chap3：訪問控制策略-B

計算機安全

ComputerSecurity2023/9/161訪問控制策略

2023/9/162提要訪問控制原理訪問控制策略安全核技術(shù)的理論基礎引用監(jiān)控器引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器及安全核的使用原則引用監(jiān)控器模型的缺點2023/9/163訪問控制原理訪問控制是依據(jù)一套為信息系統(tǒng)規(guī)定的安全策略和支持這些安全策略的執(zhí)行機制實現(xiàn)的。將兩者分開討論的益處：1.獨立地討論系統(tǒng)的訪問要求，不與這些要求如何實現(xiàn)聯(lián)系起來。2.可比較和對比不同的訪問控制策略和執(zhí)行同樣策略的不同機制。3.允許我們設計一個有能力執(zhí)行多種策略的機制。2023/9/165概念通常應用在操作系統(tǒng)的安全設計上。定義：在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制。目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用。訪問控制模型基本組成任務識別和確認訪問系統(tǒng)的用戶。決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。訪問控制與其他安全服務的關(guān)系模型引用監(jiān)控器身份認證訪問控制授權(quán)數(shù)據(jù)庫用戶目標目標目標目標目標審計安全管理員訪問控制決策單元訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)

舉例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e問題：稀疏矩陣，浪費空間。訪問控制類型自主訪問控制強制訪問控制基于角色訪問控制訪問控制自主訪問控制基于對主體或主體所屬的主體組的識別來限制對客體的訪問，這種控制是自主的。自主指主體能夠自主地將訪問權(quán)或訪問權(quán)的某個子集授予其他主體。如用戶A可將其對目標O的訪問權(quán)限傳遞給用戶B,從而使不具備對O訪問權(quán)限的B可訪問O。缺點：信息在移動過程中其訪問權(quán)限關(guān)系會被改變：安全問題訪問控制表（AccessControlList）基于訪問控制矩陣列的自主訪問控制。每個客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。舉例：oj表示客體j，si.rw表示主體si具有rw屬性。s0.rs1.es2.rwoj問題：主體、客體數(shù)量大，影響訪問效率。解決：引入用戶組，用戶可以屬于多個組。主體標識=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示所有組中的用戶。*.*表示所有用戶。liu.INFO.rw表示對INFO組的用戶liu具有rw權(quán)限。*.INFO.rw表示對INFO組的所有用戶具有rw權(quán)限。*.*.rw表示對所有用戶具有rw權(quán)限。Liu.INFO.r*.INFO.e*.*.rwoj訪問能力表

（AccessCapabilitiesList）基于訪問控制矩陣行的自主訪問控制。為每個主體（用戶）建立一張訪問能力表，用于表示主體是否可以訪問客體，以及用什么方式訪問客體。舉例：強制訪問控制為所有主體和客體指定安全級別，比如絕密級、機密級、秘密級、無秘級。不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。只有安全管理員才能修改客體訪問權(quán)和轉(zhuǎn)移控制權(quán)。