5.2 如何實(shí)現(xiàn)訪問控制機(jī)制

5.2.1 訪問控制的實(shí)現(xiàn)機(jī)制

建立訪問控制模型和實(shí)現(xiàn)訪問控制都是抽象和復(fù)雜的行為，實(shí)現(xiàn)訪問的控制不僅要保證授權(quán)用戶使用的權(quán)限與其所擁有的權(quán)限對(duì)應(yīng)，制止非授權(quán)用戶的非授權(quán)行為，還要保證敏感信息的交叉感染。通常用戶訪問信息資源（文件或是數(shù)據(jù)庫(kù)），可能的行為有讀、寫和管理，為方便起見，我們用Read或是R表示讀操作，Write或是W表示寫操作，Own或是O表示管理操作。我們之所以將管理操作從讀寫中分離出來，是因?yàn)楣芾韱T也許會(huì)對(duì)控制規(guī)則本身或文件的屬性等做修改，也就是修改我們?cè)谙旅嫣岬降脑L問控制表。

5.2.2 訪問控制表

訪問控制表（Access Control Lists, ACLs）是以文件為中心建立的訪問權(quán)限表，簡(jiǎn)記為ACLs。圖5-11清晰地表明了這種關(guān)系。目前，大多數(shù)PC、服務(wù)器和主機(jī)都使用ACLs作為訪問控制的實(shí)現(xiàn)機(jī)制。訪問控制表的優(yōu)點(diǎn)在于實(shí)現(xiàn)簡(jiǎn)單，任何得到授權(quán)的主體都可以有一個(gè)訪問表。例如，授權(quán)用戶A1的訪問控制規(guī)則存儲(chǔ)在文件File1中，A1的訪問規(guī)則可以由A1下面的權(quán)限表ACLsA1來確定，權(quán)限表限定了用戶UserA1的訪問權(quán)限。

5.2.3 訪問控制矩陣

訪問控制矩陣（Access Control Matrix, ACM）是通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法。也就是說，對(duì)每個(gè)主體而言，都擁有對(duì)哪些客體的哪些訪問權(quán)限，而對(duì)客體而言，又有哪些主體對(duì)它可以實(shí)施訪問，將這種關(guān)聯(lián)關(guān)系加以闡述，就形成了控制矩陣。其中，特權(quán)用戶或特權(quán)用戶組可以修改主體的訪問控制權(quán)限。訪問控制的示例如圖5-12所示。訪問控制矩陣的實(shí)現(xiàn)很容易被理解，但是查找和實(shí)現(xiàn)起來有一定的難度，而且，如果用戶和文件系統(tǒng)管理的文件很多，那么控制矩陣將會(huì)成幾何級(jí)數(shù)增長(zhǎng)，這樣對(duì)于增長(zhǎng)的矩陣而言，會(huì)有大量的空余空間。

5.2.4 訪問控制能力列表

能力是訪問控制中的一個(gè)重要概念，它是指請(qǐng)求訪問的發(fā)起者所擁有的一個(gè)有效標(biāo)簽（ticket），它授權(quán)標(biāo)簽表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力列表（Access Control Capabilitis Lists, ACCLs）是以用戶為中心建立的訪問權(quán)限表。例如，訪問控制權(quán)限表ACCLsF1表明了授權(quán)用戶UserA對(duì)文件File1的訪問權(quán)限，UserAF表明了UserA對(duì)文件系統(tǒng)的訪問控制規(guī)則集。因此，ACCLs的實(shí)現(xiàn)與ACLs正好相反，如圖5-13所示。定義能力的重要作用在于能力的特殊性，如果賦予哪個(gè)主體具有一種能力，事實(shí)上說明這個(gè)主體具有了一定對(duì)應(yīng)的權(quán)限。能力的實(shí)現(xiàn)有兩種方式，傳遞的和不可傳遞的。一些能力可以由主體傳遞給其他主體使用，另一些則不能。能力的傳遞牽扯到了授權(quán)的實(shí)現(xiàn)，我們?cè)诤竺鏁?huì)具體闡述訪問控制的授權(quán)管理。

5.2.5 訪問控制標(biāo)簽列表

安全標(biāo)簽是限制和附屬在主體或客體上的一組安全屬性信息。安全標(biāo)簽的含義比能力更為廣泛和嚴(yán)格，因?yàn)樗鼘?shí)際上還建立了一個(gè)嚴(yán)格的安全等級(jí)集合。訪問控制標(biāo)簽列表（Access Control Security Labels Lists, ACSLLs）是限定一個(gè)用戶對(duì)一個(gè)客體目標(biāo)訪問的安全屬性集合。訪問控制標(biāo)簽列表的實(shí)現(xiàn)示例如圖5-14所示，左側(cè)為用戶對(duì)應(yīng)的安全級(jí)別，右側(cè)為文件系統(tǒng)對(duì)應(yīng)的安全級(jí)別。假設(shè)請(qǐng)求訪問的用戶UserA的安全級(jí)別為S，那么UserA請(qǐng)求訪問文件File2時(shí)，由于S<TS，訪問會(huì)被拒絕；當(dāng)UserA請(qǐng)求訪問文件FileN時(shí)，因?yàn)镾>C，所以允許訪問。

安全標(biāo)簽?zāi)軐?duì)敏感信息加以區(qū)分，這樣就可以對(duì)用戶和客體資源強(qiáng)制執(zhí)行安全策略，因此，強(qiáng)制訪問控制經(jīng)常會(huì)用到這種實(shí)現(xiàn)機(jī)制。

5.2.6 訪問控制實(shí)現(xiàn)的具體類別

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的重要手段，它的主要任務(wù)是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。通常在技術(shù)實(shí)現(xiàn)上，包括以下幾部分。

（1）接入訪問控制。接入訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，是網(wǎng)絡(luò)訪問的首要屏障，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。例如，ISP服務(wù)商實(shí)現(xiàn)的就是接入服務(wù)。用戶的接入訪問控制是對(duì)合法用戶的驗(yàn)證，通常使用用戶名和口令的認(rèn)證方式。一般可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的默認(rèn)限制檢查。

（2）資源訪問控制。資源訪問控制是對(duì)客體整體資源信息的訪問控制管理。其中包括文件系統(tǒng)的訪問控制（文件目錄訪問控制和系統(tǒng)訪問控制）、文件屬性訪問控制、信息內(nèi)容訪問控制。文件目錄訪問控制是指用戶和用戶組被賦予一定的權(quán)限，在權(quán)限的規(guī)則控制許可下，哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，哪些用戶可以對(duì)其中的哪些文件、目錄、子目錄、設(shè)備等執(zhí)行何種操作。系統(tǒng)訪問控制是指一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對(duì)服務(wù)器的訪問；應(yīng)設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；應(yīng)設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測(cè)和關(guān)閉的時(shí)間間隔；應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問，對(duì)非法的網(wǎng)絡(luò)訪問，能夠用圖形或文字或聲音等形式報(bào)警等。文件屬性訪問控制是指當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與要訪問的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。

（3）網(wǎng)絡(luò)端口和節(jié)點(diǎn)的訪問控制。網(wǎng)絡(luò)中的節(jié)點(diǎn)和端口往往加密傳輸數(shù)據(jù)，這些重要位置的管理必須防止黑客發(fā)動(dòng)的攻擊。對(duì)于管理和修改數(shù)據(jù)，應(yīng)該要求訪問者提供足以證明身份的驗(yàn)證器（如智能卡）。