【文章內容簡介】 要求每次注冊都給出不同的回答 。 50 ? 詢問 — 響應系統(tǒng)有兩個缺陷： （ 1）雖然竊取者不能憑一次截獲的明文消息與其對應的密文就推斷出該系統(tǒng)的加密函數(shù)，但是若截取的該加密系統(tǒng)的的明文或密文越多，截獲者越有可能攻破該加密系統(tǒng)。解決的辦法是采取更強有力的加密系統(tǒng)，這就意味著需要系統(tǒng)具有更加復雜的功能，但對用戶用手計算或記憶增加了很大難度。 51 （ 2）老消息再現(xiàn)的可能性。詢問 — 回答系統(tǒng)可能用于讓用戶相信主機系統(tǒng)的可信性，防止被一個偽裝的注冊程序騙取自己的口令。用戶希望主機能夠發(fā)出一個密碼信息，供用戶判斷主機的真假 。 52 （ 2）通行短語 ：另外一種簡單而又保密的鑒別方案是通行短語，它是一種更長的口令的變形。通行短語等價于有鑒別能力的口令。 53 通行短語也可以用于可變的詢問 — 響應系統(tǒng)，系統(tǒng)和用戶之間可以約定許多互相知道的秘密信息，如有關用戶個人經歷、愛好、家庭、個人特征等方面的信息，每當用戶向系統(tǒng)登錄時，詢問 — 響應系統(tǒng)便隨機從這些信息中挑出幾個向用戶詢問，在用戶給出正確回答和系統(tǒng)提問內容在事先約定范圍內的情況下，雙方可以互相取得信任。 54 訪問控制 訪問控制的基本目標都是防止非法用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。為了達到這個目標，訪問控制常以用戶身份認證為前提，在此基礎上實施各種訪問控制策略來控制和規(guī)范合法用戶在系統(tǒng)中的行為。 55 ? 訪問控制模型 1． 訪問控制的三要素 （ 1）主體 (Subject)：訪問操作的主動發(fā)起者，但不一定是動作的執(zhí)行者。 （ 2）客體 (Object)：通常是指信息的載體或從其他主體或客體接收信息的實體。 （ 3）安全訪問規(guī)則：用以確定一個主體是否對某個客體擁有某種訪問權力。 56 2． 基本的訪問控制模型 （ 1） 訪問控制矩陣 (ACM， Access Control Matrix)：基本思想就是將所有的訪問控制信息存儲在一個矩陣中集中管理 。 當前的訪問控制模型一般都是在它的基礎上建立起來的 。 57 （ 2） 訪問目錄表：這種訪問控制機制實際上按訪問控制矩陣的行實施對系統(tǒng)中客體的訪問控制 。 58 文件名 權限 C 客體 (文件 ) 用戶 A目錄 用戶 B目錄 C D ORW RW B RW A B C ORW OX R D A B O： Owner R： Read W： Write X： Execute 訪問目錄表機制 59 ? 訪問目錄表機制容易實現(xiàn) ， 但存在三個問題需要解決： ① 共享客體的控制 。 ?凡是允許用戶訪問的客體，都應該把它的名字存入該用戶的訪問目錄表內，共享客體也應該存入該目錄表中。存在的問題是，如果共享的客體太多（如子程序庫），用戶的目錄表將會很長，增加了處理時間。 60 ② 訪問權的收回問題 。 ? 在實際情況中，甲乙兩人之間可能有信任關系，文件 A的擁有者甲可以把該文件的某些權限傳遞給用戶乙，當甲用戶想從乙用戶收回該訪問權時，只要從乙的目錄表中刪除該文件名即可。在許多操作系統(tǒng)中都支持這種信任關系。但是若允許信任關系傳遞，則給目錄表的管理帶來麻煩。假設乙用戶在把文件 A的訪問權又傳遞給丙用戶，當甲用戶希望收回所有用戶對文件 A的訪問權時，甲可能不知道這種情況，解決的辦法是搜索所有用戶的目錄表，如果系統(tǒng)中用戶數(shù)量較大，將要花費很多時間。 