認證、授權(quán)與訪問控制四道防線第一道防線：網(wǎng)絡(luò)與系統(tǒng)接入控制防止

第二道防線：用戶管理與資源訪問（數(shù)據(jù)存取）控制阻止

第三道防線：病毒防范與動態(tài)安全管理。檢測

第四道防線：災(zāi)難預(yù)防與系統(tǒng)恢復(fù)（備份）。糾正

第二道防線內(nèi)容1.信息認證技術(shù)2.訪問控制技術(shù)3.數(shù)據(jù)庫安全技術(shù)一、信息認證技術(shù)認證和保密是信息安全的兩個重要方面，是兩個獨立的問題。保密：防止明文信息的泄露。認證：防止第三方的主動攻擊，是密碼學(xué)的一個重要分支。認證的目的：?信源認證：防冒充

?檢驗發(fā)送信息的完整性認證認證：向一個實體確認另一個實體確實是他自己。鑒別：實體鑒別數(shù)據(jù)完整性鑒別

基本的認證技術(shù)包括數(shù)字簽名、消息認證、數(shù)字摘要（雜湊函數(shù)）和簡單的身份認證等。這些能夠提供信息完整性、防止抵賴和防止篡改等功能。信息認證技術(shù)1雜湊函數(shù)與消息完整性2消息認證碼3數(shù)字簽名4身份識別技術(shù)5口令管理1.雜湊函數(shù)與消息完整性雜湊函數(shù)H是一公開函數(shù)，用于將任意長的消息M映射為較短的、固定長度(128位）的一個值H(M)，作為認證符，稱函數(shù)值H(M)為雜湊值、雜湊碼或消息摘要。雜湊碼是消息中所有比特的函數(shù)，因此提供了一種錯誤檢測能力，即改變消息中任何一個比特或幾個比特都會使雜湊碼發(fā)生改變。Hash函數(shù)（單向散列函數(shù)）Hash：數(shù)字指紋、消息摘要、壓縮函數(shù)、雜湊函數(shù)、散列函數(shù)等Hash：雜燴菜：肉末、土豆和蔬菜等作成的通常呈褐色的菜。Hash函數(shù)：是一種能夠?qū)⑷我忾L度的消息映射到某一固定長度的消息摘要的函數(shù)。壓縮性、易計算雜湊函數(shù)用來提供消息認證的6種方式消息與雜湊碼鏈接后用單鑰加密算法加密。由于所用密鑰僅為收發(fā)雙方A、B共享，因此可保證消息的確來自A并且未被篡改（完整性）。同時還由于消息和雜湊碼都被加密，這種方式還提供了保密性雜湊函數(shù)用來提供消息認證的6種方式2.用單鑰加密算法僅對雜湊碼加密。這種方式用于不要求保密性的情況下，可減少處理負擔(dān)。保障數(shù)據(jù)的完整性3.只用發(fā)送方的公鑰加密雜湊碼。和②一樣，這種方式提供認證性，又由于只有發(fā)送方能產(chǎn)生加密的雜湊碼，因此這種方式還對發(fā)送方發(fā)送的消息提供了數(shù)字簽名（不可否認性），事實上這種方式就是數(shù)字簽名。PRaPUa4.消息的雜湊值用公鑰加密算法和發(fā)送方的秘密鑰加密后與消息鏈接，再對鏈接后的結(jié)果用單鑰加密算法加密，這種方式提供了保密性、完整性和不可否認性PRaPUa使用這種方式時要求通信雙方共享一個秘密值S，A計算消息M和秘密值S鏈接在一起的雜湊值，并將此雜湊值附加到M后發(fā)往B。因B也有S，所以可重新計算雜湊值以對消息進行認證。由于秘密值S本身未被發(fā)送，敵手無法對截獲的消息加以篡改，也無法產(chǎn)生假消息。這種方式僅提供認證和完整性。6.這種方式是在⑤中消息與雜湊值鏈接以后再增加單鑰加密運算，從而又可提供保密性由于加密運算的速度較慢，代價較高，而且很多加密算法還受到專利保護，因此在不要求保密性的情況下，方式②和③將比其他方式更具優(yōu)勢。§雜湊函數(shù)應(yīng)滿足的條件雜湊函數(shù)的目的是為需認證的數(shù)據(jù)產(chǎn)生一個“指紋”。為了能夠?qū)崿F(xiàn)對數(shù)據(jù)的認證，雜湊函數(shù)應(yīng)滿足以下條件：函數(shù)的輸入可以是任意長。函數(shù)的輸出是固定長。已知x，求H(x)較為容易，可用硬件或軟件實現(xiàn)。已知h，求使得H(x)=h的x在計算上是不可行的，這一性質(zhì)稱為函數(shù)的單向性，稱H(x)為單向雜湊函數(shù)。已知x，找出y(y≠x)使得H(y)=H(x)在計算上是不可行的。如果單向雜湊函數(shù)滿足這一性質(zhì)，則稱其為弱單向雜湊函數(shù)。找出任意兩個不同的輸入x、y，使得H(y)=H(x)在計算上是不可行的。如果單向雜湊函數(shù)滿足這一性質(zhì)，則稱其為強單向雜湊函數(shù)。第⑤和第⑥個條件給出了雜湊函數(shù)無碰撞性的概念，如果雜湊函數(shù)對不同的輸入可產(chǎn)生相同的輸出，則稱該函數(shù)具有碰撞性。以上6個條件中，前3個是雜湊函數(shù)能用于消息認證的基本要求。第4個條件（即單向性）則對使用秘密值的認證技術(shù)(見圖(e))極為重要。假如雜湊函數(shù)不具有單向性，則攻擊者截獲M和C=H(S‖M)后，求C的逆S‖M，就可求出秘密值S。第5個條件使得敵手無法在已知某個消息時，找到與該消息具有相同雜湊值的另一消息。這一性質(zhì)用于雜湊值被加密情況時(見圖6.3(b)和圖6.3(c))防止敵手的偽造，由于在這種情況下，敵手可讀取傳送的明文消息M，因此能產(chǎn)生該消息的雜湊值H(M)。但由于敵手不知道用于加密雜湊值的密鑰，他就不可能既偽造一個消息M，又偽造這個消息的雜湊值加密后的密文EK[H(M)]。然而，如果第5個條件不成立，敵手在截獲明文消息及其加密的雜湊值后，就可按以下方式偽造消息：首先求出截獲的消息的雜湊值，然后產(chǎn)生一個具有相同雜湊值的偽造消息，最后再將偽造的消息和截獲的加密的雜湊值發(fā)往通信的接收方。第6個條件用于抵抗生日攻擊。常見的Hash函數(shù)

