【文章內(nèi)容簡(jiǎn)介】 要求每次注冊(cè)都給出不同的回答 。 50 ? 詢問(wèn) — 響應(yīng)系統(tǒng)有兩個(gè)缺陷： （ 1）雖然竊取者不能憑一次截獲的明文消息與其對(duì)應(yīng)的密文就推斷出該系統(tǒng)的加密函數(shù)，但是若截取的該加密系統(tǒng)的的明文或密文越多，截獲者越有可能攻破該加密系統(tǒng)。解決的辦法是采取更強(qiáng)有力的加密系統(tǒng)，這就意味著需要系統(tǒng)具有更加復(fù)雜的功能，但對(duì)用戶用手計(jì)算或記憶增加了很大難度。 51 （ 2）老消息再現(xiàn)的可能性。詢問(wèn) — 回答系統(tǒng)可能用于讓用戶相信主機(jī)系統(tǒng)的可信性，防止被一個(gè)偽裝的注冊(cè)程序騙取自己的口令。用戶希望主機(jī)能夠發(fā)出一個(gè)密碼信息，供用戶判斷主機(jī)的真假 。 52 （ 2）通行短語(yǔ) ：另外一種簡(jiǎn)單而又保密的鑒別方案是通行短語(yǔ)，它是一種更長(zhǎng)的口令的變形。通行短語(yǔ)等價(jià)于有鑒別能力的口令。 53 通行短語(yǔ)也可以用于可變的詢問(wèn) — 響應(yīng)系統(tǒng)，系統(tǒng)和用戶之間可以約定許多互相知道的秘密信息，如有關(guān)用戶個(gè)人經(jīng)歷、愛(ài)好、家庭、個(gè)人特征等方面的信息，每當(dāng)用戶向系統(tǒng)登錄時(shí)，詢問(wèn) — 響應(yīng)系統(tǒng)便隨機(jī)從這些信息中挑出幾個(gè)向用戶詢問(wèn)，在用戶給出正確回答和系統(tǒng)提問(wèn)內(nèi)容在事先約定范圍內(nèi)的情況下，雙方可以互相取得信任。 54 訪問(wèn)控制 訪問(wèn)控制的基本目標(biāo)都是防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。為了達(dá)到這個(gè)目標(biāo)，訪問(wèn)控制常以用戶身份認(rèn)證為前提，在此基礎(chǔ)上實(shí)施各種訪問(wèn)控制策略來(lái)控制和規(guī)范合法用戶在系統(tǒng)中的行為。 55 ? 訪問(wèn)控制模型 1． 訪問(wèn)控制的三要素 （ 1）主體 (Subject)：訪問(wèn)操作的主動(dòng)發(fā)起者，但不一定是動(dòng)作的執(zhí)行者。 （ 2）客體 (Object)：通常是指信息的載體或從其他主體或客體接收信息的實(shí)體。 （ 3）安全訪問(wèn)規(guī)則：用以確定一個(gè)主體是否對(duì)某個(gè)客體擁有某種訪問(wèn)權(quán)力。 56 2． 基本的訪問(wèn)控制模型 （ 1） 訪問(wèn)控制矩陣 (ACM， Access Control Matrix)：基本思想就是將所有的訪問(wèn)控制信息存儲(chǔ)在一個(gè)矩陣中集中管理 。 當(dāng)前的訪問(wèn)控制模型一般都是在它的基礎(chǔ)上建立起來(lái)的 。 57 （ 2） 訪問(wèn)目錄表：這種訪問(wèn)控制機(jī)制實(shí)際上按訪問(wèn)控制矩陣的行實(shí)施對(duì)系統(tǒng)中客體的訪問(wèn)控制 。 58 文件名 權(quán)限 C 客體 (文件 ) 用戶 A目錄 用戶 B目錄 C D ORW RW B RW A B C ORW OX R D A B O： Owner R： Read W： Write X： Execute 訪問(wèn)目錄表機(jī)制 59 ? 訪問(wèn)目錄表機(jī)制容易實(shí)現(xiàn) ， 但存在三個(gè)問(wèn)題需要解決： ① 共享客體的控制 。 ?凡是允許用戶訪問(wèn)的客體，都應(yīng)該把它的名字存入該用戶的訪問(wèn)目錄表內(nèi)，共享客體也應(yīng)該存入該目錄表中。存在的問(wèn)題是，如果共享的客體太多（如子程序庫(kù)），用戶的目錄表將會(huì)很長(zhǎng)，增加了處理時(shí)間。 60 ② 訪問(wèn)權(quán)的收回問(wèn)題 。 ? 在實(shí)際情況中，甲乙兩人之間可能有信任關(guān)系，文件 A的擁有者甲可以把該文件的某些權(quán)限傳遞給用戶乙，當(dāng)甲用戶想從乙用戶收回該訪問(wèn)權(quán)時(shí)，只要從乙的目錄表中刪除該文件名即可。在許多操作系統(tǒng)中都支持這種信任關(guān)系。但是若允許信任關(guān)系傳遞，則給目錄表的管理帶來(lái)麻煩。假設(shè)乙用戶在把文件 A的訪問(wèn)權(quán)又傳遞給丙用戶，當(dāng)甲用戶希望收回所有用戶對(duì)文件 A的訪問(wèn)權(quán)時(shí)，甲可能不知道這種情況，解決的辦法是搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費(fèi)很多時(shí)間。 61 ③ 多重許可權(quán)問(wèn)題 。 ? 多重許可權(quán)問(wèn)題是由文件重名問(wèn)題引起的。