hù)訪問控制正常實(shí)現(xiàn)的目的。162023/1/12訪問控制基本流程

172023/1/12訪問控制案例分析Windows2000訪問控制案例182023/1/12安全模型就是對安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述，它為安全策略和它的實(shí)現(xiàn)機(jī)制之間的關(guān)聯(lián)提供了一種框架。安全模型描述了對某個安全策略需要用哪種機(jī)制來滿足；而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。4、訪問控制模型192023/1/12常用的訪問控制模型自主訪問控制模型。（DAC）強(qiáng)制訪問控制模型。（MAC）基于角色的訪問控制模型。（RBAC）基于任務(wù)的訪問控制模型。（TBAC）基于對象的訪問控制模型。（OBAC）信息流模型202023/1/12傳統(tǒng)的訪問控制模型4.1自主訪問控制模型（DAC）根據(jù)自主訪問控制策略建立的一種模型。由客體的擁有者自主的把自己所擁有的客體訪問權(quán)授予其它用戶。又稱為任意訪問控制。允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體。阻止非授權(quán)用戶訪問客體。212023/1/12我的電腦我做主自主訪問控制模型的實(shí)現(xiàn)在實(shí)現(xiàn)上，首先要對用戶的身份進(jìn)行鑒別，然后就可以按照訪問控制列表所賦予用戶的權(quán)限，允許和限制用戶使用客體的資源。主體控制權(quán)限的修改通常由特定用戶（管理員）或是特權(quán)用戶組實(shí)現(xiàn)。222023/1/12第六章

訪問控制自主訪問控制的特點(diǎn)DAC的主要特征體現(xiàn)在主體可以自主地把自己所擁有客體的訪問權(quán)限授予其它主體或者從其它主體收回所授予的權(quán)限，訪問通?；谠L問控制表（ACL）。訪問控制的粒度是單個用戶。ACL是帶有訪問權(quán)限的矩陣,這些訪問權(quán)是授予主體訪問某一客體的。232023/1/12ACL是存在于計(jì)算機(jī)中的一張表，用戶對特定系統(tǒng)對象例如文件目錄或單個文件的存取權(quán)限。每個對象擁有一個在訪問控制表中定義的安全屬性。這張表對于每個系統(tǒng)用戶有擁有一個訪問權(quán)限。最一般的訪問權(quán)限包括讀文件（包括所有目錄中的文件），寫一個或多個文件和執(zhí)行一個文件（如果它是一個可執(zhí)行文件或者是程序的時候）。訪問控制表ACL對象訪問域文件1文件2文件3文件4文件5文件6打印機(jī)1繪圖儀2D1RR,WD2RR，W,ER,WWD3R,W,EWW242023/1/1225訪問控制矩陣訪問控制機(jī)制可以用一個三元組來表示（S,O,M）主體的集合S={s1,s2,…,sm}客體的集合O={o1,o2,…,on}所有操作的集合A={R,W,E,…}訪問控制矩陣M=S×O2A252023/1/12訪問控制矩陣矩陣的的i行Si表示了主體si對所有客體的操作權(quán)限，稱為主體si的能力表(CapabilityList)矩陣的第j列Oj表示客體oj允許所有主體的操作，稱為oj的訪問控制表（ACL）262023/1/12自主訪問控制訪問模式的應(yīng)用Unix,WindowsNT,Linux的文件系統(tǒng)廣泛應(yīng)用，對文件設(shè)置的訪問模式有以下幾種：讀拷貝(read-copy)寫刪除（write-delete）執(zhí)行（execute）Null（無效）這種模式表示，主體對客體不具有任何訪問權(quán)。在存取控制表中用這種模式可以排斥某個特定的主體。272023/1/12DAC的缺點(diǎn)當(dāng)用戶數(shù)量多、管理數(shù)據(jù)量大時，由于訪問控制的粒度是單個用戶，ACL會很龐大。當(dāng)組織內(nèi)的人員發(fā)生變化（升遷、換崗、招聘、離職）、工作職能發(fā)生變化（新增業(yè)務(wù)）時，ACL的修改變得異常困難。采用ACL機(jī)制管理授權(quán)處于一個較低級的層次，管理復(fù)雜、代價高以至易于出錯。在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。282023/1/124.2強(qiáng)制訪問控制模型（MAC）將授權(quán)歸于系統(tǒng)管理，保證授權(quán)狀態(tài)的變化始終處于系統(tǒng)的控制。用戶不能改變自身和客體的安全級別，只有管理員才能夠確定用戶和組的訪問權(quán)限。系統(tǒng)對所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實(shí)施強(qiáng)制訪問控制。292023/1/12單位里我的電腦由管理做主MAC的特點(diǎn)強(qiáng)制性當(dāng)一進(jìn)程訪問一個客體(如文件)時，調(diào)用強(qiáng)制訪問控制機(jī)制，根據(jù)進(jìn)程的安全屬性和訪問方式，比較進(jìn)程的安全屬性和客體的安全屬性，從而確定是否允許進(jìn)程對客體的訪問。用戶的進(jìn)程不能改變自身的或任何客體的安全屬性，也不能通過授予其他用戶客體存取權(quán)限簡單地實(shí)現(xiàn)客體共享。如果系統(tǒng)判定擁有某一安全屬性的主體不能訪問某個客體，那么任何人（包括客體的擁有者）也不能使它訪問該客體。從這種意義上講，是“強(qiáng)制”的。302023/1/12限制性在強(qiáng)制訪問控制機(jī)制下，系統(tǒng)中的每個進(jìn)程、每個文件、每個IPC客體(消息隊(duì)列、信號量集合和共享存貯區(qū))都被賦予了相應(yīng)的安全屬性，這些安全屬性是不能改變的，它由管理部門（如安全管理員）或由操作系統(tǒng)自動地按照嚴(yán)格的規(guī)則來設(shè)置，不像訪問控制表那樣由用戶或他們的程序直接或間接地修改。特點(diǎn)312023/1/12主體對客體的訪問方式MAC對訪問主體和受控對象標(biāo)識兩個安全標(biāo)記：一個是具有偏序關(guān)系的安全等級標(biāo)記；另一個是非等級分類標(biāo)記。322023/1/12絕密級別（TSTopSecret)秘密級別（Secret)，機(jī)密級別（Confidential)限制級別（Restricted)，無級別級（Unclassified）TS最高，U最低。當(dāng)主體S的安全類別為TS，而客體O的安全類別為S時，用偏序關(guān)系可以表述為SC(S)≥SC(O)。主體對客體的訪問方式向下讀（rd，ReadDown）：主體的安全級別高于客體信息資源的安全級別時允許查閱的讀操作。（用戶級別大于文件級別）。