1).MD52).SHA-13).RIPEMD-1604).HMACMD5雜湊算法MD4是MD5雜湊算法的前身，由RonRivest于1990年10月作為RFC提出，1992年4月公布的MD4的改進（RFC1320，1321）稱為MD5。算法描述MD5算法采用迭代型雜湊函數(shù)的一般結(jié)構(gòu)算法的輸入為任意長的消息（圖中為K比特），分為512比特長的分組，輸出為128比特的消息摘要。圖6.5MD5的算法框圖安全雜湊算法安全雜湊算法SHA(SecureHashAlgorithm)由美國NIST設(shè)計，于1993年作為聯(lián)邦信息處理標(biāo)準（FIPSPUB180）公布。SHA-0是SHA的早期版本，SHA-0被公布后，NIST很快就發(fā)現(xiàn)了它的缺陷，修改后的版本稱為SHA-1，簡稱為SHA。SHA是基于MD4算法，其結(jié)構(gòu)與MD4非常類似。算法描述算法的輸入為小于264比特長的任意消息，分為512比特長的分組，輸出為160比特長的消息摘要。單向雜湊函數(shù)保護數(shù)據(jù)完整定長的雜湊值H(M)：是報文所有比特的函數(shù)值，并有差錯檢測能力。報文中任意一比特或若干比特發(fā)生改變都將導(dǎo)致雜湊值（散列碼）發(fā)生改變。2.

