【文章內(nèi)容簡介】 要求每次注冊都給出不同的回答 。 50 ? 詢問 — 響應(yīng)系統(tǒng)有兩個缺陷： （ 1）雖然竊取者不能憑一次截獲的明文消息與其對應(yīng)的密文就推斷出該系統(tǒng)的加密函數(shù)，但是若截取的該加密系統(tǒng)的的明文或密文越多，截獲者越有可能攻破該加密系統(tǒng)。解決的辦法是采取更強(qiáng)有力的加密系統(tǒng)，這就意味著需要系統(tǒng)具有更加復(fù)雜的功能，但對用戶用手計(jì)算或記憶增加了很大難度。 51 （ 2）老消息再現(xiàn)的可能性。詢問 — 回答系統(tǒng)可能用于讓用戶相信主機(jī)系統(tǒng)的可信性，防止被一個偽裝的注冊程序騙取自己的口令。用戶希望主機(jī)能夠發(fā)出一個密碼信息，供用戶判斷主機(jī)的真假 。 52 （ 2）通行短語 ：另外一種簡單而又保密的鑒別方案是通行短語，它是一種更長的口令的變形。通行短語等價(jià)于有鑒別能力的口令。 53 通行短語也可以用于可變的詢問 — 響應(yīng)系統(tǒng)，系統(tǒng)和用戶之間可以約定許多互相知道的秘密信息，如有關(guān)用戶個人經(jīng)歷、愛好、家庭、個人特征等方面的信息，每當(dāng)用戶向系統(tǒng)登錄時，詢問 — 響應(yīng)系統(tǒng)便隨機(jī)從這些信息中挑出幾個向用戶詢問，在用戶給出正確回答和系統(tǒng)提問內(nèi)容在事先約定范圍內(nèi)的情況下，雙方可以互相取得信任。 54 訪問控制 訪問控制的基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。為了達(dá)到這個目標(biāo)，訪問控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為。 55 ? 訪問控制模型 1． 訪問控制的三要素 （ 1）主體 (Subject)：訪問操作的主動發(fā)起者，但不一定是動作的執(zhí)行者。 （ 2）客體 (Object)：通常是指信息的載體或從其他主體或客體接收信息的實(shí)體。 （ 3）安全訪問規(guī)則：用以確定一個主體是否對某個客體擁有某種訪問權(quán)力。 56 2． 基本的訪問控制模型 （ 1） 訪問控制矩陣 (ACM， Access Control Matrix)：基本思想就是將所有的訪問控制信息存儲在一個矩陣中集中管理 。 當(dāng)前的訪問控制模型一般都是在它的基礎(chǔ)上建立起來的 。 57 （ 2） 訪問目錄表：這種訪問控制機(jī)制實(shí)際上按訪問控制矩陣的行實(shí)施對系統(tǒng)中客體的訪問控制 。 58 文件名 權(quán)限 C 客體 (文件 ) 用戶 A目錄 用戶 B目錄 C D ORW RW B RW A B C ORW OX R D A B O： Owner R： Read W： Write X： Execute 訪問目錄表機(jī)制 59 ? 訪問目錄表機(jī)制容易實(shí)現(xiàn) ， 但存在三個問題需要解決： ① 共享客體的控制 。 ?凡是允許用戶訪問的客體，都應(yīng)該把它的名字存入該用戶的訪問目錄表內(nèi)，共享客體也應(yīng)該存入該目錄表中。存在的問題是，如果共享的客體太多（如子程序庫），用戶的目錄表將會很長，增加了處理時間。 60 ② 訪問權(quán)的收回問題 。 ? 在實(shí)際情況中，甲乙兩人之間可能有信任關(guān)系，文件 A的擁有者甲可以把該文件的某些權(quán)限傳遞給用戶乙，當(dāng)甲用戶想從乙用戶收回該訪問權(quán)時，只要從乙的目錄表中刪除該文件名即可。在許多操作系統(tǒng)中都支持這種信任關(guān)系。但是若允許信任關(guān)系傳遞，則給目錄表的管理帶來麻煩。假設(shè)乙用戶在把文件 A的訪問權(quán)又傳遞給丙用戶，當(dāng)甲用戶希望收回所有用戶對文件 A的訪問權(quán)時，甲可能不知道這種情況，解決的辦法是搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費(fèi)很多時間。 61 ③ 多重許可權(quán)問題 。 ? 多重許可權(quán)問題是由文件重名問題引起的。