認證、授權與訪問控制四道防線第一道防線：網絡與系統(tǒng)接入控制防止

第二道防線：用戶管理與資源訪問（數據存?。┛刂谱柚?/p>

第三道防線：病毒防范與動態(tài)安全管理。檢測

第四道防線：災難預防與系統(tǒng)恢復（備份）。糾正

第二道防線內容1.信息認證技術2.訪問控制技術3.數據庫安全技術一、信息認證技術認證和保密是信息安全的兩個重要方面，是兩個獨立的問題。保密：防止明文信息的泄露。認證：防止第三方的主動攻擊，是密碼學的一個重要分支。認證的目的：?信源認證：防冒充

?檢驗發(fā)送信息的完整性認證認證：向一個實體確認另一個實體確實是他自己。鑒別：實體鑒別數據完整性鑒別

基本的認證技術包括數字簽名、消息認證、數字摘要（雜湊函數）和簡單的身份認證等。這些能夠提供信息完整性、防止抵賴和防止篡改等功能。信息認證技術1雜湊函數與消息完整性2消息認證碼3數字簽名4身份識別技術5口令管理1.雜湊函數與消息完整性雜湊函數H是一公開函數，用于將任意長的消息M映射為較短的、固定長度(128位）的一個值H(M)，作為認證符，稱函數值H(M)為雜湊值、雜湊碼或消息摘要。雜湊碼是消息中所有比特的函數，因此提供了一種錯誤檢測能力，即改變消息中任何一個比特或幾個比特都會使雜湊碼發(fā)生改變。Hash函數（單向散列函數）Hash：數字指紋、消息摘要、壓縮函數、雜湊函數、散列函數等Hash：雜燴菜：肉末、土豆和蔬菜等作成的通常呈褐色的菜。Hash函數：是一種能夠將任意長度的消息映射到某一固定長度的消息摘要的函數。壓縮性、易計算雜湊函數用來提供消息認證的6種方式消息與雜湊碼鏈接后用單鑰加密算法加密。由于所用密鑰僅為收發(fā)雙方A、B共享，因此可保證消息的確來自A并且未被篡改（完整性）。同時還由于消息和雜湊碼都被加密，這種方式還提供了保密性雜湊函數用來提供消息認證的6種方式2.用單鑰加密算法僅對雜湊碼加密。這種方式用于不要求保密性的情況下，可減少處理負擔。保障數據的完整性3.只用發(fā)送方的公鑰加密雜湊碼。和②一樣，這種方式提供認證性，又由于只有發(fā)送方能產生加密的雜湊碼，因此這種方式還對發(fā)送方發(fā)送的消息提供了數字簽名（不可否認性），事實上這種方式就是數字簽名。PRaPUa4.消息的雜湊值用公鑰加密算法和發(fā)送方的秘密鑰加密后與消息鏈接，再對鏈接后的結果用單鑰加密算法加密，這種方式提供了保密性、完整性和不可否認性PRaPUa使用這種方式時要求通信雙方共享一個秘密值S，A計算消息M和秘密值S鏈接在一起的雜湊值，并將此雜湊值附加到M后發(fā)往B。因B也有S，所以可重新計算雜湊值以對消息進行認證。由于秘密值S本身未被發(fā)送，敵手無法對截獲的消息加以篡改，也無法產生假消息。這種方式僅提供認證和完整性。6.這種方式是在⑤中消息與雜湊值鏈接以后再增加單鑰加密運算，從而又可提供保密性由于加密運算的速度較慢，代價較高，而且很多加密算法還受到專利保護，因此在不要求保密性的情況下，方式②和③將比其他方式更具優(yōu)勢?！祀s湊函數應滿足的條件雜湊函數的目的是為需認證的數據產生一個“指紋”。為了能夠實現(xiàn)對數據的認證，雜湊函數應滿足以下條件：函數的輸入可以是任意長。函數的輸出是固定長。已知x，求H(x)較為容易，可用硬件或軟件實現(xiàn)。已知h，求使得H(x)=h的x在計算上是不可行的，這一性質稱為函數的單向性，稱H(x)為單向雜湊函數。已知x，找出y(y≠x)使得H(y)=H(x)在計算上是不可行的。如果單向雜湊函數滿足這一性質，則稱其為弱單向雜湊函數。找出任意兩個不同的輸入x、y，使得H(y)=H(x)在計算上是不可行的。如果單向雜湊函數滿足這一性質，則稱其為強單向雜湊函數。第⑤和第⑥個條件給出了雜湊函數無碰撞性的概念，如果雜湊函數對不同的輸入可產生相同的輸出，則稱該函數具有碰撞性。以上6個條件中，前3個是雜湊函數能用于消息認證的基本要求。第4個條件（即單向性）則對使用秘密值的認證技術(見圖(e))極為重要。假如雜湊函數不具有單向性，則攻擊者截獲M和C=H(S‖M)后，求C的逆S‖M，就可求出秘密值S。第5個條件使得敵手無法在已知某個消息時，找到與該消息具有相同雜湊值的另一消息。這一性質用于雜湊值被加密情況時(見圖6.3(b)和圖6.3(c))防止敵手的偽造，由于在這種情況下，敵手可讀取傳送的明文消息M，因此能產生該消息的雜湊值H(M)。但由于敵手不知道用于加密雜湊值的密鑰，他就不可能既偽造一個消息M，又偽造這個消息的雜湊值加密后的密文EK[H(M)]。然而，如果第5個條件不成立，敵手在截獲明文消息及其加密的雜湊值后，就可按以下方式偽造消息：首先求出截獲的消息的雜湊值，然后產生一個具有相同雜湊值的偽造消息，最后再將偽造的消息和截獲的加密的雜湊值發(fā)往通信的接收方。第6個條件用于抵抗生日攻擊。常見的Hash函數

