由于物聯(lián)網(wǎng)應(yīng)用系統(tǒng)是多用戶(hù)、多任務(wù)的工作環(huán)境，這為非法使用系統(tǒng)資源打開(kāi)了方便之門(mén)，因此，迫切要求我們對(duì)計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)采取有效的安全防范措施，以防止非法用戶(hù)進(jìn)入系統(tǒng)以及合法用戶(hù)對(duì)系統(tǒng)資源的非法使用。

這就需要采用訪問(wèn)控制系統(tǒng)，訪問(wèn)控制包含3方面的含義。

① 合法性：阻止沒(méi)有得到正式授權(quán)的用戶(hù)違法訪問(wèn)以及非法用戶(hù)的違法訪問(wèn)。

② 完整性：在包含收集數(shù)據(jù)、傳輸信息、儲(chǔ)存信息等一系列的步驟中，保證數(shù)據(jù)信息的完好無(wú)損，不可以隨意增刪與改動(dòng)。

③ 時(shí)效性：在一定時(shí)效內(nèi)，保證系統(tǒng)資源不能被非法用戶(hù)篡改使用，保障系統(tǒng)在時(shí)效內(nèi)的完整。

通過(guò)訪問(wèn)控制，系統(tǒng)可以預(yù)防和阻礙未經(jīng)授權(quán)的非法用戶(hù)訪問(wèn)和操作系統(tǒng)資源。

一、訪問(wèn)控制的基本原則

訪問(wèn)控制機(jī)制是用來(lái)實(shí)施對(duì)資源訪問(wèn)加以限制的策略的機(jī)制，這種策略把對(duì)資源的訪問(wèn)權(quán)限只授于了那些被授權(quán)用戶(hù)。應(yīng)該建立起申請(qǐng)、建立、發(fā)出和關(guān)閉用戶(hù)授權(quán)的嚴(yán)格的制度，以及管理和監(jiān)督用戶(hù)操作責(zé)任的機(jī)制。

為了獲取系統(tǒng)的安全，授權(quán)應(yīng)該遵守訪問(wèn)控制的3個(gè)基本原則。

1、最小特權(quán)原則

最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。最小特權(quán)（Least rivilege）指的是“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體（用戶(hù)或進(jìn)程）必不可少的特權(quán)”。最小特權(quán)原則是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所需的最小特權(quán)，以確?？赡艿氖鹿?、錯(cuò)誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。

最小特權(quán)原則使用戶(hù)所擁有的權(quán)力不能超過(guò)它執(zhí)行工作時(shí)所需的權(quán)限。最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這也限制了每個(gè)主體所能進(jìn)行的操作。

2、多人負(fù)責(zé)原則

多人負(fù)責(zé)即授權(quán)分散化，在功能上劃分關(guān)鍵的任務(wù)由多人來(lái)共同承擔(dān)，以保證沒(méi)有任何個(gè)人具有完成任務(wù)的全部授權(quán)或信息，如將責(zé)任做分解以確保沒(méi)有一個(gè)人具有完整的密鑰。

3、職責(zé)分離原則

職責(zé)分離是保障安全的一個(gè)基本原則。職責(zé)分離是指將不同的責(zé)任分派給不同的人員以期達(dá)到互相牽制的作用，消除一個(gè)人執(zhí)行兩項(xiàng)不相容的工作的風(fēng)險(xiǎn)，如收款員、出納員、審計(jì)員應(yīng)由不同的人擔(dān)任。計(jì)算機(jī)環(huán)境下也要有職責(zé)分離，為避免安全上的漏洞，有些許可不能同時(shí)被同一用戶(hù)獲得。

二、訪問(wèn)控制的基本概念

1、訪問(wèn)控制的功能

訪問(wèn)控制應(yīng)具備身份認(rèn)證、授權(quán)、文件保護(hù)和審計(jì)等主要功能。

1.1、認(rèn)證

認(rèn)證就是證實(shí)用戶(hù)的身份。認(rèn)證必須和標(biāo)識(shí)符共同起作用。認(rèn)證過(guò)程首先需要用戶(hù)輸入賬戶(hù)名、用戶(hù)標(biāo)志或者注冊(cè)標(biāo)志以表明身份。賬戶(hù)名應(yīng)該是秘密的，任何其他用戶(hù)不得擁有。但為了防止賬戶(hù)名或用戶(hù)標(biāo)志泄露而出現(xiàn)非法用戶(hù)訪問(wèn)，還需要進(jìn)一步用認(rèn)證技術(shù)證實(shí)用戶(hù)的合法身份。

1.2、授權(quán)

