第4章信息安全技术.ppt

3. 访问控制表 访问控制表ACL(Access Control List)是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明晰表，用以表示各个主体对该客体的访问权限。明晰表中的每一项都包括主体的身份和主体对这个客体的访问权限。如果使用组(group)或者通配符的概念，可以有效地缩短表的长度。 访问控制表是实现自主访问控制比较好的方式，下面通过例子进行详细说明。 对系统中一个需要保护的客体。Oj附加的访问控制表的结构如图4-10所示。 S0.re S1.r S2.e ... Sm.rew 其中： Si(i=1,2,…m)：主体名 r(read): 读 e(execute): 执行 w(write): 写 n(no): 未授权 在图4-10的例子中，对于客体Oj，主体S0具有读(r)和执行(e)的权利：主体S1只有读的权利；主体S2只有执行的权利；而主体Sm具有读、写(w)和执行的权利。 在一个很大的系统中，会有非常多的主体和客体，这会导致访问控制表非常长，占用很多的存储空间，而且访问时效率下降。为解决这一问题就需要分组和使用通配符。 在多用户系统中，用户可根据部门结构或工作性质被分为几个类，同一个类中的所有用户使用的资源基本上是相同的。因此，可以把同一个类的用户作为一个组，分配一个组名，简称“GN”。这时，访问控制表中的主体标识为（在这里，通配符“*”可以代替任何组名或者主体标识符）： 主体标识=ID.GN。 其中，ID是主体标识符，GN是主体所在组的组名。如图4-11所示。 Liu.INFO.rew *.INFO.re Zhang.*.r *.*.n 在图4-11的访问控制表中，第1个和第2个表项说明属于INFO组的所有主体都对客体Oj具有“读”和“执行”的权利，但只有INFO组中的主体liu才额外具有“写”的权限；第3个表项说明无论是哪一组中的zhang都可以“读”客体Oj；最后一个表项说明所有其他的主体，无论属于哪个组，都不具备对Oj有任何访问权限。 在访问控制表中还需要考虑的一个问题是缺省问题。缺省功能的设置可以方便用户的使用，同时也避免了许多文件泄露的可能。最基本的，当一个主体生成一个客体时，该客体的访问控制表中对应生成者的表项应该设置成缺省值，比如具有读、写和执行权限。另外，当某一个新的主体第一次进入系统时，应该说明它在访问控制表中的缺省值，比如只有读的权限。 4. 访问能力表 前面说过，访问控制表是基于“列”的自主访问控制，而访问能力表(Access Capabilities List)则是基于“行”的自主访问控制。能力(capability)是为主体提供的、对客体具有特定访问权限且不可伪造的标志，它决定主体是否可以访问客体以及以什么对客体有什么访问权限。主体可以将能力转移给为自己工作的进程，在进程运行期间，还可以添加或者修改能力。能力的转移不受任何策略的限制，所以对于一个特定的客体，还不能确定所有有权访问它的主体。因此，访问能力表不能实现完备的自主访问控制，而访问控制表是可以实现的。利用访问能力表实现的自主访问控制系统不是很多，其中只有少数系统试图通过增加其他措施实现完备的自主访问控制。 O0.orew O1.r ... On.rw 图4-12是主体Si的访问能力表，图中的每一表项包括客体的标识和Si对该客体的访问能力。如图所示，Si是客体O0的拥有者，并对它具有最大的访问能力(读、写、执行)；Si对客体01只有读的能力；Si对客体On具有读和写的能力。 能力机制的最大特点是能力的拥有者可以在主体中转移能力。在转移的能力中有一种叫做“转移能力”，它允许接受能力的主体继续转移能力。比如，进程A将某个能力的拷贝转移给进程B，B又将能力的拷贝传递给进程C。如果B不想让C继续转移这个能力，就在转移给C的能力拷贝中去掉转移能力，这样C就不能转移能力了。主体为了在能力取消时从所有主体中彻底清除自己的能力，需要跟踪所有的转移。 5. 强制访问控制 自主访问控制的最大特点是自主，即资源的拥有者对资源的访问策略具有决策权，因此是一种限制比较弱的访问控制策略。这种方式给用户带来灵活性的同时，也带来了安全隐患。 在一些系统中，需要更加强硬的控制手段，强制访问控制MAC (Mandatory Access Control)就是一种这样的机制。 强制访问控制系统为所有的主体和客体指定安全级别，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。