网络安全第三讲身份认证与访问控制

向右看齐 2022-12-16 10:56 172阅读 0赞

# 网络信息安全第三讲 身份认证与访问控制 #

## 一 身份标识与鉴别 ##

### 1.身份标识与鉴别概念 ###

*  身份标识就是能够证明用户身份的用户独有的生物特征或行为特征，此特征要求具有**唯一性**，如用户的指纹、视网膜等生物特征及声音、笔迹、签名等行为特征；或他所能提供的用于识别自己身份的信息，如口令、密码等。相比较而言，**后一种的安全系数较低**，密码容易被遗忘或被窃取，身份可能会被冒充。
 *  鉴别是对网络中的**主体进行验证**的过程，证实用户身份与其声称的身份是否相符。

### 2.身份认证的过程 ###

*  身份认证的过程根据身份认证方法的不同而不同分为：

1.  **基于信息秘密的身份认证**
2.  **基于物理安全性的身份认证**
3.  **基于行为特征的身份认证**
4.  **利用数字签名的方法实现身份认证**

*  基于信息秘密的身份认证过程\*\*基于信息秘密的身份认证一般是指依赖于所拥有的东西或信息进行验证。\*\*分为口令认证、单向认证和双向认证。
 *  口令认证缺点：其安全性仅仅**基于用户口令的保密性**，而用户口令一般较短且容易猜测，因此这种方案不能抵御口令猜测攻击。攻击者可能**窃听通信信道或进行网络窥探**，口令的明文传输使得攻击者只要能在口令传输过程中获得用户口令，系统就会被攻破。
 *  ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center]
 *  ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 1]
 *  **基于物理安全性的身份认证过程**：
    
    1.  基于智能卡的身份认证机制在认证时认证方要求一个硬件如智能卡（智能卡中往往存有秘密信息，通常是一个随机数），只有持卡人才能被认证。可以**有效的防止口令猜测**。严重的缺陷：**系统只认卡不认人**，而智能卡可能丢失，拾到或窃得智能卡的人很容易假冒原持卡人的身份。综合前面提到的两类方法，即认证方既要求用户输入一个口令，又要求智能卡。

2. **基于生物学信息的方案**包括基于**指纹识别**的身份认证、基于**语音识别**的身份认证以及基于**视网膜识别**的身份认证等。

**采样**：生物识别系统捕捉到生物特征的样品，唯一的特征将会被提取并且转化成数字的符号存入此人的特征模板。

**抽取特征**：用户在需要验证身份时，与识别系统进行交互，设备提取用户的生物信息特征。

**比较**：用户的生物信息特征与特征模板中的数据进行比较。

**匹配**：如果匹配，则用户通过身份验证。

*  基于行为特征的身份认证过程：通过识别行为的特征进行验证。常见的验证模式有**语音认证、签名识别**等。利用签名实现的身份认证是属于模式识别认证的范畴，其过程也必然遵循模式识别的基本步骤。模式识别的工作原理：**首先是构造一个签名鉴别系统，然后进行签名的鉴别**。
 *  利用数字签名实现身份认证：数字签名是通过一个**单向函数**对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。数字签名主要有3种应用广泛的方法：**RSA签名、DSS签名和Hash签名**。
 *  Hash签名是最主要的数字签名方法：报文的发送方从明文中生成一个128比特的散列值(数字摘要)，发送方用自己的私钥对这个散列值进行加密，形成发送方的数字签名。该数字签名将作为附件和报文一起发送给接收方。报文的接收方从接收到的原始报文中计算出128比特的散列值(数字摘要)，接着用发送方的公钥对报文附加的数字签名解密。
 *  在安全性问题上，数字签名要求：**发送者**事后不能**否认**发送的报文签名、**接收者**能够**核实**发送者发送的报文签名、接收者不能**伪造**发送者的报文签名、接收者不能对发送者的报文进行**部分篡改**、网络中的某一用户不能**冒充**另一用户作为发送者或接收者。

