06访问控制ppt.ppt-得力文库

资源描述

《06访问控制ppt.ppt》由会员分享，可在线阅读，更多相关《06访问控制ppt.ppt（73页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1,第六章访问控制,2,安全服务,安全服务（Security Services）：计算机通信网络中，主要的安全保护措施被称作安全服务。根据ISO7498-2, 安全服务包括：鉴别（ Authentication）访问控制（Access Control）数据机密性（Data Confidentiality）数据完整性（Data Integrity）抗抵赖（Non-repudiation）,3,一、访问控制的概念,第六章访问控制,访问控制 Access Control 限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。口令认证不能取代访问控制。访问控制机制在信息系统中

2、，为检测和防止未授权访问，以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。,4,访问控制的概念和目标,一般概念是针对越权使用资源的防御措施。基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权的访问包括：未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。,5,访问控制的作用,访问控制对机密性、完整性起直接的作用。对于可用性，访问控制通过对以下信息的有效控制来实现：（1）谁可以颁发影响网络

3、可用性的网络管理指令（2）谁能够滥用资源以达到占用资源的目的（3）谁能够获得可以用于拒绝服务攻击的信息,6,访问控制模型基本组成,7,访问控制与其他安全服务的关系模型,引用监控器,身份鉴别,访问控制,授权数据库,用户,目标,目标,目标,目标,目标,审计,安全管理员,访问控制决策单元,8,第六章访问控制,访问控制：主体对客体的访问受到控制，是一种加强授权的方法。授权：资源所有者对他人使用资源的许可。资源：信息、处理、通信、物理资源四种。访问一种资源就是从这个资源中获得信息、修改资源或利用它完成某种功能。客体（目标）：可供访问的各种软硬件资源。权威机构：目标的拥有者或控制者。,9,第六章访

4、问控制,主体（subject）：访问的发起者发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。主体通常为进程，程序或用户。敏感标签 sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息，TCSEC中把敏感标记作为强制访问控制决策的依据。根据控制范围划分：网内控制、网间控制。,10,阻止非授权用户访问目标的方法：1）访问请求过滤器：当一个发起者试图访问一个目标时，审查其是否获准以请求的方式访问目标；2）分离防止非授权用户有机会去访问敏感的目标。这两种方法涉及：访问控制机制和访问控制策略。,11,访问控制策略系统中存取文件或访问信息的一整套严

5、密安全的规则。通过不同方式建立：OS固有的，管理员或用户制定的。访问控制机制对访问控制策略抽象模型的许可状态转换为系统的物理形态，并对访问和授权进行监测。是具体实施访问策略的所有功能的集合，这些功能可通过系统的软硬件实现。,12,第六章访问控制,访问控制的种类1、入网访问控制控制哪些用户能登录到服务器并获取网络资源，控制用户入网时间，在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。缺省限制检查。如网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。,13,第六章访问控制,2、网络的权限控制用户

6、和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。,14,第六章访问控制,3、目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Re

7、ad）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。,15,第六章访问控制,4、属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。,16,第

8、六章访问控制,5、网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。,17,第六章访问控制,6、网络监测和锁定控制网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户

9、将被自动锁定。,18,第六章访问控制,7、网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。,19,第六章访问控制,8、防火墙控制防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称

10、之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。,20,二、访问控制策略,任何访问控制策略最终可被模型化为访问矩阵形式。每一行：用户每一列：目标矩阵元素：相应的用户对目标的访问许可。,21,访问控制策略模型可分为：自主式策略（基于身份的策略）基于个人的策略隐含的缺省策略禁止/开放最小特权原则：最大限度地控制用户为完成授权任务所需要的许可集。基于组的策略多个用户被组织在一起并赋予一个共同的标识符。更容易、更有效。强制式策略（基于规则的策略）多用于机密、军事部门,22,如何决定访问权限,用户分类资源资源及使用访问规则

11、,23,用户的分类,（1）特殊的用户：系统管理员，具有最高级别的特权，可以访问任何资源，并具有任何类型的访问操作能力（2）一般的用户：最大的一类用户，他们的访问操作受到一定限制，由系统管理员分配（3）作审计的用户：负责整个安全系统范围内的安全控制与资源使用情况的审计（4）作废的用户：被系统拒绝的用户。,24,资源,系统内需要保护的是系统资源：磁盘与磁带卷标远程终端信息管理系统的事务处理及其应用数据库中的数据应用资源,25,资源和使用,对需要保护的资源定义一个访问控制包（Access control packet)，包括：资源名及拥有者的标识符缺省访问权用户、用户组的特权明细表允许资源的拥有者对

