授權(quán)和訪問(wèn)控制技術(shù)是安全防御中的重要組成部分，主要用于管理和限制對(duì)系統(tǒng)資源（如數(shù)據(jù)、應(yīng)用程序等）的訪問(wèn)。授權(quán)控制用戶可訪問(wèn)和操作的系統(tǒng)資源，而訪問(wèn)控制技術(shù)則負(fù)責(zé)在授權(quán)的基礎(chǔ)上，確保只有經(jīng)過(guò)授權(quán)的用戶才能訪問(wèn)相應(yīng)的資源。

一、授權(quán)

授權(quán)技術(shù)通常包括身份認(rèn)證和權(quán)限管理。
身份認(rèn)證是驗(yàn)證用戶身份的過(guò)程，確保用戶是系統(tǒng)中的合法用戶；
權(quán)限管理則是根據(jù)用戶的角色和身份，為其分配相應(yīng)的訪問(wèn)權(quán)限。通過(guò)授權(quán)技術(shù)，可以有效地防止非法用戶或未授權(quán)的用戶訪問(wèn)系統(tǒng)資源，從而保護(hù)系統(tǒng)的安全。
授權(quán)是確定用戶訪問(wèn)權(quán)限的機(jī)制。用戶訪問(wèn)權(quán)限必須始終遵循最小特權(quán)原則，該原則規(guī)定用戶只擁有執(zhí)行他們的作業(yè)功能所必須的訪問(wèn)權(quán)限，而不能擁有其他權(quán)限。為了保證網(wǎng)絡(luò)資源在受控、合法地情況下使用，用戶只能根據(jù)自己的權(quán)限大小訪問(wèn)系統(tǒng)資源，不得越權(quán)訪問(wèn)。

二、訪問(wèn)控制

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要核心策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。
訪問(wèn)控制包括三個(gè)要素：主體、客體和控制策略。
主體S（Subject）：是指提出訪問(wèn)資源具體請(qǐng)求或某一操作動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者，可能是某一用戶，也可以是用戶啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備等。
客體O（Object）：是指被訪問(wèn)資源的實(shí)體。所有可以被操作的信息、資源、對(duì)象都可以是客體?？腕w可以是信息、文件、記錄等集合體，也可以是網(wǎng)絡(luò)上的硬件設(shè)施、無(wú)限通信中的終端，甚至可以包含另外一個(gè)客體。
控制策略A（Attribution）：是主體對(duì)客體的相關(guān)訪問(wèn)規(guī)則集合，即屬性集合。訪問(wèn)策略體現(xiàn)了一種授權(quán)行為，也是客體對(duì)主體某些操作行為的默認(rèn)。

1、訪問(wèn)控制模型

典型訪問(wèn)控制模型如圖所示：

訪問(wèn)控制模型的組成

2、訪問(wèn)控制的機(jī)制

訪問(wèn)控制機(jī)制是檢測(cè)和防止系統(tǒng)被未授權(quán)訪問(wèn)，并保護(hù)資源所采取的各種措施。是在文件系統(tǒng)中廣泛應(yīng)用的安全防護(hù)方法，一般在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許主體訪問(wèn)客體，貫穿于系統(tǒng)全過(guò)程。
訪問(wèn)控制矩陣（Access Contro1 Matrix）是最初實(shí)現(xiàn)訪問(wèn)控制機(jī)制的概念模型，以二維矩陣規(guī)定主體和客體間的訪問(wèn)權(quán)限。行表示主體的訪問(wèn)權(quán)限屬性，列表示客體的訪問(wèn)權(quán)限屬性，矩陣格表示所在行的主體對(duì)所在列的客體的訪問(wèn)授權(quán)，空格為未授權(quán)，Y為有操作授權(quán)。以確保系統(tǒng)操作按此矩陣授權(quán)進(jìn)行訪問(wèn)。通過(guò)引用監(jiān)控器協(xié)調(diào)客體對(duì)主體訪問(wèn)，實(shí)現(xiàn)認(rèn)證與訪問(wèn)控制的分離。在實(shí)際應(yīng)用中，對(duì)于較大系統(tǒng)，由于訪問(wèn)控制矩陣將變得非常大，其中許多空格，造成較大的存儲(chǔ)空間浪費(fèi)，因此，較少利用矩陣方式，主要采用以下2種方法：
1）訪問(wèn)控制列表
訪問(wèn)控制列表（Access Control List，ACL）是應(yīng)用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口號(hào)等的特定指示條件對(duì)數(shù)據(jù)包的抉擇。是以文件為中心建立訪問(wèn)權(quán)限表，表中記載了該文件的訪問(wèn)用戶名和隸屬關(guān)系。利用ACL，容易判斷出對(duì)特定客體的授權(quán)訪問(wèn)，可訪問(wèn)的主體和訪問(wèn)權(quán)限等。當(dāng)將該客體的ACL置為空，可撤消特定客體的授權(quán)訪問(wèn)。
2）能力關(guān)系表
能力關(guān)系表（Capabilities List）是以用戶為中心建立訪問(wèn)權(quán)限表。與ACL相反，表中規(guī)定了該用戶可訪問(wèn)的文件名及權(quán)限，利用此表可方便地查詢一個(gè)主體的所有授權(quán)。相反，檢索具有授權(quán)訪問(wèn)特定客體的所有主體，則需查遍所有主體的能力關(guān)系表。