消息認證碼

消息認證碼的定義及使用方式

消息認證碼是指消息被一密鑰控制的公開函數(shù)作用后產(chǎn)生的、用作認證符的、固定長度的數(shù)值，也稱為密碼校驗和。此時需要通信雙方A和B共享一密鑰K。設(shè)A欲發(fā)送給B的消息是M，A首先計算MAC=CK(M)，其中CK(·)是密鑰控制的公開函數(shù)，然后向B發(fā)送M‖MAC，B收到后做與A相同的計算，求得一新MAC，并與收到的MAC做比較圖6.1MAC的基本使用方式如果僅收發(fā)雙方知道K，且B計算得到的MAC與接收到的MAC一致，則這一系統(tǒng)就實現(xiàn)了以下功能：接收方相信發(fā)送方發(fā)來的消息未被篡改，這是因為攻擊者不知道密鑰，所以不能夠在篡改消息后相應(yīng)地篡改MAC，而如果僅篡改消息，則接收方計算的新MAC將與收到的MAC不同。接收方相信發(fā)送方不是冒充的，這是因為除收發(fā)雙方外再無其他人知道密鑰，因此其他人不可能對自己發(fā)送的消息計算出正確的MAC。MAC函數(shù)與加密算法類似，不同之處為MAC函數(shù)不必是可逆的，因此與加密算法相比更不易被攻破。上述過程中，由于消息本身在發(fā)送過程中是明文形式，所以這一過程只提供認證性而未提供保密性。為提供保密性可在MAC函數(shù)以后或以前進行一次加密，而且加密密鑰也需被收發(fā)雙方共享。§6.1.2產(chǎn)生MAC的函數(shù)應(yīng)滿足的要求使用加密算法（單鑰算法或公鑰算法）加密消息時，其安全性一般取決于密鑰的長度。如果加密算法沒有弱點，則敵手只能使用窮搜索攻擊以測試所有可能的密鑰。如果密鑰長為k比特，則窮搜索攻擊平均將進行2k-1個測試。特別地，對惟密文攻擊來說，敵手如果知道密文C，則將對所有可能的密鑰值Ki執(zhí)行解密運算Pi=DKi(C)，直到得到有意義的明文。對MAC來說，由于產(chǎn)生MAC的函數(shù)一般都為多到一映射，如果產(chǎn)生n比特長的MAC，則函數(shù)的取值范圍即為2n個可能的MAC，函數(shù)輸入的可能的消息個數(shù)N>>2n，而且如果函數(shù)所用的密鑰為k比特，則可能的密鑰個數(shù)為2k。如果系統(tǒng)不考慮保密性，即敵手能獲取明文消息和相應(yīng)的MAC，那么在這種情況下要考慮敵手使用窮搜索攻擊來獲取產(chǎn)生MAC的函數(shù)所使用的密鑰。假定k>n，且敵手已得到M1和MAC1，其中MAC1=CK1（M1），敵手對所有可能的密鑰值Ki求MACi=CKi(M1)，直到找到某個Ki使得MACi=MAC1。由于不同的密鑰個數(shù)為2k，因此將產(chǎn)生2k個MAC，但其中僅有2n個不同，由于2k>2n，所以有很多密鑰（平均有2k/2n=2k-n個）都可產(chǎn)生出正確的MAC1，而敵手無法知道進行通信的兩個用戶用的是哪一個密鑰，還必須按以下方式重復(fù)上述攻擊：第1輪 已知M1、MAC1，其中MAC1=CK(M1)。