## 二 口令认证方法 ##

### 1.口令管理 ###

*  **口令**又称个人识别码或通信短语，通过输入口令进行认证的方法便称为基于口令的认证方式。口令认证是最常用的一种认证技术。目前各类计算资源主要靠固定口令的方式来保护。
 *  ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 2]
 *  **口令的存储**

1.  **直接明文存储口令**：直接明文存储口令是指将所有用户的用户名和口令都直接存储于数据库中，没有经过任何算法或加密过程。这种存储方法风险很大，任何人只要得到了存储口令的数据库，就可以得到全体用户的用户名及口令，冒充用户身份。
2.  **哈希散列存储口令**：哈希散列函数的目的是为文件、报文或其他分组数据产生“**指纹**”。从加密学的角度讲,一个好的散列函数H必须具备如下性质：H的**输入可以是任意长度**的；H产生**定长的输出**；对于任何给定的x, **H(x)的计算要较为容易**；对于任何给定的码h,要寻找x，使得H(x)=h在计算上是不可行的，称为**单向性**；对于任何给定的分组x,寻找不等于x的y,使得H(x)=H(y)在计算上是不可行的，称为**弱抗冲突**；寻找对任何的（x，y）对， 使得H(x)=H(y)在计算上是不可行的，称为**强抗冲突**。优点在于黑客即使得到口令的存储文件，想要**通过散列值得到用户的原始口令也是不可能**的。这就相对增加了安全性。

*  ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 3]
 *  ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 4]

### 2.脆弱性口令 ###

*  **口令的脆弱性**一般体现在两个方面：**登陆时候的口令加密算法的脆弱**和**数据库存储的口令加密算法的脆弱**。
 *  **影响口令的因素**：长度范围、成份、使用期限、来源、分配、拥有人、输入、存储、传输、认可周期。
 *  **口令的明显缺点**：

1.  **网络数据流窃听**：由于认证信息要通过网络传递，并且很多**认证系统的口令是未经加密的明文**，攻击者很容易的通过窃听网络数据，分辨出某种特定系统的认证数据，并提取出用户名和口令。
2.  **认证信息截取**/**重放**：有些系统会将认证信息进行简单加密后进行传输，如果攻击者无法用网络数据流窃听方式推算出密码，将使用**截取**/**重放**方式，再进行分辨和提取。
3.  **字典攻击**：大多数用户习惯使用**有意义的单词字符或数字**作为密码，如名字、生日；某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。
4.  **穷举尝试**：这是一种属于字典攻击的特殊攻击方式，它使用**字符串的全集作为字典**，然后穷举尝试进行猜测。如果用户的密码较短，则很容易被穷举出来，因而很多系统都建议用户使用较长的口令，最好采用数字、字符混合的方式并加入特殊字符。
5.  **窥探口令**：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。所以用户在输入口令时，应该注意旁边的人是否可疑。
6.  **骗取口令**：攻击者冒充合法用户**发送邮件**或打电话给管理人员，以骗取用户口令。
7.  **垃圾搜索**：攻击者通过搜索被攻击者的废弃物，得到与被攻击系统有关的信息。

## 三 生物身份认证 ##

*  目前用于身份验证的特征主要有两类：**非生物特征**和**生物特征**。非生物特征是指用户**所知道的东西**（如口令、个人密码等）及**所拥有的东西**（如智能卡、身份证、护照、密钥盘等）；生物特征是指人体本身所**固有的物理特征**（如指纹、掌纹、虹膜、视网膜等）及**行为特征**（如语音、签名等）。非生物特征虽然简单却不可靠，个人所知道的内容想获得非法访问权限的人也可能知道，如口令可能被忘记或被猜测，甚至被窃取，这是基于非生物特征认证方法的缺点。
 *  理想上，一种好的生物认证特征应具有下列条件：（1）**普遍性**，即每个人皆具有的特征；（2）**唯一性**，即没有任何二人具有完全相同的特征；（3）**恒久性**，即此特征必须持久且不能改变；（4）**可测量性**，即这种特征必须能被测量成可定量描述的数据指标。在设计实用的生物认证系统时，还有许多方面需要纳入考量，如（1）**效能**，即认证的速度以及结果的可靠度；（2）**接受度**，即民众是否愿意接受并使用此系统；（3）**闪避容易度**，即是否容易用其他手段来愚弄或欺骗这套系统。
 *  目前有七种生物认证技术已被广泛的使用或正在进行大规模的实验评估，他们分别是**脸形、人脸热感应、指纹、掌形、视网膜、眼球虹膜和语音识别**。
 *  用于生物识别的设备需要在**拒绝正确的用户**（错误类型一）和**允许假冒的用户**（错误类型二）之间进行折衷调整。