向上讀（ru，readup）:主體的安全級別低于客體信息資源的安全級別時允許的讀操作。（用戶級別低于文件級別的讀操作)。根據(jù)偏序關(guān)系，主體對客體的訪問主要有4種方式332023/1/12主體對客體的訪問方式向上寫（wu，Writeup）:主體的安全級別低于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。（用戶級別低于文件級別的寫操作）向下寫（wd，writedown）:主體的安全級別高于客體信息資源的安全級別時允許執(zhí)行的動作或是寫操作。（用戶級別大于文件級別的寫操作）342023/1/12進(jìn)程(Subject)Secret安全級別進(jìn)程(Subject)Public安全級別文件(Object)Public安全級別文件(Object)Secret安全級別向下讀向下寫向上寫向上讀同級寫同級讀同級寫同級讀主體對客體的訪問方式352023/1/12主要的強(qiáng)制訪問控制模型Lattice模型。Bell-LaPadula模型(BPLModel)。Biba模型。362023/1/12Lattice模型每個資源與用戶都服從于一個安全級別。五個安全級別（TS,S,C,R,U）。主體級別高于客體級別才可以訪問。適用于需要對信息資源進(jìn)行明顯分類的系統(tǒng)。沒有考慮特洛伊木馬等不安全因素的潛在威脅，低安全級用戶有可能復(fù)制比較敏感的信息。372023/1/12僅當(dāng)主體的敏感級不低于客體敏感級且主體的類別集合包含客體時，才允許該主體讀該客體。即主體只能讀密級等于或低于它的客體，也就是說主體只能從下讀，而不能從上讀。僅當(dāng)主體的敏感級不高于客體敏感級且客體的類別集合包含主體的類別集合時，才允許該主體寫該客體。即主體只能寫密級等于或高于它的客體，也就是說主體只能向上寫，而不能向下寫。BPL模型主體：下讀上寫的安全策略（保障信息機(jī)密性策略）382023/1/12進(jìn)程(Subject)Secret安全級別進(jìn)程(Subject)Public安全級別文件(Object)Public安全級別文件(Object)Secret安全級別向下讀向下寫向上寫向上讀同級寫同級讀同級寫同級讀BPL模型392023/1/12BPL模型 BLP狀態(tài)改變

