访问控制

访问控制

在计算机系统中，认证、访问控制和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线，访问控制是鉴别用户的合法身份后，控制用户对数据信息的访问。访问控制是在身份认证的基础上，依据授权对提出请求的资源访问请求加以控制。访问控制是一种安全手段，既能够控制用户和其他系统和资源进行通信和交互，也能保证系统和资源未经授权的访问，并为成功认证的用户授权不同的访问等级。

访问控制包含的范围很广，它涵盖了几种不同的机制，因为访问控制是防范计算机系统和资源被未授权访问的第一道防线，具有重要地位。提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。一旦用户登录之后需要访问文件时，文件应该有一个包含能够访问它的用户和组的列表。不在这个表上的用户，访问将会遭到拒绝。用户的访问权限主要基于其身份和访问等级，访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。

访问控制模型是一种从访问控制的角度出发，描述安全系统并建立安全模型的方法。主要描述了主体访问客体的一种框架，通过访问控制技术和安全机制来实现模型的规则和目标。可信计算机系统评估准则（TCSEC）提出了访问控制在计算机安全系统中的重要作用，TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类：自主访问控制（Discretionary

Access Control,DAC）和强制访问控制（Mandatory Access Control，MAC）。近几年基于角色的访问控制（Role-based Access Control，RBAC）技术正得到广泛的研究与应用。

访问控制模型分类

自主访问控制

自主访问控制（DAC），又称任意访问控制，是根据自主访问控制策略建立的一种模型。允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体。某些用户还可以自主地把自己拥有的客体的访问权限授予其他用户。在实现上，首先要对用户的身份进行鉴别，然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源，主题控制权限的通常由特权用户或特权用户（管理员）组实现。

（1）访问控制矩阵

任何访问控制策略最终可以被模型化为矩阵形式，其中，行对应用户，列对应目标，矩阵中的每一个元素表示相应的用户对目标的访问许可。如表所示

访问矩阵

为了实现完备的自主访问控制系统，由访问控制矩阵提供的信息必须一某种形式保存在系统中，访问矩阵中的每行表示一个主题，每一列则表示一个受保护的客体，而矩阵中的元素则表示主体可以对客体的访问模式。

（2）访问能力表和访问控制表

在系统中访问控制矩阵本身都不是完整地存储起来的，因为矩阵中的许多元素常常为空，空元素会造成存储空间的浪费，而查找某个元素会耗费更多的事件，实际中通常是基于矩阵的列或行来表达访问控制信息的。

基于矩阵的行的访问控制信息表示的是访问能力控制表

（Capacity List，CL）,每个主体都附加一个该主体可访问的客体的明细表。基于矩阵的列的访问控制信息表示的是该访问控制表（Access Control List），每个客体附加一个可以访问它的主体的明细表。自主访问控制模型的实现机制是通过访问控制矩阵实施，具体的实现方法则是通过访问能力表来限定哪些主体针对哪些客体可以执行什么操作。

访问能力表与访问控制表的对比如表

多数集中式操作系统中使用的访问控制表或者类似的方法实施访问控制。由于分布式系统中很难确定给客体的潜在主体集，在现代OS 中CL也得到广泛使用。

（3）优缺点

优点：根据主体的身份和访问权限进行决策；具有某种访问能力的主体能够自主地将访问权限的某个子集授予其它主体；灵活性高，被大量采用。

缺点：信息在传递过程中其访问权限关系会被改变。

2 强制访问控制

强制访问控制（Mandatory Access Control，MAC）是强加给主体的，是系统强制主体服从访问控制策略，强制访问控制的主要特征是对所有主体及其所控制的客体（进程、文件、段、设备）实施强制访问控制。

（1）安全标签

强制访问控制对访问主体和受控对象标识两个安全标签：一个是具有偏序关系的安全等级标签，另一个是非等级的分类标签。它们是实施强制访问控制的依据。系统通过比较主体和客体的安全标签来决定一个主体是否能访问某个客体。用户的程序不能改变他自己及其它任何客体的安全标签，只用管理员才能确定用户和组的访问权限。

访问控制标签列表（Access Control Security Llabels List,ACSLL）限定了一个用户对一个客体目标访问的安全属性集合，访问控制标签列表的实现示例如图所示，左侧为用户对应的安全级别，右侧为文件系统对应的安全级别。

(2)强制访问策略

强制访问策略将每个主体与客体赋予一个访问级别，如最高秘密级（Top secert），秘密级(Secert)，机密级(confidential)及无级别（Unclassifed）,定义其级别为T>S>C>U。用一个例子来说明强制访问控制规则的应用，如WES服务以，秘密级的安全级别运行。假如WES 服务器被攻击，攻击者在目标系统中以秘密级的安全级别进行操作，他将不能访问系统中安全级为最高秘密级的数据。

强制访问控制系统根据主体和客体的敏感标记来决定访问模式，访问模式包括：

1、向下读（Read Down,RD）:主体安全级别高于客体信息资源的安全级别时允许的读操作。

2、向上读（Read Up,RU）:主体安全级别低于客体信息资源的安全级别时允许访问的读操

作。

3、向下写（Write Down,WD）:主体安全级别高于客体信息资源的安全级别时允许执行的写

操作。

4、向上写（Write Up,WU）:主体安全级别低于客体信息资源的安全级别时允许执行的写操

作。

由于MAC通过分级的安全标签实现了信息的单向流通，因此它一直被军方采用，其中最著名的是Bell-laPadula模型和Biba模型。Bell-laPadula模型具有只允许向下读、向上写的特点。可以有效的防止机密信息向下级泄露，Biba模型则具有不允许向下读、向上写的特点，可以有效保护数据的完整性。

（3）Bell-laPadula模型

Bell-laPadula安全模型也称为BLP模型，它利用“不上读/不下写”的原则来保证数据密性。该模型以信息的敏感度作为安全等级的划分标准，主体和客体用户被划分为以下安全等级：公开（Unclassificed）、秘密（Confidential）、机密（Secert）和绝密（Top Secret），安全等级依次增高。

BLP模型不允许低安全等级的用户读高敏感度的信息，也不允许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通，这种方法一般应用于军事用途

（4）biba模型

由于BLP模型存在不保护信息的完整性和可用性、不涉及访问控制等缺点，biba作为BLP模型的补充而提出。Biba和BLP