對所有2k個可能的密鑰計算MACi=CKi(M1)，得2k-n個可能的密鑰。第2輪 已知M2、MAC2，其中MAC2=CK(M2)。對上一輪得到的2k-n個可能的密鑰計算MACi=CKi(M2)，得2k-2×n個可能的密鑰。如此下去，如果k=αn，則上述攻擊方式平均需要α輪。例如，密鑰長為80比特，MAC長為32比特，則第1輪將產(chǎn)生大約248個可能密鑰，第2輪將產(chǎn)生216個可能的密鑰，第3輪即可找出正確的密鑰。如果密鑰長度小于MAC的長度，則第1輪就有可能找出正確的密鑰，也有可能找出多個可能的密鑰，如果是后者，則仍需執(zhí)行第2輪搜索。所以對消息認證碼的窮搜索攻擊比對使用相同長度密鑰的加密算法的窮搜索攻擊的代價還要大。有些攻擊法卻不需要尋找產(chǎn)生MAC所使用的密鑰。例如，設(shè)M=(X1‖X2‖…‖Xm)是由64比特長的分組Xi(i=1,…,m)鏈接得到的，其消息認證碼由以下方式得到：其中表示異或運算，加密算法是電碼本模式的DES。因此，密鑰長為56比特，MAC長為64比特，如果敵手得到M‖CK(M)，那么敵手使用窮搜索攻擊尋找K將需做256次加密。然而敵手還可用以下方式攻擊系統(tǒng)：將X1到Xm-1分別用自己選取的Y1到Y(jié)m-1替換，求出Ym=Y1Y2…Ym-1Δ(M)，并用Ym替換Xm。因此敵手可成功偽造一新消息M′=Y1…Ym，且M′的MAC與原消息M的MAC相同。考慮到MAC所存在的以上攻擊類型，可知它應(yīng)滿足以下要求，其中假定敵手知道函數(shù)C，但不知道密鑰K：如果敵手得到M和CK(M)，則構(gòu)造一滿足CK(M′)=CK(M)的新消息M′在計算上是不可行的。CK(M)在以下意義下是均勻分布的：隨機選取兩個消息M、M′，Pr[CK(M)=CK(M′)]=2-n，其中n為MAC的長。若M′是M的某個變換，即M′=f(M)，例如f為插入一個或多個比特，那么Pr[CK(M)=CK(M′)]=2-n。第1個要求是針對上例中的攻擊類型的，此要求是說敵手不需要找出密鑰K而偽造一個與截獲的MAC相匹配的新消息在計算上是不可行的。第2個要求是說敵手如果截獲一個MAC，則偽造一個相匹配的消息的概率為最小。最后一個要求是說函數(shù)C不應(yīng)在消息的某個部分或某些比特弱于其他部分或其他比特，否則敵手獲得M和MAC后就有可能修改M中弱的部分，從而偽造出一個與原MAC相匹配的新消息。3.數(shù)字簽名需求簽名報文鑒別與數(shù)字簽名報文鑒別用來防護通信雙方免受任何第三方的主動攻擊，數(shù)字簽名防止通信雙方的爭執(zhí)與互相攻擊。它是一種包括防止源點或終點抵賴的鑒別技術(shù)。因為發(fā)方和收方之間存在欺騙或抵賴。計算機通信網(wǎng)上從事貿(mào)易和有關(guān)事務(wù)的環(huán)境下提出和需要研究的問題。

