2022/12/211計算機安全

ComputerSecurity2022/12/212訪問控制策略

2022/12/213提要訪問控制原理訪問控制策略安全核技術的理論基礎引用監控器引用監控器與安全核的關系引用監控器及安全核的使用原則引用監控器模型的缺點訪問控制原理2022/12/215訪問控制是依據一套為信息系統規定的安全策略和支持這些安全策略的執行機制實現的。將兩者分開討論的益處：1.獨立地討論系統的訪問要求，不與這些要求如何實現聯系起來。2.可比較和對比不同的訪問控制策略和執行同樣策略的不同機制。3.允許我們設計一個有能力執行多種策略的機制。概念通常應用在操作系統的安全設計上。定義：在保障授權用戶能獲取所需資源的同時拒絕非授權用戶的安全機制。目的：為了限制訪問主體對訪問客體的訪問權限，從而使計算機系統在合法范圍內使用；它決定用戶能做什么，也決定代表一定用戶身份的進程能做什么。未授權的訪問包括：未經授權的使用、泄露、修改、銷毀信息以及頒發指令等。非法用戶進入系統。合法用戶對系統資源的非法使用。訪問控制模型基本組成任務識別和確認訪問系統的用戶。決定該用戶可以對某一系統資源進行何種類型的訪問。訪問控制與其他安全服務的關系模型引用監控器身份認證訪問控制授權數據庫用戶目標目標目標目標目標審計安全管理員訪問控制決策單元訪問矩陣定義客體(O)主體(S)權限(A)讀(R)寫(W)擁有(Own)執行(E)更改(C)

舉例MEM1MEM2File1File2File3File4User1r,w,eo,r,eUser2r,w,eo,r,e問題：稀疏疏矩陣，浪浪費空間。。訪問控制類類型自主訪問控制強制訪問控制基于角色訪問控制訪問控制自主訪問控控制基于對主體體或主體所所屬的主體體組的識別別來限制對對客體的訪訪問，這種種控制是自自主的。自主指主體體能夠自主主地將訪問問權或訪問問權的某個個子集授予予其他主體體。如用戶A可將其對對目標O的的訪問權限限傳遞給用用戶B,從從而使不具具備對O訪訪問權限的的B可訪問問O。缺點：信息在移動動過程中其其訪問權限限關系會被被改變：安安全問題訪問控制表表（AccessControlList）基于訪問控控制矩陣列的自主訪問問控制。每個客體都有一張ACL，用于說明明可以訪問問該客體的的主體及其其訪問權限限。舉例：oj表示客體體j，si.rw表示主體體si具有rw屬性。s0.rs1.es2.rwoj問題：主體、客客體數量量大，影影響訪問問效率。。解決：引入用戶戶組，用用戶可以以屬于多多個組。。主體標識識=主體.組名如Liu.INFO表示INFO組的liu用戶。*.INFO表示所有有組中的的用戶。。*.*表示所有有用戶。。liu.INFO.rw表示對INFO組的用戶戶liu具有rw權限。*.INFO.rw表示對INFO組的所有有用戶具具有rw權限。*.*.rw表示對所所有用戶戶具有rw權限。Liu.INFO.r*.INFO.e*.*.rwoj訪問能力力表（（AccessCapabilitiesList）基于訪問問控制矩矩陣行的自主訪訪問控制制。為每個主主體（用用戶）建建立一張張訪問能能力表，，用于表表示主體體是否可可以訪問問客體，，以及用用什么方方式訪問問客體。。舉例：強制訪問問控制為所有主主體和客客體指定定安全級級別，比比如絕密密級、機機密級、、秘密級級、無秘秘級。不同級別別的主體體對不同同級別的的客體的的訪問是是在強制制的安全全策略下下實現的的。只有安全管理理員才能修改改客體訪問權權和轉移控制制權。