（對客體擁有者也不例外）MAC模型絕密級機密級秘密級無秘級寫寫讀讀完整性保密性安全策略保障信息完整性策略級別低的主體可以讀高級別客體的信息（不保密），級別低的主體不能寫高級別的客體（保障信息完整性）保障信息機密性策略級別低的主體可以寫高級別客體的信息（不保障信息完整性），級別低的主體不可以讀高級別的客體（保密）舉例：Multics操作系統(tǒng)的訪問控制（保密性策略）：僅當用戶的安全級別不低于文件的安全級別時，用戶才可以讀文件；僅當用戶的安全級別不高于文件的安全級別時，用戶才可以寫文件；舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色的訪問控制起源于UNIX系統(tǒng)或別的操作系統(tǒng)中組的概念（基于組的自主訪問控制的變體）每個角色與一組用戶和有關(guān)的動作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合適合專用目的的計算機系統(tǒng)，比如軍用計算機系統(tǒng)。RBAC模型用戶角色權(quán)限訪問控制資源1、認證2、分派3、請求4、分派5、訪問一個基于角色的訪問控制的實例在銀行環(huán)境中，用戶角色可以定義為出納員、分行管理者、顧客、系統(tǒng)管理者和審計員訪問控制策略的一個例子如下：（1）允許一個出納員修改顧客的帳號記錄（包括存款和取款、轉(zhuǎn)帳等），并允許查詢所有帳號的注冊項（2）允許一個分行管理者修改顧客的帳號記錄（包括存款和取款，但不包括規(guī)定的資金數(shù)目的范圍）并允許查詢所有帳號的注冊項，也允許創(chuàng)建和終止帳號（3）允許一個顧客只詢問他自己的帳號的注冊項（4）允許系統(tǒng)的管理者詢問系統(tǒng)的注冊項和開關(guān)系統(tǒng)，但不允許讀或修改用戶的帳號信息（5）允許一個審計員讀系統(tǒng)中的任何數(shù)據(jù)，但不允許修改任何事情系統(tǒng)需要添加出納員、分行管理者、顧客、系統(tǒng)管理者和審計員角色所對應的用戶，按照角色的權(quán)限對用于進行訪問控制。保護系統(tǒng)的訪問矩陣模型操作系統(tǒng)的訪問矩陣模型是由lampsonDenning在20世紀70年代初提出，后經(jīng)Graham和Denning相繼改進的。

數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型是Coway在Cornell大學提出的。2023/9/1630保護系統(tǒng)的訪問矩陣模型模型是用狀態(tài)和狀態(tài)轉(zhuǎn)換的概念定義。其中的狀態(tài)是用訪問矩陣表示的，狀態(tài)轉(zhuǎn)換是用命令描述的。該模型的特點：簡明：易懂、易理解、易證明；通用：有能力綜合不同策略和應用于多種實現(xiàn)；精確：有能力忠實地反映策略和系統(tǒng)形態(tài)；與數(shù)據(jù)式樣無關(guān)。2023/9/1631保護系統(tǒng)的訪問矩陣模型訪問矩陣模型是描述保護系統(tǒng)的一種有效手段，能夠應用在以下方面：1.為研究提供框架：可為安全理論研究提供一個基礎，允許研究者把注意力集中在問題突出的特型上，毋需顧及實現(xiàn)細節(jié)；2.用作設計工具：即用于概括在構(gòu)造的系統(tǒng)的實現(xiàn)目標，以指導設計；3.證明“設計與實現(xiàn)”的正確性工具：因為模型是形式化的，允許做出形式斷言并對其進行改進；4.用作教育工具：形式化模型免去了自然語言陳述的模糊性，同時它不反映系統(tǒng)的細節(jié)，容易理解其實質(zhì)；5.用作比較和評估的工具。2023/9/1632訪問矩陣模型三類要素：系統(tǒng)中的客體集O，是系統(tǒng)中被訪問因而也是被保護的對對象，如文件、程序、存儲區(qū)等；每一個客體o∈O可由它們的名字唯一地標識別與識別；系統(tǒng)中的主體集S，是系統(tǒng)中訪問操作的發(fā)起者，如用戶、進程、執(zhí)行域等；每一個主體s∈S可由它們的名字唯一地標識別與識別；鑒于主體和客體之間存在控制與被控制的關(guān)系，故認為主體也是一種類型的客體，因此有S∈O；系統(tǒng)中主體對客體的訪問權(quán)限集合R，O、S、R三者之間的關(guān)系是以矩陣A的形式表示的，它的行對應某個主體，列對應某個客體，集合R是矩陣的項（元素）的集合，每個項用A[s,o]表示，其中存放著主體s對客體o的訪問權(quán)或某些特權(quán)。