访问控制模型简介

访问控制在计算机系统中，认证、访问控制和审计共同建立了保护系统安全的基础。

认证是用户进入系统的第一道防线，访问控制是鉴别用户的合法身份后，控制用户对数据信息的访问。

访问控制是在身份认证的基础上，依据授权对提出请求的资源访问请求加以控制。

访问控制是一种安全手段，既能够控制用户和其他系统和资源进行通信和交互，也能保证系统和资源未经授权的访问，并为成功认证的用户授权不同的访问等级。

访问控制包含的范围很广，它涵盖了几种不同的机制，因为访问控制是防范计算机系统和资源被未授权访问的第一道防线，具有重要地位。

提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。

一旦用户登录之后需要访问文件时，文件应该有一个包含能够访问它的用户和组的列表。

不在这个表上的用户，访问将会遭到拒绝。

用户的访问权限主要基于其身份和访问等级，访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。

访问控制模型是一种从访问控制的角度出发，描述安全系统并建立安全模型的方法。

主要描述了主体访问客体的一种框架，通过访问控制技术和安全机制来实现模型的规则和目标。

可信计算机系统评估准则（TCSEC）提出了访问控制在计算机安全系统中的重要作用，TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。

访问控制在准则中被分为两类：自主访问控制（DiscretionaryAccess Control,DAC ）和强制访问控制（Mandatory Access Control ，MAC ）。

近几年基于角色的访问控制（Role-based Access Control ，RBAC ）技术正得到广泛的研究与应用。

访问控制模型分类自主访问控制自主访问控制（DAC ），又称任意访问控制，是根据自主访问控制策略建立的一种模型。

允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体。

某些用户还可以自主地把自己拥有的客体的访问权限授予其他用户。

第五讲访问控制罗守山北京邮电大学计算机学院内容提要♦1. 概述♦2. 自主型安全（访问控制）模型♦3 强制访问控制模型♦4 基于角色的访问控制模型♦5 访问控制中的安全策略与信任机制♦访问控制是安全服务的一个重要组成部分。

–所谓访问控制，就是通过某种途径显式地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户的侵入或者合法用户的不慎操作造成破坏。

–国际标准化组织（ISO）在网络安全标准ISO7498-2中定义了5种层次型安全服务，即：身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务，因此，访问控制是信息安全的一个重要组成部分。

1.概述访问控制系统一般包括：1)主体(Subject)：是可以对其它实体施加动作的主动实体，简记为S。

有时我们也称为用户（User）或访问者（被授权使用计算机的人员），记为U。

主体的含义是广泛的，可以是用户所在的组织（称为用户组）、用户本身，也可是用户使用的计算机终端、卡机、手持终端（无线）等，甚至可以是应用服务程序程序或进程；2)客体(Object)：被调用的程序或欲存取的数据访问,是接受其他实体访问的被动实体, 简记为O。

客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。

在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体；3)安全访问规则：用以确定一个主体是否对某个客体拥有访问权力。

是主体对客体的操作行为集和约束条件集, 简记为KS。

简单讲，控制策略是主体对客体的访问规则集，这个规则集直接定义了主体对可以的作用行为和客体对主体的条件约束。

访问策略体现了一种授权行为，也就是客体对主体的权限允许，这种允许不超越规则集，由其给出。

访问控制系统三个要素之间的行为关系见下图。

♦可以使用三元组（S，O，P）来表示，其中S表示主体，O表示客体，P表示许可。

RBAC(Role Based Access Control)访问控制是通过某种途径显示的准许或限制访问能力及范围，从而限制对目标资源的访问，防止非法用户的侵入或合法用户的不慎操作所造成的破坏[2]。

目前流行的访问控制模型有自主访问控制模型(Discretionary Access Control,DAC)、强制访问控制模型(Mandatory Access Control, MAC)和基于角色的访问控制模型(Role-Based Access Control,RBAC)。

自主访问控制是访问控制技术中最常见的一种方法，允许资源的所有者自主地在系统中决定可存取其资源客体的主体，此模型灵活性很高，但安全级别相对较低；强制访问控制是主体的权限和客体的安全属性都是固定的，由管理员通过授权决定一个主体对某个客体能否进行访问。

无论是DAC 还是MAC 都是主体和访问权限直接发生关系，根据主体/客体的所属关系或主体/客体的安全级别来决定主体对客体的访问权，它的优点是管理集中，但其实现工作量大、不便于管理，不适用于主体或客体经常更新的应用环境。

RBAC是一种可扩展的访问控制模型，通过引入角色来对用户和权限进行解耦，简化了授权操作和安全管理，它是目前公认的解决大型企业的统一资源访问控制的有效访问方法，其 2 个特征是：(1) 由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，从而减小授权管理的复杂性，降低管理开销；(2)灵活地支持企业的安全策略，并对企业变化有很大的伸缩性。

2.2 RBAC 模型的基本思想在 RBAC 模型中，角色是实现访问控制策略的基本语义实体。

系统管理员可以根据职能或机构的需求策略来创建角色、给角色分配权限并给用户分配角色，用户能够访问的权限由该用户拥有的角色权限集合决定，即把整个访问控制过程分成2步：访问权限与角色相关联，角色再与用户关联，从而实现用户与访问权限的逻辑分离。

RBAC 模型引入了Role的概念,目的是为了隔离User(即动作主体，Subject)与Pr ivilege(权限，表示对Resource的一个操作，即Operation+Resource)，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。

一、用户、角色、许可
图4.14用户、角色、许可的关系
图4.15角色继承的实例
二、角色继承
三、角色分配与授权
四、角色限制
五、角色激活
RBAC模型也存在着一定的缺陷，有待进一步的改善和提高，如角色等级的存在，上级角色可拥有下级角色的权限，简化管理，本身可以有效的降低维护的难度，这主要通过树型结构来表示。

但是这也使得我们在实施权限的验证时，要对角色层次结构进行遍历和查找，这会降低模型的工作效率，尤其是在树型结构复杂时更为明显，造成对系统整体性能的影响。

访问控制模型
访问控制模型分类
访问策略规则、访问主体和访问客体三者是访问控制系统的基本条件。

访问主体：在信息环境中，对目标信息的获取通常是由访问主体发起的，访问主体需要遵循相应的规则，从而可以访问一定的客体。

通常访问主体是用户开发和使用的应用程度。

访问客体：在信息系统中，客体可以被主体进行一定的访问行为操作。

通常访问客体是用户文件、数据库等。

安全访问策略：是为了保护信息安全性而制定的策略规则，规定了主体是否可以访问客体以及可以使用何种方式对客体进行访问。

自主访问控制
访问控制矩阵 访问控制模型自主访问控制模型（DAC ）强制访问控制模型（MAC ）基于角色访问控制模型（RBAC ）保密性模型访问控制列表（ACL ）
权能列表（Capacity List ）
访问矩阵模型混合策略模型
完整性模型Bell-Lapudula 模型
Biba 模型Clark-Wilson 模型
Chinese Wall 模型
访问控制列表
强制访问控制Bell-Lapudula 模型
基于角色的访问控制。