系統(tǒng)正確認(rèn)證用戶(hù)后，根據(jù)不同的用戶(hù)標(biāo)志分配給其不同的使用資源，這項(xiàng)任務(wù)稱(chēng)為授權(quán)。授權(quán)的實(shí)現(xiàn)是靠訪問(wèn)控制完成的。訪問(wèn)控制是一項(xiàng)特殊的任務(wù)，它將標(biāo)志符ID作為關(guān)鍵字來(lái)控制用戶(hù)訪問(wèn)的程序和數(shù)據(jù)。訪問(wèn)控制主要用在關(guān)鍵節(jié)點(diǎn)、主機(jī)和服務(wù)器，一般節(jié)點(diǎn)使用較少。在實(shí)際應(yīng)用中，通常需要從用戶(hù)類(lèi)型、應(yīng)用資源以及訪問(wèn)規(guī)則3個(gè)方面來(lái)明確用戶(hù)的訪問(wèn)權(quán)限。

① 用戶(hù)類(lèi)型。對(duì)于一個(gè)已經(jīng)被系統(tǒng)識(shí)別和認(rèn)證了的用戶(hù)，系統(tǒng)還要對(duì)他的訪問(wèn)操作實(shí)施一定的限制。對(duì)于一個(gè)通用計(jì)算機(jī)系統(tǒng)來(lái)講，用戶(hù)范圍廣，層次與權(quán)限也不同。用戶(hù)類(lèi)型一般有系統(tǒng)管理員、一般用戶(hù)、審計(jì)用戶(hù)和非法用戶(hù)。

系統(tǒng)管理員權(quán)限最高，可以對(duì)系統(tǒng)中的任何資源進(jìn)行訪問(wèn)，并具有所有類(lèi)型的訪問(wèn)操作權(quán)利。一般用戶(hù)的訪問(wèn)操作要受到一定的限制，系統(tǒng)管理員會(huì)根據(jù)需要給這類(lèi)用戶(hù)分配不同的訪問(wèn)操作權(quán)利。審計(jì)用戶(hù)負(fù)責(zé)對(duì)整個(gè)系統(tǒng)的安全控制與資源使用情況進(jìn)行審計(jì)。非法用戶(hù)則是被取消訪問(wèn)權(quán)利或者被拒絕訪問(wèn)系統(tǒng)的用戶(hù)。

② 應(yīng)用資源。應(yīng)用資源是指系統(tǒng)中的每個(gè)用戶(hù)可共同分享的系統(tǒng)資源。系統(tǒng)內(nèi)需要保護(hù)的是系統(tǒng)資源，因此需要對(duì)保護(hù)的資源定義一個(gè)訪問(wèn)控制包（Access Control Packet，ACP），訪問(wèn)控制包會(huì)給每一個(gè)資源或資源組勾畫(huà)出一個(gè)訪問(wèn)控制列表（Access Control List，ACL），列表中會(huì)描述哪個(gè)用戶(hù)可以使用哪個(gè)資源以及如何使用。

③ 訪問(wèn)規(guī)則。訪問(wèn)規(guī)則定義了若干條件，在這些條件下可準(zhǔn)許訪問(wèn)一個(gè)資源。一般來(lái)講，規(guī)則可使用戶(hù)與資源配對(duì)，然后指定該用戶(hù)可以在該資源上執(zhí)行哪些操作，如只讀、不允許執(zhí)行或不允許訪問(wèn)等。這些規(guī)則是由負(fù)責(zé)實(shí)施安全政策的系統(tǒng)管理人員根據(jù)最小特權(quán)原則來(lái)確定的，即在授予用戶(hù)訪問(wèn)某種資源的權(quán)限時(shí)，只給予該資源的最小權(quán)限。例如，用戶(hù)需要讀權(quán)限時(shí)，不應(yīng)該授予讀寫(xiě)權(quán)限。

1.3、文件保護(hù)

文件保護(hù)是指對(duì)文件提供的附加保護(hù)，其可使非授權(quán)用戶(hù)不可讀取文件。一般采用對(duì)文件加密的附加保護(hù)。

1.4、審計(jì)

審計(jì)是記錄用戶(hù)系統(tǒng)所進(jìn)行的所有活動(dòng)的過(guò)程，即記錄用戶(hù)違反安全規(guī)定使用系統(tǒng)的時(shí)間、日期以及用戶(hù)活動(dòng)。因?yàn)榭赡苁占臄?shù)據(jù)量非常大，所以，良好的審計(jì)系統(tǒng)應(yīng)具有進(jìn)行數(shù)據(jù)篩選并報(bào)告審計(jì)記錄的工具，此外，還應(yīng)容許工具對(duì)審計(jì)記錄做進(jìn)一步的分析和處理。