2023/9/1633訪問矩陣模型一個實例：M1M2F1F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2023/9/1634訪問控制的概念是與安全核技術(shù)聯(lián)系在一起的。1971年，Lampson提出了引用監(jiān)控器的設想。其思想是所有主體必須根據(jù)系統(tǒng)存取授權(quán)表來實現(xiàn)對客體的存取，對客體的每次存取以及授權(quán)的改變都必須通過引用監(jiān)控器。1972年，RorerSchell提出了安全核的概念，并把它定義為實現(xiàn)引用監(jiān)控器的軟件與硬件。1974年，Mitre證實了構(gòu)筑安全內(nèi)核的可能性。2023/9/1635訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型主體通常是用戶，客體是文件、關(guān)系、記錄或記錄中的字段。每一項A[s,o]是一條訪問規(guī)則，說明用戶s可以訪問客體o的條件和允許s在o上完成的運算。訪問規(guī)則是訪問權(quán)概念的推廣。規(guī)則可以說明內(nèi)容無關(guān)條件（即能否訪問的條件與被訪問的客體的內(nèi)容無關(guān)）或內(nèi)容相關(guān)條件。其他還有時間相關(guān)、上下文相關(guān)、歷史相關(guān)等。2023/9/1636訪問矩陣模型數(shù)據(jù)庫系統(tǒng)的訪問矩陣模型數(shù)據(jù)庫的訪問規(guī)則通常用四元組（s,o,r,p）形式給出，其中p是謂詞表達的相關(guān)條件。例如：工資管理員只能讀月工資不大于200元的雇員的屬性表示為：（s,o,r,p）=（工資管理員，EMPLOEE，READ，SALARY≤200）2023/9/1637安全核與引用監(jiān)控器2023/9/1638引用監(jiān)視器（ReferenceMonitor）最簡單的訪問控制模型是引用監(jiān)視器，好比用戶與目標之間帶護衛(wèi)的大門。引用監(jiān)視器的概念是與安全核技術(shù)聯(lián)系在一起的。安全核是RogerSchell在1972年首次提出的，并把它定義為引用監(jiān)視器的軟件與硬件。在后來的發(fā)展中把引用監(jiān)視器作為是用安全核技術(shù)的保護系統(tǒng)的模型，它是負責實施系統(tǒng)安全策略的硬件與軟件的復合體。2023/9/1639引用監(jiān)控器與安全核的關(guān)系引用監(jiān)控器只是一個學術(shù)概念，并不涉及實現(xiàn)它的具體方法。安全核則是一種實現(xiàn)引用監(jiān)控器的技術(shù)。雖然還有其它系統(tǒng)構(gòu)造方法也能夠滿足引用監(jiān)控器的要求，但是沒有一種方法像安全核那樣普遍。因此，常常把引用監(jiān)控器的概念與安全核等同看待，特別是在討論原理性問題時，這兩個術(shù)語常?？梢曰Q使用。2023/9/1640安全核技術(shù)的理論基礎在一個大的操作系統(tǒng)內(nèi)，只有相對比較小的一部分軟件負責實施系統(tǒng)安全。通過對操作系統(tǒng)的重構(gòu)，將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個可信核內(nèi)，而操作系統(tǒng)的大部分軟件無需負責系統(tǒng)安全。安全核部分包括硬件與一個鑲嵌的硬件與操作系統(tǒng)之間的軟件層，這些軟／硬件是可信的，并且位于安全防線之內(nèi)；與此對應的，操作系統(tǒng)位于安全防線之外，與應用程序結(jié)合在一起，是不可信的。