12、其添加新的可用数据的操作审计数据,26,访问规则,规定了若干条件，在这些条件下，可准许访问一个资源。规则使用户与资源配对，指定该用户可在该文件上执行哪些操作，如只读、不许执行或不许访问。由系统管理人员来应用这些规则，由硬件或软件的安全内核部分负责实施。,27,访问控制的一般实现机制和方法,一般实现机制基于访问控制属性访问控制表/矩阵基于用户和资源分级（“安全标签”）多级访问控制常见实现方法访问控制表ACLs（Access Control Lists) 访问能力表（Capabilities) 授权关系表,28,访问控制矩阵,任何访问控制策略最终均可被模型化为访问矩阵形式：行对应于用户，

13、列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。,29,访问控制矩阵,按列看是访问控制表内容按行看是访问能力表内容,目标x,R、W、Own,R、W、Own,目标y,目标z,用户a,用户b,用户c,用户d,R,R,R、W、Own,R、W,R、W,目标用户,30,访问控制表(ACL),userAOwnRWO,userB R O,userCRWO,Obj1,每个客体附加一个它可以访问的主体的明细表。,31,访问能力表(CL),每个主体都附加一个该主体可访问的客体的明细表。,32,ACL、CL访问方式比较,鉴别方面：二者需要鉴别的实体不同保存位置不同浏览访问权限

14、ACL:容易，CL:困难访问权限传递ACL:困难，CL：容易访问权限回收ACL:容易，CL：困难ACL和CL之间转换ACL-CL：困难CL-ACL：容易,33,ACL、CL访问方式比较,多数集中式操作系统使用ACL方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集，在现代OS中CL也得到广泛应用,34,授权关系表,35,多级策略目标按敏感性划分为不同密级：绝密top secret、秘密secret、机密confidential、限制restricted、无密级unclassified。每个用户有一个允许安全级（clearance）。Bell和LaPadula 安全模型定义了用户和目标在

15、形式上的安全级别关系。只读访问规则：用户只能读不高于其安全级别的数据。只写访问规则：为防止泄密： Bell LaPadula 模型 “上写”完整性：防止删改数据、木马 Biba 模型 “下写”,36,访问控制的一般策略模型,37,自主访问控制（DAC）,第六章访问控制,80年代美国国防部制订了可信计算机系统评估准则（TCSEC）,我国也于1999年颁布了计算机信息系统安全保护等级划分准则这一国家标准，准则要达到的一个主要目标就是:阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类：自主访问控制(DAC)和强制访问控制(MAC)。自主访问控制：Discretionary Access

16、Control强制访问控制：Mandatory Access Control,38,第六章访问控制,自主访问：有访问许可的主体能够向其他主体转让访问权。访问控制表（ACL）是DAC中通常采用的一种安全机制。ACL是带有访问权限的矩阵, 这些访问权是授予主体访问某一客体的。安全管理员通过维护ACL控制用户访问企业数据。对每一个受保护的资源，ACL对应一个个人用户列表或由个人用户构成的组列表，表中规定了相应的访问模式。DAC的主要特征体现在主体可以自主地把自己所拥有客体的访问权限授予其它主体或者从其它主体收回所授予的权限，访问通常基于访问控制表（ACL）。访问控制的粒度是单个用户。,39,第六章

17、访问控制,ACL 访问控制表 ACL是存在于计算机中的一张表，用户对特定系统对象例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括读文件（包括所有目录中的文件），写一个或多个文件和执行一个文件（如果它是一个可执行文件或者是程序的时候）。,40,第六章访问控制,DAC的缺点是信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。当用户数量多、管理数据量大时，由于访问控制的粒度是单个用户，ACL会很庞大。当组织内的人员发生能变化（升