1).MD52).SHA-13).RIPEMD-1604).HMACMD5雜湊算法MD4是MD5雜湊算法的前身，由RonRivest于1990年10月作為RFC提出，1992年4月公布的MD4的改進（RFC1320，1321）稱為MD5。算法描述MD5算法采用迭代型雜湊函數的一般結構算法的輸入為任意長的消息（圖中為K比特），分為512比特長的分組，輸出為128比特的消息摘要。圖6.5MD5的算法框圖安全雜湊算法安全雜湊算法SHA(SecureHashAlgorithm)由美國NIST設計，于1993年作為聯(lián)邦信息處理標準（FIPSPUB180）公布。SHA-0是SHA的早期版本，SHA-0被公布后，NIST很快就發(fā)現(xiàn)了它的缺陷，修改后的版本稱為SHA-1，簡稱為SHA。SHA是基于MD4算法，其結構與MD4非常類似。算法描述算法的輸入為小于264比特長的任意消息，分為512比特長的分組，輸出為160比特長的消息摘要。單向雜湊函數保護數據完整定長的雜湊值H(M)：是報文所有比特的函數值，并有差錯檢測能力。報文中任意一比特或若干比特發(fā)生改變都將導致雜湊值（散列碼）發(fā)生改變。2.

消息認證碼

消息認證碼的定義及使用方式

消息認證碼是指消息被一密鑰控制的公開函數作用后產生的、用作認證符的、固定長度的數值，也稱為密碼校驗和。此時需要通信雙方A和B共享一密鑰K。設A欲發(fā)送給B的消息是M，A首先計算MAC=CK(M)，其中CK(·)是密鑰控制的公開函數，然后向B發(fā)送M‖MAC，B收到后做與A相同的計算，求得一新MAC，并與收到的MAC做比較圖6.1MAC的基本使用方式如果僅收發(fā)雙方知道K，且B計算得到的MAC與接收到的MAC一致，則這一系統(tǒng)就實現(xiàn)了以下功能：接收方相信發(fā)送方發(fā)來的消息未被篡改，這是因為攻擊者不知道密鑰，所以不能夠在篡改消息后相應地篡改MAC，而如果僅篡改消息，則接收方計算的新MAC將與收到的MAC不同。接收方相信發(fā)送方不是冒充的，這是因為除收發(fā)雙方外再無其他人知道密鑰，因此其他人不可能對自己發(fā)送的消息計算出正確的MAC。MAC函數與加密算法類似，不同之處為MAC函數不必是可逆的，因此與加密算法相比更不易被攻破。上述過程中，由于消息本身在發(fā)送過程中是明文形式，所以這一過程只提供認證性而未提供保密性。為提供保密性可在MAC函數以后或以前進行一次加密，而且加密密鑰也需被收發(fā)雙方共享?！?.1.2產生MAC的函數應滿足的要求使用加密算法（單鑰算法或公鑰算法）加密消息時，其安全性一般取決于密鑰的長度。如果加密算法沒有弱點，則敵手只能使用窮搜索攻擊以測試所有可能的密鑰。如果密鑰長為k比特，則窮搜索攻擊平均將進行2k-1個測試。特別地，對惟密文攻擊來說，敵手如果知道密文C，則將對所有可能的密鑰值Ki執(zhí)行解密運算Pi=DKi(C)，直到得到有意義的明文。對MAC來說，由于產生MAC的函數一般都為多到一映射，如果產生n比特長的MAC，則函數的取值范圍即為2n個可能的MAC，函數輸入的可能的消息個數N>>2n，而且如果函數所用的密鑰為k比特，則可能的密鑰個數為2k。