（對客客體擁有者也也不例外）MAC模型絕密級機密級秘密級無秘級寫寫讀讀完整性保密性安全策略保障信息完整整性策略級別低的主體體可以讀高級級別客體的信信息（不保密密），級別低低的主體不能能寫高級別的的客體（保障障信息完整性性）保障信息機密密性策略級別低的主體體可以寫高級級別客體的信信息（不保障障信息完整性性），級別低低的主體不可可以讀高級別別的客體（保保密）舉例：Multics操作系統的訪訪問控制（保保密性策略））：僅當用戶的安安全級別不低低于文件的安安全級別時，，用戶才可以以讀文件；僅當用戶的安安全級別不高高于文件的安安全級別時，，用戶才可以以寫文件；舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色的訪訪問控制起源于UNIX系統或別的操操作系統中組組的概念（基基于組的自主主訪問控制的的變體）每個角色與一一組用戶和有有關的動作相相互關聯，角角色中所屬的的用戶可以有有權執行這些些操作角色與組的區區別組：一組用戶戶的集合角色：一組用用戶的集合+一組操作權限限的集合適合專用目的的的計算機系系統，比如軍軍用計算機系系統。RBAC模型用戶角色權限訪問控制資源1、認證2、分派3、請求4、分派5、訪問一個基于角色色的訪問控制制的實例在銀行環境中中，用戶角色色可以定義為為出納員、分行行管理者、顧顧客、系統管管理者和審計計員訪問控制策略略的一個例子子如下：（1）允許一個出出納員修改顧顧客的帳號記記錄（包括存存款和取款、、轉帳等），，并允許查詢詢所有帳號的的注冊項（2）允許一個分分行管理者修修改顧客的帳帳號記錄（包包括存款和取取款，但不包包括規定的資資金數目的范范圍）并允許許查詢所有帳帳號的注冊項項，也允許創創建和終止帳帳號（3）允許一個顧顧客只詢問他他自己的帳號號的注冊項（4）允許系統的的管理者詢問問系統的注冊冊項和開關系系統，但不允允許讀或修改改用戶的帳號號信息（5）允許一個審審計員讀系統統中的任何數數據，但不允允許修改任何何事情系統需要添加加出納員、分分行管理者、、顧客、系統統管理者和審審計員角色所所對應的用戶戶，按照角色色的權限對用用于進行訪問問控制。2022/12/2030保護系統的訪訪問矩陣模型型操作系統的訪訪問矩陣模型型是由lampsonDenning在20世紀70年代初提出，，后經Graham和Denning相繼改進的。。數據庫系統的的訪問矩陣模模型是Coway在Cornell大學提出的。。2022/12/2031保護系統的訪訪問矩陣模型型模型是用狀態和狀狀態轉換的概概念定義。其其中的狀態是是用訪問矩陣陣表示的，狀狀態轉換是用用命令描述的的。該模型的的特點：簡明：易懂、易理理解、易證明明；通用：有能力綜合合不同策略和和應用于多種種實現；精確：有能力忠實實地反映策略略和系統形態態；與數據式樣無無關。2022/12/2032保護護系系統統的的訪訪問問矩矩陣陣模模型型訪問問矩矩陣陣模模型型是是描描述述保保護護系系統統的的一一種種有有效效手手段段，，能能夠夠應應用用在在以以下下方方面面：：1.為研研究究提提供供框框架架：可可為為安安全全理理論論研研究究提提供供一一個個基基礎礎，，允允許許研研究究者者把把注注意意力力集集中中在在問問題題突突出出的的特特型型上上，，毋毋需需顧顧及及實實現現細細節節；；2.用作作設設計計工工具具：即即用用于于概概括括在在構構造造的的系系統統的的實實現現目目標標，，以以指指導導設設計計；；3.證明明““設設計計與與實實現現””的的正正確確性性工工具具：因因為為模模型型是是形形式式化化的的，，允允許許做做出出形形式式斷斷言言并并對對其其進進行行改改進進；；4.用作作教教育育工工具具：：形式式化化模模型型免免去去了了自自然然語語言言陳陳述述的的模模糊糊性性，，同同時時它它不不反反映映系系統統的的細細節節，，容容易易理理解解其其實實質質；；5.用作作比比較較和和評評估估的的工工具具。。2022/12/2033訪問問矩矩陣陣模模型型三類類要要素素：：系統統中中的的客體體集集O，是是系系統統中中被被訪訪問問因因而而也也是是被被保保護護的的對對對對象象，，如如文文件件、、程程序序、、存存儲儲區區等等；；每每一一個個客客體體o∈∈O可由由它它們們的的名名字字唯唯一一地地標標識識別別與與識識別別；；系統統中中的的主體體集集S，是是系系統統中中訪訪問問操操作作的的發發起起者者，，如如用用戶戶、、進進程程、、執執行行域域等等；；每每一一個個主主體體s∈∈S可由由它它們們的的名名字字唯唯一一地地標標識識別別與與識識別別；；鑒鑒于于主主體體和和