【文章內(nèi)容簡(jiǎn)介】 3。 20 附錄 21 訪問控制技術(shù)研究 摘要： 訪問控制是信息安全的重要組成部分，也是當(dāng)前注重信息安全的人們關(guān)注的重點(diǎn)。本文對(duì)訪問控制的基本概念、訪問控制技術(shù)涉及的各項(xiàng)基本技術(shù)以及主要的訪問控制類型進(jìn)行了研究，如自主訪問控制技術(shù)（ DAC）、強(qiáng)制訪問控制技術(shù)（ MAC）和基于角色的訪問控制技術(shù)（ RBAC），并對(duì)每種訪問控制技術(shù)進(jìn)行了概念、實(shí)現(xiàn)方式以及其優(yōu)缺點(diǎn)的總結(jié)。其中對(duì)自主訪問控制技術(shù)（ DAC）中的訪問控制表和基于角色的訪問控制技術(shù)（ RBAC）的各個(gè)基本模型進(jìn)行了重點(diǎn)的討論分析。 關(guān)鍵字： 自主訪問控制技術(shù)，訪問控制表， 強(qiáng)制訪問控制技術(shù)，基于角色的訪問控制技術(shù) 1 引言 隨著全球網(wǎng)絡(luò)化和信息化的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到社會(huì)生活的各個(gè)方面，許多敏感的信息和技術(shù)都是通過計(jì)算機(jī)進(jìn)行傳輸、控制和管理，尤其是近年來網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，如網(wǎng)絡(luò)銀行、電子政務(wù)和電子商務(wù)的快速發(fā)展，網(wǎng)絡(luò)的重要性及其對(duì)社會(huì)的影響也越來越大。隨之而來的問題是網(wǎng)絡(luò)環(huán)境同益復(fù)雜， 安全問題也變得日益突出，僅僅依靠傳統(tǒng)的加密技術(shù)已不能滿足網(wǎng)絡(luò)安全的需要。國際標(biāo)準(zhǔn)化組織 (ISO)在網(wǎng)絡(luò)安全標(biāo)準(zhǔn) (IS07498— 2)中定義 了 5 個(gè)層次型安全服務(wù)：身份認(rèn)證服務(wù)、訪問控 制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和不可否認(rèn)服務(wù)，而訪問控制便是其中的一個(gè)重要組成部分。 2 訪問控制的概念與策略 所謂訪問控制，就是在鑒別用戶的合法身份后，通過某種途徑顯式地準(zhǔn)許或限制用戶對(duì)數(shù)據(jù)信息的訪問能力及范圍，從而控制對(duì)關(guān)鍵資源的訪問，防止非法用戶的侵入或者合法用戶的不慎操作造成破壞。訪問控制技術(shù)的實(shí)現(xiàn)是基于訪問控制中權(quán)限的實(shí)現(xiàn)也就是訪問控制的策略。 訪問控制策略定義了在系統(tǒng)運(yùn)行期間的授權(quán)和非授權(quán)行為，即哪些行為是允許發(fā)生的，那些是不允許發(fā)生的。一般分為授權(quán)策略 (Authorization Policies)和義務(wù)策略 (Obligation Policies)。授權(quán)策略是指對(duì)于客體，那些操作是允許的，而那些操作是被禁止的；義務(wù)策略是指主體必須執(zhí)行或不必執(zhí)行的操作，是主體的義務(wù)。訪問控制的基本概念有： 1）主體 (Subjeet) 主體是指主動(dòng)的實(shí)體，是訪問的發(fā)起者，它造成了信息的流動(dòng)和系統(tǒng)狀態(tài)的改變，主體通常包括人、進(jìn)程和設(shè)備。 2）客體 (Object) 客體是指包含或接受信息的被動(dòng)實(shí)體，客體在信息流動(dòng)中的地位是被動(dòng)的，是處于主體的作用之下，對(duì)客體的訪問意味著對(duì)其中所包含信息的訪問?？腕w通常包括 文件、設(shè)備、信號(hào)量和網(wǎng)絡(luò)節(jié)點(diǎn)等。 3）訪問 (Access) 訪問 (Access)是使信息在主體 (Subject)和客體 (Object)之間流動(dòng)的一種交互方式。 4）權(quán)限 (Access Permissions) 訪問權(quán)限控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)。訪問控制的手段包括用戶識(shí)別代碼、口令、登錄控制、資源授權(quán) (例如用戶配置文件、資源配置文件和控制列表 )、授權(quán)核查、日志和審計(jì)等等 [12]。 訪問控制是保證網(wǎng)絡(luò)安全最重 要的核心策略之一，它涉及的技術(shù)也比較廣，它包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。 3 訪問控制的技術(shù) 入網(wǎng)訪問控制 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄 到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。