與認(rèn)證相對應(yīng)的是授權(quán)。認(rèn)證確定用戶身份;授權(quán)指定該用戶能做什么。通常認(rèn)為是建立一種對資源的訪問方式，例如文件和打印機(jī)，授權(quán)也能處理用戶在系統(tǒng)或者網(wǎng)絡(luò)上的特權(quán)。在最終使用過程中，授權(quán)甚至能指定特定的用戶是否能訪問系統(tǒng)。有各種類型的授權(quán)系統(tǒng)，包括用戶權(quán)限，基于角色的授權(quán)，訪問控制列表和基于規(guī)則的授權(quán)。

授權(quán)通常是描述的用戶訪問資源，如訪問文件或行使特權(quán)，如關(guān)閉系統(tǒng)。然而，授權(quán)也專用于系統(tǒng)的特定區(qū)域。例如，很多操作系統(tǒng)分為用戶空間和內(nèi)核空間，運(yùn)行一個(gè)可執(zhí)行文件的能力在某個(gè)空間或其他空間上是受到嚴(yán)格控制的。在內(nèi)核中運(yùn)行可執(zhí)行文件，必須擁有特權(quán)，這種權(quán)限通常僅限于本機(jī)操作系統(tǒng)組件。

什么是網(wǎng)絡(luò)安全中的用戶權(quán)限

特權(quán)或用戶權(quán)限的權(quán)限不同。用戶權(quán)限提供授權(quán)去做可以影響整個(gè)系統(tǒng)的事情?？梢詣?chuàng)建組，把用戶分配到組，登錄系統(tǒng)，以及多用戶權(quán)限的分配。其他的用戶權(quán)限是隱含的，默認(rèn)分配給組——由系統(tǒng)創(chuàng)建的組而不是管理員創(chuàng)建。無法移除這些權(quán)限。

在典型的Unix系統(tǒng)實(shí)現(xiàn)中，隱含的特權(quán)是與賬號綁定的?？梢允跈?quán)賬號在系統(tǒng)上做任何事情。另一方面，用戶擁有有限的權(quán)限，包括登錄，訪問某一文件，運(yùn)行授權(quán)他們執(zhí)行的應(yīng)用程序。

在一些Unix系統(tǒng)上，系統(tǒng)管理員可以授予某一用戶權(quán)限使用特定的命令，類似超級用戶一樣，而不需要提供給他們超級用戶的密碼。在公共領(lǐng)域可以做到這一點(diǎn)的應(yīng)用程序，被稱為sudo。

方式一：基于角色的授權(quán)(RBAC)

在公司中每個(gè)員工都有自己的工作職責(zé)。如果員工需要開展工作，則需要特權(quán)(做某些事情的權(quán)限)和權(quán)限(訪問特定資源和做他們職責(zé)范圍內(nèi)的事情)。早期計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)者認(rèn)為用戶對于系統(tǒng)的要求可能會有所不同，并不是所有用戶都應(yīng)該給予系統(tǒng)管理員權(quán)限。

早期計(jì)算機(jī)系統(tǒng)存在的兩個(gè)角色是用戶和管理員。早期的系統(tǒng)針對這些類型的用戶，基于他們的組成員關(guān)系來定義角色和授權(quán)的訪問。授予管理員(超級用戶，root用戶，系統(tǒng)管理員等等) 特權(quán)，并允許其比普通用戶訪問更多的計(jì)算機(jī)資源。例如，管理員可以增加用戶，分配密碼，訪問系統(tǒng)文件和程序，并重啟機(jī)器。這個(gè)群體后來擴(kuò)展到包括審計(jì)員的角色(用戶可以讀取系統(tǒng)信息和在其他系統(tǒng)上的活動信息，但不能修改系統(tǒng)數(shù)據(jù)或執(zhí)行其他管理員角色的功能)。

隨著系統(tǒng)的發(fā)展，用戶角色更加精細(xì)化。用戶可以通過安全許可來量化，例如，允許訪問特定的數(shù)據(jù)或某些應(yīng)用程序。其他區(qū)別可能基于用戶在數(shù)據(jù)庫或者其他應(yīng)用系統(tǒng)中的角色而定。通常情況下，角色由部門所分配，如財(cái)務(wù)，人力資源，信息技術(shù)和銷售部門。