如果系統(tǒng)不考慮保密性，即敵手能獲取明文消息和相應的MAC，那么在這種情況下要考慮敵手使用窮搜索攻擊來獲取產生MAC的函數所使用的密鑰。假定k>n，且敵手已得到M1和MAC1，其中MAC1=CK1（M1），敵手對所有可能的密鑰值Ki求MACi=CKi(M1)，直到找到某個Ki使得MACi=MAC1。由于不同的密鑰個數為2k，因此將產生2k個MAC，但其中僅有2n個不同，由于2k>2n，所以有很多密鑰（平均有2k/2n=2k-n個）都可產生出正確的MAC1，而敵手無法知道進行通信的兩個用戶用的是哪一個密鑰，還必須按以下方式重復上述攻擊：第1輪 已知M1、MAC1，其中MAC1=CK(M1)。對所有2k個可能的密鑰計算MACi=CKi(M1)，得2k-n個可能的密鑰。第2輪 已知M2、MAC2，其中MAC2=CK(M2)。對上一輪得到的2k-n個可能的密鑰計算MACi=CKi(M2)，得2k-2×n個可能的密鑰。如此下去，如果k=αn，則上述攻擊方式平均需要α輪。例如，密鑰長為80比特，MAC長為32比特，則第1輪將產生大約248個可能密鑰，第2輪將產生216個可能的密鑰，第3輪即可找出正確的密鑰。如果密鑰長度小于MAC的長度，則第1輪就有可能找出正確的密鑰，也有可能找出多個可能的密鑰，如果是后者，則仍需執(zhí)行第2輪搜索。所以對消息認證碼的窮搜索攻擊比對使用相同長度密鑰的加密算法的窮搜索攻擊的代價還要大。有些攻擊法卻不需要尋找產生MAC所使用的密鑰。例如，設M=(X1‖X2‖…‖Xm)是由64比特長的分組Xi(i=1,…,m)鏈接得到的，其消息認證碼由以下方式得到：其中表示異或運算，加密算法是電碼本模式的DES。因此，密鑰長為56比特，MAC長為64比特，如果敵手得到M‖CK(M)，那么敵手使用窮搜索攻擊尋找K將需做256次加密。然而敵手還可用以下方式攻擊系統(tǒng)：將X1到Xm-1分別用自己選取的Y1到Ym-1替換，求出Ym=Y1Y2…Ym-1Δ(M)，并用Ym替換Xm。因此敵手可成功偽造一新消息M′=Y1…Ym，且M′的MAC與原消息M的MAC相同?？紤]到MAC所存在的以上攻擊類型，可知它應滿足以下要求，其中假定敵手知道函數C，但不知道密鑰K：如果敵手得到M和CK(M)，則構造一滿足CK(M′)=CK(M)的新消息M′在計算上是不可行的。CK(M)在以下意義下是均勻分布的：隨機選取兩個消息M、M′，Pr[CK(M)=CK(M′)]=2-n，其中n為MAC的長。若M′是M的某個變換，即M′=f(M)，例如f為插入一個或多個比特，那么Pr[CK(M)=CK(M′)]=2-n。第1個要求是針對上例中的攻擊類型的，此要求是說敵手不需要找出密鑰K而偽造一個與截獲的MAC相匹配的新消息在計算上是不可行的。第2個要求是說敵手如果截獲一個MAC，則偽造一個相匹配的消息的概率為最小。最后一個要求是說函數C不應在消息的某個部分或某些比特弱于其他部分或其他比特，否則敵手獲得M和MAC后就有可能修改M中弱的部分，從而偽造出一個與原MAC相匹配的新消息。3.數字簽名需求簽名報文鑒別與數字簽名報文鑒別用來防護通信雙方免受任何第三方的主動攻擊，數字簽名防止通信雙方的爭執(zhí)與互相攻擊。它是一種包括防止源點或終點抵賴的鑒別技術。因為發(fā)方和收方之間存在欺騙或抵賴。計算機通信網上從事貿易和有關事務的環(huán)境下提出和需要研究的問題。