為保證 口令的安全性，用戶口令不能顯示在顯示屏上，口令長(zhǎng)度應(yīng)不少于 6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn)證用戶的身份。 網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號(hào)使用、訪問網(wǎng)絡(luò)的時(shí)間和方式。用戶賬號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的 “ 證件 ” 、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長(zhǎng)度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限 次數(shù)。 用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶賬號(hào)的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問 “ 資費(fèi) ” 用盡時(shí)，網(wǎng)絡(luò)還應(yīng)能對(duì)用戶的賬號(hào)加以限制，用戶此時(shí)應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)。如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報(bào)警信息。 網(wǎng)絡(luò)權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、 文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（ irm）可作為兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。 目錄級(jí)安全控制 網(wǎng)絡(luò) 應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。用戶對(duì)文件或目標(biāo)的有效權(quán)限取決于以下兩個(gè)因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個(gè)網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對(duì)服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又 能有效地控制用戶對(duì)服務(wù)器資源的訪問 ，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。 屬性安全控制 當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限對(duì)應(yīng)一張?jiān)L問控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系 統(tǒng)屬性等。 服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測(cè)和關(guān)閉的時(shí)間間隔。 4 訪問控制類型 訪問控制機(jī)制可以限制對(duì)系統(tǒng)關(guān)鍵資源的訪問，防止非法用戶進(jìn)入系統(tǒng)及合法用戶對(duì)系統(tǒng)資源的非法使用。目前，訪問控制技術(shù)主要有三種：基于授權(quán)規(guī)則的、自主管理的自主訪問控制技術(shù)（ DAC），基于安全級(jí)的集中 管理的強(qiáng)制訪問控制技術(shù) (MAC)和基于授權(quán)規(guī)則的集中管理的基于角色的訪問控制技術(shù)（ RBAC）。 其中 RBAC 由于能進(jìn)行方便、安全、高效的授權(quán)管理，并且擁有策略中性化、最小特權(quán)原則支持、以及高校的訪問控制管理等諸多優(yōu)良的特性，是現(xiàn)在研究的熱點(diǎn) [1]。 自主訪問控制 (DAC) 自主性訪問控制是在確認(rèn)主體身份及其所屬的組的基礎(chǔ)上對(duì)訪問進(jìn)行控制的一種控制策略。它的基本思想是：允許某個(gè)主體顯示的指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問以及執(zhí)行。 自主訪問控制 (DAC)的實(shí)現(xiàn)機(jī)制 自主訪問控 制有兩種實(shí)現(xiàn)機(jī)制：一是基于主體 DAC 實(shí)現(xiàn)，它通過權(quán)限表表明主體對(duì)所有客體的權(quán)限，當(dāng)刪除一個(gè)客體時(shí)，需遍歷主體所有的權(quán)限表；另一種是基于客體的 DAC 實(shí)現(xiàn)，它通過訪問控制鏈表 ACL(Access Control List)來表明客體對(duì)所有主體的權(quán)限，當(dāng)刪除一個(gè)主體時(shí)，要檢查所有客體的 ACL。