最簡單的例子，在這些基于角色的系統(tǒng)中，將用戶添加到具有特定權(quán)限和特權(quán)的組里。其他基于角色的系統(tǒng)使用更復(fù)雜的訪問控制系統(tǒng)，包括一些專門為實(shí)現(xiàn)訪問控制所設(shè)計(jì)的操作系統(tǒng)。在Bell-Lapadula安全模型中，例如，將數(shù)據(jù)資源分為層或區(qū)域。每個(gè)區(qū)域代表一種數(shù)據(jù)類型，在沒有特定授權(quán)的情況下，數(shù)據(jù)不能從某個(gè)區(qū)域移動到其他區(qū)域，用戶必須提供某個(gè)區(qū)域的訪問權(quán)限才能使用數(shù)據(jù)。在這個(gè)角色中，用戶不能往低層次區(qū)域中寫入數(shù)據(jù)(例如，從機(jī)密區(qū)域到秘密區(qū)域)，也不能從比他們更高層次的區(qū)域中讀取數(shù)據(jù)(例如，用戶獲取了訪問公共區(qū)域的權(quán)限，但不能讀取秘密或機(jī)密區(qū)域)。

Unix中基于角色的訪問控制工具可以將管理員權(quán)限委派給普通用戶。它通過定義好的角色賬號，或可以執(zhí)行某些管理員任務(wù)的賬號來進(jìn)行工作。角色賬號無法直接登錄，只能通過su命令進(jìn)行訪問。

方式二：訪問控制列表(ACLs)

某些社交場合只有被邀請的人才能出席。為了確保只有邀請的嘉賓來參加歡迎派對，可能需要將一份被邀請人的名單提供給門衛(wèi)那邊。當(dāng)你抵達(dá)時(shí)，門衛(wèi)會將你的名字與名單進(jìn)行比對，以此來判斷你是否能夠入內(nèi)。通過照片的形式進(jìn)行比對的認(rèn)證，可能不會出現(xiàn)在這里，但這是簡單使用訪問控制列表(ACL)很好的例子。

信息系統(tǒng)可能也可以使用ACL來確定所請求的服務(wù)或資源是否有權(quán)限。訪問服務(wù)器上的文件通常由保留在每個(gè)文件的信息所控制。同樣，網(wǎng)絡(luò)設(shè)備上不同類型的通信也可以通過ACL來控制。

1. 文件訪問權(quán)限

Windows和Unix系統(tǒng)都使用文件權(quán)限來管理文件訪問。實(shí)現(xiàn)方式雖然各不相同，但都適用于兩個(gè)系統(tǒng)。只有當(dāng)你需要互通性時(shí)，問題才會出現(xiàn)，請確保授權(quán)可以支持跨平臺。

Windows文件——訪問權(quán)限 Windows NTFS文件系統(tǒng)為每個(gè)文件和文件夾都提供了一個(gè)ACL。ACL由一系列的訪問控制條目(ACEs)所組成。每個(gè)ACE都包含安全標(biāo)識符(SID)和授予的權(quán)限。可以是允許或拒絕的權(quán)限，SIDs可能代表用戶賬號，計(jì)算機(jī)賬號或組。系統(tǒng)管理員，文件所有者，或有權(quán)限的用戶可以分配ACEs。

登錄過程中會確定特權(quán)用戶和組成員對特定的用戶或計(jì)算機(jī)的權(quán)限。列表包括用戶SID，以及該用戶所在組的SIDs。當(dāng)與計(jì)算機(jī)進(jìn)行連接時(shí)，訪問令牌為用戶創(chuàng)建并附加到用戶在系統(tǒng)上啟動的所有正在運(yùn)行的進(jìn)程中去。

在Windows系統(tǒng)中權(quán)限細(xì)粒度非常高。下表1中列出的權(quán)限實(shí)際上代表的是權(quán)限集，但是權(quán)限也可以單獨(dú)分配。

