浅谈访问控制策略

浅谈访问控制策略

身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而，对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。

在GB17859中．身份鉴别指的是用户身份的鉴别，包括用户标识和用户鉴别。在这里．用户标识解决注册用户在一个信息系统中的惟一性问题．用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下．当用户注册到一个系统时，系统应给出其惟一性的标识．并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的．一方面以一定方式提供给用户．另一方面由系统保存)。当用户登录到该系统时，用户应提供鉴别信息，系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。

其实．从更广义的范围来讲．信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别．用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下，又要确认对方身份的真实、可信．从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA

系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别．其实与注册用户的身份鉴别没有多大区别．只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别．同样要先对其进行注册，并在注册时确定鉴别信息(鉴别信息既与设备相关联．又由系统保留)。当需要将设备接入系统时．被接入设备需提供鉴别信息，经系统确认其身份的真实性后方可接入。

访问控制在GB17859中同样有其特定的含义．并对自主访问控制和强制访问控制的策略做了具体的说明。其实．访问控制在更广的范围有着更广泛的含义。在许多情况下．人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问．把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因

谈到访问控制．首先必须对访问控制的粒度有所了解。访问控制讲的是对主体访问客体的控制。粒度显然涉及主体和客体两个方面。主体一般是以用户为单位实施访问控制(划分用户组只是对相同访问权限用户的一种管理方法)．网络用户也有以IP地址为单位实施访问控制的。客体的访问控制粒度由粗到细可以是整个应用系统某个网络系统．某个服务器系统，某个操作系统．某个数据库管理系统、某个文件某个数据库．数据库中的某个表甚至库表中的某个记录或字段等。一般来讲对整个系统(包括信息系统、网络系统、服务器系统、操作系统、数据库管理系统、应用系统等)的访问．通常是采用身份鉴别的方法进行控制．也就是相对的粗粒度访问控制。细粒度的访问控制，通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录／字段的访问所进行的控制．也就是GB17859中所描述的经典的访问控制。这类访问控制分为自主访问控制和强制访问控制两种。当然也可以在网关等处设置以服务器为对象的自主访问控制或强制访问控制机制，实现以服务器为粒度的访问控制。

所谓自主访问控制是指由系统提供用户有权对自身所创建的访问对象(文件、数据库表等)进行访问．并有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问对象的创建者还有权进行授权转让” 即将

授予其他用户访问权限的权限转让给别的用户。需要特别指出的是，在一些系统中．往往是由系统管理员充当访问对象的创建者角色并进行访问授权而在其后通过”授权转让将权限转让给指定用户．于是容易引起这种访问控制不是由用户自主决定访问权限的误会。

所谓强制访问控制是指由系统(通过专门设置的系统安全员)对用户所创建

的对象进行统一的强制性控制，按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问，即使是创建者用户，在创建一个对象后．也可能无权访问该对象。强制访问控制常见的安全模型是Bell—La padula模型(也称多级安全模型)。该模型的安全策略分为强制访问和自主访问两部分。自主访问控制允许用户自行定义其所创建的数据．它以一个访问矩阵表示包括读、写、执行、附加以及控制等访问模式。由于它的自主访问控制策略已广为人们熟知。所以在提到多级安全模型时．往往重点探讨其强制访问控制策略。多级安全模型的强制访问控制策略以等级和范畴

作为其主、客体的敏感标记，并施以”从下读、向上写”的简单保密性规则。需要强调的是．作为敏感标记的等级和范畴．必须由专门设置的系统安全员，通过由系统提供的专门界面设置和维护．敏感标记的改变意味着访问权限的改变。因此可以说．所有用户的访问权限完全是由安全员根据需要决定的。强制访问控制还有其他安

全策略比如角色授权管理。该安全策略将系统中的访问操作按角色进行分组管理。一种角色执行一组操作．由系统安全员统一进行授权。当授予某个用户某一角色时，该用户就具有执行该角色所对应的一组操作的权限。当安全员撤销其授予用户的某一角色时，相应的操作权限也就被撤销。这完全类似于现实社会中对领导职务的任命和撤销。这一策略的访问权限也是通过安全员通过角色授权决定的。

与访问控制相关联的另一个十分重要的概念是用户一主体绑定。这一概念的引入．对多用户环境、进程动态运行所实施的访问操作的控制提供了支持。作为动态运行的系统进程．它在不同时间段为不同的用户服务因而无法为其设置固定的敏感标记。通过用户一主体绑定机制．可以将进程动态地与其所服务的用户相关联。于是．在任何时候．进程所实施的访问操作都能够通过这种关联找到其所服务的用户，也就能找到实施强制访问控制的主体。操作是由进程实施的．而确定是否允许进行此次访问的主体对象却是进程为其服务的用户