消息認證就是驗證所收到的消息確實是來自真正的發(fā)送方且未被篡改的過程，它也可驗證消息的順序和及時性。數(shù)字簽名是一種包括防止源點或終點抵賴的認證技術(shù)。DigitalSignatures

數(shù)字簽名與不可否認性數(shù)字簽名：附加在數(shù)據(jù)單元上的一些數(shù)據(jù)或是對數(shù)據(jù)單元所做的密碼交換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并且保護數(shù)據(jù)，防止被人偽造。抗抵賴性：防止發(fā)送者否認發(fā)送過數(shù)據(jù)或其數(shù)據(jù)內(nèi)容以及接收者否認收到過的特性。

數(shù)字簽名的功能：通信雙方發(fā)生爭執(zhí)時：否認、偽造、冒充、篡改作用：認證、核準、生效

數(shù)字簽名種類：1）對整體消息的簽字2）對壓縮消息的簽字數(shù)字簽名過程1）系統(tǒng)初始化過程2）簽名產(chǎn)生過程3）簽名驗證過程

數(shù)字簽名方案（實現(xiàn)方法）：一般基于數(shù)學(xué)難題離散對數(shù)問題：ElGamal、DSA

因子分解問題：RSA

二次剩余問題：Rabin

數(shù)字簽名體制：(P,A,K,S,V)----簽字體制明文空間P簽名集合A密鑰空間K簽名算法S證實算法V

數(shù)字簽名有以下特點：簽名是可信的簽名不可偽造簽名不可重用簽名的文件是不可改變的簽名是不可抵賴的4.身份識別技術(shù)身份認證：證實實體的身份消息認證：證實報文的合法性和完整性傳統(tǒng)上：生理面貌聲音筆跡習(xí)慣動作等身份認證1單機狀態(tài)下的身份認證2網(wǎng)絡(luò)環(huán)境下的身份認證身份識別技術(shù)分類：基于密碼技術(shù)的各種電子ID身份識別技術(shù)：使用通行字（口令）使用持證的方式加密、數(shù)字簽名、基于口令的用戶認證是實現(xiàn)安全通信的一些最基本的密碼技術(shù)。基于生物特征識別的識別技術(shù)身份驗證(單機)所知：口令、密碼、PIN所有：證件、IC卡所做：簽名生物特征：指紋、視網(wǎng)膜、DNA等可靠第三方鑒別：網(wǎng)絡(luò)環(huán)境身份認證S/KeyPPPRADIUSKerberosSSOX.5095.口令管理入侵者面對的第一條防線是口令系統(tǒng)。

ID&口令保護口令文件的兩種常用方法：1單向加密：口令從不以明文存儲2訪問控制：口令保護口令選擇原則：用戶容易記憶而又不容易被猜測的口令。容易記憶難以猜測誤區(qū)：生日、姓、名、單詞、電話號碼、身份證號、門牌號、只用小寫字母、所有系統(tǒng)一個口令等。

避免猜測口令的技術(shù)：用戶教育計算機生成口令口令自檢查口令預(yù)檢查器

良好密碼策略構(gòu)成：至少8字符長至少有一個數(shù)字既有大寫字母又有小寫字母至少有一個非標(biāo)準字符口令的長度根據(jù)訪問等級和信息系統(tǒng)處理國家秘密信息的密級規(guī)定。

絕密級口令不應(yīng)少于12個字符（6個漢字）機密級口令不應(yīng)少于10個字符（5個漢字）秘密級口令不應(yīng)少于8個字符（4個漢字）例：句子的第一個字母組合：Fourscoreandsevenyearsago，F(xiàn)s&7yA,PasswordManagementfront-linedefenseagainstintrudersuserssupplyboth:login–determinesprivilegesofthatuserpassword–toidentifythempasswordsoftenstoredencryptedUnixusesmultipleDES(variantwithsalt)morerecentsystemsusecryptohashfunctionManagingPasswordsneedpoliciesandgoodusereducationensureeveryaccounthasadefaultpasswordensureuserschangethedefaultpasswordstosomethingtheycanrememberprotectpasswordfilefromgeneralaccesssettechnicalpoliciestoenforcegoodpasswordsminimumlength(>6)requireamixofupper&lowercaseletters,numbers,punctuationblockknowdictionarywordsManagingPasswordsmayreactivelyrunpasswordguessingtoolsnotethatgooddictionariesexistforalmostanylanguage/interestgroupmayenforceperiodicchangingofpasswordshavesystemmonitorfailedloginattempts,&lockoutaccountifseetoomanyinashortperioddoneedtoeducateusersandgetsupportbalancerequirementswithuseracceptancebeawareofsocialengineeringattacksProactivePasswordCheckingmostpromisingapproachtoimprovingpasswordsecurityallowuserstoselectownpasswordbuthavesystemverifyitisacceptablesimpleruleenforcement(seepreviousslide)compareagainstdictionaryofbadpasswordsusealgorithmic(markovmodelorbloomfilter)todetectpoorchoices

身份認證是安全系統(tǒng)中的第一道關(guān)卡。訪問控制和審計系統(tǒng)都要依賴于身份認證系統(tǒng)提供的信息——用戶的身份。黑客攻擊的目標(biāo)往往就是身份認證系統(tǒng)。字典式攻擊（窮舉攻擊）社交工程口令攻擊者獲取口令的技術(shù)使用系統(tǒng)提供的標(biāo)準賬戶和默認口令。窮盡所有的短口令（1-3字符）嘗試在線詞典中的單詞或看似口令的單詞列表。收集用戶的信息。如用戶的全稱、配偶、孩子的名字、辦公室中的圖片、興趣有關(guān)圖書嘗試用戶的電話號碼、社保號碼、學(xué)號、房間號碼