消息認證就是驗證所收到的消息確實是來自真正的發(fā)送方且未被篡改的過程，它也可驗證消息的順序和及時性。數字簽名是一種包括防止源點或終點抵賴的認證技術。DigitalSignatures

數字簽名與不可否認性數字簽名：附加在數據單元上的一些數據或是對數據單元所做的密碼交換，這種數據或變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并且保護數據，防止被人偽造?？沟仲囆裕悍乐拱l(fā)送者否認發(fā)送過數據或其數據內容以及接收者否認收到過的特性。

數字簽名的功能：通信雙方發(fā)生爭執(zhí)時：否認、偽造、冒充、篡改作用：認證、核準、生效

數字簽名種類：1）對整體消息的簽字2）對壓縮消息的簽字數字簽名過程1）系統(tǒng)初始化過程2）簽名產生過程3）簽名驗證過程

數字簽名方案（實現(xiàn)方法）：一般基于數學難題離散對數問題：ElGamal、DSA

因子分解問題：RSA

二次剩余問題：Rabin

數字簽名體制：(P,A,K,S,V)----簽字體制明文空間P簽名集合A密鑰空間K簽名算法S證實算法V

數字簽名有以下特點：簽名是可信的簽名不可偽造簽名不可重用簽名的文件是不可改變的簽名是不可抵賴的4.身份識別技術身份認證：證實實體的身份消息認證：證實報文的合法性和完整性傳統(tǒng)上：生理面貌聲音筆跡習慣動作等身份認證1單機狀態(tài)下的身份認證2網絡環(huán)境下的身份認證身份識別技術分類：基于密碼技術的各種電子ID身份識別技術：使用通行字（口令）使用持證的方式加密、數字簽名、基于口令的用戶認證是實現(xiàn)安全通信的一些最基本的密碼技術?；谏锾卣髯R別的識別技術身份驗證(單機)所知：口令、密碼、PIN所有：證件、IC卡所做：簽名生物特征：指紋、視網膜、DNA等可靠第三方鑒別：網絡環(huán)境身份認證S/KeyPPPRADIUSKerberosSSOX.5095.口令管理入侵者面對的第一條防線是口令系統(tǒng)。

ID&口令保護口令文件的兩種常用方法：1單向加密：口令從不以明文存儲2訪問控制：口令保護口令選擇原則：用戶容易記憶而又不容易被猜測的口令。容易記憶難以猜測誤區(qū)：生日、姓、名、單詞、電話號碼、身份證號、門牌號、只用小寫字母、所有系統(tǒng)一個口令等。

避免猜測口令的技術：用戶教育計算機生成口令口令自檢查口令預檢查器

良好密碼策略構成：至少8字符長至少有一個數字既有大寫字母又有小寫字母至少有一個非標準字符口令的長度根據訪問等級和信息系統(tǒng)處理國家秘密信息的密級規(guī)定。

絕密級口令不應少于12個字符（6個漢字）機密級口令不應少于10個字符（5個漢字）秘密級口令不應少于8個字符（4個漢字）例：句子的第一個字母組合：Fourscoreandsevenyearsago，F(xiàn)s&7yA,PasswordManagementfront-linedefenseagainstintrudersuserssupplyboth:login–determinesprivilegesofthatuserpassword–toidentifythempasswordsoftenstoredencryptedUnixusesmultipleDES(variantwithsalt)morerecentsystemsusecryptohashfunctionManagingPasswordsneedpoliciesandgoodusereducationensureeveryaccounthasadefaultpasswordensureuserschangethedefaultpasswordstosomethingtheycanrememberprotectpasswordfilefromgeneralaccesssettechnicalpoliciestoenforcegoodpasswordsminimumlength(>6)requireamixofupper&lowercaseletters,numbers,punctuationblockknowdictionarywordsManagingPasswordsmayreactivelyrunpasswordguessingtoolsnotethatgooddictionariesexistforalmostanylanguage/interestgroupmayenforceperiodicchangingofpasswordshavesystemmonitorfailedloginattempts,&lockoutaccountifseetoomanyinashortperioddoneedtoeducateusersandgetsupportbalancerequirementswithuseracceptancebeawareofsocialengineeringattacksProactivePasswordCheckingmostpromisingapproachtoimprovingpasswordsecurityallowuserstoselectownpasswordbuthavesystemverifyitisacceptablesimpleruleenforcement(seepreviousslide)compareagainstdictionaryofbadpasswordsusealgorithmic(markovmodelorbloomfilter)todetectpoorchoices

