本章重点介绍访问控制技术基本概念、作用、分类、基本原理以及基本实现技术等。通过本章的学习，我们应该掌握以下内容：理解访问控制技术的定义、分类、手段、模型；了解WindowsNT的安全访问控制。4.1概念原理4.1概念原理4.1概念原理4.1概念原理4.1概念原理访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体（S）、一组对象（O）、一组访问权(A［S，O］)包括读、写、执行和拥有。访问控制模型涵盖对象、主体和操作，通过对访问者的控制达到保护重要资源的目的。对象包括终端、文本和文件，系统用户和程序被定义为主体。操作是主体和对象的交互。访问控制模型除了提供机密性和完整性外还提供记帐性。记帐性是通过审计访问记录实现的，访问记录包括主体访问了什么对象和进行了什么操作。1.自主访问控制（DAC-discretionaryAccessControl）自主访问控制是由客体自主地确定各个主体对它的直接访问权限（又称访问模式）。这种方法能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问(利用访问的传递性，即A可访问B，B可访问C，于是A可访问C)。目前常用的操作系统中的文件系统，使用的是自主访问控制方式，因为这比较适合操作系统的资源的管理特性。自主访问控制经常通过访问控制列表实现，访问控制列表难于集中进行访问控制和访问权力的管理。2.强制访问控制（MAC-MandatoryAccessControl）强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制。由一个授权机构为主体和客体分别定义固定的访问属性，且这些访问权限不能通过用户来修改。B类计算机采用这种方法，常用于军队和政府机构。例如将数据分成绝密、机密、秘密和一般等几类。用户的访问权限也类似定义，即拥有相应权限的用户可以访问对应安全级别的数据，从而避免了自主访问控制方法中出现的访问传递问题。这种方法具有层次性的特点，高级别的权限可访问低级别的数据。3.基于角色的访问控制是对自主控制和强制控制机制的改进，它基于用户在系统中所起的作用来规定其访问权限。这个作用（即角色rule）可被定义为与一个特定活动相关联的一组动作和责任。角色包括职务特征、任务、责任、义务和资格。一个用户可以扮演多个角色，一个角色也可以包含多个用户。角色通常由系统管理员定义，也就是说，只有系统管理员有权定义和分配角色，而且这种授权是强行给予用户的，用户不能决定自己的权限，也不可以把得到的权限转让给他人。(2)提供了层次化的管理结构，由于访问权限是客体的属性，所以角色的定义可以用面向对象的方法来表达，并可用类和继承等概念来表示角色之间的关系。(3)具有提供最小权限的能力，由于可以按照角色的具体要求来定义对客体的访问权限，因此具有针对性，不出现多余的访问权限，从而降低了不安全性。(4)具有责任分离的能力，不同角色的访问权限可相互制约，即定义角色的人不一定能担任这个角色。因此具有更高的安全性。非任意访问控制（non-discretionaryaccesscontrol）是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。RBAC模型4.2.4访问控制实现技术4.2.4访问控制实现技术2.访问控制表方案访问控制表ACL是目前操作系统中使用最多的一种访问控制方式。优点：相对直观、易于理解和方便实现，能较好地解决多个主体访问一个客体的问题，不会像目录表那样因授权混乱而越权访问。缺点：表项占用存储空间较多，并由于客体长度不同而出现存放空间碎片造成浪费，每个客体被访问时都需要对访问控制列表从头至尾扫描一遍，影响运行速度，浪费了存储空间。3.访问控制矩阵（AccessControlMatrix）访问控制矩阵是上述两种方法的综合。访问控制矩阵模型是用状态和状态转换进行定义的，系统和状态用矩阵表示，状态的转换则用命令来进行描述。由系统中的全部用户（即主体）和系统中的所有存取目标（即客体）组成的一个二维矩阵，如图：4.2.4访问控制实现技术WindowsNT的安全级别被列为TCSEC的C2级，是C类级别的最高级，它的访问控制安全策略为自主访问控制DAC，它有以下几项重要指标：①因为采用了自主访问控制（DAC），所以资源的属主必须能够控制对资源的访问。②保护对象的重用（ObjectReuse），操作系统必须能够保护对象在完成使命后，不能再被其他对象所利用。比如，被释放的内存以及被删除的文件不能被其他程序或进程再次读取。