訪問控制信息

訪問控制信息（Access Control information）包括用戶請求、資源控制器回響或資源控制器之間請求、回響等信息。

訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和複雜的行為，實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應，制止非授權用戶的非授權行為；還要保證敏感信息的交叉感染。為了便於討論這一問題，我們以檔案的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源（檔案或是資料庫），可能的行為有讀、寫和管理。為方便起見，我們用Read或是R表示讀操作，Write或是W表示寫操作，Own或是O表示管理操作。我們之所以將管理操作從讀寫中分離出來，是因為管理員也許會對控制規則本身或是檔案的屬性等做修改，也就是修改我們在下面提到的訪問控制表。

訪問控制表（ACLs：Access Control Lists）是以檔案為中心建立的訪問許可權表，簡記為ACLs。目前，大多數PC、伺服器和主機都使用ACLs作為訪問控制的實現機制。訪問控制表的優點在於實現簡單，任何得到授權的主體都可以有一個訪問表，例如授權用戶A1的訪問控制規則存儲在檔案File1中，A1的訪問規則可以由A1下面的許可權表ACLsA1來確定，許可權表限定了用戶UserA1的訪問許可權。

訪問控制矩陣（ACM：Access Control Matrix）是通過矩陣形式表示訪問控制規則和授權用戶許可權的方法；也就是說，對每個主體而言，都擁有對哪些客體的哪些訪問許可權；而對客體而言，又有哪些主體對他可以實施訪問；將這種關連關係加以闡述，就形成了控制矩陣。其中，特權用戶或特權用戶組可以修改主體的訪問控制許可權。訪問控制矩陣的實現很易於理解，但是查找和實現起來有一定的難度，而且，如果用戶和檔案系統要管理的檔案很多，那么控制矩陣將會成幾何級數增長，這樣對於增長的矩陣而言，會有大量的空餘空間。

能力是訪問控制中的一個重要概念，它是指請求訪問的發起者所擁有的一個有效標籤（ticket），它授權標籤表明的持有者可以按照何種訪問方式訪問特定的客體。訪問控制能力表（ACCLs：Access Control Capabilitis Lists）是以用戶為中心建立訪問許可權表。例如，訪問控制許可權表ACCLsF1表明了授權用戶UserA對檔案File1的訪問許可權，UserAF表明了UserA對檔案系統的訪問控制規則集。因此，ACCLs的實現與ACLs正好相反。定義能力的重要作用在於能力的特殊性，如果賦予哪個主體具有一種能力，事實上是說明了這個主體具有了一定對應的許可權。能力的實現有兩種方式，傳遞的和不可傳遞的。一些能力可以由主體傳遞給其他主體使用，另一些則不能。能力的傳遞牽扯到了授權的實現，我們在後面會具體闡述訪問控制的授權管理。

安全標籤是限制和附屬在主體或客體上的一組安全屬性信息。安全標籤的含義比能力更為廣泛和嚴格，因為它實際上還建立了一個嚴格的安全等級集合。訪問控制標籤列表（ACSLLs： Access Control Security Labels Lists）是限定一個用戶對一個客體目標訪問的安全屬性集合。安全標籤能對敏感信息加以區分，這樣就可以對用戶和客體資源強制執行安全策略，因此，強制訪問控制經常會用到這種實現機制。

訪問控制實現的具體類別訪問控制是網路安全防範和保護的重要手段，它的主要任務是維護網路系統安全、保證網路資源不被非法使用和非常訪問。通常在技術實現上，包括以下幾部分：

（1）接入訪問控制：接入訪問控制為網路訪問提供了第一層訪問控制，是網路訪問的最先屏障，它控制哪些用戶能夠登錄到伺服器並獲取網路資源，控制準許用戶入網的時間和準許他們在哪台工作站入網。例如，ISP服務商實現的就是接入服務。用戶的接入訪問控制是對合法用戶的驗證，通常使用用戶名和口令的認證方式。一般可 分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證和用戶帳號的預設限制檢查。
（2）資源訪問控制：是對客體整體資源信息的訪問控制管理。其中包括檔案系統的訪問控制（檔案目錄訪問控制和系統訪問控制）、檔案屬性訪問控制、信息內容訪問控制。檔案目錄訪問控制是指用戶和用戶組被賦予一定的許可權，在許可權的規則控制許可下，哪些用戶和用戶組可以訪問哪些目錄、子目錄、檔案和其他資源，哪些用戶可以對其中的哪些檔案、目錄、子目錄、設備等能夠執行何種操作。

系統訪問控制是指一個網路系統管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問；應設定口令鎖定伺服器控制台，以防止非法用戶修改、刪除重要信息或破壞數據；應設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔；應對網路實施監控，記錄用戶對網路資源的訪問，對非法的網路訪問，能夠用圖形或文字或聲音等形式報警等。檔案屬性訪問控制：當用檔案、目錄和網路設備時，應給檔案、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與要訪問的檔案、目錄和網路設備聯繫起來。
（3）網路連線埠和節點的訪問控制：網路中的節點和連線埠往往加密傳輸數據，這些重要位置的管理必須防止黑客發動的攻擊。對於管理和修改數據，應該要求訪問者提供足以證明身份的驗證器（如智慧卡）