61 ③ 多重許可權問題 。 ? 多重許可權問題是由文件重名問題引起的。假定乙用戶的目錄表中已經有一個文件 A，甲用戶也有一個文件 A，但這兩個文件 A的內容不同。如果甲信任乙，第一次把自己 A文件的部分訪問權傳遞給乙，為了不重名，甲的文件 A被改名為 H后存入到乙的目錄表中，乙可能會忘記自己目錄表中的 H就是甲的 A文件，于是又向甲申請 A文件的訪問權，甲可能對乙更加信任，就把文件 A更高的訪問權授予乙，于是造成乙用戶對甲的文件 A有多重訪問權的問題，產生客體安全管理的混亂，而且可能產生矛盾。 62 （ 3） 訪問控制表 ACL ACL表保護機制實際上是按矩陣的列實施對系統(tǒng)中客體的訪問控制的 。 訪問目錄表和訪問控制表分別將訪問控制設施設置在用戶端和客體端 ， 這兩種控制方式需要管理的表項的總數(shù)量是相同的 ， 它們的差別在于管理共享客體的方法上 ， 訪問控制表技術易于實現(xiàn)對這些共享客體的管理 。 63 客體 FILE1 FILE2 PRG1 HELP USERC R ACL表 USERB USERC USERA ORW RW ORW USERA USERD OX X USERA USERB USERC USERD R R RW O O： WONER R： READ W： WRITE X： EXCUTE 客體目錄 FILE1 FILE2 PRG1 HELP 訪問控制表機制 64 （ 4）能力機制 能力（ Capability）機制就是可以滿足這些要求更高的訪問控制機制。主體具有的能力是一種權證，類似一個 “ 入場卷 ”它是操作系統(tǒng)賦予主體訪問客體的許可權限，它是一種不可偽造的標記。能力是在用戶向系統(tǒng)登錄時，由操作系統(tǒng)賦予的一種權限標記，用戶憑借該標記對客體進行許可的訪問。 65 能力可以實現(xiàn)復雜的訪問控制機制。假設主體對客體的能力包括 “ 轉授 ” （或 “ 傳播 ” ）的訪問權限，具有這種能力主體可以把自己的能力拷貝傳遞給其他主體。這種能力可以用表格描述， “ 轉授 ” 權限是其中的一個表項。一個具有 “ 轉授 ” 能力的主體可以把這個權限傳遞給其他主體，其他主體也可以再傳遞給第三者。具有轉授能力的主體可以把 “ 轉授 ” 權限從能力表中刪除，進而限制這種能力的進一步傳播。 66 ? 能力機制需要結合訪問控制表（或訪問控制矩陣）技術實現(xiàn) ， 當一個過程要求訪問新客體的時候，操作系統(tǒng)首先查詢訪問控制表，確認該過程是否有權訪問該客體，若有，操作系統(tǒng)就要為該過程創(chuàng)立一個訪問該客體的能力。 ? 為了安全起見， 能力應該存儲在用戶程序訪問不到的區(qū)域中， 這需要用到前面介紹的內存保護技術。在執(zhí)行期間，只有當前運行過程訪問的那些客體的能力有效，這一限制可以有效提高操作系統(tǒng)對客體訪問檢查的速度。 67 （ 5）面向過程的訪問控制 面向過程的訪問控制是指在主體訪問客體的過程中對主體的訪問操作進行監(jiān)視與限制。例如，對于只有讀權的主體，就要控制它不能對客體進行修改。要實現(xiàn)面向過程的訪問控制就要建立一個對客體訪問進行控制的過程，該過程能夠自己進行用戶認證，以此加強操作系統(tǒng)的基本認證能力。 68 ? 訪問目錄表、訪問控制表、訪問控制矩陣、能力和面向過程的控制等五種對客體的訪問控制機制的實現(xiàn)復雜性是逐步遞增的。實現(xiàn)能力機制需要必須對每次訪問進行檢查，而訪問目錄表方式實現(xiàn)比較容易，