客客體體之之間間存存在在控控制制與與被被控控制制的的關關系系，，故故認認為為主主體體也也是是一一種種類類型型的的客客體體，，因因此此有有S∈∈O；系統統中中主主體體對對客客體體的的訪問問權權限限集集合合R，O、S、R三者者之之間間的的關關系系是是以以矩矩陣陣A的形形式式表表示示的的，，它它的的行對應應某某個個主主體體，，列對應應某某個個客客體體，，集集合合R是矩矩陣陣的的項項（（元元素素））的的集集合合，，每每個個項項用用A[s,o]表示示，，其其中中存存放放著著主主體體s對客客體體o的訪訪問問權權或或某某些些特特權權。。2022/12/2034訪問問矩矩陣陣模模型型一個個實實例例：：M1M2F1F2P1P2P1r,w,eown,r,ep2r,w,eown,r,e2022/12/2035訪問控制的的概念是與與安全核技技術聯系在在一起的。。1971年，Lampson提出了引用監控器器的設想。其其思想是所所有主體必必須根據系系統存取授授權表來實實現對客體體的存取，，對客體的的每次存取取以及授權權的改變都都必須通過過引用監控控器。1972年，RorerSchell提出了安全核的概念，并并把它定義義為實現引用監監控器的軟軟件與硬件件。1974年，Mitre證實了構筑筑安全內核核的可能性性。2022/12/2036訪問矩陣模模型數據庫系統統的訪問矩矩陣模型主體通常是是用戶，客客體是文件件、關系、、記錄或記記錄中的字段。。每一項A[s,o]是一條訪問規則，說明用戶戶s可以訪問客客體o的條件和允允許s在o上完成的運運算。訪問規則是是訪問權概概念的推廣廣。規則可以以說明內容無關條條件（即能否訪訪問的條件件與被訪問問的客體的的內容無關關）或內容相關條條件。其他還有有時間相關關、上下文文相關、歷歷史相關等等。2022/12/2037訪問矩陣模模型數據庫系統統的訪問矩矩陣模型數據庫的訪訪問規則通通常用四元元組（s,o,r,p）形式給出出，其中p是謂詞表達達的相關條條件。例如如：工資管管理員只能能讀月工資資不大于200元的雇員的的屬性表示示為：（s,o,r,p）=（工資管理理員，EMPLOEE，READ，SALARY≤200）2022/12/2038安全核與引引用監控器器2022/12/2039引用監視器器（ReferenceMonitor）最簡單的訪訪問控制模模型是引用監視器器，好比用戶戶與目標之之間帶護衛衛的大門。。引用監視器器的概念是是與安全核核技術聯系系在一起的的。安全核是RogerSchell在1972年首次提出出的，并把把它定義為為引用監視器器的軟件與與硬件。在后來的的發展中把把引用監視視器作為是是用安全核核技術的保保護系統的的模型，它它是負責實實施系統安安全策略的的硬件與軟軟件的復合合體。2022/12/2040引用監控器與與安全核的關關系引用監控器只是一個學術術概念，并并不涉及實現現它的具體方方法。安全核則是一種實現現引用監控器器的技術。雖雖然還有其它它系統構造方方法也能夠滿滿足引用監控控器的要求，，但是沒有有一種方法像像安全核那樣樣普遍。因此，常常把把引用監控器器的概念與安安全核等同看看待，特別是是在討論原理理性問題時，，這兩個術語語常常可以互互換使用。2022/12/2041安全核技術的的理論基礎在一個大的操操作系統內，，只有相對比比較小的一部部分軟件負責責實施系統安安全。通過對操作系系統的重構，，將與安全有有關的軟件隔隔離在操作系系統的一個可可信核內，而而操作系統的的大部分軟件件無需負責系系統安全。安全核部分包括硬件與一一個鑲嵌的硬硬件與操作系系統之間的軟軟件層，這這些軟／硬件件是可信的，，并且位于于安全防線之之內；與此此對應的，操操作系統位位于安全防線線之外，與應應用程序結合合在一起，是是不可信的。。2022/12/2042在絕大多數數情況下，，安全核就是一個初初級的操作作系統。安安全核為操操作系統提提供服務，，正如操作作系統為應應用程序提提供服務一一樣。