返回
第4章.访问控制与防火墙

第4章.访问控制与防火墙

ID:24591650

大小:709.50 KB

页数:39页

时间:2018-11-15

第4章.访问控制与防火墙_第1页
第4章.访问控制与防火墙_第2页
第4章.访问控制与防火墙_第3页
第4章.访问控制与防火墙_第4页
第4章.访问控制与防火墙_第5页
资源描述:

《第4章.访问控制与防火墙》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第四章访问控制与防火墙聂旭云xynie@uestc.edu.cn电子科技大学24.1访问控制身份认证之后,就要为其提供服务,如何控制不同用户拥有不同的服务呢?这就是访问控制。在网络安全环境中,访问控制能够限制和控制通过通信链路对主机系统和应用的访问。为了达到这种控制,每个想获得访问的实体都必须经过鉴别或身份验证,这样才能根据个体来制定访问权利。访问控制服务用于防止未授权用户非法使用系统资源。34.1.1访问控制概念访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不

2、慎操作而造成的破坏,从而保证网络资源受控地、合法地使用,它是针对越权使用资源的防御措施。访问控制技术是建立在身份认证的基础上的身份认证解决的是“你是谁,你是否真的是你所声称的身份”访问控制技术解决的是“你能做什么,你有什么样的权限”这个问题。访问控制原理:系统资源的访问权限存放在授权数据库中;通过一个参考监视器(ReferenceMonitor)监视用户对系统资源访问的行为;依据授权数据库的规则,确定是否允许访问操作5一个安全系统的逻辑模型授权数据库用户目标资源审计访问监视器认证访问控制64.1.2访问控制概念访问控制系统一般包括以下几个

3、实体:主体(subject):发出访问指令、存取要求的主动方,通常可以是用户或用户的某个进程等。客体(object):被访问的对象,通常可以是被调用的程序、进程,要存取的数据、信息,要访问的文件、系统或各种网络设备、设施等资源。安全访问策略:一套规则,用以确定一个主体是否对客体拥有访问能力。7访问控制概念原理访问控制的目的:限制主体对访问客体的访问权限,从而使计算机系统资源能被在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序可以做什么。访问控制机制可以限制对关键资源的访问,防止非法用户进入系统及合法用户对系统资源的非法使用

4、。主流访问控制技术目前的主流访问控制技术有:自主访问控制(DAC)强制访问控制(MAC)基于角色的访问控制(RBAC)自主访问控制和强制访问控制,都是由主体和访问权限直接发生关系,主要针对用户个人授予权限。9访问控制实现方法较为常见的访问控制的实现方法主要有以下四种:访问控制矩阵、访问能力表、访问控制表和授权关系表。10访问控制矩阵从数学角度看,访问控制可以很自然的表示成一个矩阵的形式:行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限(比如读、写、执行、修改、删除等)。11访问控制矩阵(续)

5、file1file2file3file4account1account2JackownrwownrwinquirycreditMaryrownrwwrinquirydebitinquirycreditLilyrwrownrwinquirydebit12访问控制矩阵(续)对账户的访问权限展示了访问可以被应用程序的抽象操作所控制。查询(inquiry)操作与读操作类似,它只检索数据而并不改动数据。借(debit)操作和贷(credit)操作与写操作类似,要对原始数据进行改动,都会涉及读原先账户平衡信息、改动并重写。实现这两种操作的应用程序需要

6、有对账户数据的读、写权限,而用户并不允许直接对数据进行读写,他们只能通过已经实现借、贷操作的应用程序来间接操作数据。13访问能力表。为了减轻系统开销与浪费,我们可以从主体(行)出发,表达矩阵某一行的信息,这就是访问能力表(capability)。也可以从客体(列)出发,表达矩阵某一列的信息,这便成了访问控制表(accesscontrollist)。能力(capability)是受一定机制保护的客体标志,标记了客体以及主体(访问者)对客体的访问权限。只有当一个主体对某个客体拥有访问能力的时候,它才能访问这个客体。14访问能力表(续)用文件的

7、访问能力表的表示方法前例进行表示file1ownrwfile3file1ownrwfile2file3file4file1file4file2ownrwownrwrrwrwrJackMaryLily15访问能力表(续)在访问能力表中,很容易获得一个主体所授权可以访问的客体及其权限,但如果要求获得对某一特定客体有特定权限的所有主体就比较困难。在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务也应该能够控制可访问某一客体的主体集合,能够授予或取消主体的访问权限,于是出现了以客体为出发点的实现方式——ACL(访问控制表),现代的操作

8、系统都大体上采用基于ACL的方法。16访问控制表用文件的访问控制表的表示方法对前例进行表示MaryownrwwJackownrwMarywLilyMaryrMaryrLilyrwLilyrJa

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。