假定乙用戶的目錄表中已經(jīng)有一個文件 A，甲用戶也有一個文件 A，但這兩個文件 A的內(nèi)容不同。如果甲信任乙，第一次把自己 A文件的部分訪問權(quán)傳遞給乙，為了不重名，甲的文件 A被改名為 H后存入到乙的目錄表中，乙可能會忘記自己目錄表中的 H就是甲的 A文件，于是又向甲申請 A文件的訪問權(quán)，甲可能對乙更加信任，就把文件 A更高的訪問權(quán)授予乙，于是造成乙用戶對甲的文件 A有多重訪問權(quán)的問題，產(chǎn)生客體安全管理的混亂，而且可能產(chǎn)生矛盾。 62 （ 3） 訪問控制表 ACL ACL表保護(hù)機(jī)制實(shí)際上是按矩陣的列實(shí)施對系統(tǒng)中客體的訪問控制的 。 訪問目錄表和訪問控制表分別將訪問控制設(shè)施設(shè)置在用戶端和客體端 ， 這兩種控制方式需要管理的表項(xiàng)的總數(shù)量是相同的 ， 它們的差別在于管理共享客體的方法上 ， 訪問控制表技術(shù)易于實(shí)現(xiàn)對這些共享客體的管理 。 63 客體 FILE1 FILE2 PRG1 HELP USERC R ACL表 USERB USERC USERA ORW RW ORW USERA USERD OX X USERA USERB USERC USERD R R RW O O： WONER R： READ W： WRITE X： EXCUTE 客體目錄 FILE1 FILE2 PRG1 HELP 訪問控制表機(jī)制 64 （ 4）能力機(jī)制 能力（ Capability）機(jī)制就是可以滿足這些要求更高的訪問控制機(jī)制。主體具有的能力是一種權(quán)證，類似一個 “ 入場卷 ”它是操作系統(tǒng)賦予主體訪問客體的許可權(quán)限，它是一種不可偽造的標(biāo)記。能力是在用戶向系統(tǒng)登錄時，由操作系統(tǒng)賦予的一種權(quán)限標(biāo)記，用戶憑借該標(biāo)記對客體進(jìn)行許可的訪問。 65 能力可以實(shí)現(xiàn)復(fù)雜的訪問控制機(jī)制。假設(shè)主體對客體的能力包括 “ 轉(zhuǎn)授 ” （或 “ 傳播 ” ）的訪問權(quán)限，具有這種能力主體可以把自己的能力拷貝傳遞給其他主體。這種能力可以用表格描述， “ 轉(zhuǎn)授 ” 權(quán)限是其中的一個表項(xiàng)。一個具有 “ 轉(zhuǎn)授 ” 能力的主體可以把這個權(quán)限傳遞給其他主體，其他主體也可以再傳遞給第三者。具有轉(zhuǎn)授能力的主體可以把 “ 轉(zhuǎn)授 ” 權(quán)限從能力表中刪除，進(jìn)而限制這種能力的進(jìn)一步傳播。 66 ? 能力機(jī)制需要結(jié)合訪問控制表（或訪問控制矩陣）技術(shù)實(shí)現(xiàn) ， 當(dāng)一個過程要求訪問新客體的時候，操作系統(tǒng)首先查詢訪問控制表，確認(rèn)該過程是否有權(quán)訪問該客體，若有，操作系統(tǒng)就要為該過程創(chuàng)立一個訪問該客體的能力。 ? 為了安全起見， 能力應(yīng)該存儲在用戶程序訪問不到的區(qū)域中， 這需要用到前面介紹的內(nèi)存保護(hù)技術(shù)。在執(zhí)行期間，只有當(dāng)前運(yùn)行過程訪問的那些客體的能力有效，這一限制可以有效提高操作系統(tǒng)對客體訪問檢查的速度。 67 （ 5）面向過程的訪問控制 面向過程的訪問控制是指在主體訪問客體的過程中對主體的訪問操作進(jìn)行監(jiān)視與限制。例如，對于只有讀權(quán)的主體，就要控制它不能對客體進(jìn)行修改。要實(shí)現(xiàn)面向過程的訪問控制就要建立一個對客體訪問進(jìn)行控制的過程，該過程能夠自己進(jìn)行用戶認(rèn)證，以此加強(qiáng)操作系統(tǒng)的基本認(rèn)證能力。 68 ? 訪問目錄表、訪問控制表、訪問控制矩陣、能力和面向過程的控制等五種對客體的訪問控制機(jī)制的實(shí)現(xiàn)復(fù)雜性是逐步遞增的。實(shí)現(xiàn)能力機(jī)制需要必須對每次訪問進(jìn)行檢查，而訪問目錄表方式實(shí)現(xiàn)比較容易，