什么是访问控制Access Control 什么是访问控制
限制已授权的用户、程序、 限制已授权的用户、程序、进程或计算 机网络中其他系统访问本系统资源的过程。 机网络中其他系统访问本系统资源的过程。 口令认证不能取代访问控制 。 访问控制是指主体依据某些控制策略或 权限对客体或是其资源进行不同的授权访问。 权限对客体或是其资源进行不同的授权访问。 控制什么能干什么不能干 包括三个要素：主体、 包括三个要素：主体、客体和控制策略
访问控制
在安全操作系统领域中， 在安全操作系统领域中，访问控制一般都涉及
自主访问控制（ 自主访问控制（Discretionary Access Control， ， DAC） ） 强制访问控制（ 强制访问控制（Mandatory Access Control， ， MAC）两种形式 ）
安全模型
安全模型就是对安全策略所表达的安全需求的简 抽象和无歧义的描述， 单、抽象和无歧义的描述，它为安全策略和它的 实现机制之间的关联提供了一种框架。 实现机制之间的关联提供了一种框架。 安全模型描述了对某个安全策略需要用哪种机制 来满足； 来满足；而模型的实现则描述了如何把特定的机 制应用于系统中， 制应用于系统中，从而实现某一特定安全策略所 需的安全保护。 需的安全保护。
强制访问控制和自主访问控制
强制访问控制和自主访问控制是两种不同类型的访问控制 机制，它们常结合起来使用。 机制，它们常结合起来使用。仅当主体能够同时通过自主 访问控制和强制访问控制检查时，它才能访问一个客体。 访问控制和强制访问控制检查时，它才能访问一个客体。 用户使用自主访问控制防止其他用户非法入侵自己的文件， 用户使用自主访问控制防止其他用户非法入侵自己的文件， 强制访问控制则作为更强有力的安全保护方式， 强制访问控制则作为更强有力的安全保护方式，使用户不 能通过意外事件和有意识的误操作逃避安全控制。 能通过意外事件和有意识的误操作逃避安全控制。因此强 制访问控制用于将系统中的信息分密级和类进行管理， 制访问控制用于将系统中的信息分密级和类进行管理，适 用于政府部门、军事和金融等领域。 用于政府部门、军事和金融等领域。
主体（ ）：访问的发起者 主体（subject）：访问的发起者 ）：
发起者是试图访问某个目标的用户或者是用户行 为的代理。必须控制它对客体的访问。 为的代理。必须控制它对客体的访问。 主体通常为进程，程序或用户。 主体通常为进程，程序或用户。
客体（ 客体（Object）： ）：
接收其他实体访问的被动实体。 接收其他实体访问的被动实体。 可供访问的各种软硬件资源。 可供访问的各务
安全服务（ 安全服务（Security Services）： ）： 计算机通信网络中， 计算机通信网络中，主要的安全保护措施被称作 安全服务。 安全服务。 根据ISO7498-2, 安全服务包括： 安全服务包括： 根据 1.鉴别（ Authentication） 鉴别（ ） 2.访问控制（Access Control） 访问控制（ ） 3.数据机密性（Data Confidentiality） 数据机密性（ ） 4.数据完整性（Data Integrity） 数据完整性（ ） 5.抗抵赖（Non-repudiation） 抗抵赖（ ）
强制访问控制MAC 强制访问控制
在强制访问控制机制下，系统中的每个进程、每个文件、 在强制访问控制机制下，系统中的每个进程、每个文件、每个 IPC 客体 ( 消息队列、信号量集合和共享存贮区 都被赋予了相应的安全属性，这些安 消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性 都被赋予了相应的安全属性， 全属性是不能改变的，它由管理部门（如安全管理员） 全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地 按照严格的规则来设置， 按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间 接地修改。 接地修改。 当一进程访问一个客体(如文件 时 调用强制访问控制机制， 当一进程访问一个客体 如文件)时，调用强制访问控制机制，根据进程的安 如文件 全属性和访问方式，比较进程的安全属性和客体的安全属性， 全属性和访问方式，比较进程的安全属性和客体的安全属性，从而确定是否 允许进程对客体的访问。 允许进程对客体的访问。代表用户的进程不能改变自身的或任何客体的安全 属性，包括不能改变属于用户的客体的安全属性， 属性，包括不能改变属于用户的客体的安全属性，而且进程也不能通过授予 其他用户客体存取权限简单地实现客体共享。 其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一安全属 性的主体不能访问某个客体，那么任何人（包括客体的拥有者） 性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它 访问该客体。从这种意义上讲， 强制” 访问该客体。从这种意义上讲，是“强制”的。
第六章 访问控制
自主访问控制（DAC） 自主访问控制（ ）