18、迁、换岗、招聘、离职）、工作职能发生变化（新增业务）时，ACL的修改变得异常困难。采用ACL机制管理授权处于一个较低级的层次，管理复杂、代价高以至易于出错。,41,第六章访问控制,自主访问控制的访问许可 a)等级型：将对客体存取控制表的修改能力划分成等级，控制关系构成一个树型结构。系统管理员的等级为等级树的根，根一级具有修改所有客体存取控制表的能力，并且具有向任意一个主体分配这种修改权的能力。在树中的最低级的主体不再具有访问许可，也就是说他们对相应的客体的存取控制表不再具有修改权。有访问许可的主体（即有能力修改客体的存取控制表），可以对自己授与任何访问模式的访问权。,42,访问许可(Acce

19、ss Permission),(1)等级型的(Hierarchical),最高领导(系统操作员),部门领导,部门领导,科组领导,科组领导,科组领导,科组领导,成员,成员,成员,成员,成员,成员,成员,成员,43,第六章访问控制,自主访问控制的访问许可 b)拥有型：是对每个客体设立一个拥有者（通常是该客体的生成者）。只有拥有者才是对客体有修改权的唯一主体。拥有者对其拥有的客体具有全部控制权。但是，拥有者无权将其对客体的控制权分配给其它主体。因此，客体拥有者在任何时候都可以改变其所属客体的存取控制表，并可以对其它主体授予或者撤消其对客体的任何一种访问模式。,44,(2)有主型的(Owner) 对

20、每个客体设置一个拥有者(通常是客体的生成者).拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权.,45,第六章访问控制,自主访问控制的访问许可 c)自由型：自由型方案的特点是：一个客体的生成者可以对任何一个主体分配对它拥有的客体的访问控制权，即对客体的存取控制表有修改权，并且还可使其对它主体也具有分配这种权力的能力。在这种系统中，不存在“拥有者”概念。,46,第六章访问控制,在实现自主访问控制的各种各样系统中，访问模式的应用是很广泛的。文件。对文件设置的访问模式有以下几种：读拷贝(read-copy)写删除（write-delete）执行（execute） Null

21、（无效）这种模式表示，主体对客体不具有任何访问权。在存取控制表中用这种模式可以排斥某个特定的主体。,47,基于身份的策略：基于个人的策略,根据哪些用户可对一个目标实施哪一种行为的列表来表示。等价于用一个目标的访问矩阵列来描述基础(前提)：一个隐含的、或者显式的缺省策略例如，全部权限否决最小特权原则：要求最大限度地限制每个用户为实施授权任务所需要的许可集合在不同的环境下，缺省策略不尽相同，例如，在公开的布告板环境中，所有用户都可以得到所有公开的信息对于特定的用户，有时候需要提供显式的否定许可例如，对于违纪的内部员工，禁止访问内部一些信息,48,基于身份的策略：基于组的策略,一组用户对于一个目标具

22、有同样的访问许可。相当于，把访问矩阵中多个行压缩为一个行。实际使用时先定义组的成员对用户组授权同一个组可以被重复使用组的成员可以改变,49,强制访问控制（MAC）,第六章访问控制,系统对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统根据主体和客体的敏感标记来决定访问模式。如：绝密级，秘密级，机密级，无密级。MAC通过梯度安全标签实现单向信息流通模式。特点：强制性；限制性。上读；下读；上写；下写强制方法：限制修改ACL；过程控制；限制共享。,50,精确描述,强制访问控

23、制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系。Bell-LaPadula：保证保密性- 简单安全特性(无上读)：仅当SC(o)SC(s)时，s可以读取o- *-特性(无下写): 仅当SC(s) SC(o)时，s可以修改oBiba：保证完整性- 同(1)相反,51,强制访问控制实现机制-安全标签,安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。最通常的用途是支持多级访问控制

24、策略。在处理一个访问请求时，目标环境比较请求上的标签和目标上的标签，应用策略规则（如Bell Lapadula规则）决定是允许还是拒绝访问。,52,自主/强制访问的问题,自主访问控制配置的粒度小配置的工作量大，效率低强制访问控制配置的粒度大缺乏灵活性,53,基于角色访问控制（RBAC）,兼有基于身份和基于规则的策略特征。可看作基于组的策略的变形，一个角色对应一个组。例：银行业务系统中用户多种角色优点：对于非专业的管理人员，容易制定安全策略；容易被映射到一个访问矩阵或基于组的策略。,54,第六章访问控制,角色、许可、用户、会话、活跃角色许可是允许对一个或多个客体执行操作。角色是许可的集