2023/9/1641在絕大多數(shù)情況下，安全核就是一個初級的操作系統(tǒng)。安全核為操作系統(tǒng)提供服務，正如操作系統(tǒng)為應用程序提供服務一樣。同時，正如操作系統(tǒng)對應用程序設置一些必要的限制一樣，安全核對操作系統(tǒng)也要提出一些限制，雖然操作系統(tǒng)在實施由安全核實現(xiàn)的安全策略方面不起任何作用，但操作系統(tǒng)要保證系統(tǒng)的運行并且要防止由于程序錯誤或惡性程序引起的拒絕服務，在應用程序或操作系統(tǒng)中的任何錯誤都不能違反安全策略。2023/9/1642在構(gòu)造高度安全的操作系統(tǒng)時，安全核技術(shù)是目前唯一最常用的技術(shù)。但這并不是說可以很容易地買到一個或者可以十分容易地構(gòu)造一個安全核，也不是說基于安全核的系統(tǒng)就是最安全的。2023/9/1643引用監(jiān)控器模型引用監(jiān)控器是負責實施系統(tǒng)安全策略的硬件與軟件的組合體，可看作是使用安全核技術(shù)的保護系統(tǒng)的模型。引用監(jiān)控器的關(guān)鍵作用是要對主體到到客體的每一次訪問都要實施控制，并對每一次訪問活動進行審計記錄，當用戶需要訪問目標的時候，首先向監(jiān)控器提出訪問請求，監(jiān)控器根據(jù)用戶請求核查訪問者的權(quán)限，以便確定是否允許這次訪問。2023/9/1644引用監(jiān)控器用來處理資源的訪問控制這一特定的安全要求。這里安全策略的具體體現(xiàn)是訪問判定，而訪問判定則以訪問控制數(shù)據(jù)庫中的抽象信息為依據(jù)。在訪問控制數(shù)據(jù)庫中，抽象信息包括系統(tǒng)的安全狀態(tài)以及安全屬性與訪問權(quán)限等信息，體現(xiàn)了系統(tǒng)的安全控制條件。訪問控制數(shù)據(jù)庫，它隨著主、客體的增加與刪除以及訪問權(quán)限與安全屬性的改變而改變。2023/9/1645對訪問控制數(shù)據(jù)庫的任何修改都要按一定的安全策略受引用監(jiān)控器的控制。所有主體對客體的訪問都要利用存于訪問控制數(shù)據(jù)庫中的訪問控制信息，并根據(jù)引用監(jiān)控器中的安全策略由引用監(jiān)控器進行監(jiān)督和限制。系統(tǒng)中發(fā)生的重要安全事件都存于審計文件中，以便跟蹤、分析和審計。2023/9/1646在計算機出現(xiàn)的初期，曾使用監(jiān)控器來識別系統(tǒng)中的程序，它控制著其它程序的運行。隨著系統(tǒng)功能的不斷提高，監(jiān)控器變得越來越大，又開始把它稱作操作系統(tǒng)。而監(jiān)控器這個術(shù)語只用來表示初級的操作系統(tǒng)。引用監(jiān)控器是一種特殊的監(jiān)控器，它僅負責控制對系統(tǒng)資源的訪問。通常，與安全有關(guān)的其它系統(tǒng)功能也位于安全防線內(nèi)，但它們并不是引用監(jiān)控器的組成部分，一般把它們稱作可信系統(tǒng)功能。在系統(tǒng)安全防線外的所有系統(tǒng)功能都由操作系統(tǒng)來管理。2023/9/1647引用監(jiān)控器及安全核的使用原則引用監(jiān)控器及其對應的安全核必須滿足以下三個原則：完備性原則隔離性原則可驗證性原則2023/9/1648完備性原則主體在沒有對安全內(nèi)核的引用監(jiān)控器請求并獲準時，不能訪問客體。也就是講，所有的信息訪問都必須經(jīng)過安全內(nèi)核。完備性原則要求支持安全內(nèi)核結(jié)構(gòu)的系統(tǒng)硬件必須保證任何程序都要經(jīng)過安全核的控制進行訪問。由于內(nèi)核必須使各個進程獨立，并保證未通過內(nèi)核檢查的各進程不能相互聯(lián)系，因此，若一臺機器的硬件允許所有進程不加約束就能訪問物理內(nèi)存的公共頁面，這種機器就不適合于建立安全內(nèi)核。