### 1.指纹身份认证技术 ###

*  **指纹**是一种由手指皮肤表层的隆起脊线和低洼细沟所构成的纹理，而指纹影像看起来就像一种由许多图形线条依照某种特殊排列方式所组合而成的影像。
 *  **指纹识别技术**就是通过分析指纹的全局特征和指纹的局部特征来确定身份，特征点如嵴、谷和终点、分叉点或分歧点，从指纹中抽取的特征值非常的详尽，足以可靠地通过指纹来确认一个人的身份。
 *  指纹识别技术主要涉及**指纹图像采集、指纹图像预处理、指纹特征提取、指纹特征入库、特征值的比对和匹配**等过程。
 *  ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 5]
 *  优点：独一无二；复杂度高；如果想增加可靠性，还可以鉴别更多的手指；读取方法可靠；扫描的速度很快；使用方便；对人体没有任何伤害；价格低廉。
 *  缺点：**某些人或某些群体的指纹特征很少**，故而很难成像；一般人在使用指纹辨识系统时会有心理障碍而产生排拒现象；占用大量的硬件资源；老年人指纹的识别有障碍；每一次的使用指纹时都会在指纹采集头上留下用户的指纹印痕，而这些指纹痕迹存在被用来复制指纹的可能性。

### 2.视网膜身份认证技术 ###

* **视网膜身份认证技术**是利用视网膜**终身不变性**和**差异性**的特点来识别身份的。视网膜技术与相应的算法结合，可以达到非常优异的准确度，即使全人类的视网膜信息都录入到一个数据中，出现认假和拒假的可能性也相当的小，但这项技术的无法录入问题已经成为它同其他技术抗衡的最大障碍。但是，视网膜识别技术的高精度使它能够在众多的识别技术中占有一席之地。
 * 优点：极其稳定的生物特征，不可能受到磨损、老化或是为疾病影响，精确度较高；视网膜图形具有良好的区分能力；不容易被改变、复制或伪造。
 * 缺点：扫描视网膜影像时需要使用者高度的配合，而且一般的民众会担心长期使用红外光线会影响视网膜的功能，因此这种认证技术至今还没有广泛的应用于日常生活；视网膜认证系统所需要的花销很大，而且也很难进一步降低他的成本，对于一般消费者吸引力不大；视网膜识别技术使用起来比较困难，不适用于直接数字签名和网络传输。
 * <table> 
 <thead> 
 <tr> 
 <th>技术</th> 
 <th>描述</th> 
 <th>开销</th> 
 <th>误识别率</th> 
 </tr> 
 </thead> 
 <tbody> 
 <tr> 
 <td>视网膜识别</td> 
 <td>通过扫描视网膜识别</td> 
 <td>较大</td> 
 <td>1/10，000，000</td> 
 </tr> 
 <tr> 
 <td>虹膜识别</td> 
 <td>通过扫描虹膜识别</td> 
 <td>大</td> 
 <td>1/13100</td> 
 </tr> 
 <tr> 
 <td>指纹识别</td> 
 <td>通过扫描指纹识别</td> 
 <td>一般</td> 
 <td>1/500</td> 
 </tr> 
 <tr> 
 <td>手形识别</td> 
 <td>通过3个照相机从不同角度扫描手形</td> 
 <td>一般</td> 
 <td>1/500</td> 
 </tr> 
 <tr> 
 <td>声纹识别</td> 
 <td>通过读取预定义的短语的声音识别</td> 
 <td>小</td> 
 <td>1/50</td> 
 </tr> 
 <tr> 
 <td>签名识别</td> 
 <td>通过一种特殊的笔在数字化的面板上的签名识别</td> 
 <td>小</td> 
 <td>1/50</td> 
 </tr> 
 </tbody> 
 </table>

