淺析計算機網絡訪問控制技術研究

摘 要：如今，網絡安全問題迅速地突現出來，成為困擾和阻礙網絡技術進一步普及和應用的絆腳石。

關鍵詞：網絡安全；訪問控制

1 訪問控制的安全意義

近年來，隨著全球網絡化熱潮的迅速涌起，計算機網絡正在日益廣泛而深入地滲透到社會的各個領域，并深刻地改變著整個社會的行為和面貌。尤其在商業、金融和國防等領域的網絡應用中，能否保證網絡具有足夠的安全性是首先要考慮的問題。安全問題若不能有效地得到解決，必然會嚴重到影響整個網絡事業的發展。

2 訪問控制技術的研究

根據授權策略的不同，目前在理論上主要有4種不同類型的訪問控制技術：自主訪問控制（DAC）、強制訪問控制（MAC）、基于角色的訪問控制（RBAC）和基于任務的訪問控制（TBAC）。

2.1 自主訪問控制和強制訪問控制

①自主訪問控制（Discretionary Access Control，DAC）DAC 的主要特征體現在主體可以自主地把自己所擁有的對客體的訪問權限授予其他主體或者從其他主體收回所授予的權限，訪問控制的粒度是單個用戶。DAC是在確認主體身份及所屬的組的基礎上，對訪問進行限定的一種控制策略，訪問控制策略保存在一個矩陣中，行為主體，列為客體。為了提高效率，系統不保存整個矩陣，在具體實現時是基于矩陣的行或列來實現訪問控制策略的。目前以基于列客體的訪問控制列表（Access Control List，ACL）采用的最多。ACL的優點在于表述直觀、易于理解，而且比較容易查出對一特定資源擁有訪問權限的所有用戶。

②強制訪問控制（Mandatory Access Control，MAC）MAC是指系統強制主體服從事先制訂的訪問控制策略。在MAC安全系統中，所有信息都有一個密級，例如：絕密級、機密級、秘密級、無密級；每個用戶也都相應地有一簽證。例如要決定是否允許某用戶讀一個文件，那么就比較該用戶的簽證是否與該文件的密級相符。安全策略要求，為了合法地得到某一信息，用戶的安全級必須大于或等于該信息的安全級，并且該信息屬于用戶的信息訪問類別。可見，MAC通過梯度安全標簽實現單向信息流通模式。

2.2 基于角色的訪問控制

（Role-Based Access Co-ntrol，RBAC）RBAC主要研究將用戶劃分成與其在組織結構體系相一致的角色，以減少授權管理的復雜性，降低管理開銷和為管理員提供一個比較好的實現復雜安全策略的環境。

在應用級信息系統的設計中，采用RBAC具有以下優勢：

（1）降低了管理的復雜度。管理授權數據通常是系統管理員的一項繁重工作，而在RBAC中根據用戶的能力與責任把用戶與角色關聯，一方面定義角色、添加與刪除角色中的用戶，易于操作；另一方面由于用戶與權限不直接關聯，可以通過改變角色的權限來改變該角色中所有用戶的權限。

（2）能夠方便地描述復雜的安全策略。安全的整個領域既復雜又廣泛，安全策略實質上表明系統在進行一般操作時，在安全范圍內什么是允許的，什么是不允許的。策略通常不作具體規定，即它只是提出什么是最重要的，而不確切地說明如何達到所希望的這些結果。策略建立起安全技術規范的最高一級，不像ACL只支持低級的用戶/權限關系。RBAC支持角色/權限、角色/角色的關系，由于RBAC的訪問控制是在更高的抽象級別上進行的，系統管理員可以通過定義角色、角色分層、角色約束來實現企業的安全策略，管理用戶的行為。

（3）降低了管理中的錯誤。系統管理員一旦完成了角色與角色間關系的定義，由于角色的職能具有一定的穩定性，而用戶的職能變動頻繁，所以系統管理員的主要工作就是添加與刪除角色中的用戶，與ACL相比較，操作簡單方便，減少了出錯的風險。

2.3 基于任務的訪問控制

（Task-Based Access Co-ntrol，TBAC）TBAC是一種新型的訪問控制和授權管理模式，它非常適合多點訪問控制的分布式計算和信息處理活動以及決策制定系統。TBAC采取面向任務，而不是傳統的面向主體對象訪問控制方法。如果實現TBAC 思想，權限體系的生成就會更及時，而且這些權限是執行操作時所需的，這一點在包含事務和工作流的應用環境中尤其適用。TBAC方法還將使自我管理的訪問控制模型提升到更高程度，從而降低總體費用。

TBAC模型現在還處于一種高度抽象的概念層次，還沒有具體化，離實用階段還有一段距離。但它有很廣的潛在應用性，從對客戶——服務器交互這樣精細活動實施訪問控制，到對跨部門和組織邊界的分布式應用和工作流這樣的粗單元實施訪問控制都適用。

TBAC訪問控制涉及到與一定應用邏輯一致的任務完成過程中不同點的授權，這一點在其他的主體對象訪問控制方法中不能得到滿足。相比之下，在傳統訪問控制中，訪問控制決策制定太簡單了，本質上與高層應用程序語義和要求脫節。

TBAC從基于任務的角度來實現訪問控制，能有效解決提前授權問題，是一種主動訪問控制模型。它給出了動態授權的概念。所謂動態授權，就是將授權不僅同用戶、角色聯系，還同任務相關。當任務即將執行時，才對用戶授權；當任務執行完就撤銷用戶的權限。這樣就可以保證權限只有在用戶需要時才得到，滿足最小特權原則。TBAC在完成任務的過程中，要監視權限的狀態，按照進行中的任務狀態確定權限是活動狀態或非活動狀態，因此它是積極參與訪問控制管理的。

[參考文獻]

[1]王瑋.小議計算機網絡系統的安全維護[J].現代經濟信息，2010，5.

[2]王永剛.淺談計算機網絡系統安全[J].計算機光盤軟件與應用，2010，5.