本國合法牌照號碼用特洛伊木馬逃避訪問控制——難以防范竊聽遠程用戶和主機系統(tǒng)之間的線路。——線路竊聽

故不知諸侯之謀者，不能豫交；不知山林、險阻、沮澤之行者，不能行軍；不用鄉(xiāng)導(dǎo)者，不能得地利。——孫子?軍爭篇二、訪問控制技術(shù)1訪問控制2安全策略3訪問控制模型4訪問控制方案5可信系統(tǒng)1.訪問控制是針對越權(quán)使用資源的防御措施。訪問控制：對進入系統(tǒng)的用戶進行控制。允許使用那些資源，在什么地方適合阻止未授權(quán)訪問的過程。訪問控制機制：決定和實施一個實體的訪問權(quán)。拒絕使用非授權(quán)資源或以不正當(dāng)方式使用授權(quán)資源。-授權(quán)

訪問控制是通過一組機制控制不同級別的主體對目標(biāo)資源的不同授權(quán)訪問，對主體認證之后實施網(wǎng)絡(luò)資源安全管理使用。

訪問控制的目的是防止對信息系統(tǒng)資源的非授權(quán)訪問和非授權(quán)使用信息系統(tǒng)資源。

資源訪問控制：保護系統(tǒng)資源，防止非授權(quán)訪問和非授權(quán)使用。“進來能干什么”。

訪問控制的作用：對想訪問系統(tǒng)和數(shù)據(jù)的人進行識別，并檢驗其身份。防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源。訪問控制的實質(zhì)就是控制對計算機系統(tǒng)或網(wǎng)絡(luò)訪問的方法。即：1）

阻止非法用戶進入系統(tǒng)。2）

允許合法用戶進入系統(tǒng)。3）

合法人按其權(quán)限進行各種信息的活動。訪問控制的基本任務(wù)：防止非法用戶進入系統(tǒng)，防止合法用戶對系統(tǒng)資源的非法使用，對用戶進行識別和認證，確定該用戶對某一系統(tǒng)資源的訪問權(quán)限。

2.安全策略：首先要分析自己的網(wǎng)絡(luò)，確定需要何種層次的保護水平。需要保護那些資源：1）物理資源：任何具有物理形式的計算機資源，包括工作站、服務(wù)器、終端、網(wǎng)絡(luò)集線器及其他外圍設(shè)備。2）智力資源：以電子形式存在的、屬于公司業(yè)務(wù)活動范圍之內(nèi)的任何形式的信息，包括軟件、金融信息、數(shù)據(jù)記錄、產(chǎn)品示意圖或零件設(shè)計圖。3）時間資源：評估由于失去時間可能給公司帶來損失，引起后果。4）認知資源：體現(xiàn)在公眾認知方面。

安全策略應(yīng)以事件為中心設(shè)計，應(yīng)具有：1）

一致性：2）

可行性：3）

被公司接受：4）

遵守當(dāng)?shù)胤桑毫己冒踩呗缘臉?gòu)成：

訪問能力

制定安全目標(biāo)

定義每項問題

用戶機構(gòu)所處的地位

策略評價

何時實施策略

地位和責(zé)任

不遵守策略的后果

進一步信息

隱私級別

沒有專門規(guī)定的問題

安全策略是安全機制（加解密、數(shù)字簽名、信息認證）、安全連接（密鑰分配生成、身份驗證）、安全協(xié)議的有機組合方式。含以下兩個方面：認證流程：驗核與傳播的方法訪問控制方案：訪問手段、訪問權(quán)限

訪問控制策略：

說明允許使用公司設(shè)備進行何種類型訪問的策略。訪問控制策略規(guī)定網(wǎng)絡(luò)不同部分允許的數(shù)據(jù)流向，還會指定那些類型的傳輸是允許的，其他傳輸都將被阻塞。訪問控制策略有助于保證正確選擇防火墻產(chǎn)品。訪問控制策略：關(guān)鍵：表達方式（如安全標(biāo)簽）管理方式（如強制式）。