表1 Windows文件權(quán)限

注意：上表這些權(quán)限不同于表中所示的權(quán)限分組。表中列出的每個(gè)權(quán)限都可以單獨(dú)應(yīng)用。當(dāng)試圖訪問資源時(shí)，安全子系統(tǒng)會對資源的ACEs列表和訪問令牌中的SIDs和特權(quán)列表進(jìn)行比對。如果SID和訪問權(quán)限兩者都比對成功，則授予權(quán)限，除非訪問授權(quán)為拒絕。權(quán)限積累(也就是說，如果授予了用戶讀取和寫的權(quán)限，那么用戶將擁有讀和寫的權(quán)限)，但是拒絕授權(quán)將導(dǎo)致否定，甚至在有訪問權(quán)限的情況下。缺乏任何匹配結(jié)果都將導(dǎo)致拒絕。

值得注意的是在Windows中文件的權(quán)限和其他基于對象的權(quán)限，也可以通過共享文件夾的權(quán)限加以補(bǔ)充。也就是說，如果一個(gè)文件夾能夠通過服務(wù)器消息塊(SMB)協(xié)議直接從網(wǎng)絡(luò)中訪問，可以在可以文件夾上設(shè)置權(quán)限來控制訪問。將這些權(quán)限與直接使用NTFS權(quán)限設(shè)置在文件夾上的相關(guān)權(quán)限進(jìn)行評估。在兩組權(quán)限之間存在沖突的情況下，選擇最嚴(yán)格的權(quán)限。舉例說明，如果給會計(jì)組共享了讀和寫的權(quán)限， Alice是其中一個(gè)成員，但底層的文件夾權(quán)限拒絕Alice訪問，最終Alice也將無法訪問該文件夾。

Unix 文件——訪問權(quán)限 傳統(tǒng)的Unix文件系統(tǒng)不使用ACL。相反，通過限制用戶賬號和組的訪問權(quán)限來保護(hù)文件。例如，如果你想授予讀的權(quán)限給所有者之外的人，是行不通的。如果你想授予讀的權(quán)限給一個(gè)組，寫的權(quán)限給另外一個(gè)組，也無法做到。這種缺乏細(xì)粒度的訪問控制在有些Unix(例如Solaris)系統(tǒng)中，可以通過提供ACL來彌補(bǔ)，但是在我們看那個(gè)系統(tǒng)之前，我們將審視傳統(tǒng)的文件保護(hù)系統(tǒng)。

有關(guān)文件的信息，除了文件名之外，都包括在索引之中。文件的索引包含文件信息、文件所有者、用戶ID、文件所屬組、文件模式，讀/寫/執(zhí)行權(quán)限的設(shè)置。

文件的權(quán)限分配來控制訪問，他們包含三個(gè)級別的訪問權(quán)限：所有者，組和其他。所有者的特權(quán)包括確定誰可以訪問該文件并讀取它，寫入文件，或者，如果它是一個(gè)可執(zhí)行文件，執(zhí)行這個(gè)文件的權(quán)限。對于這些細(xì)粒度比較小的權(quán)限。目錄也可以有權(quán)限分配給所有者，組和其他。表2列出并解釋了權(quán)限。

表2 傳統(tǒng)的Unix文件權(quán)限

2. 網(wǎng)絡(luò)設(shè)備的ACLs

網(wǎng)絡(luò)設(shè)備使用ACLs來控制網(wǎng)絡(luò)的訪問和授予的訪問類型。具體來說，路由器和防火墻的訪問控制列表指明了來訪流量能夠訪問哪臺計(jì)算機(jī)的哪個(gè)端口，或是設(shè)備能接受并路由到其他網(wǎng)絡(luò)中的流量類型。

方式三：基于規(guī)則的授權(quán)

基于規(guī)則的授權(quán)需要開發(fā)一套規(guī)則來規(guī)定特定的用戶在系統(tǒng)上能做什么。這些規(guī)則可能會提供如下信息，如“用戶Alice能夠訪問資源Z但不能訪問資源D”，更復(fù)雜的規(guī)則是指定組合，例如“用戶Bob只有坐在數(shù)據(jù)中心的控制臺時(shí)才能閱讀文件P。”在小的系統(tǒng)中，基于規(guī)則的授權(quán)可能并不難維護(hù)，但是在大的系統(tǒng)和網(wǎng)絡(luò)中，極其繁瑣和難以管理。