### 3.语音身份识别技术 ###

*  **语音身份认证技术**是一种基于行为特征的识别技术，这是它与视网膜、指纹识别技术本质上的不同之处。
 *  **声纹**是指借助一定的仪器描绘出来的人说话声音的图像，即人的声音的频谱图。任何两个人的声纹频谱图都有差异，而对于每个人而言， 就可以通过声纹鉴别进行个人身份识别。
 *  语音识别的主要步骤是：首先对鉴别对象的**声音进行采样**，即输入语音信号，然后对**采样数据进行滤波等处理**，再进行**特征提取和模式匹配**。在声纹的鉴别过程中最主要的两部分内容就是**特征提取**和**模式匹配**。特征提取，就是从声音中选取唯一表现说话人身份的有效且稳定可靠的特征；模式匹配就是对训练和鉴别时的特征模式做相似性匹配。
 *  **概率统计方法**：语音中说话人信息在短时内较为平稳,通过对稳态特征如**基音**、**低阶反射系数**、**声门增益**等的统计分析,可以利用**均值、方差等统计量和概率密度函数**进行分类判决。
 *  **动态时间规整方法**：说话人信息不仅有稳定因素（发声器官的结构和发声习惯）,而且有时变因素（语速、语调、重音和韵律） 。将识别模板与参考模板进行时间对比,按照某种距离测定得出两模板间的相似程度。
 *  **矢量量化方法**：它最早是基于聚类分析的数据压缩编码技术。Helms首次将其用于声纹识别,把每个人的特定文本编成码本,识别时将测试文本按此码本进行编码,以量化产生的失真度作为判决标准。
 *  **长时平均法**：该方法对说话人身份的表征是通过将语音特征在长时间上进行平均来实现。这种方法缺乏对短时特征的描述。
 *  **人工神经网络方法**：它在某种程度上模拟了生物的感知特性，是一种分布式并行处理结构的网络模型，具有自组织和自学习能力、很强的复杂分类边界区分能力，其性能近似理想的分类器。其缺点是训练时间长，动态时间规整能力弱，网络规模随说话人数目增加时可能大到难以训练的程度。
 *  **隐马尔可夫模型方法（HMM）**：它是一种基于**转移概率和传输概率的随机模型**，它把语音看成由可观察到的符号序列组成的随机过程，符号序列则是发声系统状态序列的输出。在使用HMM识别时，为每个说话人建立发声模型，通过训练得到状态转移概率矩阵和符号输出概率矩阵。识别时计算未知语音在状态转移过程中的最大概率，根据最大概率对应的模型进行判决。
 *  **高斯混和模型**：高斯混和模型可被认为是隐含马尔可夫模型的单一状态的特殊情形，对于与文本无关的身份认证，该方法能够达到很好的效果。

## 四 访问控制 ##

*  在网络安全环境中，访问控制能够**限制和控制**通过通信链路对主机系统和应用的访问。为了达到这种控制，每个想获得访问的实体都必须经过**鉴别或身份验证**，这样才能根据个体来制定访问权利。访问控制服务用于防止未授权用户非法使用系统资源。它包括**用户身份认证，也包括用户的权限确认**。这种保护服务可提供给用户组。

### 1.访问控制概念 ###

*  **访问控制**是通过某种途径显式地准许或限制访问**能力**及**范围**的一种方法。通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证网络资源受控地、合法地使用，它是针对**越权**使用资源的防御措施。
 *  访问控制技术是建立在身份认证的基础上的，简单的描述，**身份认证**解决的是“你是谁，你是否真的是你所声称的身份”，而**访问控制技术**解决的是“你能做什么，你有什么样的权限”这个问题。
 *  ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 6]
 *  访问控制的目的为：**限制主体对访问客体的访问权限，从而使计算机系统资源能被在合法范围内使用**；决定用户能做什么，也决定代表一定用户利益的程序可以做什么。访问控制机制可以限制对关键资源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。
 *  目前的主流访问控制技术有：**自主访问控制（DAC）**、**强制访问控制（MAC）**、**基于角色的访问控制（RBAC）**。自主访问控制和强制访问控制，都是由主体和访问权限直接发生关系，主要针对**用户个人授予权限**。
 *  较为常见的访问控制的实现方法主要有以下四种：访问控制矩阵、访问能力表、访问控制表和授权关系表：

