返回
访问控制原理与防火墙技术

访问控制原理与防火墙技术

ID:19486892

大小:918.00 KB

页数:57页

时间:2018-10-02

访问控制原理与防火墙技术_第1页
访问控制原理与防火墙技术_第2页
访问控制原理与防火墙技术_第3页
访问控制原理与防火墙技术_第4页
访问控制原理与防火墙技术_第5页
资源描述:

《访问控制原理与防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第六讲、访问控制原理与防火墙技术16.1访问控制原理2主要内容6.1.1访问控制的基本概念6.1.2基本的访问控制政策模型3访问控制的基本概念什么是访问控制访问控制的基本模型访问控制和其他安全机制的关系4访问控制的基本概念主体(Subject)主体是一个主动的实体,它提出对资源访问请求。如用户,程序,进程等。客体(Object)含有被访问资源的被动实体,如网络、计算机、数据库、文件、目录、计算机程序、外设、网络。访问(Access)对资源的使用,读、写、修改、删除等操作,例如访问存储器;访问文件、目录、外设;访问数据

2、库;访问一个网站。5访问控制的基本概念访问可以被描述为一个三元组(s,a,o)主体,发起者:Subject,Initiator客体,目标:Object,Target访问操作:AccessObjectRead/Write/Exec6访问控制模型访问控制执行功能 (AEF)访问控制决策功能 (ADF)客体主体的访问控制信息主体客体的访问控制信息访问控制政策规则上下文信息(如时间,地址等)决策请求决策访问请求提交访问7访问控制的基本概念访问控制信息(ACI)的表示主体访问控制属性客体访问控制属性访问控制政策规则授权(Aut

3、horization)怎样把访问控制属性信息分配给主体或客体如何浏览、修改、回收访问控制权限访问控制功能的实施控制实施部件如何获得实体的访问控制信息怎样执行8访问控制矩阵访问控制机制可以用一个三元组来表示(S,O,M)主体的集合S={s1,s2,…,sm}客体的集合O={o1,o2,…,on}所有操作的集合A={R,W,E,…}访问控制矩阵M=S×O2A9访问控制矩阵矩阵的的i行Si表示了主体si对所有客体的操作权限,称为主体si的能力表(CapabilityList)矩阵的第j列Oj表示客体oj允许所有主体的操作

4、,称为oj的访问控制表(ACL)10能力表(CapabilityList)能力表与主体关联,规定主体所能访问的客体和权限。表示形式:用户Profile,由于客体相当多,分类复杂,不便于授权管理授权证书,属性证书从能力表得到一个主体所有的访问权限,很容易从能力表浏览一个客体所允许的访问控制权限,很困难O1RWO2RO5RWESi11访问控制表(AccessControlList)访问控制表与客体关联,规定能够访问它的主体和权限由于主体数量一般比客体少得多而且容易分组,授权管理相对简单得到一个客体所有的访问权限,很容易浏

5、览一个主体的所有访问权限,很困难S1RWS2RS5RWEOj12访问控制表(Windows)13授权信息访问控制与其他安全机制的关系认证、授权、审计(AAA)Log身份认证访问控制审计授权(authorization)主体客体14访问控制与其他安全机制的关系身分认证身份认证是访问控制的前提保密性限制用户对数据的访问(读取操作)可以实现数据保密服务完整性限制用户对数据的修改,实现数据完整性保护可用性限制用户对资源的使用量,保证系统的可用性安全管理相关的活动访问控制功能通常和审计、入侵检测联系在一起15主要内容访问控制的

6、基本概念基本的访问控制政策模型16访问控制政策模型自主型访问控制(DAC)强制型访问控制(MAC)基于角色的访问控制(RBAC)17自主型访问控制政策DiscretionaryAccessControl,DAC每个客体有一个属主,属主可以按照自己的意愿把客体的访问控制权限授予其他主体DAC是一种分布式授权管理的模式控制灵活,易于管理,是目前应用最为普遍的访问控制政策18自主型访问控制政策/bin/ls[root@acltmp]#chownrootls[root@acltmp]#ls-l-rw-r--r--1nobod

7、ynobody770Oct1815:164011.tmp-rw-------1rootusers48Oct2811:41lssrwxrwxrwx1rootroot0Aug2909:04mysql.sockdrwxrwxr-x2duanuan4096Oct2323:41ssl[root@acltmp]#chmodo+rwls[root@acltmp]#ls-l-rw-r--r--1nobodynobody770Oct1815:164011.tmp-rw----rw-1rootusers48Oct2811:41lssrw

8、xrwxrwx1rootroot0Aug2909:04mysql.sockdrwxrwxr-x2duanduan4096Oct2323:41ssl[root@acltmp]#19自主型访问控制(DAC)无法控制信息流动信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。特洛

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。