2、訪問(wèn)控制的關(guān)鍵要素

訪問(wèn)控制是指主體依據(jù)某些控制策略對(duì)客體本身或其他資源進(jìn)行不同權(quán)限的訪問(wèn)。訪問(wèn)控制包括3個(gè)要素：主體、客體和控制策略。

2.1、主體

主體是可以在信息客體間流動(dòng)的一種實(shí)體。主體通常指的是訪問(wèn)用戶(hù)，但是作業(yè)或設(shè)備也可以成為主體。所以，對(duì)文件進(jìn)行操作的用戶(hù)是一種主體，用戶(hù)調(diào)度并運(yùn)行的某個(gè)作業(yè)也是一種主體，檢測(cè)電源故障的設(shè)備還是一個(gè)主體。大多數(shù)交互式系統(tǒng)的工作過(guò)程是：用戶(hù)首先在系統(tǒng)中注冊(cè)，然后啟動(dòng)某一進(jìn)程以完成某項(xiàng)任務(wù)，該進(jìn)程繼承了啟動(dòng)它的用戶(hù)的訪問(wèn)權(quán)限。在這種情況下，進(jìn)程也是一個(gè)主體。

2.2、客體

客體本身是一種信息實(shí)體，或者是從其他主體或客體接收信息的載體?？腕w不受它所依存的系統(tǒng)的限制，其可以是記錄、數(shù)據(jù)塊、存儲(chǔ)頁(yè)、存儲(chǔ)段、文件、目錄、目錄樹(shù)、郵箱、信息、程序等，也可以是位、字節(jié)、字、域、處理器、通信線路、時(shí)鐘、網(wǎng)絡(luò)節(jié)點(diǎn)等。

在有些系統(tǒng)中，邏輯上所有的客體都作為文件處理。每種硬件設(shè)備都作為一種客體來(lái)處理，因而，每種硬件設(shè)備都具有相應(yīng)的訪問(wèn)控制信息。如果一個(gè)主體準(zhǔn)備訪問(wèn)某個(gè)設(shè)備，則該主體必須具有適當(dāng)?shù)脑L問(wèn)權(quán)，而對(duì)設(shè)備的安全校驗(yàn)機(jī)制將對(duì)訪問(wèn)權(quán)進(jìn)行校驗(yàn)。

2.3、控制策略

控制策略是主體對(duì)客體的操作行為集和約束條件集，也是主體對(duì)客體的控制規(guī)則集。這個(gè)規(guī)則集直接定義了主體對(duì)客體可以進(jìn)行的作用行為和客體對(duì)主體的條件約束?？刂撇呗泽w現(xiàn)了一種授權(quán)行為，即客體對(duì)主體的權(quán)限允許，這種允許不可超越規(guī)則集。

訪問(wèn)控制系統(tǒng)的3個(gè)要素可以使用三元組（S、O、P）來(lái)表示，其中S表示主體，O表示客體，P表示許可。主體通過(guò)認(rèn)證后才能訪問(wèn)客體，但并不保證其有權(quán)限對(duì)客體進(jìn)行操作。用戶(hù)標(biāo)志是一個(gè)用來(lái)鑒別用戶(hù)身份的字符串，每個(gè)用戶(hù)有且只能有唯一的一個(gè)用戶(hù)標(biāo)志，以便與其他用戶(hù)有所區(qū)別。當(dāng)一個(gè)用戶(hù)在注冊(cè)系統(tǒng)時(shí)，他必須提供其用戶(hù)標(biāo)志，然后系統(tǒng)才會(huì)執(zhí)行一個(gè)可靠的審查來(lái)確認(rèn)當(dāng)前用戶(hù)就是對(duì)應(yīng)用戶(hù)標(biāo)志的那個(gè)用戶(hù)。

當(dāng)前訪問(wèn)控制實(shí)現(xiàn)的模型普遍采用了主體、客體、授權(quán)的定義和這3個(gè)定義之間的關(guān)系的方法來(lái)描述。訪問(wèn)控制模型能夠?qū)τ?jì)算機(jī)系統(tǒng)中的存儲(chǔ)元素進(jìn)行抽象表達(dá)。訪問(wèn)控制要解決的一個(gè)基本問(wèn)題便是主動(dòng)對(duì)象（如進(jìn)程）如何對(duì)被動(dòng)的受保護(hù)對(duì)象（如被訪問(wèn)的文件等）進(jìn)行訪問(wèn)，并且按照安全策略進(jìn)行控制。主動(dòng)對(duì)象稱(chēng)為主體，被動(dòng)對(duì)象稱(chēng)為客體。