1.  **访问控制矩阵**：

从数学角度看，访问控制可以很自然的表示成一个矩阵的形式：**行表示客体**（各种资源），**列表示主体**（通常为用户），行和列的交叉点表示**某个主体对某个客体的访问权限**（比如读、写、执行、修改、删除等）。

<table> 
 <thead> 
 <tr> 
 <th></th> 
 <th>file1</th> 
 <th>file2</th> 
 <th>file3</th> 
 <th>file4</th> 
 <th>account1</th> 
 <th>account2</th> 
 </tr> 
 </thead> 
 <tbody> 
 <tr> 
 <td>Jack</td> 
 <td>own r w</td> 
 <td></td> 
 <td>own r w</td> 
 <td></td> 
 <td>inquiry credit</td> 
 <td></td> 
 </tr> 
 <tr> 
 <td>Mary</td> 
 <td>r</td> 
 <td>own r w</td> 
 <td>w</td> 
 <td>r</td> 
 <td>inquiry debit</td> 
 <td>inquiry credit</td> 
 </tr> 
 <tr> 
 <td>Lily</td> 
 <td>r w</td> 
 <td>r</td> 
 <td></td> 
 <td>own r w</td> 
 <td></td> 
 <td>inquiry debit</td> 
 </tr> 
 </tbody> 
</table>

1.  **访问能力表**：

实际的系统中虽然可能有很多的主体和客体，但主体和客体之间的关系可能并不多，这样的话就存在着很多的空白项。为了减轻系统开销与浪费，我们可以从\*\*主体（行）**出发，表达矩阵某一行的信息，这就是访问能力表（capability）。也可以从**客体（列）\*\*出发，表达矩阵某一列的信息，这便成了访问控制表（access control list）。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 7]

1.  在一个安全系统中，正是客体本身需要得到可靠的保护，访问控制服务也应该能够控制可访问某一客体的主体集合，能够授予或取消主体的访问权限，于是出现了以客体为出发点的实现方式——ACL（访问控制表）， 现代的操作系统都大体上采用基于ACL的方法。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 8]

*  **ACL**的优点：表述直观、易于理解，而且比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。
 *  **ACL**的缺点：①ACL需要对每个资源指定可以访问的用户或组以及相应的权限。访问控制的授权管理费力而繁琐，且容易出错。②单纯使用ACL，不易实现最小权限原则及复杂的安全策略。

1.  **授权关系表**：基于ACL和基于访问能力表的方法都有自身的不足与优势，下面我们来看另一种方法——**授权关系表**（**authorization relations**）。每一行（或称一个元组）表示了主体和客体的一个权限关系，因此Jack访问file1的权限关系需要3行。如果表按**客体进行排序**的话，我们就可以拥有访问能力表的优势，如果按**主体进行排序**的话，那我们又拥有了访问控制表的好处。这种实现方式也特别适合采用关系数据库。

### 2.自主访问控制 ###

*  **自主访问控制DAC（discretionary access control）是目前计算机系统中实现最多的访问控制机制。所谓自主，是指具有授予某种访问权力的主体（用户）能够自己决定是否将访问控制权限的某个子集授予其他的主体**或从其他主体那里收回他所授予的访问权限。其基本思想是：允许某个主体**显式地**指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。DAC将访问规则存储在访问控制矩阵中，通过访问控制矩阵可以很清楚地了解DAC。
 *  优点：其自主性为用户提供了极大的灵活性，从而使之适合于许多系统和应用。
 *  缺点：由于这种自主性，在DAC中，信息总是可以从一个实体流向另一个实体，即使对于高度机密的信息也是如此，因此自主访问控制的**安全级别较低**。另外，由于同一用户对不同的客体有不同的存取权限，不同的用户对同一客体有不同的存取权限，用户、权限、客体间的**授权管理复杂。**
 *  局限性：首先，DAC将赋予或取消访问权限的一部分权力留给用户个人，管理员难以确定哪些用户对那些资源有访问权限，不利于实现统一的全局访问控制。其次，在许多组织中，用户对他所能访问的资源并不具有所有权，组织本身才是系统中资源的真正所有者。而且，各组织一般希望访问控制与授权机制的实现结果能与组织内部的规章制度相一致，并且由管理部门统一实施访问控制，不允许用户自主地处理。显然DAC已不能适应这些需求。

