1、访问控制模型是规定主体如何访问客体的一种架构。它使用访问控制技术和安全机制来实现模型的规则和目标。访问控制模型主要有下列3种:自主访问控制、强制访问控制以及非自主访问控制(也称为角色访问控制)。每种模型都使用不同的方法来控制主体访问客体的方式,并且具有各自的优点和缺点。组织机构的业务和安全目标以及公司的文化和业务运作管理模式,有助于确定应当使用哪一种访问控制模型。某些公司只使用一种模型而其他公司则通过组合使用几种模型来提供必要的保护级别。这些模型内置在不同操作系统的核心或内核中,而且还可能内置于支持性的应用程序中。每个操作系统都具有一个实施引用监视器概念的安全内核,其实施方式取决于嵌入系统的访
2、问控制模型类型。对于每个访问尝试来说,在主体能够与客体进行通信之前,安全内核会通过检查访问控制模型的规则来确定是否允许访问请求。1如果某位用户创建了一个文件,那么他就是该文件的所有者。这个文件的头部置入了用户的标识符。所有权也可以被授予特定的个体。例如,某位部门经理可以成为其管理范围内的文件和资源的所有者。使用自主访问控制(Discretionary Access Control,DAC)的系统使资源的所有者能够指定哪些主体可以访问该资源。因为对访问的控制基于所有者的自主决定,所以这种模型称为自主型。很多时候,部门经理或业务经理是他们所在部门内数据的所有者。作为所有者,他们能够指定谁能够和谁不
3、能够访问这些数据。在DAC模型中,基于为用户授予的授权限制访问。这意味着,用户被允许指定对其拥有的客体的访问类型。如果某个组织机构使用DAC 模型,那么网络管理员能够允许资源所有者控制哪些人可以访问他们的文件。DAC 的最常见实现方式是访问控制列表(ACL),ACL 由所有者规定和设置,由操作系统实施。DAC 使得用户访问信息的能力更加动态化,这与强制访问控制(Mandatory Access Control,MAC)的静态特性形成对比。2在强制访问控制(MAC)模型中,用户不像在DAC 模型中那样拥有决定谁能访问客体的权力。出于安全的考虑,基于MAC 模型的操作形态大大减少了用户的权利、许可
4、和可用功能。在基于MAC 模型的多数系统中,用户不能安装软件、改变文件许可级别和添加新用户等。这个系统仅供用户从事非常特定且具体的活动。这些系统的用途通常非常具体,它们的使用是为了保护高密级数据。多数普通人都没有用到过MAC 型系统,因为这些系统多由政府机构使用,用来存储最高机密的信息。这种模型更为结构化、更为严格,并且基于安全标签系统。用户被赋予一个安全许可(秘密、绝密、机密等),并且数据以相同的方式分类。安全许可和分类数据存储在安全标签内,安全标签则绑定在特定的主体和客体上。当系统接收到一个对客体的访问请求时,它会根据主体的安全许可、客体的分类以及系统的安全策略来做出决策。主体如何访问客体
5、的规则由安全政策确定,由管理员配置,由操作系统实施,由安全技术支持。DAC系统是自主访问型的,而MAC系统被认为是非自主访问型的,因为用户不能根据他们自己的权力(选择)做出访问决策。3角色访问控制(Role-Based Access Control,RBAC)模型,它使用集中管理的控制方式来决定主体和客体如何交互。这种访问控制基于必要的操作和用户完成组织委派的职责所需从事的任务来设定限制级别。这种模型允许用户基于他在公司内的角色来访问资源。较为传统的访问控制管理仅仅以DAC模型为基础,该模型在客体级别上使用ACL指定访问控制。因为在配置ACL时,管理员必须将组织机构的授权策略转换为权限,所以这
6、种方式更为复杂。随着环境内客体和用户数量的不断增长,用户一定会被授予对某些客体的非必要访问权限,从而违反了最小特权原则,并且增加了公司面临的风险。RBAC方式允许根据用户的工作角色来管理权限,从而简化了访问控制管理。实际上,操作系统可以以某种形式使用这三个模型中的一个、两个或者全部三个。虽然它们可以用在一起,但它们也可以各自单独使用,各自拥有着自己的严格的访问控制规则。4DAC 数据所有者决定谁能访问资源,ACL用于实施安全策略。MAC 操作系统通过使用安全标签来实施系统的安全策略。RBAC 访问决策基于主体的角色和/或功能位置。RB-RBAC 把进一步限制访问决策的强加规则添加到RBAC中。56