上面提到的三種機制類型——訪問控制列表、能力和安全標籤，傳統上認為是三種截然不同的實施訪問控制的途徑。然而，人們越來越發現現代網路控制機制不能簡單地劃分為三種類型中的某一種。它們大多數都包含了至少兩種類型的特點。三種類型機制和它們的變種均是一個基於一般的信息模型的訪問控制機制的特例。訪問控制決策要根據它們包含的各種類型的訪問控制信息，特別是，屬於發起者的信息和屬於目標的信息。屬於發起者的信息直接關聯著發起者，它來源於發起者的區域。屬於目標的信息直接關聯著目標，它來源於目標區域。

表中示範了訪問控制信息在訪問控制列表機制、安全標籤和能力機制中是如何映射到屬於發起者的信息和屬於目標的信息。對於訪問控制列表，唯一需要的屬於發起者的信息是有關發起者身份的標識，同時在屬於目標的信息中有真實的記錄描述發起者許可。相反，對於能力機制，真實的屬於發起者的信息在產生能力時要用到，唯一需要的屬於目標的信息是關於目標身份的標識。安全標籤機制介於上述兩者之問，它需要屬於發起者的信息比訪問控制列表多，需要屬於目標的信息比能力機制強。

一個訪問控制機制的有效性完全依賴於用於作訪問控制決策的信息的準確度和可信度。最為關心的是確保描述訪問控制策略的信息只能由適當的授權者獨自產生或修改。因此，這樣的信息即使在一個比最終保護目標的級別還要敏感的級別上也要服從於它自己的訪問控制策略和它自己的訪問控制保護機制。

例如，對於一個給定的關於目標X的訪問控制列表，確定誰能修改這個訪問控制列表是必要的。這可以由包含在表中的一個不同類型的許可(也稱作控制許可)來完成，例如修改一ACL。因為其內在的特別的敏感性，一般要求控制許可在邏輯上要與目標訪問許可有明顯的區別。

在一個網路環境中，為了在訪問控制決策組件中可利用，訪問控制信息需要在訪問請求之前或隨同訪問請求一起在系統之間傳遞。所有這些通信需要通過完整性和數據起源認證服務來保護。通常沒有必要由機密性服務來保護訪問控制信息，但是在某些環境下也是需要的。為了滿足完整性和數據起源認證的需求，訪問控制信息通常以訪問控制證書的形式傳遞，該證書由某一信任它們的用戶信息(如決策組件)的機構簽名。一個特權屬性證書(PAC)就是一個在分散式計算機環境中利用的訪問控制證書類型。當一個用戶工作站首次登錄一個網路時，它利用特權屬性伺服器執行一些處理來為這個用戶得到一個包含特權信息的證書，例如，可認證的名字、角色成員、能力、安全標籤。這個證書隨後出示給和用戶連線的目標主機系統，那裡它作為進行訪問控制決策的輸入信息。無論是在存儲中還是在處理過程中，都必須保護訪問控制信息的完整性。因此，需要經常考慮適當的套用計算安全和物理安全措施。

在下面情況下，訪問控制信息可能需要撤銷：

①從一個安全區域去掉一個用戶；

②從一個安全區域去掉一個目標；

③改變一個用戶或目標的安全屬性，如消除級或密級的改變；

④懷疑敏感信息受到安全危及，如一個簽署機構的私鑰。

這樣的撤銷經常需要立即(也就是在下一次企圖用這個信息進行訪問之前)被警告。更進一步講，撤銷一個許可可能需要立即掛起那些依靠這個許可的發起者正在進行的活動。

例如，一個發起者正在資料庫上進行一系列的操作，被確定他先前被準予訪問資料庫時所用的訪問控制證書有一個偽造的簽名，那么這一系列操作需要馬上停止。除非設計訪問控制實施時十分仔細，否則撤銷會非常困難。假設在一個使用訪問控制列表的環境中，一個用戶從一個安全區域被刪除。如果沒有關於支持這個用戶進入所有訪問控制列表的完整知識，要想系統地執行撤銷是不可能的。

當一個用戶或一個目標的標識符可能以後被一個新用戶或新目標用到時，去掉一個用戶或目標需要特別注意。假如D．Feng離開一個公司，過了一段時間，一個新的D．Feng加入公司。如果依然存在一些允許原先的D．Feng進入的荒廢的訪問控制列表，那么新來的D．Feng可能會得到一些意外的訪問許可。

通常，安全標籤是限制在一個傳達的或存儲的數據項這樣的目標上的一組安全屬性信息項。在訪問控制機制中，安全標籤是屬於用戶、目標、訪問請求或傳輸的一個訪問控制信息。作為一種訪問控制機制的安全標籤最通常的用途是支持多級訪問控制策略。在發起者的環境中，標籤是屬於每個訪問請求以識別發起者的等級。標籤的產生和附著過程必須可信，而且必須同時跟隨一個把它以安全的方式束縛在一個訪問請求的傳輸上。每個目標都有一個屬於它的標記來確定它的密級。在處理一個訪問請求時，目標環境比較訪問請求上的標籤和目標上的標籤，套用策略規則(Bell Ioapadula規則)決定是允許還是拒絕訪問。

典型的標籤比上面建議的複雜得多，它還包含做訪問控制決策時所用到的額外屬性。像這樣的屬性含有處理和分發警告、間隔指示器、定時限制、發起者識別等信息。標籤還包含安全策略/機構識別和在驗證、審計中所用到的標識符。