同時，正如如操作系統統對應用程程序設置一一些必要的的限制一樣樣，安全核核對操作系系統也要提提出一些限限制，雖然然操作系統統在實施由由安全核實實現的安全全策略方面面不起任何何作用，但但操作系統統要保證系系統的運行行并且要防防止由于程程序錯誤或或惡性程序序引起的拒拒絕服務，，在應用用程序或操操作系統中中的任何錯錯誤都不能能違反安全全策略。2022/12/2043在構造高度度安全的操操作系統時時，安全核技術術是目前唯唯一最常用用的技術。但這并不不是說可以以很容易地地買到一個個或者可以以十分容易易地構造一一個安全核核，也不是是說基于安安全核的系系統就是最最安全的。。2022/12/2044引用監控器器模型引用監控器器是負責實實施系統安安全策略的的硬件與軟軟件的組合合體，可看看作是使用用安全核技技術的保護護系統的模模型。引用監控器器的關鍵作作用是要對對主體到到到客體的每每一次訪問問都要實施施控制，并并對每一次次訪問活動動進行審計計記錄，當用戶需要要訪問目標標的時候，，首先向監監控器提出出訪問請求求，監控器器根據用戶戶請求核查查訪問者的的權限，以以便確定是是否允許這這次訪問。。2022/12/2045引用用監監控控器器用用來來處處理理資資源源的的訪訪問問控控制制這這一一特特定定的的安安全全要要求求。。這里里安安全全策策略略的的具具體體體體現現是是訪訪問問判判定定，，而而訪訪問問判判定定則則以以訪訪問問控控制制數數據據庫庫中中的的抽抽象象信信息息為為依依據據。。在在訪訪問問控控制制數數據據庫庫中中，，抽抽象象信信息息包包括括系系統統的的安安全全狀狀態態以以及及安安全全屬屬性性與與訪訪問問權權限限等等信信息息，，體體現現了了系系統統的的安安全全控控制制條條件件。。訪訪問問控控制制數數據據庫庫，，它它隨隨著著主主、、客客體體的的增增加加與與刪刪除除以以及及訪訪問問權權限限與與安安全全屬屬性性的的改改變變而而改改變變。。2022/12/2046對訪訪問問控控制制數數據據庫庫的的任任何何修修改改都都要要按按一一定定的的安安全全策策略略受受引引用用監監控控器器的的控控制制。。所所有有主主體體對對客客體體的的訪訪問問都都要要利利用用存存于于訪訪問問控控制制數數據據庫庫中中的的訪訪問問控控制制信信息息，，并并根根據據引引用用監監控控器器中中的的安安全全策策略略由由引引用用監監控控器器進進行行監監督督和和限限制制。。系系統統中中發發生生的的重重要要安安全全事事件件都都存存于于審審計計文文件件中中，，以以便便跟跟蹤蹤、、分分析析和和審審計計。。2022/12/2047在計計算算機機出出現現的的初初期期，，曾曾使使用用監監控控器器來來識識別別系系統統中中的的程程序序，，它它控控制制著著其其它它程程序序的的運運行行。。隨隨著著系系統統功功能能的的不不斷斷提提高高，，監監控控器器變變得得越越來來越越大大，，又又開開始始把把它它稱稱作作操操作作系系統統。。而而監監控控器器這這個個術術語語只只用用來來表表示示初初級級的的操操作作系系統統。。引引用用監監控控器器是是一一種種特特殊殊的的監監控控器器，，它它僅僅負負責責控控制制對對系系統統資資源源的的訪訪問問。。通通常常，，與與安安全全有有關關的的其其它它系系統統功功能能也也位位于于安安全全防防線線內內，，但但它它們們并并不不是是引引用用監監控控器器的的組組成成部部分分，，一一般般把把它它們們稱稱作作可可信信系系統統功功能能。。在在系系統統安安全全防防線線外外的的所所有有系系統統功功能能都都由由操操作作系系統統來來管管理理。。2022/12/2048引用用監監控控器器及及安安全全核核的的使使用用原原則則引用用監監控控器器及及其其對對應應的的安安全全核核必必須須滿滿足足以以下下三三個個原原則則：：完備備性性原原則則隔離離性性原原則則可驗驗證證性性原原則則2022/12/2049完備備性性原原則則主體體在在沒沒有有對對安安全全內內核核的的引引用用監監控控器器請請求求并并獲獲準準時時，，不不能能訪訪問問客客體體。。也也就就是是講講，，所所有有的的信信息息訪訪問問都都必必須須經經過過安安全全內內核核。。