网络访问控制技术综述摘要：随着科学的不断进步，计算机技术在各个行业中的运用更加普遍。

在计算机技术运用过程中信息安全问题越发重要，网络访问控制技术是保证信息安全的常用方式。

本文介绍了研究网络访问控制技术的意义，主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。

关键字：信息安全网络访问控制技术0．引言近年来，计算机网络技术在全球范围内应用愈加广泛。

计算机网络技术正在深入地渗透到社会的各个领域，并深刻地影响着整个社会。

当今社会生活中，随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。

在商业、金融和国防等领域的网络应用中，安全问题必须有效得到解决，否则会影响整个网络的发展。

一般而言信息安全探讨的课题包括了:入侵检测(Intrusion Deteetion)、加密(Encryption)、认证(Authentieation)、访问控制(Aeeess Control)以及审核(Auditing)等等。

作为五大服务之一的访问控制服务，在网络安全体系的结构中具有不可替代的作用。

所谓访问控制(Access Control),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。

网络访问控制技术是通过对访问主体的身份进行限制，对访问的对象进行保护，并且通过技术限制，禁止访问对象受到入侵和破坏。

1.研究访问控制技术的意义全球互联网的建立以及信息技术飞快的发展，正式宣告了信息时代的到来。

信息网络依然成为信息时代信息传播的神经中枢，网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空，而且还包括看不见、摸不着的网络空间。

随着现代社会中交流的加强以及网络技术的发展，各个领域和部门间的协作日益增多。

资源共享和信息互访的过程逐越来越多，人们对信息资源的安全问题也越发担忧。

因此，如何保证网络中信息资源的安全共享与互相操作，已日益成为人们关注的重要问题。

信息要获得更大范围的传播才会更能体现出它的价值，而更多更高效的利用信息是信息时代的主要特征，谁掌握的信息资源更多，就能更好的做出更正确的判断。

是获得这些效果的更重要的前提是，信息是安全的，涉及到商业秘密或国家安全的重要信息会更加注重信息的安全性，否则宁愿牺牲信息的共享。

所以我们要找到更好的保证信息安全的方法。

访问控制是防止非法用户使用系统和合法用户越权使用系统的关键技术。

传统访问控制模型有自主访问控制 DAC(Discretionary AccessControl)、强制访问控制MAC(Mandatory Access Control)和基于角色的访问控制RBAC(Role-based Access Control)。

访问控制技术是保证信息安全的一项重要技术，发展的已经较为成熟，本文主要介绍当今主流的网络访问控制技术，为今后研究网络中信息传输的安全性进行铺垫。

2.访问控制技术研究现状简介访问控制技术最早产生于上个世纪 60 年代，发展到现在访问控制技术的研究和应用己经获得了很多成果，建立了目前使用最为广泛的自主访问控制（Discretionary Access Control, DAC）、强制访问控制（Mandatory Access Control,MAC）、基于角色的访问控制（Role Based Access Control，RBAC）的模型，而且自主访问控制技术和强制访问控制技术已得到了较为普遍的应用。

自主访问控制技术是一种在多用户环境下常用的访问控制技术，最早出现20世纪 70 年代的分时系统中，在目前流行的 UNIX 操作系统中也被普遍应用，允许被授权用户以用户或用户组的身份访问由访问控制策略规定的资源，同时禁止非法用户访问资源。

在传统的信息系统中，访问通常基于访问控制链表(Access Control List,ACL)，ACL 与授权系统结合成为一个整体，在允许和拒绝对资源的访问中扮演关键的作用。

强制访问控制技术的主要应用场景是在军事领域中，它是在 DAC 的基础上，增加了对网络中资源安全属性的划分，规定不同属性下主体所拥有的访问权限。

MAC 是一种多级访问控制策略，系统事先给访问主体和受控资源分配不同的安全级别的属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，进而再决定访问主体能否访问该受控对象。

基于角色的访问控制技术的概念由 Ferraiolo 和 Kuhn 于 1992 年在美国国家标准技术局举办的计算机安全研讨会中通过一个名为“Role-Based Access Control”的论文中提出。

这是 RBAC 系列文献中的第一篇以 RBAC 命名的文章。

其后，美国乔治森大学的R.Sandhu 于 1996 年在 IEEE Computer 期刊上发表了 RBAC 的经典文献“Role-Based Access Control Models”，提出了 RBAC96 的著名模型，成为 RBAC 模型发展的基石。

更进一步于 1997 年提出了一种分布式 RBAC 管理模型 ARBAC97，实现了在 RBAC 模型上的分布式管理。

随后的 ARBAC99和 ARBAC02都进一步完善了 RBAC 的管理功能。

RBAC 的主要特点是分配一个所谓的角色给用户或用户组。

角色概念对应于系统中的岗位或者职位。

由于角色是访问控制策略的核心，这样极大地简化了安全管理，特别适用于大规模的网络应用。

但是目前基于 DAC、MAC 和 RBAC 的访问控制系统大都以专有的方式实现访问控制和授权，不同的系统都维护各自的单独的一套访问控制策略，部署不同的访问控制技术。

这样不仅需要付出高昂的成本来制定和维护这些策略，也不利于信息的交换和共享，且在一个系统中开发的访问控制系统在另一个系统中难以得到重用，更加难以实现本文中的多域跨网络的安全访问。