向下讀：主體安全級別高于客體信息的安全級別向上寫：主體安全級別低于客體信息的安全級別402023/1/12BPL模型缺點(diǎn)忽略了完整性。存在越權(quán)篡改。分布式操作。關(guān)鍵服務(wù)進(jìn)程。412023/1/12主體只能寫（修改）完整性級別等于或低于它的客體。主體只能讀主體讀完整性級別高的客體，而不能從下讀。Biba模型信息完整性模型：維護(hù)系統(tǒng)信息的完整性，有效防止信息篡改。控制原則(主體：下寫上讀的安全策略）：422023/1/12進(jìn)程(Subject)低完整性級別進(jìn)程(Subject)高完整性級別文件(Object)高完整性級別文件(Object)低完整性級別向上讀向上寫向下寫向下讀同級寫同級讀同級寫同級讀Biba模型432023/1/12integritylevels:Crucial(C),Important(I),andUnknown(U).Biba模型缺點(diǎn)保密性差。442023/1/12Biba模型是和BLP模型相對立的模型，Biba模型改正了被BLP模型所忽略的信息完整性問題，但在一定程度上卻忽視了保密性。事務(wù)（Transaction）是指一個完成一定功能的過程，可以是一個程序或程序的一部分。角色（Role）是指一個可以完成一定事務(wù)的命名組，不同的角色通過不同的事務(wù)來執(zhí)行各自的功能。用戶的集合與許可的集合。角色與組的區(qū)別在于：用戶的組是相對固定的，而用戶能被指派到那些角色則受時間、地點(diǎn)、事件等諸多因素影響。4.6基于角色訪問控制（RBAC）452023/1/12RBAC：將訪問權(quán)限分配給一定的角色，用戶通過擔(dān)當(dāng)不同的角色獲得所擁有的訪問權(quán)限。RBAC基本原理462023/1/12一個角色與若干權(quán)限關(guān)聯(lián)一個角色與若干用戶關(guān)聯(lián)角色可以根據(jù)工作的需要生成和取消角色之間、權(quán)限之間、角色和權(quán)限之間有約束關(guān)系和限制用戶所執(zhí)行的操作與其所扮演的角色的職能相匹配用戶不能自主地將訪問權(quán)限給別的用戶用戶、角色、權(quán)限、會話關(guān)系472023/1/12RBAC的基本思想RBAC中許可被授權(quán)給角色，角色被授權(quán)給用戶，用戶不直接與許可關(guān)聯(lián)。RBAC對訪問權(quán)限的授權(quán)由管理員統(tǒng)一管理，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，這是一種非自主型集中式訪問控制方式。用戶是一個靜態(tài)的概念，會話則是一個動態(tài)的概念。一次會話是用戶的一個活躍進(jìn)程，它代表用戶與系統(tǒng)交互。用戶與會話是一對多關(guān)系，一個用戶可同時打開多個會話。一個會話構(gòu)成一個用戶到多個角色的映射，即會話激活了用戶授權(quán)角色集的某個子集，這個子集稱為活躍角色集?；钴S角色集決定了本次會話的許可集。482023/1/12RBAC的基本思想授權(quán)給用戶的訪問權(quán)限,通常由用戶在一個組織中擔(dān)當(dāng)?shù)慕巧珌泶_定。ACL直接將主體和目標(biāo)相聯(lián)系，而RBAC在中間加入了角色，通過角色溝通主體與目標(biāo)。分層的優(yōu)點(diǎn)是當(dāng)主體發(fā)生變化時，只需修改主體與角色之間的關(guān)聯(lián)而不必修改角色與客體的關(guān)聯(lián)。492023/1/12最小特權(quán)原則：分配給角色的權(quán)限不超過該角色的用戶完成其工作任務(wù)所必需的權(quán)限職責(zé)分散原則：對互斥角色的用戶進(jìn)行限制，使得沒有一個用戶同時是互斥角色中的成員，并通過激活相互制約的角色共同完成一些敏感的任務(wù)數(shù)據(jù)抽象原則：不僅可以將訪問權(quán)限定義為低級訪問權(quán)限，也可以在應(yīng)用層定義權(quán)限分配角色原則502023/1/12“角色”作為授權(quán)中介。授權(quán)對象：單個用戶授權(quán)對象：角色√角色控制與自主式/強(qiáng)制式控制的區(qū)別512023/1/12