CCITTRec.X.800/ISO7498-2把訪問控制策略分為兩類：

1）基于規(guī)則的安全策略：被發(fā)起者施加在安全域中任何目標(biāo)上的所有訪問請求。根據(jù)安全標(biāo)簽含義陳述的，是一種特殊類型。訪問決策：發(fā)起者和目標(biāo)安全標(biāo)簽進行比較。授權(quán)依賴于敏感性。2）基于身份的訪問控制策略：單個，一群或代表發(fā)起者行為的實體或扮演特定角色的原發(fā)者的規(guī)則。發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的，是一種類型。對發(fā)起者，群組和角色進行組合。基于上下文能夠修改基于規(guī)則或者基于身份的訪問控制策略。上下文規(guī)則可在實際上定義整體策略，實系統(tǒng)通常使用這兩種策略類型的組合。

基于規(guī)則的安全策略：安全策略的基礎(chǔ)是強加于全體用戶的總體規(guī)則。這些規(guī)則往往依賴于把被訪問資源的敏感性與用戶、用戶群或代表用戶活動的實體的相應(yīng)屬性進行比較。

基于身份的安全策略：安全策略的基礎(chǔ)是用戶或用戶群的身份或?qū)傩裕蛘呤谴碛脩暨M行活動的實體以及被訪問的資源或客體的身份和屬性。基于身份的訪問控制策略包括基于個人的策略和基于組的策略。3.訪問控制模型有以下幾種模型：DACMACRBACTBACOBAC訪問控制模型：1.自主訪問控制（DiscretionaryAccessControlDAC）：系統(tǒng)資源的擁有者能夠?qū)λ械馁Y源分配不同的訪問權(quán)限，辨別各用戶的基礎(chǔ)上實現(xiàn)訪問控制。2.強制訪問控制（MandatoryAccessControlMAC）：系統(tǒng)（管理員）來分配訪問權(quán)限和實施控制，對用戶和資源都分配一個特殊的安全屬性（訪問權(quán)限），系統(tǒng)比較用戶和資源的安全屬性來決定該用戶能否可訪問該資源。常用敏感標(biāo)記，實現(xiàn)多級安全控制。3.選擇性（基于角色的）訪問控制：基于主體或主體所在組的身份。DAC自主訪問控制DAC：

又稱任意訪問控制。

允許某個主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。特點：授權(quán)的實施主體自主負責(zé)賦予和回收其它主體對客體資源的訪問權(quán)限。MAC強制訪問控制MAC：

系統(tǒng)強制主體服從訪問控制政策。

MAC的訪問控制關(guān)系：用上讀/下寫來保證數(shù)據(jù)完整性用下讀/上寫來保證數(shù)據(jù)保密性MAC是多級訪問控制策略，主要特點是系統(tǒng)對訪問主體和受控對象實行強制訪問控制。

多級安全信息系統(tǒng)：將敏感信息與通常資源分開隔離的系統(tǒng)。將信息資源按安全屬性分級考慮：1有層次的安全級別：TS、S、C、RS、U2無層次的安全級別MAC模型幾種主要模型：1Lattice模型：2BellLaPadula模型：主要用于軍事，維護保密性。3Biba模型：從完整性角度出發(fā)RBAC基于角色的訪問控制RBAC：“角色”：是指執(zhí)行特定任務(wù)的能力。TBAC基于任務(wù)的訪問控制模型：OBAC基于對象的訪問控制模型：4.訪問控制方案訪問控制列表（ACL）：訪問控制矩陣：權(quán)利方案基于標(biāo)簽的方案基于上下文的方案AccessControlMatrixAccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(fileorresource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilitytickets

訪問控制系統(tǒng)一般包括以下幾個實體：主體Subject：進程客體Object：訪問權(quán)：限制主體對客體的訪問權(quán)限。數(shù)據(jù)訪問控制操作系統(tǒng)可以通過管理用戶文檔來控制用戶對數(shù)據(jù)的訪問。數(shù)據(jù)庫管理系統(tǒng)則需要對特定的記錄或者一部分記錄進行訪問控制。

間事未發(fā)，而先聞?wù)撸g與所告者皆死。

——孫子?用間篇5.TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asub