### 3.强制访问控制 ###

*  **强制访问控制MAC（mandatory access control）依据主体和客体的安全级别来决定主体是否有对客体的访问权。最典型的例子是Bell and LaPadula提出的BLP**模型。
 *  BLP模型：在BLP模型中，所有的主体和客体都有一个安全标签，它只能由**安全管理员赋值**，普通用户不能改变。这个安全标签就是安全级，客体的安全级表现了客体中所含**信息的敏感程度**，而主体的安全级别则反映了主体**对敏感信息的可信程度**。
 *  在一般情况下，安全级是**线性有序**的。用λ标志主体或客体的安全标签，当主体访问客体时，需满足如下两条规则：
    
    1.  **简单安全属性**：如果主体s能够读客体o，则λ(s)≥λ(o)
    2.  **保密安全属性**：如果主体λ(s)能够写客体o，则λ(s)≤λ(o)
 *  BLP模型中，主体按照\*\*“向下读，向上写”\*\*的原则访问客体，即只有当主体的密级不小于客体的密级并且主体的范围包含客体的范围时，主体才能读取客体中的数据；只有当主体的密级不大于客体的密级，并且主体的范围包括客体的范围时，主体才能向客体中写数据。
 *  BLP模型保证了客体的高度安全性，它的最大优点是：它使得系统中的信息流程为单向不可逆的，保证了信息流总是\*\*低安全级别的实体流向高安全级别的实体。\*\*MAC能有效地阻止特洛伊木马。
 *  MAC策略优点：由于MAC策略是通过**梯度安全标签**实现信息的单向流通，从而很好地阻止特洛伊木马的泄漏，也因此而避免了在自主访问控制中的敏感信息泄漏的情况。  
    体才能向客体中写数据。
 *  BLP模型保证了客体的高度安全性，它的最大优点是：它使得系统中的信息流程为单向不可逆的，保证了信息流总是\*\*低安全级别的实体流向高安全级别的实体。\*\*MAC能有效地阻止特洛伊木马。
 *  MAC策略优点：由于MAC策略是通过**梯度安全标签**实现信息的单向流通，从而很好地阻止特洛伊木马的泄漏，也因此而避免了在自主访问控制中的敏感信息泄漏的情况。
 *  MAC策略缺点：缺点是限制了**高安全级别用户向非敏感客体写数据**的合理要求，而且由高安全级别的主体拥有的数据永远不能被低安全级别的主体访问，降低了系统的可用性。BLP模型的“向上写”的策略使得**低安全级别的主体篡改敏感数据**成为可能，破坏了系统的数据完整性。另外强制访问控制MAC由于过于偏重保密性，造成实现工作量太大，管理不便，灵活性差。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center]: /images/20221123/2c0ea2f6a0974293a93b7a9e20c8c0db.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221123/067fefe4f44c4d0d89bcf44ed7344aaa.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20221123/4ca7b5c774834a20a71656c436b782ba.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20221123/7d70b591c7114c53b4947cdc624b9737.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20221123/1c5da468cdf049a89f471f62b5fcc5a7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20221123/d7d6cbd76ee44ec9bd5ece030172d301.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 6]: /images/20221123/e7d9c3feba754825b602cd8841bcbb09.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 7]: /images/20221123/3ce36b60fb3e4f278a7263eb0b7bd7d5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ3MTU3Njc2_size_16_color_FFFFFF_t_70_pic_center 8]: /images/20221123/92927acb7bd7440dac761d6c19dcc029.png