身份認證是安全系統(tǒng)中的第一道關卡。訪問控制和審計系統(tǒng)都要依賴于身份認證系統(tǒng)提供的信息——用戶的身份。黑客攻擊的目標往往就是身份認證系統(tǒng)。字典式攻擊（窮舉攻擊）社交工程口令攻擊者獲取口令的技術使用系統(tǒng)提供的標準賬戶和默認口令。窮盡所有的短口令（1-3字符）嘗試在線詞典中的單詞或看似口令的單詞列表。收集用戶的信息。如用戶的全稱、配偶、孩子的名字、辦公室中的圖片、興趣有關圖書嘗試用戶的電話號碼、社保號碼、學號、房間號碼

本國合法牌照號碼用特洛伊木馬逃避訪問控制——難以防范竊聽遠程用戶和主機系統(tǒng)之間的線路?！€路竊聽

故不知諸侯之謀者，不能豫交；不知山林、險阻、沮澤之行者，不能行軍；不用鄉(xiāng)導者，不能得地利。——孫子?軍爭篇二、訪問控制技術1訪問控制2安全策略3訪問控制模型4訪問控制方案5可信系統(tǒng)1.訪問控制是針對越權使用資源的防御措施。訪問控制：對進入系統(tǒng)的用戶進行控制。允許使用那些資源，在什么地方適合阻止未授權訪問的過程。訪問控制機制：決定和實施一個實體的訪問權。拒絕使用非授權資源或以不正當方式使用授權資源。-授權

訪問控制是通過一組機制控制不同級別的主體對目標資源的不同授權訪問，對主體認證之后實施網絡資源安全管理使用。

訪問控制的目的是防止對信息系統(tǒng)資源的非授權訪問和非授權使用信息系統(tǒng)資源。

資源訪問控制：保護系統(tǒng)資源，防止非授權訪問和非授權使用。“進來能干什么”。

訪問控制的作用：對想訪問系統(tǒng)和數據的人進行識別，并檢驗其身份。防止未經授權的用戶非法使用系統(tǒng)資源。訪問控制的實質就是控制對計算機系統(tǒng)或網絡訪問的方法。即：1）

阻止非法用戶進入系統(tǒng)。2）

允許合法用戶進入系統(tǒng)。3）

合法人按其權限進行各種信息的活動。訪問控制的基本任務：防止非法用戶進入系統(tǒng)，防止合法用戶對系統(tǒng)資源的非法使用，對用戶進行識別和認證，確定該用戶對某一系統(tǒng)資源的訪問權限。

2.安全策略：首先要分析自己的網絡，確定需要何種層次的保護水平。需要保護那些資源：1）物理資源：任何具有物理形式的計算機資源，包括工作站、服務器、終端、網絡集線器及其他外圍設備。2）智力資源：以電子形式存在的、屬于公司業(yè)務活動范圍之內的任何形式的信息，包括軟件、金融信息、數據記錄、產品示意圖或零件設計圖。3）時間資源：評估由于失去時間可能給公司帶來損失，引起后果。4）認知資源：體現(xiàn)在公眾認知方面。

安全策略應以事件為中心設計，應具有：1）

一致性：2）

可行性：3）

被公司接受：4）

遵守當地法律：良好安全策略的構成：

訪問能力

制定安全目標

定義每項問題

用戶機構所處的地位

策略評價

何時實施策略

地位和責任

不遵守策略的后果

進一步信息

隱私級別

沒有專門規(guī)定的問題

安全策略是安全機制（加解密、數字簽名、信息認證）、安全連接（密鑰分配生成、身份驗證）、安全協(xié)議的有機組合方式。含以下兩個方面：認證流程：驗核與傳播的方法訪問控制方案：訪問手段、訪問權限