2023/9/1649隔離性原則它本身不能校篡改。隔離性要求內(nèi)核有防篡改能力。實現(xiàn)時必須將映射引用監(jiān)控器的安全核與外部系統(tǒng)嚴密地隔離起來，以防止進程對安全核進行非法修改。實現(xiàn)隔離性原則也需要硬件與軟件的支持。硬件的作用是使內(nèi)核能防止用戶程序訪問內(nèi)核代碼和數(shù)據(jù)，這與完整性原則中內(nèi)核防止進程之間非法通信是屬于同一種內(nèi)存管理機制。此外，還必須防止用戶程序執(zhí)行內(nèi)核用于內(nèi)存管理的特權(quán)指令。當然，這些對內(nèi)存訪問的控制可以多層環(huán)域技術(shù)來實現(xiàn)，也可以把內(nèi)核代碼裝入系統(tǒng)的ROM中來提供更強的隔離性。2023/9/1650驗證性原則它本身的正確性能得到證明或驗證。為了滿足可驗證性，引用監(jiān)控器模型應該能夠精確地定義安全的含義，盡可能地從中盡量剔除與安全無關(guān)的功能，使內(nèi)核盡可能小，盡可能使內(nèi)核接口功能簡單明快。并且還要證明模型中的功能與安全的定義是一致的。為了使內(nèi)核具有可驗證性，應當支持安全內(nèi)核可驗證性的基本技術(shù)是建立安全內(nèi)核的數(shù)學模型，然后對模型進行形式化的或者非形式化的一致性論證。模型的構(gòu)造方法應該有利于使模型本身的安全性得到某種相應的證明。2023/9/1651實踐中的問題剛提出引用監(jiān)控器概念時，人們認為能夠構(gòu)造一個足夠小的安全核來窮盡測試驗證，且認為模型與實現(xiàn)間的一致性可通過測試由模型所定義的系統(tǒng)的所有安全狀態(tài)來證明，至少可以使足夠多的狀態(tài)滿足測試要求，使得安全漏洞幾乎不可能出現(xiàn)。但從實際中看，除非安全核具有簡單功能，否則要想進行全面徹底的測試是不可能的。迄今為止，沒有哪個大系統(tǒng)能完全滿足上述所有三項原則。此外，單純的測試還不足以證明安全核的安全性，還必須進行模型到代碼之間的一致性驗證。因此，引用監(jiān)控器方法是盡可能遵循這三項原則，但任何人都不能擔保一個基于安全內(nèi)核的系統(tǒng)是完全絕對安全的。2023/9/1652引用監(jiān)控器模型的缺點引用監(jiān)控器模型的優(yōu)點是易于實現(xiàn)。但有以下不足：引用監(jiān)控器主要還是作為單級安全模型使用的，受監(jiān)視的目標要么允許被訪問，要么不允許被訪問。受監(jiān)控的目標只有簡單的安全性，即二級安全性。監(jiān)視器模型不適應更復雜的安全要求。2023/9/1653系統(tǒng)中所有對受監(jiān)控目標的訪問要求都由監(jiān)控器檢查核實，監(jiān)控程序?qū)⒈活l繁調(diào)用，這將使監(jiān)控器可能成為整個系統(tǒng)的瓶頸，影響系統(tǒng)效率。如果允許監(jiān)視器記錄下某用戶第一次訪問時用戶的權(quán)限信息，以便在該用戶以后的訪問中直接查詢這些權(quán)限信息。雖然這樣可以加快訪問速度，但這種處理方法容易產(chǎn)生安全漏洞，不能滿足高安全級別系統(tǒng)的要求。例如C2級系統(tǒng)就要求對每一個主體的每一次訪問都必須進行身份核查。2023/9/1654監(jiān)控器只能控制直接訪問，不能控制間接訪問。假設只有用戶A有權(quán)接收機要文件并負責登記工作，把收到的文件標題與收到日期記錄到計算機文件FILE中；用戶B無權(quán)接收機要文件，也無權(quán)閱讀FILE的內(nèi)容，但有權(quán)瀏覽文件目錄和文件的屬性（如文件長度、修改日期等）。用戶B可以根據(jù)FILE文件的修改日期和文件的長度變化判斷用戶A是否收到新的機要文件。監(jiān)控器模型無法不讓B間接獲得這種信息。這是一種信息流控制問題，我們將在以后討論。