25、合。RBAC的基本思想是：授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。ACL直接将主体和目标相联系，而RBAC在中间加入了角色，通过角色沟通主体与目标。分层的优点是当主体发生变化时，只需修改主体与角色之间的关联而不必修改角色与客体的关联。角色：用户的集合与许可的集合。,55,第六章访问控制,RBAC中许可被授权给角色，角色被授权给用户，用户不直接与许可关联。RBAC对访问权限的授权由管理员统一管理，而且授权规定是强加给用户的，这是一种非自主型集中式访问控制方式。用户是一个静态的概念，会话则是一个动态的概念。一次会话是用户的一个活跃进程，它代表用户与系统交互。用户与会话是一对

26、多关系，一个用户可同时打开多个会话。一个会话构成一个用户到多个角色的映射，即会话激活了用户授权角色集的某个子集，这个子集称为活跃角色集。活跃角色集决定了本次会话的许可集。,56,第六章访问控制,1、RBAC能够描述复杂的安全策略通过角色定义、分配和设置适应安全策略系统管理员定义系统中的各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。根据组织的安全策略特定的岗位定义为特定的角色、特定的角色授权给特定的用户。例如可以定义某些角色接近DAC，某些角色接近MAC。系统管理员也可以根据需要设置角色的

27、可用性以适应某一阶段企业的安全策略，例如设置所有角色在所有时间内可用、特定角色在特定时间内可用、用户授权角色的子集在特定时间内可用。,57,基于角色访问控制（RBAC）,第六章访问控制,通过角色分层映射组织结构组织结构中通常存在一种上、下级关系，上一级拥有下一级的全部权限，为此，RBAC引入了角色分层的概念。角色分层把角色组织起来，能够很自然地反映组织内部人员之间的职权、责任关系。层次之间存在高对低的继承关系，即父角色可以继承子角色的许可。,58,基于角色访问控制（RBAC）,第六章访问控制,59,角色的继承关系,60,第六章访问控制,容易实现最小特权（least privilege）

28、原则最小特权原则在保持完整性方面起着重要的作用。最小特权原则是指用户所拥有的权力不能超过他执行工作时所需的权限。这一原则的应用可限制事故、错误、未授权使用带来的损害。使用RBAC能够容易地实现最小特权原则。在RBAC中，系统管理员可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色需要执行的操作才授权给角色。当一个主体要访问某资源时,如果该操作不在主体当前活跃角色的授权操作之内，该访问将被拒绝。,61,第六章访问控制,满足职责分离(separation of duties)原则这是保障安全的一个基本原则，是指有些许可不能同时被同一用户获得，以避免安全上的漏洞。例如收款员

29、、出纳员、审计员应由不同的用户担任。在RBAC中，职责分离可以有静态和动态两种实现方式。静态职责分离只有当一个角色与用户所属的其他角色彼此不互斥时,这个角色才能授权给该用户。动态职责分离只有当一个角色与一主体的任何一个当前活跃角色都不互斥时该角色才能成为该主体的另一个活跃角色。角色的职责分离也称为角色互斥，是角色限制的一种。,62,第六章访问控制,岗位上的用户数通过角色基数约束企业中有一些角色只能由一定人数的用户占用，在创建新的角色时，通过指定角色的基数来限定该角色可以拥有的最大授权用户数。如总经理角色只能由一位用户担任。RBAC数据库设计维护RBAC数据库是系统管理员的基本职责，这里分析

30、RBAC数据库的基本表和相关操作。RBAC数据库包括静态数据和动态数据。,63,第六章访问控制,静态数据用户表包括用户标识、姓名、登录密码。它是系统中的个体用户集，随用户的添加与删除动态变化。角色表包括角色标识、角色名称、角色基数、角色可用标识。角色表是系统角色集，由系统管理员定义角色。受控对象表包括对象标识、对象名称。受控对象表是客体集，系统中所有受控对象的集合。操作算子表包括操作标识、操作算子名称。系统中所有受控对象的操作算子构成操作算子表。许可表包括许可标识、许可名称、受控对象、操作标识。许可表给出了受控对象与操作算子的对应关系。,64,第六章访问控制,角色/许可授权表包括角色