3、訪問(wèn)控制的策略

訪問(wèn)控制的安全策略是指在某個(gè)自治區(qū)域內(nèi)（屬于某個(gè)組織的一系列處理和通信資源范疇），用于所有與安全相關(guān)活動(dòng)的一套訪問(wèn)控制規(guī)則。訪問(wèn)控制的安全策略有三種類型：基于身份的安全策略、基于規(guī)則的安全策略和綜合訪問(wèn)控制方式。

1）基于身份的安全策略

基于身份的策略包括基于個(gè)體的策略和基于組的策略。

• 基于個(gè)體的策略：一個(gè)基于個(gè)體的策略根據(jù)哪些用戶可對(duì)一個(gè)目標(biāo)實(shí)施哪一種行為的列表來(lái)表示。這個(gè)等價(jià)于用一個(gè)目標(biāo)的訪問(wèn)矩陣列來(lái)描述。
• 基于組的策略：一個(gè)基于組的策略是基于身份的策略的另一種情形，一些用戶被允許對(duì)一個(gè)目標(biāo)具有同樣的訪問(wèn)許可。

2）基于規(guī)則的安全策略

基于規(guī)則的策略包括多級(jí)策略和基于間隔的策略。
多級(jí)策略：通過(guò)分配給每個(gè)目標(biāo)一個(gè)密級(jí)來(lái)操作。密級(jí)由低到高分為：無(wú)密級(jí)、限制、機(jī)密、秘密、絕密。每個(gè)用戶從相同的層次中分配一個(gè)等級(jí)。
基于間隔的策略：在基于間隔的策略中，目標(biāo)集合關(guān)聯(lián)于安全間隔或安全類別，通過(guò)他們來(lái)分離其他目標(biāo)。用戶需要給一個(gè)間隔分配一個(gè)不同的等級(jí)，以便能夠訪問(wèn)間隔中的目標(biāo)。

3）綜合訪問(wèn)控制方式

綜合訪問(wèn)控制策略（HAC）繼承和吸取了多種主流訪問(wèn)控制技術(shù)的優(yōu)點(diǎn)，有效地解決了信息安全領(lǐng)域的訪問(wèn)控制問(wèn)題，保護(hù)了數(shù)據(jù)的保密性和完整性，保證授權(quán)主體能訪問(wèn)客體和拒絕非授權(quán)訪問(wèn)。綜合訪問(wèn)控制策略主要包括：

• 入網(wǎng)訪問(wèn)控制
  入網(wǎng)訪問(wèn)控制是網(wǎng)絡(luò)訪問(wèn)的第一層訪問(wèn)控制。對(duì)用戶可規(guī)定所能登入到的服務(wù)器及獲取的網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和登入入網(wǎng)的工作站點(diǎn)。
• 網(wǎng)絡(luò)的權(quán)限控制
  網(wǎng)絡(luò)的權(quán)限控制是防止網(wǎng)絡(luò)非法操作而采取的一種安全保護(hù)措施。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限通常用一個(gè)訪問(wèn)控制列表來(lái)描述。
• 目錄級(jí)安全控制
  目錄級(jí)安全控制主要是為了控制用戶對(duì)目錄、文件和設(shè)備的訪問(wèn)，或指定對(duì)目錄下的子目錄和文件的使用權(quán)限。用戶在目錄一級(jí)制定的權(quán)限對(duì)所有目錄下的文件仍然有效，還可進(jìn)一步指定子目錄的權(quán)限。
• 屬性安全控制
  屬性安全控制可將特定的屬性與網(wǎng)絡(luò)服務(wù)器的文件及目錄網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)。在權(quán)限安全的基礎(chǔ)上，對(duì)屬性安全提供更進(jìn)一步的安全控制。網(wǎng)絡(luò)上的資源都應(yīng)先標(biāo)示其安全屬性，將用戶對(duì)應(yīng)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限存入訪問(wèn)控制列表中，記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力，以便進(jìn)行訪問(wèn)控制。
• 網(wǎng)絡(luò)服務(wù)器安全控制
  網(wǎng)絡(luò)服務(wù)器安全控制允許通過(guò)服務(wù)器控制臺(tái)執(zhí)行的安全控制操作包括：用戶利用控制臺(tái)裝載和卸載操作模塊、安裝和刪除軟件等。操作網(wǎng)絡(luò)服務(wù)器的安全控制還包括設(shè)置口令鎖定服務(wù)器控制臺(tái)，主要防止非法用戶修改、刪除重要信息。
• 網(wǎng)絡(luò)監(jiān)控和鎖定控制
  在網(wǎng)絡(luò)系統(tǒng)中，通常服務(wù)器自動(dòng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，如有非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器將以圖形、文字或聲音等形式向網(wǎng)絡(luò)管理員報(bào)警，以便引起警覺(jué)進(jìn)行審查。
• 網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制
  網(wǎng)絡(luò)中服務(wù)器的端口常用自動(dòng)回復(fù)器、靜默調(diào)制解調(diào)器等安全設(shè)施進(jìn)行保護(hù)，并以加密的形式來(lái)識(shí)別結(jié)點(diǎn)的身份。自動(dòng)回復(fù)器主要用于防范假冒合法用戶，靜默調(diào)制解調(diào)器用于防范黑客利用自動(dòng)撥號(hào)程序進(jìn)行網(wǎng)絡(luò)攻擊。