基本模型RBAC0

角色分級模型

RBAC1

角色限制模型

RBAC2

統(tǒng)一模型

RBAC3，包含所有的層次內(nèi)容RBAC相關(guān)模型522023/1/12

體系結(jié)構(gòu)(模型包含四個基本數(shù)據(jù)元素:Users(用戶)、Roles(角色)、Sessions(會話集)、權(quán)限（Permission）以及角色權(quán)限分配(PurviewAssigntoRole，PA)、用戶角色分配(UserAssigntoRole，UA)。

RBAC相關(guān)模型：基本模型RBAC0532023/1/12RBAC1=RBAC0+RoleHieryrchy

體系結(jié)構(gòu)RBAC相關(guān)模型：角色分級模型RBAC1542023/1/12

角色分級的兩種形式權(quán)限（角色）繼承RBAC相關(guān)模型：角色分級模型RBAC1RBAC1=RBAC0+RoleHieryrchy

552023/1/12

體系結(jié)構(gòu)RBAC2=RBAC0+ConstraintsRBAC相關(guān)模型：角色限制模型RBAC2562023/1/12

體系結(jié)構(gòu)RBAC3=RBAC0+RH+ConstraintsRBAC相關(guān)模型：角色限制模型RBAC3572023/1/12RBAC的優(yōu)點(diǎn)RBAC能夠描述復(fù)雜的安全策略容易實(shí)現(xiàn)最小特權(quán)（leastprivilege）原則滿足職責(zé)分離(separationofduties)原則崗位上的用戶數(shù)通過角色基數(shù)約束582023/1/12通過角色定義、分配和設(shè)置適應(yīng)安全策略系統(tǒng)管理員定義系統(tǒng)中的各種角色，每種角色可以完成一定的職能。不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。根據(jù)組織的安全策略特定的崗位定義為特定的角色、特定的角色授權(quán)給特定的用戶。系統(tǒng)管理員也可以根據(jù)需要設(shè)置角色的可用性以適應(yīng)某一階段企業(yè)的安全策略。592023/1/12通過角色分層映射組織結(jié)構(gòu)組織結(jié)構(gòu)中通常存在一種上、下級關(guān)系，上一級擁有下一級的全部權(quán)限。角色分層把角色組織起來，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。層次之間存在高對低的繼承關(guān)系，即父角色可以繼承子角色的許可。602023/1/12角色分層612023/1/12角色的繼承關(guān)系622023/1/12WindowsXP的RBAC632023/1/12容易實(shí)現(xiàn)最小特權(quán)（leastprivilege）原則最小特權(quán)原則是指用戶所擁有的權(quán)力不能超過他執(zhí)行工作時所需的權(quán)限。這一原則的應(yīng)用可限制事故、錯誤、未授權(quán)使用帶來的損害。在RBAC中，系統(tǒng)管理員可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色。當(dāng)一個主體要訪問某資源時,如果該操作不在主體當(dāng)前活躍角色的授權(quán)操作之內(nèi)，該訪問將被拒絕。最小特權(quán)原則在保持完整性方面起著重要的作用。642023/1/12滿足職責(zé)分離(separationofduties)原則這是保障安全的一個基本原則，是指有些許可不能同時被同一用戶獲得，以避免安全上的漏洞。例如收款員、出納員、審計(jì)員應(yīng)由不同的用戶擔(dān)任。在RBAC中，職責(zé)分離可以有靜態(tài)和動態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離只有當(dāng)一個角色與用戶所屬的其他角色彼此不互斥時,這個角色才能授權(quán)給該用戶。動態(tài)職責(zé)分離只有當(dāng)一個角色與一主體的任何一個當(dāng)前活躍角色都不互斥時該角色才能成為該主體的另一個活躍角色。角色的職責(zé)分離也稱為角色互斥，是角色限制的一種。652023/1/12崗位上的用戶數(shù)通過角色基數(shù)約束企業(yè)中有一些角色只能由一定人數(shù)的用戶占用，在創(chuàng)建新的角色時，通過指定角色的基數(shù)來限定該角色可以擁有的最大授權(quán)用戶數(shù)。如總經(jīng)理角色只能由一位用戶擔(dān)任。662023/1/124.7基于任務(wù)的訪問控制（TBAC）問題DAC、MAC、RBAC都是靜態(tài)模型，未考慮系統(tǒng)執(zhí)行的上下文環(huán)境。沒有時限性，主體可以無限制的執(zhí)行所擁有的權(quán)限。無法實(shí)現(xiàn)對工作流的訪問控制。