訪問控制策略：

說明允許使用公司設備進行何種類型訪問的策略。訪問控制策略規(guī)定網絡不同部分允許的數據流向，還會指定那些類型的傳輸是允許的，其他傳輸都將被阻塞。訪問控制策略有助于保證正確選擇防火墻產品。訪問控制策略：關鍵：表達方式（如安全標簽）管理方式（如強制式）。

CCITTRec.X.800/ISO7498-2把訪問控制策略分為兩類：

1）基于規(guī)則的安全策略：被發(fā)起者施加在安全域中任何目標上的所有訪問請求。根據安全標簽含義陳述的，是一種特殊類型。訪問決策：發(fā)起者和目標安全標簽進行比較。授權依賴于敏感性。2）基于身份的訪問控制策略：單個，一群或代表發(fā)起者行為的實體或扮演特定角色的原發(fā)者的規(guī)則。發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的，是一種類型。對發(fā)起者，群組和角色進行組合?；谏舷挛哪軌蛐薷幕谝?guī)則或者基于身份的訪問控制策略。上下文規(guī)則可在實際上定義整體策略，實系統(tǒng)通常使用這兩種策略類型的組合。

基于規(guī)則的安全策略：安全策略的基礎是強加于全體用戶的總體規(guī)則。這些規(guī)則往往依賴于把被訪問資源的敏感性與用戶、用戶群或代表用戶活動的實體的相應屬性進行比較。

基于身份的安全策略：安全策略的基礎是用戶或用戶群的身份或屬性，或者是代表用戶進行活動的實體以及被訪問的資源或客體的身份和屬性?；谏矸莸脑L問控制策略包括基于個人的策略和基于組的策略。3.訪問控制模型有以下幾種模型：DACMACRBACTBACOBAC訪問控制模型：1.自主訪問控制（DiscretionaryAccessControlDAC）：系統(tǒng)資源的擁有者能夠對他所有的資源分配不同的訪問權限，辨別各用戶的基礎上實現(xiàn)訪問控制。2.強制訪問控制（MandatoryAccessControlMAC）：系統(tǒng)（管理員）來分配訪問權限和實施控制，對用戶和資源都分配一個特殊的安全屬性（訪問權限），系統(tǒng)比較用戶和資源的安全屬性來決定該用戶能否可訪問該資源。常用敏感標記，實現(xiàn)多級安全控制。3.選擇性（基于角色的）訪問控制：基于主體或主體所在組的身份。DAC自主訪問控制DAC：

又稱任意訪問控制。

允許某個主體顯式地指定其他主體對該主體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。特點：授權的實施主體自主負責賦予和回收其它主體對客體資源的訪問權限。MAC強制訪問控制MAC：

系統(tǒng)強制主體服從訪問控制政策。

MAC的訪問控制關系：用上讀/下寫來保證數據完整性用下讀/上寫來保證數據保密性MAC是多級訪問控制策略，主要特點是系統(tǒng)對訪問主體和受控對象實行強制訪問控制。

多級安全信息系統(tǒng)：將敏感信息與通常資源分開隔離的系統(tǒng)。將信息資源按安全屬性分級考慮：1有層次的安全級別：TS、S、C、RS、U2無層次的安全級別MAC模型幾種主要模型：1Lattice模型：2BellLaPadula模型：主要用于軍事，維護保密性。3Biba模型：從完整性角度出發(fā)RBAC基于角色的訪問控制RBAC：“角色”：是指執(zhí)行特定任務的能力。TBAC基于任務的訪問控制模型：OBAC基于對象的訪問控制模型：4.訪問控制方案訪問控制列表（ACL）：訪問控制矩陣：權利方案基于標簽的方案基于上下文的方案AccessControlMatrixAccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(fileorresource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilitytickets

訪問控制系統(tǒng)一般包括以下幾個實體：主體Subject：進程客體Object：訪問權：限制主體對客體的訪問權限。數據訪問控制操作系統(tǒng)可以通過管理用戶文檔來控制用戶對數據的訪問。數據庫管理系統(tǒng)則需要對特定的記錄或者一部分記錄進行訪問控制。

間事未發(fā)，而先聞者，間與所告者皆死。

——孫子?用間篇5.TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asub