假定乙用戶的目錄表中已經(jīng)有一個(gè)文件 A，甲用戶也有一個(gè)文件 A，但這兩個(gè)文件 A的內(nèi)容不同。如果甲信任乙，第一次把自己 A文件的部分訪問(wèn)權(quán)傳遞給乙，為了不重名，甲的文件 A被改名為 H后存入到乙的目錄表中，乙可能會(huì)忘記自己目錄表中的 H就是甲的 A文件，于是又向甲申請(qǐng) A文件的訪問(wèn)權(quán)，甲可能對(duì)乙更加信任，就把文件 A更高的訪問(wèn)權(quán)授予乙，于是造成乙用戶對(duì)甲的文件 A有多重訪問(wèn)權(quán)的問(wèn)題，產(chǎn)生客體安全管理的混亂，而且可能產(chǎn)生矛盾。 62 （ 3） 訪問(wèn)控制表 ACL ACL表保護(hù)機(jī)制實(shí)際上是按矩陣的列實(shí)施對(duì)系統(tǒng)中客體的訪問(wèn)控制的 。 訪問(wèn)目錄表和訪問(wèn)控制表分別將訪問(wèn)控制設(shè)施設(shè)置在用戶端和客體端 ， 這兩種控制方式需要管理的表項(xiàng)的總數(shù)量是相同的 ， 它們的差別在于管理共享客體的方法上 ， 訪問(wèn)控制表技術(shù)易于實(shí)現(xiàn)對(duì)這些共享客體的管理 。 63 客體 FILE1 FILE2 PRG1 HELP USERC R ACL表 USERB USERC USERA ORW RW ORW USERA USERD OX X USERA USERB USERC USERD R R RW O O： WONER R： READ W： WRITE X： EXCUTE 客體目錄 FILE1 FILE2 PRG1 HELP 訪問(wèn)控制表機(jī)制 64 （ 4）能力機(jī)制 能力（ Capability）機(jī)制就是可以滿足這些要求更高的訪問(wèn)控制機(jī)制。主體具有的能力是一種權(quán)證，類似一個(gè) “ 入場(chǎng)卷 ”它是操作系統(tǒng)賦予主體訪問(wèn)客體的許可權(quán)限，它是一種不可偽造的標(biāo)記。能力是在用戶向系統(tǒng)登錄時(shí)，由操作系統(tǒng)賦予的一種權(quán)限標(biāo)記，用戶憑借該標(biāo)記對(duì)客體進(jìn)行許可的訪問(wèn)。 65 能力可以實(shí)現(xiàn)復(fù)雜的訪問(wèn)控制機(jī)制。假設(shè)主體對(duì)客體的能力包括 “ 轉(zhuǎn)授 ” （或 “ 傳播 ” ）的訪問(wèn)權(quán)限，具有這種能力主體可以把自己的能力拷貝傳遞給其他主體。這種能力可以用表格描述， “ 轉(zhuǎn)授 ” 權(quán)限是其中的一個(gè)表項(xiàng)。一個(gè)具有 “ 轉(zhuǎn)授 ” 能力的主體可以把這個(gè)權(quán)限傳遞給其他主體，其他主體也可以再傳遞給第三者。具有轉(zhuǎn)授能力的主體可以把 “ 轉(zhuǎn)授 ” 權(quán)限從能力表中刪除，進(jìn)而限制這種能力的進(jìn)一步傳播。 66 ? 能力機(jī)制需要結(jié)合訪問(wèn)控制表（或訪問(wèn)控制矩陣）技術(shù)實(shí)現(xiàn) ， 當(dāng)一個(gè)過(guò)程要求訪問(wèn)新客體的時(shí)候，操作系統(tǒng)首先查詢?cè)L問(wèn)控制表，確認(rèn)該過(guò)程是否有權(quán)訪問(wèn)該客體，若有，操作系統(tǒng)就要為該過(guò)程創(chuàng)立一個(gè)訪問(wèn)該客體的能力。 ? 為了安全起見(jiàn)， 能力應(yīng)該存儲(chǔ)在用戶程序訪問(wèn)不到的區(qū)域中， 這需要用到前面介紹的內(nèi)存保護(hù)技術(shù)。在執(zhí)行期間，只有當(dāng)前運(yùn)行過(guò)程訪問(wèn)的那些客體的能力有效，這一限制可以有效提高操作系統(tǒng)對(duì)客體訪問(wèn)檢查的速度。 67 （ 5）面向過(guò)程的訪問(wèn)控制 面向過(guò)程的訪問(wèn)控制是指在主體訪問(wèn)客體的過(guò)程中對(duì)主體的訪問(wèn)操作進(jìn)行監(jiān)視與限制。例如，對(duì)于只有讀權(quán)的主體，就要控制它不能對(duì)客體進(jìn)行修改。要實(shí)現(xiàn)面向過(guò)程的訪問(wèn)控制就要建立一個(gè)對(duì)客體訪問(wèn)進(jìn)行控制的過(guò)程，該過(guò)程能夠自己進(jìn)行用戶認(rèn)證，以此加強(qiáng)操作系統(tǒng)的基本認(rèn)證能力。 68 ? 訪問(wèn)目錄表、訪問(wèn)控制表、訪問(wèn)控制矩陣、能力和面向過(guò)程的控制等五種對(duì)客體的訪問(wèn)控制機(jī)制的實(shí)現(xiàn)復(fù)雜性是逐步遞增的。實(shí)現(xiàn)能力機(jī)制需要必須對(duì)每次訪問(wèn)進(jìn)行檢查，而訪問(wèn)目錄表方式實(shí)現(xiàn)比較容易，