4、訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)則是在授權(quán)的基礎(chǔ)上，進(jìn)一步控制用戶對(duì)系統(tǒng)資源的訪問(wèn)。它根據(jù)用戶的角色和權(quán)限，決定用戶可以訪問(wèn)哪些資源以及可以進(jìn)行哪些操作。常見(jiàn)的訪問(wèn)控制技術(shù)包括：

1. 強(qiáng)制訪問(wèn)控制（Mandatory Access Control）：這是一種基于安全策略的訪問(wèn)控制方法，由系統(tǒng)管理員設(shè)定安全級(jí)別，并按照安全級(jí)別對(duì)資源進(jìn)行訪問(wèn)控制。
2. 自主訪問(wèn)控制（Discretionary Access Control）：這是一種基于用戶身份的訪問(wèn)控制方法，由資源的擁有者自行設(shè)定訪問(wèn)權(quán)限。
3. 基于角色的訪問(wèn)控制（Role-Based Access Control）：這是一種基于用戶角色的訪問(wèn)控制方法，通過(guò)將權(quán)限分配給角色，再將角色分配給用戶，來(lái)實(shí)現(xiàn)訪問(wèn)控制。

1）強(qiáng)制訪問(wèn)控制技術(shù)（Mandatory Access Control）

強(qiáng)制訪問(wèn)控制（MAC），將系統(tǒng)中的信息分密級(jí)和類進(jìn)行管理，以保證每個(gè)用戶只能訪問(wèn)到那些被標(biāo)明可以由他訪問(wèn)的信息的一種訪問(wèn)約束機(jī)制。通俗的來(lái)說(shuō)，在強(qiáng)制訪問(wèn)控制下，主體與客體都被標(biāo)記了固定的安全屬性（如安全級(jí)、訪問(wèn)權(quán)限等），在每次訪問(wèn)發(fā)生時(shí)，系統(tǒng)檢測(cè)安全屬性以便確定該主體是否有權(quán)訪問(wèn)該客體?；谝?guī)則的多級(jí)策略就是一種強(qiáng)制訪問(wèn)控制策略。

2）自主訪問(wèn)控制技術(shù)（Discretionary Access Control）

自主訪問(wèn)控制又被稱為“基于身份的訪問(wèn)控制”，允許合法用戶以用戶或用戶組的身份訪問(wèn)策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問(wèn)客體。自主訪問(wèn)控制模型的特點(diǎn)是授權(quán)的實(shí)施主體（可以授權(quán)的主體、管理授權(quán)的客體、授權(quán)組）自主負(fù)責(zé)賦予和收回其他主體對(duì)客體資源的訪問(wèn)權(quán)限。
在自主訪問(wèn)控制機(jī)制中，存取模式主要有：

• 讀：允許主體對(duì)客體進(jìn)行讀和拷貝的操作。
• 寫(xiě)：允許主體寫(xiě)入或修改信息，包括擴(kuò)展、壓縮機(jī)刪除等。
• 執(zhí)行：允許將客體作為一種可執(zhí)行文件運(yùn)行，在一些系統(tǒng)中該模式還需要同時(shí)擁有讀模式。
• 空模式：主體對(duì)客體不具有任何的存取權(quán)。