完備備性性原原則則要要求求支支持持安安全全內內核核結結構構的的系系統統硬硬件件必必須須保保證證任任何何程程序序都都要要經經過過安安全全核核的的控控制制進進行行訪訪問問。由于于內內核核必必須須使使各各個個進進程程獨獨立立，，并并保保證證未未通通過過內內核核檢檢查查的的各各進進程程不不能能相相互互聯聯系系，，因因此此，，若若一一臺臺機機器器的的硬硬件件允允許許所所有有進進程程不不加加約約束束就就能能訪訪問問物物理理內內存存的的公公共共頁頁面面，，這這種種機機器器就就不不適適合合于于建建立立安安全全內內核核。。2022/12/2050隔離離性性原原則則它本本身身不不能能校校篡篡改改。。隔離離性性要要求求內內核核有有防防篡篡改改能能力力。實實現現時時必必須須將將映映射射引引用用監監控控器器的的安安全全核核與與外外部部系系統統嚴嚴密密地地隔隔離離起起來來，，以以防防止止進進程程對對安安全全核核進進行行非非法法修修改改。。實實現現隔隔離離性性原原則則也也需需要要硬硬件件與與軟軟件件的的支支持持。。硬硬件件的的作作用用是是使使內內核核能能防防止止用用戶戶程程序序訪訪問問內內核核代代碼碼和和數數據據，，這這與與完完整整性性原原則則中中內內核核防防止止進進程程之之間間非非法法通通信信是是屬屬于于同同一一種種內內存存管管理理機機制制。。此外外，，還還必必須須防防止止用用戶戶程程序序執執行行內內核核用用于于內內存存管管理理的的特特權權指指令令。。當當然然，，這這些些對對內內存存訪訪問問的的控控制制可可以以多多層層環環域域技技術術來來實實現現，，也也可可以以把把內內核核代代碼碼裝裝入入系系統統的的ROM中來來提提供供更更強強的的隔隔離離性性。。2022/12/2051驗證性原則它本身的正確確性能得到證證明或驗證。。為了滿足可驗驗證性，引用用監控器模型型應該能夠精精確地定義安安全的含義，，盡可能地從從中盡量剔除除與安全無關關的功能，使使內核盡可能能小，盡可能能使內核接口口功能簡單明明快。并且還還要證明模型型中的功能與與安全的定義義是一致的。。為了使內核具具有可驗證性性，應當支持持安全內核可可驗證性的基基本技術是建建立安全內核核的數學模型型，然后對模模型進行形式式化的或者非非形式化的一一致性論證。。模型的構造造方法應該有有利于使模型型本身的安全全性得到某種種相應的證明明。2022/12/2052實踐中的問題題剛提出引用監監控器概念時時，人們認為為能夠構造一一個足夠小的的安全核來窮窮盡測試驗證證，且認為模模型與實現間間的一致性可可通過測試由由模型所定義義的系統的所所有安全狀態態來證明，至至少可以使足足夠多的狀態態滿足測試要要求，使得安安全漏洞幾乎乎不可能出現現。但從實際中看看，除非安全全核具有簡單單功能，否則則要想進行全全面徹底的測測試是不可能能的。迄今為為止，沒有哪哪個大系統能能完全滿足上上述所有三項項原則。此外，單純的的測試還不足足以證明安全全核的安全性性，還必須進進行模型到代代碼之間的一一致性驗證。。因此，引用監監控器方法是是盡可能遵循循這三項原則則，但任何人人都不能擔保保一個基于安安全內核的系系統是完全絕絕對安全的。。2022/12/2053引用監控器模模型的缺點引用監控器模模型的優點是是易于實現。。但有以下不不足：引用監控器主主要還是作為為單級安全模型型使用的，受監監視的目標要要么允許被訪訪問，要么不不允許被訪問問。受監控的的目標只有簡簡單的安全性性，即二級安安全性。監視視器模型不適適應更復雜的的安全要求。。2022/12/2054系統中所有對對受監控目標標的訪問要求求都由監控器器檢查核實，，監控程序將將被頻繁調用用，這將使監監控器可能成成為整個系統統的瓶頸，影影響系統效率率。如果允許許監視器記錄錄下某用戶第第一次訪問時時用戶的權限限信息，以便便在該用戶以以后的訪問中中直接查詢這這些權限信息息。雖然這樣樣可以加快訪訪問速度，但但這種處理方方法容易產生生安全漏洞，，不能滿足高高安全級別系系統的要求。。例如C2級系統就要求求對每一個主主體的每一次次訪問都必須須進行身份核核查。2022/12/2055監控器只能控控制直接訪問問，不能控制制間接訪問。。