31、标识、许可标识。系统管理员为角色分配或取消许可，管理角色/许可授权表。用户/角色分配表包括用户标识、角色标识。系统管理员为用户分配或取消角色，管理用户/角色分配表。用户/角色授权表包括用户标识、角色标识、可用性。角色r授权给一个用户u，要么是角色r分配给用户u，要么是角色r通过一个分配给用户u的角色继承而来。用户/角色授权表记录了用户通过用户/角色分配表以及角色继承而取得的所有角色。可用性为真时，用户才真正可以使用该角色赋予的许可。,65,第六章访问控制,角色层次表包括上一级角色标识、下一级角色标识。上一级角色包含下一级角色的许可。静态互斥角色表包括角色标识1、角色标识2。系统管理员为用户添

32、加角色时参考。动态互斥角色表包括角色标识1、角色标识2。在用户创建会话选择活跃角色集时参考。动态数据会话表包括会话标识、用户标识。会话的活跃角色表包括会话标识、角色标识。,66,第六章访问控制,RBAC系统结构RBAC系统结构由RBAC数据库、身份认证模块、系统管理模块、会话管理模块组成。身份认证模块通过用户标识、用户口令确认用户身份。此模块仅使用RBAC数据库的USERS表。 RBAC数据库与各模块的对应关系见图,67,五、基于角色访问控制（RBAC）,第六章访问控制,68,第六章访问控制,系统管理模块主要完成用户增减（使用USERS表）、角色增减（使用ROLES表）、用户/角色的分配

33、（使用USERS表、ROLES表、用户/角色分配表、用户/角色授权表）、角色/许可的分配（使用ROLES表、PERMISSIONS表、角色/许可授权表）、定义角色间的关系（使用ROLES表、角色层次表、静态互斥角色表、动态互斥角色表），其中每个操作都带有参数，每个操作都有一定的前提条件，操作使RBAC数据库发生动态变化。系统管理员使用该模块初始化RBAC数据库并维护RBAC数据库。,69,第六章访问控制,系统管理员的操作包括添加、删除用户，添加、删除角色，设置角色可用性，为角色增加许可，取消角色的某个许可，为用户分配或取消某个角色，设置用户授权角色的可用性，添加或取消角色继承关系，添加或删除

34、一个静态角色互斥关系，添加或删除一个动态角色互斥关系，设置角色基数。会话管理模块结合RBAC数据库管理会话。包括会话的创建与取消以及对活跃角色的管理。此模块使用USERS表、ROLES表、动态互斥角色表、会话表和活跃角色表。,70,第六章访问控制,RBAC系统的运行步骤用户登录时向身份认证模块发送用户标识、用户口令，确证用户身份；会话管理模块从RBAC数据库检索该用户的授权角色集并送回用户；用户从中选择本次会话的活跃角色集，在此过程中会话管理模块维持动态角色互斥；会话创建成功，本次会话的授权许可体现在菜单与按扭上，如不可用显示为灰色；在会话过程中，系统管理员若要更改角色或许可，可在此会话结

35、束后进行或终止此会话立即进行。,71,六、访问控制的其它考虑,附加的控制依赖于值的控制：临界数据的敏感性多用户控制：需要多个个体、角色的同意基于上下文控制：时间、用户位置、通信路径目标的粒度策略与粒度大小密切相关。策略的交互作用多种策略作用于一个目标时，需要策略协调规则规定策略优先关系，解决策略冲突。,72,穿越互操作区域的策略映射安全区域边界的翻译、映射，不同区域安全策略不同访问控制转发如果B是不可信的，或者B受到攻击，则C将受到威胁。通信访问控制与路由控制 a)连接访问控制： b)网络数据访问控制：路由控制：确保数据通过安全的子网、连接。在网络层，使用a或b方式；在E-mail这样的存储转发系统中，路由控制可出现在应用层。,73,访问控制信息的产生、分发和存储访问控制机制的有效性依赖于访问控制决策的准确性和可信度。所以访问控制策略只能由适当的授权者独自产生和修改。对访问控制列表的修改由控制许可来完成，控制许可在逻辑上要与目标访问许可有明显的区别。为满足完整性和数据起源认证需要，访问控制信息通常以访问控制证书的形式传递，例：当用户首次登录时，将获得特权属性证书(PAC)。访问控制许可的撤消当某个安全区域去掉一个用户、目标，或改变其安全属性，或怀疑敏感信息受到威胁时,

展开阅读全文