3.访问控制技术访问控制系统是一个安全的信息系统中是不可或缺的组成部分，访问控制的目的在于拒绝非法用户的访问并对合法用户的操作行为进行规范。

只有经授权的访问主体，才允许访问特定的系统资源。

它包括用户能做什么和系统程序根据用户的行为应该怎么做两层含义。

访问控制策略是一套限定如何使用受保护的资源的规则库。

系统会根据访问控制策略来判定用户对资源的使用是否是合法的。

从本质上讲，访问控制就是根据访问控制策略来限制用户对资源的访问的，使用户和资源之间有了一道“墙”，防止了用户对资源的无限制直接访问，任何用户对资源的访问都必须经过这道墙——访问控制系统，访问控制系统根据访问控制策略对访问者的访问请求进行仲裁，这样使得用户对资源采取的任何操作都会处于系统的监控范围内，从而保证系统资源的合法使用。

当一个用户对某个资源提出访问请求时，访问控制仲裁就会对用户的请求作出响应，由用户 ID 或可区别的身份特征到安全策略库中查询与该用户相对应的安全策略，如果找到的安全策略允许该用户对特定资源提出的访问请求，则反馈给用户的响应为允许，否则拒绝。

系统管理员可以根据用户的身份、职务等将各种权限通过配置安全策略数据库的形式授予不同的用户，这样就制定出适用于不同用户或资源的安全策略。

一个正常的访问控制系统主要包含三个要素：访问主体、访问客体、访问策略。

访问主体是指发出访问请求的发起者；访问客体是指被主体调用的程序或欲存取的数据，即必须进行控制的资源或目标；安全访问策略往往是指一套规则，被用来判定一个访问主体对所要访问的资源（客体）是否被允许。

其中访问主体与访问客体是相对的，当一个访问主体受到另一个访问主体的访问时，该主体便成为了访问客体。

3．1自主访问控制自主访问控制技术的内容是指主体能够对访问的权限进行自主设置。

也就是说，能够赋予其他主体访问权限，也可以对访问权限进行收回。

其执行的主体为单个。

这样的好处是可以通过矩阵来实现主体客体的排列，虽然不需要将整个矩阵来进行保存，但通过行列来进行访问控制，因此能够让访问的操作更加有效率。

而且，自主访问控制能够很直观地将访问客体呈现出来，而且更加迅速的查到所需查询的内容。

但同时也暴露出一定的弊端，就是这样的联系方式让整个系统的结构显得更加复杂繁琐。

大量的主体要进行访问的时候都需要进行权限的关联。

特别是在企业等比较复杂的网络结构中使用这项自主访问控制技术时，因为网络中的信息不仅量大而且关系复杂，网络覆盖整个企业的各个部门，因此管理员不仅要负责对主体的访问权限进行设置，也需要对信息进行管理和发布。

不仅需要花费大量的人力和物力，也对整个网络的安全性有一定程度的影响。

尤其这样的企业往往网络结构复杂，规模大，用户对网络的需求也各有不同，因此需要对这些方面进行注意。

而且，在访问权限的设置上还有一定的问题。

网络的所有信息都属于企业，但职员等所属的部门需要对这些信息进行访问，这就存在着怎样让部门的职员能够访问自己领域所需要的信息，但其他部门的信息并不对其进行公开。

这就需要管理员在对其进行网络访问授权的时候进行限定，这项工作不仅繁琐，也容易出错。

3．2强制访问控制强制访问控制是指主体按照系统事先的设置来进行访问。

强制访问控制所涉及的信息中，按照信息的保密度分了各种等级，用户则根据权限也有不同的签证。

签证能够决定用户对某一级别及其以下的等级信息进行访问，但不能够对级别以上的信息进行访问。

这种访问控制技术由于其自身的性质特点，多运用于军事系统中，但其明显的缺点在于，由于是按照等级制度进行访问，但在同级的信息没有能够得到明确的归类之分，因此，在同级间的访问没有限制。

3．3基于角色访问控制随着对访问控制服务质量的要求不断提高，以上两种访问控制技术已经很难满足这些要求。

DAC 将一部分授予或回收访问权限的权力留给了用户，这样使得管理员很难确定到底哪些用户对同一资源拥有权限，不利于实现统一的全局访问控制，并且很容易出现错误，也就更无法实现细粒度访问控制和动态权限扩展。

而 MAC 又过于偏重保密性，对其他方面如系统连续工作能力、授权的可管理性考虑不足。

二十世纪九十年代以来，随着信息系统规模的扩大，系统用户的增加，角色的概念逐步形成并逐步产生了在信息系统中以角色概念为中心的访问控制模型。

基于角色的访问控制是指用户获得的权限是由用户所在的用户组中的角色来确定的，当系统中的用户被赋予一个角色时，该用户就具有这个角色所具有的所有访问权限。

用户首先经认证后获得一个角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。

RBAC 从控制主体的角度出发，由整个系统管理中相对比较稳定的职责对角色进行划分，将访问控制权限授予与否与角色用户联系，在这点上 MAC 和 DAC是将权限直接授予相对应的用户，这是基于角色与它们相区别的重要的一点。