例如：戰(zhàn)略導(dǎo)彈的發(fā)射控制。672023/1/12TBAC的基本思想TBAC是從應(yīng)用和企業(yè)層角度來解決安全問題，以面向任務(wù)的觀點(diǎn)，從任務(wù)（活動）的角度來建立安全模型和安全機(jī)制，在任務(wù)處理過程中提供動態(tài)和實(shí)時的安全管理。在TBAC中，對象的訪問權(quán)限控制并不是靜止的，而是隨時間執(zhí)行的上下文環(huán)境發(fā)生變化。682023/1/12工作流環(huán)境中，數(shù)據(jù)的處理與上一次的處理相關(guān)聯(lián)。TBAC不僅對不同工作流實(shí)行訪問控制，而且對同一工作流進(jìn)行控制。TBAC是基于實(shí)例的訪問控制模型。TBAC的基本思想692023/1/12TBAC的組成任務(wù)授權(quán)結(jié)構(gòu)體授權(quán)步受托人集702023/1/12712023/1/12任務(wù)（Task）是工作流程中的一個邏輯單元，是一個可區(qū)分的動作，與多個用戶相關(guān)，也可能包括幾個子任務(wù)。授權(quán)結(jié)構(gòu)體（AuthorizationUnit）是由一個或多個授權(quán)步組成的結(jié)構(gòu)體，它們在邏輯上是聯(lián)系在一起的。授權(quán)結(jié)構(gòu)體分為一般授權(quán)結(jié)構(gòu)體和原子授權(quán)結(jié)構(gòu)體。授權(quán)步（AuthorizationStep）表示一個原始授權(quán)處理步，是指在一個工作流程中對處理對象的一次處理過程。授權(quán)步是訪問控制所能控制的最小單元，由受托人集（TrusteeSet）和多個許可集（PermissionsSet）組成。TBAC的組成（1/2）722023/1/12受托人集是可被授予執(zhí)行授權(quán)步的用戶的集合，許可集則是受托集的成員被授予授權(quán)步時擁有的訪問許可。當(dāng)授權(quán)步初始化以后，一個來自受托人集中的成員將被授予授權(quán)步，稱這個受托人為授權(quán)步的執(zhí)行委托者，該受托人執(zhí)行授權(quán)步過程中所需許可的集合稱為執(zhí)行者許可集。授權(quán)步之間或授權(quán)結(jié)構(gòu)體之間的相互關(guān)系稱為依賴（Dependency），依賴反映了基于任務(wù)的訪問控制的原則。授權(quán)步的狀態(tài)變化一般自我管理，依據(jù)執(zhí)行的條件而自動變遷狀態(tài)，但有時也可以由管理員進(jìn)行調(diào)配。TBAC的組成（2/2）TBAC的特點(diǎn)分析TBAC從工作流中的任務(wù)角度建模，可以依據(jù)任務(wù)和任務(wù)狀態(tài)的不同，對權(quán)限進(jìn)行動態(tài)管理。適合于分布式計(jì)算和多點(diǎn)控制訪問的信息處理控制以及在工作流、分布式處理和事務(wù)管理系統(tǒng)中的決策制定。支持最小特權(quán)原則與最小泄露原則。相對復(fù)雜。732023/1/125、訪問控制技術(shù)訪問控制的實(shí)現(xiàn)機(jī)制訪問控制表訪問控制矩陣訪問控制能力列表訪問控制安全標(biāo)簽列表訪問控制實(shí)現(xiàn)的具體類別742023/1/125.1訪問控制的實(shí)現(xiàn)機(jī)制訪問控制機(jī)制就是建立訪問控制模型和實(shí)現(xiàn)訪問控制。這兩者都是抽象和復(fù)雜的行為，實(shí)現(xiàn)訪問的控制不僅要保證授權(quán)用戶使用的權(quán)限與其所擁有的權(quán)限對應(yīng)，制止非授權(quán)用戶的非授權(quán)行為；還要防止敏感信息的交叉感染。用戶訪問信息資源（文件或是數(shù)據(jù)庫）行為，有讀、寫和管理。為方便起見，用Read或是R表示讀操作，Write或是W表示寫操作，Own或是O表示管理操作。將管理操作從讀寫中分離出來的目的，是因?yàn)楣芾韱T也許會對控制規(guī)則本身或是文件的屬性等做修改。