返回
[工学]信息安全 chapter

[工学]信息安全 chapter

ID:27541785

大小:1.25 MB

页数:31页

时间:2018-12-04

[工学]信息安全 chapter_第1页
[工学]信息安全 chapter_第2页
[工学]信息安全 chapter_第3页
[工学]信息安全 chapter_第4页
[工学]信息安全 chapter_第5页
资源描述:

《[工学]信息安全 chapter》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第8章 访问控制主要内容访问控制概述访问控制策略网络访问控制的应用访问控制的概念访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用。访问控制机制决定用户及代表一定用户利益的程序能做什么,以及做到什么程度。访问控制由两个重要过程组成通过认证来检验主体的合法身份;通过授权(Authorization)来限制用户对资源的访问级别。访问控制的最基本概念主体(Subject)访问的发起者,它提出对资源访问请求。如用户,程序,进程等。根据主体权

2、限不同可以分为四类:特殊用户、一般用户、审计用户、作废的用户客体(Object)含有被访问资源的被动实体通常包括文件和文件系统、磁盘和磁带卷标、远程终端、信息管理系统的事务处理及其应用、数据库中的数据、应用资源等。访问控制的最基本概念访问(Access)使信息在主体和客体之间流动的一种交互方式。对资源的使用,读、写、修改、删除等操作,例如访问存储器;访问文件、目录、外设;访问数据库;访问一个网站。访问许可(AccessPermissions)决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。控制策略控制策略是主体对客体的访

3、问规则集,这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。访问控制的基本概念访问可以被描述为一个三元组(s,a,o)主体,发起者:Subject,Initiator客体,目标:Object,Target访问操作:AccessObjectRead/Write/Exec访问控制模型访问控制执行功能 (AEF)访问控制决策功能 (ADF)客体主体的访问控制信息主体客体的访问控制信息访问控制政策规则上下文信息(如时间,地址等)决策请求决策访问请求提交访问授权信息访问控制与其他安全机制的关系认证、授权、审计(AAA)Log身份认证

4、访问控制审计授权(authorization)主体客体访问控制策略自主访问控制强制访问控制基于角色的访问控制基于任务的访问控制基于对象的访问控制自主访问控制根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高,被大量采用。缺点:信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。自主访问控制的实现机制访问控制矩阵访问控制列表访问控制能力列表访问控制矩阵利用二维矩阵规定任意主体和任意客体间的访问权限矩

5、阵中的行代表主体的访问权限属性,矩阵中的列代表客体的访问权限属性,矩阵中的每一格表示所在行的主体对所在列的客体的访问授权客体1客体2客体3主体1OwnRWOwnRW主体2ROwnRWW主体3RWR访问控制列表以文件为中心建立访问权限表,表中登记了客体文件的访问用户名及访问权隶属关系Object1UserAOWNRWOUserBRWOUserCRO对于客体Object1,主体A具有管理、读和写的权力,主体B具有读和写的权力,主体C只能读访问控制能力列表以用户为中心建立访问权限表,为每个主体附加一个该主体能够访问的客体的明细表20世纪70年

6、代的操作系统使用UserAObject1OWNRWOObject2RWOObject3RO强制访问控制每个用户及文件都被赋予一定的安全级别,用户不能改变自身或任何客体的安全级别,即不允许单个用户确定访问权限,只有系统管理员可以确定用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。安全级别一般有五级:绝密级(TopSecret,T)、秘密级(Secret,S)、机密级(Confidential,C)、限制级(Restricted,R)和无密级(Unclassified,U),其中T>S>C>R>U。拒

7、绝读取?客体1导弹计划级别:绝密主体:Jack级别:秘密允许读取?客体2电话簿级别:限制访问控制安全标签列表用户A的安全级别为S,那么他请求访问文件File2时,由于T>S,访问会被拒绝;当他访问File1时,由于S>R,所以允许访问。用户安全级别用户AS用户BC……用户XT文件安全级别File1RFile2T……FilenS基于角色的访问控制Role-basedAccess,RBAC基本思想:将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。角色成为访问控制中访问主体和受控对象之间的一座桥梁。角色由系统管

8、理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色。用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限,从而访问相应的客体。因此用户不能自主地将访问权限授给别的用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。