自主訪問(wèn)控制的具體實(shí)施可采用以下四種方法：

• 目錄表
  在目錄表訪問(wèn)控制方法中，借用了系統(tǒng)對(duì)文件的目錄管理機(jī)制，為每一個(gè)欲實(shí)施訪問(wèn)權(quán)限的主體建立一個(gè)能被其訪問(wèn)的“客體目錄表（文件目錄表）”。如某個(gè)主體的客體目錄表可能是：
  客體1 ：權(quán)限1 客體2：權(quán)限2…
  客體目錄表中各個(gè)客體的訪問(wèn)權(quán)限的修改只能由該客體的合法屬主確定，不允許其他任何用戶在客體目錄表中進(jìn)行寫(xiě)操作，否則將可能出現(xiàn)對(duì)客體訪問(wèn)權(quán)限的偽造。操作系統(tǒng)必須在客體的擁有者控制下維護(hù)所有的客體目錄。
• 訪問(wèn)控制列表
  訪問(wèn)控制列表是從客體角度進(jìn)行設(shè)置的，是面向客體的訪問(wèn)控制。每個(gè)客體都有一個(gè)訪問(wèn)控制列表，用來(lái)說(shuō)明有權(quán)訪問(wèn)該客體的所有主體及其訪問(wèn)權(quán)限。
• 訪問(wèn)控制矩陣
  訪問(wèn)控制矩陣是對(duì)上面兩種方法的綜合，直觀地看，訪問(wèn)控制矩陣是一張表格，每行代表一個(gè)主體，每列代表一個(gè)客體，表中縱橫對(duì)應(yīng)的項(xiàng)是該主體對(duì)該客體的訪問(wèn)權(quán)集合。
• 能力表
  能力表是訪問(wèn)控制矩陣的改進(jìn)，將矩陣的每一列作為一個(gè)客體而形成一個(gè)存取表，每個(gè)存取表只由主體、訪問(wèn)權(quán)集合組成。

3）基于角色的訪問(wèn)控制技術(shù)（Role-Based Access Control）

基于角色的訪問(wèn)控制（RBAC）是實(shí)施面向企業(yè)安全策略的一種有效的訪問(wèn)控制方式。其基本思想是：對(duì)系統(tǒng)操作的各種權(quán)限不是直接授予具體的用戶，而是在用戶集合與權(quán)限集合之間建立一個(gè)角色集合。每一種角色對(duì)應(yīng)一組相應(yīng)的權(quán)限。一旦用戶被分配了適當(dāng)?shù)慕巧?#xff0c;該用戶就擁有此角色的所有操作權(quán)限。這樣做的好處是，不必在每次創(chuàng)建用戶時(shí)都進(jìn)行分配權(quán)限的操作，只要分配用戶相應(yīng)的角色即可，而且角色的權(quán)限變更比用戶的權(quán)限變更要少得多，這樣將簡(jiǎn)化用戶的權(quán)限管理，減少系統(tǒng)的開(kāi)銷。
在一個(gè)組織內(nèi)部，角色是相對(duì)穩(wěn)定的，而用戶和權(quán)限之間的關(guān)系則是易變的，比如因用戶職務(wù)變化而隨之發(fā)生權(quán)限變化。通過(guò)角色，可以減少授權(quán)管理的復(fù)雜度，降低管理開(kāi)銷，它是傳統(tǒng)訪問(wèn)控制技術(shù)的有效補(bǔ)充。通常角色和用戶組在概念上容易混淆，它們之間有本質(zhì)的區(qū)別，組是用戶的集合，而角色作為中介，既是用戶的集合，又是權(quán)限的集合。
在一個(gè)組織內(nèi)，安全管理員可以根據(jù)完成某項(xiàng)工作所需的權(quán)限，創(chuàng)建適當(dāng)?shù)慕巧?#xff1b;然后根據(jù)用戶所要完成的任務(wù)，授予不同的角色，從而授予訪問(wèn)權(quán)限。用戶與角色，角色與權(quán)限之間關(guān)系都是多對(duì)多的關(guān)系。用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系，角色與一個(gè)或多個(gè)訪問(wèn)權(quán)限相聯(lián)系。用戶根據(jù)自己的需求動(dòng)態(tài)地激活自己擁有的角色，完成特定的任務(wù)，避免誤操作造成的危害。

授權(quán)和訪問(wèn)控制技術(shù)是安全防御的重要組成部分，可以有效防止未經(jīng)授權(quán)的用戶訪問(wèn)系統(tǒng)資源，保護(hù)系統(tǒng)的安全。在實(shí)際應(yīng)用中，需要根據(jù)具體的安全需求和場(chǎng)景，選擇合適的授權(quán)和訪問(wèn)控制技術(shù)，以達(dá)到最佳的安全防護(hù)效果。

---

博客：http://xiejava.ishareread.com/