2023/9/1655也有不少系統(tǒng)采用安全核技術(shù)去實現(xiàn)多級安全功能，實現(xiàn)BLP模型的自主與強制安全策略。安全核技術(shù)一般提供兩種典型的支持自主訪問控制的功能：提供一種直接的核調(diào)用，它允許一個用戶（或一個進程）對某個客體設置訪問權(quán)；對主體到客體的每一次訪問都按所設置的訪問權(quán)進行訪問監(jiān)控。根據(jù)自主訪問控制的規(guī)則，允許一個合法的用戶自主地將它擁有的客體訪問權(quán)分配給其它用戶。而安全核雖然可以對主體修改客體訪問權(quán)的操作加以控制，但并不能控制對客體設置何種訪問權(quán)，這就使特洛伊木馬攻擊有可乘之機了。雖然也可以采取一些措施加以防范，但終，因訪問監(jiān)控器模型本身的缺陷，無法從根本上解決問題。2023/9/1656狀態(tài)轉(zhuǎn)換保護系統(tǒng)的狀態(tài)變化體現(xiàn)為訪問模式的變化，系統(tǒng)狀態(tài)的轉(zhuǎn)換是依靠一套本原命令來實現(xiàn)的，這些命令是用一系列改變訪問矩陣內(nèi)容的本原操作來定義的。在訪問矩陣模型中定義了6個本原操作，如下表所示：2023/9/16572023/9/1658這些操作是以訪問矩陣中一定主、客體和權(quán)利是否存在為條件的，并負責對系統(tǒng)保護狀態(tài)監(jiān)控器的控制。假定命令執(zhí)行前，系統(tǒng)的保護狀態(tài)是Q=（S，O，A）；當某命令執(zhí)行后，系統(tǒng)地保護狀態(tài)變?yōu)镼’=(S’,O’,A’);每條命令執(zhí)行的條件和執(zhí)行后形成的新狀態(tài)Q’。2023/9/1659這里r表示權(quán)利，s和o表示1到k之間的整數(shù)。一個命令的條件可能為空。但假定每條命令至少完成一個操作。2023/9/16602023/9/1661西安電子科技大學計算機與網(wǎng)絡安全教育部重點實驗室模型評價訪問矩陣模型具有以下優(yōu)點：簡明—易懂、易理解、易證明。通用—有能力綜合不同策略和應用于多種實現(xiàn)。精確—有能力忠實地反映策略和系統(tǒng)形態(tài)。與數(shù)據(jù)式樣無關(guān)。2023/9/1662模型評價基于訪問矩陣的訪問控制模型在擁有它無可比擬的優(yōu)點的同時，也有其本身設計帶來的缺點：如果不詳細檢查整個訪問矩陣，很難保證系統(tǒng)的安全性；在大型系統(tǒng)中，訪問矩陣非常龐大，但其中很多元素是空的，因此以矩陣的方法來實現(xiàn)訪問矩陣是不太現(xiàn)實的；由于客體的擁有者能夠授予或取消其它主體對該客體的訪問權(quán)限，這就造成了很難預測訪問權(quán)限是在系統(tǒng)中是如何傳播的，給系統(tǒng)的管理造成了很大的困難。不能防范特洛伊木馬。它無法實現(xiàn)多級安全策略。2023/9/1663模型的實現(xiàn)方法1、訪問控制列表(AccessControlLists)較流行的實現(xiàn)訪問矩陣的方法是訪問控制列表，又稱為ACLs.在這種實現(xiàn)方法中，每一個客體與一個ACL相對應：指明系統(tǒng)中的每一個主體獲得對此客體的訪問的相應授權(quán)，如讀、寫、執(zhí)行等等。2023/9/1664西安電子科技大學計算機與網(wǎng)絡安全教育部重點實驗室文件File1的訪問控制列表(ACLs)2023/9/1665西安電子科技大學計算機與網(wǎng)絡安全教育部重點實驗室2．權(quán)能(Capabilities)列表相對于訪問控制列表ACLs基于客體來實現(xiàn)訪問矩陣來說，權(quán)能列表則是基于主體來實現(xiàn)訪問矩陣的。在這種方法中，每一個主體與一稱為“權(quán)能列表(Capabilities

Lists)”的列表相聯(lián)系，該列表指明系統(tǒng)中的某一個主體擁有對哪些客體的訪問權(quán)限。這種方法相應于將訪問矩陣以行的方式來存儲。2023/9/1666西安電子科技大學