752023/1/125.2訪問控制表訪問控制表（AccessControlLists,ACLs）是以文件為中心建立的訪問權(quán)限表，簡記為ACLs。目前，大多數(shù)PC、服務(wù)器和主機(jī)都使用ACLs作為訪問控制的實(shí)現(xiàn)機(jī)制。762023/1/12訪問控制表訪問控制表的優(yōu)點(diǎn)在于實(shí)現(xiàn)簡單，任何得到授權(quán)的主體都可以有一個訪問表，例如授權(quán)用戶A1的訪問控制規(guī)則存儲在文件File1中，A1的訪問規(guī)則可以由A1下面的權(quán)限表ACLsA1來確定，權(quán)限表限定了用戶UserA1的訪問權(quán)限。772023/1/125.3訪問控制矩陣訪問控制矩陣（AccessControlMatrix,ACM）是通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法；在矩陣中，對每個主體而言，都擁有對哪些客體的哪些訪問權(quán)限；而對客體而言，又有哪些主體對他可以實(shí)施訪問；將這種關(guān)聯(lián)關(guān)系加以闡述，就形成了控制矩陣。其中，特權(quán)用戶或特權(quán)用戶組可以修改主體的訪問控制權(quán)限。782023/1/125.3訪問控制矩陣訪問控制矩陣的實(shí)現(xiàn)很易于理解，但是查找和實(shí)現(xiàn)起來有一定的難度，而且，如果用戶和文件系統(tǒng)要管理的文件很多，那么控制矩陣將會成幾何級數(shù)增長，這樣對于增長的矩陣而言，會有大量的空余空間。792023/1/125.4訪問控制能力列表能力是訪問控制中的一個重要概念，它是指請求訪問的發(fā)起者所擁有的一個有效標(biāo)簽（ticket），它授權(quán)標(biāo)簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力表（AccessControlCapabilitisLists,ACCLs）是以用戶為中心建立訪問權(quán)限表。802023/1/12訪問控制權(quán)限表UserAF表明了UserA對文件系統(tǒng)的訪問控制規(guī)則集，ACCLsF1表明了授權(quán)用戶UserA對文件File1的訪問權(quán)限。因此，ACCLs的實(shí)現(xiàn)與ACLs正好相反。5.4訪問控制能力列表訪問控制能力的重要作用在于能力的特殊性，如果賦予哪個主體具有一種能力，事實(shí)上是說明了這個主體具有了一定對應(yīng)的權(quán)限。能力的實(shí)現(xiàn)有兩種方式，傳遞的和不可傳遞的。一些能力可以由主體傳遞給其他主體使用，另一些則不能。能力的傳遞牽扯到了授權(quán)的實(shí)現(xiàn)，以及具體闡述訪問控制的授權(quán)管理。812023/1/125.5訪問控制安全標(biāo)簽列表訪問控制標(biāo)簽列表（AccessControlSecurityLabelsLists,ACSLLs）是限定一個用戶對一個客體目標(biāo)訪問的安全屬性集合。該集合是限制和附屬在主體或客體上的一組安全屬性信息。安全標(biāo)簽的含義比能力更為廣泛和嚴(yán)格，因?yàn)樗鼘?shí)際上還建立了一個嚴(yán)格的安全等級集合。822023/1/12左側(cè)用戶對應(yīng)的安全級別，右側(cè)為文件系統(tǒng)對應(yīng)的安全級別。假設(shè)請求訪問的用戶UserA的安全級別為S，那么UserA請求訪問文件File2時，由于S<TS，訪問會被拒絕；當(dāng)UserA請求訪問文件FileN時，因?yàn)镾>C，所以允許訪問。5.5訪問控制安全標(biāo)簽列表安全標(biāo)簽?zāi)軐γ舾行畔⒓右詤^(qū)分，這樣就可以對用戶和客體資源強(qiáng)制執(zhí)行安全策略，因此，強(qiáng)制訪問控制經(jīng)常會用到這種實(shí)現(xiàn)機(jī)制。832023/1/125.6訪問控制實(shí)現(xiàn)的具體類別訪問控制通常在技術(shù)實(shí)現(xiàn)上包括以下幾部分：接入訪問控制資源訪問控制網(wǎng)絡(luò)端口和節(jié)點(diǎn)的訪問控制842023/1/12接入訪問控制