為了提高效率，系統(tǒng)一般不保存整個(gè)訪問控制矩陣，是通過基于矩陣的行或列來實(shí)現(xiàn)訪問控制策略。基于行 (主體 )的矩陣是表明主體隊(duì)所有客體的權(quán)限，基于行的矩陣的優(yōu)點(diǎn)是能夠快速的找出該主體對(duì)應(yīng)的權(quán)限集。目前以基于列 (客體 ) 的訪問控制表ACL 實(shí)際應(yīng)用較多，但是主要應(yīng)用于操作系統(tǒng)。 ACL 的優(yōu)點(diǎn)是表述直觀、易于理解，比較容易查出對(duì)一定資源有訪問權(quán)限的所有用戶，能夠有效的實(shí)施授權(quán)管理。但在應(yīng)用到規(guī)模較大、關(guān)系復(fù)雜的企業(yè)時(shí)，管理員為了實(shí)現(xiàn)某個(gè)訪問策略需要在ACL 中設(shè)定大量的表項(xiàng)；而且當(dāng)某個(gè)用戶的職位發(fā)生變化時(shí)，管理員需要修改該用戶對(duì)所有資源的訪問權(quán)限，使得訪問控制的授權(quán)管理需要花費(fèi)大量的人力，且容易出錯(cuò)。 自主訪問控制 (DAC)的 訪問控制表 訪問控制表 (Access Control List， ACL)是基于訪問控制矩陣中列的自主訪問控制。它在一個(gè)客體上附加一個(gè)主體明晰表，來表示各個(gè)主體對(duì)這個(gè)客體的訪問權(quán)限。明細(xì)表中的每一項(xiàng)都包括主體的身份和主體對(duì)這個(gè)客體的訪問權(quán)限。如果使用組 (group)或者通配符 (wildcard)的概念，可以有效地縮短表的長(zhǎng)度。 ACL 實(shí)際上是一種把能夠訪問客體的主體列表與該客體結(jié)合在一起的形式，并以這種形式把訪問控制矩陣豎列的控制信息表達(dá)出來的一種實(shí)現(xiàn)方式 [3]。 ACL 的結(jié)構(gòu)如下 圖 41 所示： 圖 41 ACL結(jié)構(gòu) (ACL structure) 訪問控制表是實(shí)現(xiàn)自主訪問控制比較好的方式，下面通過例子進(jìn)行詳細(xì)說 明。對(duì)系統(tǒng)中一個(gè)需要保護(hù)的客體 Oj附加的訪問控制表的結(jié)構(gòu)所示。 圖 42 訪問控制表舉例 在上圖 42 的例子中，對(duì)于客體 Oj,主體 S0具有讀 (r)和執(zhí)行 (e)的權(quán)利；主體S1只有讀的權(quán)利；主體 S2只有執(zhí)行的權(quán)利；主體 Sm具有讀、寫 (w)和執(zhí)行的權(quán)利。但是，在一個(gè)很大的系統(tǒng)中，可能會(huì)有非常多的主體和客體，這就導(dǎo)致訪問控制表非常長(zhǎng)，占用很多的存儲(chǔ)空間，而且訪問時(shí)效率下降。解決這一問題就需要分組和使用通配符。 在實(shí)際的多用戶系統(tǒng)中，用戶可以根據(jù)部門結(jié)構(gòu)或者工作性質(zhì)被分為有限的幾類。一般來說，一類用戶使用的 資源基本上是相同的。因此，可以把一類用戶作為一個(gè)組，分配一個(gè)組名，簡(jiǎn)稱 “ GN”，訪問是可以按照組名判斷。通配符 “ *”可以代替任何組名或者主體標(biāo)識(shí)符。這時(shí)，訪問控制表中的主體標(biāo)識(shí)為：主體標(biāo)識(shí) = 其中， ID 是主體標(biāo)識(shí)符， GN 是主體所在組的組名。請(qǐng)看圖 43 的示例。 圖 43 帶有組和通配符的訪問控制表示例 在上圖 43 的訪問控制表中，屬于 INFO 組的所有主體都對(duì)客體 Oj具有讀和執(zhí)行的權(quán)利；但是只有 INFO 組中的主體 1iu 才額外具有寫的權(quán)限；無論是哪一組中的 zhang 都可以讀客體 Oj；最后一 個(gè)表項(xiàng)說明所有其他的主體，無論屬于哪個(gè)組，都不具備對(duì) Oj 有任何訪問權(quán)限。在訪問控制表中還需要考慮的一個(gè)問題是缺省問題。缺省功能的設(shè)置可以方便用戶的使用，同時(shí)也避免了許多文件泄露的可能。最基本的，當(dāng)一個(gè)主體生成一個(gè)客體時(shí)，該客體的訪問控制表中對(duì)應(yīng)生成者的表項(xiàng)應(yīng)該設(shè)置成缺省值，比如具有讀、寫和執(zhí)行權(quán)限。另外，當(dāng)某一個(gè)新的主體第一次進(jìn)入系統(tǒng)時(shí)，應(yīng)該說明它在訪問控制表中的缺省值，比如只有讀的權(quán)限。 自主訪問控制 (DAC)優(yōu)缺點(diǎn) DAC 的優(yōu)點(diǎn)： 1)訪問控制的粒度足單個(gè)用戶，能夠