假設只有用用戶A有權接收機要要文件并負責責登記工作，，把收到的文文件標題與收收到日期記錄錄到計算機文文件FILE中；用戶B無權接收機要要文件，也無無權閱讀FILE的內容，但有有權瀏覽文件件目錄和文件件的屬性（如如文件長度、、修改日期等等）。用戶B可以根據FILE文件的修改日日期和文件的的長度變化判判斷用戶A是否收到新的的機要文件。。監控器模型型無法不讓B間接獲得這種種信息。這是是一種信息流流控制問題，，我們將在以以后討論。2022/12/2056也有不不少系系統采采用安安全核核技術術去實實現多多級安安全功功能，，實現現BLP模型的的自主主與強強制安安全策策略。。安全全核技技術一一般提提供兩兩種典典型的的支持持自主主訪問問控制制的功功能：：提供一一種直直接的的核調調用，，它允允許一一個用用戶（（或一一個進進程））對某某個客客體設設置訪訪問權權；對主體體到客客體的的每一一次訪訪問都都按所所設置置的訪訪問權權進行行訪問問監控控。根根據自自主訪訪問控控制的的規則則，允允許一一個合合法的的用戶戶自主主地將將它擁擁有的的客體體訪問問權分分配給給其它它用戶戶。而安全全核雖雖然可可以對對主體體修改改客體體訪問問權的的操作作加以以控制制，但但并不不能控控制對對客體體設置置何種種訪問問權，，這就就使特特洛伊伊木馬馬攻擊擊有可可乘之之機了了。雖雖然也也可以以采取取一些些措施施加以以防范范，但但終，，因訪訪問監監控器器模型型本身身的缺缺陷，，無法法從根根本上上解決決問題題。2022/12/2057狀態轉轉換保護系系統的的狀態態變化化體現現為訪訪問模模式的的變化化，系系統狀狀態的的轉換換是依依靠一一套本原命命令來實現現的，，這些些命令令是用用一系系列改改變訪訪問矩矩陣內內容的的本原原操作作來定定義的的。在在訪問問矩陣陣模型型中定定義了了6個本原原操作作，如如下表表所示示：2022/12/2058這些操操作是是以訪訪問矩矩陣中中一定定主、、客體體和權權利是是否存存在為為條件件的，，并負負責對對系統統保護護狀態態監控控器的的控制制。假定命命令執執行前前，系系統的的保護護狀態態是Q=（S，O，A）；當某命命令執執行后后，系系統地地保護護狀態態變為為Q’=(S’,O’,A’);每條命命令執執行的的條件件和執執行后后形成成的新新狀態態Q’。2022/12/2059這里r表示權權利，，s和o表示1到k之間的的整數數。一個命命令的的條件件可能能為空空。但假定定每條條命令令至少少完成成一個個操作作。2022/12/20602022/12/20西安電電子科科技大大學計計算算機與與網絡絡安全全教育育部重重點實實驗室室61模型評評價訪問矩矩陣模模型具具有以以下優優點：：簡明—易懂、、易理理解、、易證證明。。通用—有能力力綜合合不同同策略略和應應用于于多種種實現現。精確—有能力力忠實實地反反映策策略和和系統統形態態。與數據據式樣樣無關關。2022/12/2062模型評價基于訪問矩矩陣的訪問問控制模型型在擁有它它無可比擬擬的優點的的同時，也也有其本身身設計帶來來的缺點：：如果不詳細細檢查整個個訪問矩陣陣，很難保保證系統的的安全性；；在大型系統統中，訪問問矩陣非常常龐大，但但其中很多多元素是空空的，因此此以矩陣的的方法來實實現訪問矩矩陣是不太太現實的；；由于客體的的擁有者能能夠授予或或取消其它它主體對該該客體的訪訪問權限，，這就造成成了很難預預測訪問權權限是在系系統中是如如何傳播的的，給系統統的管理造造成了很大大的困難。。不能防范特特洛伊木馬馬。它無法法實現多級級安全策略略。2022/12/2063模型的實現現方法1、訪問控制制列表(AccessControlLists)較流行的實實現訪問矩矩陣的方法法是訪問控控制列表，，又稱為ACLs.在這種實現現方法中，，每一個客客體與一個個ACL相對應：指指明系統中中的每一個個主體獲得得對此客體體的訪問的的相應授權權，如讀、、寫、執行行等等。