返回
译文 中文 基于角色的访问控制

译文 中文 基于角色的访问控制

ID:16121383

大小:98.50 KB

页数:11页

时间:2018-08-08

译文 中文 基于角色的访问控制_第1页
译文 中文 基于角色的访问控制_第2页
译文 中文 基于角色的访问控制_第3页
译文 中文 基于角色的访问控制_第4页
译文 中文 基于角色的访问控制_第5页
资源描述:

《译文 中文 基于角色的访问控制》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于角色的访问控制作者:大卫F.佛莱欧罗,D.理查德库恩和拉马斯瓦米.昌德拉穆里ISBN:1580533701出版社:ArtechHouse2003(316页)这是第一部探讨基于角色的访问控制(RBAC)的教科书,RBAC是一种用于大型网络应用程序安全管理的安全体系模型,运用它可以降低安全管理中的成本和复杂性。第一章:绪论概述访问控制(AccessControl)——从广义的角度也叫做权限授予(Authorization)——在很久以前当人们意识到要保护财产的时候就已经有这个概念了。从古代开始,守卫、门锁就已经用于限制人们对有

2、价物品的使用了。对于访问控制的需求实际上促使了世界上第一个安全计算机系统的发明。1879年,俄亥俄州代顿市的一个酒馆老板,詹姆斯.里蒂发明了“清廉出纳员”,这就是后来众所周知的现金出纳机。里蒂的发明减少了雇员偷盗现金的现象,雇员仅能在把款项记入现金记录机后才能打开装现金的抽屉,一举一动都逃不出顾客的眼睛。只要记录下销售量和累计总额,出纳机就可以让店主确保现金抽屉里的钱和一天的总销量相互吻合。在现今的信息技术中,权限授予”是指用户访问计算机系统资源的有关方法,或者简单的说就是:“谁可以干什么”。访问控制无疑是现今使用的,最基本、

3、最普遍的安全机制。事实上,访问控制出现于各种系统之中,它在体系结构和行政管理上给各层次的企业级计算都带来了巨大影响。从商业角度看,访问控制可以潜在的促进最优化的资源共享和互换,但也有潜在的困难等待着用户:巨额的管理成本,以及未授权的信息泄漏和讹误。访问控制有许多种形式。为了决定用户是否有权使用某项资源,访问控制系统可以限定用户何时以及如何使用该项资源。例如,用户仅仅可以在工作时间访问网络。某些机构可能会建立起更加复杂的控制机制,像一些需要两个工作人员共同执行的特定的高危操作,比如打开金库或发射导弹。访问控制的定义和模型最初源于

4、20世纪70年代早期的一篇颇具创造性的论文,早期的标准化运动产生于20世纪80年代,RBAC的出现则起始于20世纪90年代并延续至今。本章将介绍访问控制的起源、历史和重要概念,评述现今流行的访问控制机制,并讲述RBAC的基本概念及其在系统程序、应用程序及网络安全领域的优势。1.1访问控制的目标和基本原理访问控制仅仅是综合性计算机安全解决方案的一部分,但它是最为显著的部分之一。每当用户登录某个多用户计算机系统时,访问控制机制就会工作起来。为了更好的理解访问控制的目的,有必要回顾一下信息系统中,所存在的危险。信息系统安全风险可以被

5、广义的划分为三类:秘密性(Confidentiality)、完整性(Integrity)和可用性(Availability),简记作“CIA”。这三个类别描述如下:机密性是指对于保证信息安全和秘密的需要。任何来自于国家保密部门的密件、金融信息、安全信息(如密码)等均属此类。完整性是指防止信息被未授权的用户变动或修改。例如,大部分用户都要确保财务软件使用的银行账户不能被任何人改变,并且,只有该用户自己或已授权的安全管理员才能改变密码。可用性指当用户需要使用信息时就可以正常使用。攻击者会尝试攻击Web服务器并使其超负荷运转,这些广

6、为人知的攻击行为即是在进行可用性攻击。访问控制重点要保证信息的秘密性和完整性。机密性要求只有授权用户才可以读取信息,完整性要求只有授权用户才可以在授权的方式下变更信息。访问控制很少注重保证可用性,但它显然扮演了一个重要的角色:非法获得系统访问权的攻击者很可能在攻陷系统时遇到一些麻烦。1.1.1权限授予和身份鉴别权限授予和身份鉴别是访问控制的基础。它们是截然不同的两个概念,但总被混淆。之所以混淆,部分原因是两者总是紧密联系的——正确的权限授予事实上依赖于身份验证。身份验证是确定用户所声明的身份是否合法的过程。每个计算机使用者都熟

7、悉密码,这是一种最常见的身份验证形式。如果爱丽丝以alice46和一个对应于此用户标识(ID)的正确密码登录,她就通过了系统的身份验证。还有一些不常见的身份验证形式,如:生物识别(例如指纹识别)和智能卡。身份验证是基于如下的一个或多个因素:某种你知道的信息,例如:密码,个人识别号(PIN)或密码锁;某种你拥有的东西,例如:智能卡,自动取款机(ATM)卡,密钥;某种你本身具有的物理特性,例如:指纹,视网膜或者面部特征。显而易见,如果综合使用两个或更多因素,身份鉴别将更加健壮。密码可以被猜测出来,密钥可能丢失,面部识别系统也可能有

8、一定的错误率,所以只使用一种身份鉴别方法也许并不能达到可接受的安全级别。这就是为什么银行的ATM机需要同时提供智能卡和PIN码,而不只是单独的密码、密钥或智能卡。如果智能卡丢失,窃贼需要在三次机会中猜出PIN码,才能击败身份鉴别系统。身份鉴别是确定“你是谁”的过程,权限授予则

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。