針對(duì)一個(gè)安全的系統(tǒng)，或者是將要在其上實(shí)施訪問(wèn)控制的系統(tǒng)，一個(gè)訪問(wèn)可以對(duì)被訪問(wèn)的對(duì)象產(chǎn)生以下作用：一是對(duì)信息的抽取；二是對(duì)信息的插入。對(duì)于被訪問(wèn)對(duì)象來(lái)說(shuō)，可以有“只讀不修改”“只讀修改”“只修改不讀”“既讀又修改”4種訪問(wèn)方式。

3、訪問(wèn)控制策略的實(shí)施

訪問(wèn)控制策略是物聯(lián)網(wǎng)信息安全的核心策略之一，其任務(wù)是保證物聯(lián)網(wǎng)信息不被非法使用和非法訪問(wèn)，為保證信息基礎(chǔ)的安全性提供一個(gè)框架，提供管理和訪問(wèn)物聯(lián)網(wǎng)資源的安全方法，規(guī)定各要素需要遵守的規(guī)范與應(yīng)負(fù)的責(zé)任，為物聯(lián)網(wǎng)系統(tǒng)安全提供可靠依據(jù)。

3.1、訪問(wèn)控制策略的基本原則

訪問(wèn)控制策略的制定與實(shí)施必須圍繞主體、客體和控制規(guī)則集三者之間的關(guān)系展開(kāi)。具體原則如下。

① 最小特權(quán)原則。最小特權(quán)原則指主體執(zhí)行操作時(shí)，按照主體所需權(quán)利的最小化原則分配給主體權(quán)利。最小特權(quán)原則的優(yōu)點(diǎn)是最大限度地限制了主體實(shí)施授權(quán)行為，可以避免來(lái)自突發(fā)事件、錯(cuò)誤和未授權(quán)用戶(hù)主體的危險(xiǎn)，即為了達(dá)到一定的目的，主體必須執(zhí)行一定的操作，但主體只能做允許范圍內(nèi)的操作。

② 最小泄露原則。最小泄露原則指主體執(zhí)行任務(wù)時(shí)，按照主體所需要知道的信息最小化的原則分配給主體權(quán)利。

③ 多級(jí)安全原則。多級(jí)安全原則指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級(jí)別進(jìn)行劃分，包括絕密、秘密、機(jī)密、限制和無(wú)級(jí)別5級(jí)。多級(jí)安全原則的優(yōu)點(diǎn)是可避免敏感信息擴(kuò)散。對(duì)于具有安全級(jí)別的信息資源，只有安全級(jí)別比它高的主體才能夠訪問(wèn)它。

3.2、訪問(wèn)控制策略的實(shí)現(xiàn)方式

訪問(wèn)控制的安全策略有：基于身份的安全策略和基于規(guī)則的安全策略。目前使用這兩種安全策略的基礎(chǔ)都是授權(quán)行為。

① 基于身份的安全策略

基于身份的安全策略與鑒別行為一致，其目的是過(guò)濾對(duì)數(shù)據(jù)或資源的訪問(wèn)，只有能通過(guò)認(rèn)證的主體才有可能正常使用客體的資源?；谏矸莸陌踩呗园ɑ趥€(gè)人的安全策略和基于組的安全策略。

基于個(gè)人的安全策略是指以用戶(hù)為中心建立的一種策略。這種策略由一些列表組成，這些列表限定了針對(duì)特定的客體，哪些用戶(hù)可以實(shí)現(xiàn)何種策略操作行為。

基于組的安全策略是基于個(gè)人的安全策略的擴(kuò)充，指一些用戶(hù)被允許使用同樣的訪問(wèn)控制規(guī)則訪問(wèn)同樣的客體。

基于身份的安全策略有兩種基本的實(shí)現(xiàn)方法：訪問(wèn)能力表和訪問(wèn)控制列表。訪問(wèn)能力表提供了針對(duì)主體的訪問(wèn)控制結(jié)構(gòu)，訪問(wèn)控制列表提供了針對(duì)客體的訪問(wèn)控制結(jié)構(gòu)。

② 基于規(guī)則的安全策略

基于規(guī)則的安全策略中的授權(quán)通常依賴(lài)于敏感性。在一個(gè)安全系統(tǒng)中，對(duì)數(shù)據(jù)或資源應(yīng)該標(biāo)注安全標(biāo)記。代表用戶(hù)進(jìn)行活動(dòng)的進(jìn)程可以得到與其原發(fā)者相應(yīng)的安全標(biāo)記。

基于規(guī)則的安全策略在實(shí)現(xiàn)時(shí)，由系統(tǒng)通過(guò)比較用戶(hù)的安全級(jí)別和客體資源的安全級(jí)別來(lái)判斷是否允許用戶(hù)進(jìn)行訪問(wèn)。