2022/12/20西安電子科科技大學計計算機與與網絡安全全教育部重重點實驗室室642022/12/20西安電子科科技大學計計算機與與網絡安全全教育部重重點實驗室室65文件File1的訪問控制制列表(ACLs)2．權能(Capabilities)列表相對于訪問問控制列表表ACLs基于客體來來實現訪問問矩陣來說說，權能列列表則是基基于主體來來實現訪問問矩陣的。。在這種方方法中，每每一個主體體與一稱為為“權能列表(CapabilitiesLists)”的列表相相聯系，該該列表指明明系統中的的某一個主主體擁有對對哪些客體體的訪問權權限。這種種方法相應應于將訪問問矩陣以行行的方式來來存儲。2022/12/20西安電子科技技大學計計算機與與網絡安全教教育部重點實實驗室662022/12/20西安電子科技技大學計計算機與與網絡安全教教育部重點實實驗室67主體Sunny的權能列表(CLs)Sunny常用操作系統統中的訪問控控制（選講）現在大多數通通用操作系統統（WindowsNT、Linux等）為C2級別，即控制制訪問保護級級。WindowsNT(自主訪問控制制)Windows安全模型SecurityAccountManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor訪問控制過程程組成部件：安全標識：帳帳號的唯一對對應。訪問令牌：LSA為用戶構造的的，包括用戶戶名、所在組組名、安全標標識等。主體：操作和和令牌。對象、資源、、共享資源安全描述符：：為共享資源源創建的一組組安全屬性所有者安全標標識、組安全全標識、自主訪問控制制表、系統訪問控控制表、訪問問控制項。登錄過程服務器為工作作站返回安全全標識，服務務器為本次登登錄生成訪問問令牌用戶創建進程程P時，用戶的訪訪問令牌復制制為進程的訪訪問令牌。P進程訪問對象象時，SRM將進程訪問令令牌與對象的的自主訪問控控制表進行比比較，決定是是否有權訪問問對象。NTFS的訪問控制從文件中得到到安全描述符符（包含自主主訪問控制表表）；與訪問令牌（（包含安全標標識）一起由由SRM進行訪問檢查查Linux(自主訪問控制制)設備和目錄同同樣看作文件件。三種權限：R:readW:writeX:excute權限表示：字母表示：rwx，不具有相應應權限用-占位8進制數表示：：111，不具有相應應權限相應位位記0四類用戶：root：超級用戶，，god所有者所屬組其他用戶文件屬性：drwxr-x--x2lucywork1024Jun2522:53text安全屬性：drwxr-x--x所有者，所屬屬組：lucy.work安全屬性后9個字母規定了了對所有者、、所屬組、其其他用戶的權權限（各3位）。lucy.work.rwx*.work.x*.*.xtext2022/12/2077Thanks9、靜夜四無無鄰，荒居居舊業貧。。。12月-2212月-22Tuesday,December20,202210、雨中黃葉葉樹，燈下下白頭人。。。17:11:1217:11:1217:1112/20/20225:11:12PM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2217:11:1217:11Dec-2220-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。17:11:1217:11:1217:11Tuesday,December20,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2217:11:1217:11:13December20,202214、他鄉生白白發，舊國國見青山。。。20十二二月20225:11:13下下午17:11:1312月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。。十二二月月225:11下下午午12月月-2217:11December20,202216、行行動動出出成成果果，，工工作作出出財財富富。。。。2022/12/201