Nt/2000/xp平台下的存储控制模型（Access Control Model） (转)[@more@]

Nt/2000/xp平台下的控制模型（Access Control Model）

By leezy_2000 -7-16 15:59

 :namespace prefix = o ns = "urn:schemas--com::office" />

（－）

鉴于在nt类操作下开发时有可能涉及操作注册表，读写和操控服务等内容，而为使这类程序在不同帐户下皆可正确运行就需要了解nt类的存储控制模型，所以才写这篇文章。这篇文章所涉及大部分内容可在msdn找到相关说明，小部分内容来自个人。错漏之处还望斧正。

 

基本概念及缩写：

 

SID(security ntifier):用于唯一标识或组的变长结构

 

access token：存储令牌包含每个登录帐户的信息。每当用户登录系统时，系统为其建立一个access token,而此用户所的进程拥有此access token的一份拷贝。Access token 中包含的内容有

l  User SID

l  Group SIDs

l  Privilege Information

l  Other access Information

 

ACE( access control entry) : 包含一系列存储及谁拥有这种权限的说明。

 

ACL(access control list):  一个ACE的链表，用于说明某个安全可以被谁以什么样的权限进行操作。

 

DACL（discretionary access control list）：由安全对象的拥有者(即创建者)控制的ACL。

 

Trustee: a trustee is the user account, group account, or logon session to which an access control entry (ACE) applies

 

利用这些概念，我们来看一下，对安全对象进行操作要经过那些步骤。(见图1)

 

这个过程是这样，系统把线程的Access Token的trustee同DACL中每一个ACL的trustee相比较直到满足下列某一个条件：

l  一个ACE清楚的表明某项操作对这个Access Token无效。比如Thread A的访问过程。

l  一个ACE清楚的表明能够接受这个Access Token所要求的操作。比如Thread B要求进行Write ,Read or Execute操作。

l  所有ACE已被检查过但仍然有一项或多项权限没有被清楚的允许。此时称做隐式禁止（implicitly denied）。

另外，如果ACE在DACL中有不同的排列顺序，对于某个Access Token，可能有完全不同的结果。比如ACE 2排在ACE 1 前面的话，Thread A将可以对此对象进行写操作。

ectratio="t">

（图1 from msdn）

附1：

关于C2-Level Security的一些重要指标

l  必须能通过操控个人用户或用户组的权限来控制对资源的访问。

l  需要受到保护，一个进程所释放的内存不能被另外的进程读到。同样文件系统也要保证被删除的文件不能被读到。

l  用户能够用唯一的方式标识自己，All auditable actions must identify the user perfong the action

l  员要能够对安全事件进行检查。但安全事件的存取权限要由authorized administrators进行设定。

l  系统要能够保证自己不被干扰。比如：不允许对正在运行的系统及相关的系统文件进行调整。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10748419/viewspace-959330/，如需转载，请注明出处，否则将追究法律责任。