访问控制表（ 访问控制表（ACL）是DAC中通常采用的一种安 ） 中通常采用的一种安 全机制。 是带有访问权限的矩阵, 全机制。ACL是带有访问权限的矩阵 这些访问 是带有访问权限的矩阵 权是授予主体访问某一客体的。 权是授予主体访问某一客体的。安全管理员通过 维护ACL控制用户访问企业数据。对每一个受保 控制用户访问企业数据。 维护 控制用户访问企业数据 护的资源， 护的资源，ACL对应一个个人用户列表或由个人 对应一个个人用户列表或由个人 用户构成的组列表，表中规定了相应的访问模式。 用户构成的组列表，表中规定了相应的访问模式。 DAC的主要特征体现在主体可以自主地把自己所 的主要特征体现在主体可以自主地把自己所 拥有客体的访问权限授予其它主体或者从其它主 体收回所授予的权限， 体收回所授予的权限，访问通常基于访问控制表 ）。访问控制的粒度是单个用户 （ACL）。访问控制的粒度是单个用户。 ）。访问控制的粒度是单个用户。
它是精确的、无歧义的； 它是精确的、无歧义的； 它是简易和抽象的，所以容易理解； 它是简易和抽象的，所以容易理解； 它是一般性的：只涉及安全性质，而不过度地牵扯系统的功能或其实现； 它是一般性的：只涉及安全性质，而不过度地牵扯系统的功能或其实现； 它是安全策略的明显表现。 它是安全策略的明显表现。
安全模型一般分为两种： 安全模型一般分为两种：
认证
包括主体对客体的识别认证与客体对主体的检验 认证。 认证。 身份认证。 身份认证。
控制策略具体实现
规则集设定方法。 规则集设定方法。 允许授权用户、限制非法用户。 允许授权用户、限制非法用户。 保护敏感信息。 保护敏感信息。 禁止越权访问。 禁止越权访问。
审计
操作日志。 操作日志。 记录用户对系统的关键操作。 记录用户对系统的关键操作。 威慑。 威慑。
访问控制模型
自主访问控制模型。（ 自主访问控制模型。（DAC） 。（ ） 强制访问控制模型。（ 。（MAC） 强制访问控制模型。（ ） 基于角色的访问控制模型。（ 。（RBAC） 基于角色的访问控制模型。（ ） 基于任务的访问控制模型。（ 。（TBAC） 基于任务的访问控制模型。（ ） 基于对象的访问控制模型。（ 。（OBAC） 基于对象的访问控制模型。（ ） 信息流模型。 信息流模型。
访问控制模型
从访问控制的角度出发，描述安全系统， 从访问控制的角度出发，描述安全系统，建立安 全模型的方法。 全模型的方法。 一般包括主体、客体、以及为识别和验证这些实 一般包括主体、客体、 体的子系统和控制实体间的访问的监视器。 体的子系统和控制实体间的访问的监视器。 来自于策略。 来自于策略。
访问控制过程
首先对合法用户进行验证。（认证） 首先对合法用户进行验证。（认证） 。（认证 然后对选用控制策略。（控制策略的具体实现） 。（控制策略的具体实现 然后对选用控制策略。（控制策略的具体实现） 最后对非法用户或越权操作进行审计。（审计） 。（审计 最后对非法用户或越权操作进行审计。（审计）
安全模型的特点
能否成功地获得高安全级别的系统， 能否成功地获得高安全级别的系统，取决于对安全控制机制的设计和实施投 入多少精力。但是如果对系统的安全需求了解的不清楚， 入多少精力。但是如果对系统的安全需求了解的不清楚，即使运用最好的软 件技术，投入最大的精力，也很难达到安全要求的目的。 件技术，投入最大的精力，也很难达到安全要求的目的。安全模型的目的就 在于明确地表达这些需求，为设计开发安全系统提供方针。 在于明确地表达这些需求，为设计开发安全系统提供方针。 安全模型有以下4个特点： 安全模型有以下 个特点： 个特点
自主访问控制（DAC） 自主访问控制（ ）
根据自主访问控制策略建立的一种模型。 根据自主访问控制策略建立的一种模型。 允许合法用户以用户或用户组的身份访问策略规 定的客体。 定的客体。 阻止非授权用户访问客体。 阻止非授权用户访问客体。 某些客体还可以自主的把自己所拥有的客体访问 权授予其它用户。 权授予其它用户。 任意访问控制。 任意访问控制。
控制策略
主体对客体的访问规则集， 主体对客体的访问规则集，这个规则集直接定义 了主体可以的作用行为和客体对主体的约束条件。 了主体可以的作用行为和客体对主体的约束条件。 是主体对客体的操作行为集和约束条件集。 是主体对客体的操作行为集和约束条件集。 体现为一种授权行为。 体现为一种授权行为。 记录谁可以访问谁。 记录谁可以访问谁。
非形式化安全模型仅模拟系统的安全功能； 非形式化安全模型仅模拟系统的安全功能； 形式化安全模型则使用数学模型，精确地描述安全性及其在系统中使用的情况。 形式化安全模型则使用数学模型，精确地描述安全性及其在系统中使用的情况。
访问控制准则
在安全操作系统领域中， 在安全操作系统领域中，访问控制一般都涉及
第六章 访问控制
访问控制表ACL 访问控制表
ACL是存在于计算机中的一张表，用户对特定系统对象例如文 ACL是存在于计算机中的一张表， 是存在于计算机中的一张表 件目录或单个文件的存取权限。 件目录或单个文件的存取权限。每个对象拥有一个在访问控 制表中定义的安全属性。 制表中定义的安全属性。这张表对于每个系统用户有拥有一 个访问权限。最一般的访问权限包括读文件（ 个访问权限。最一般的访问权限包括读文件（包括所有目录 中的文件），写一个或多个文件和执行一个文件（ ），写一个或多个文件和执行一个文件 中的文件），写一个或多个文件和执行一个文件（如果它是 一个可执行文件或者是程序的时候）。 一个可执行文件或者是程序的时候）。