返回
北京大学网络信息安全课件--访问控制

北京大学网络信息安全课件--访问控制

ID:40156588

大小:470.00 KB

页数:76页

时间:2019-07-23

北京大学网络信息安全课件--访问控制_第1页
北京大学网络信息安全课件--访问控制_第2页
北京大学网络信息安全课件--访问控制_第3页
北京大学网络信息安全课件--访问控制_第4页
北京大学网络信息安全课件--访问控制_第5页
资源描述:

《北京大学网络信息安全课件--访问控制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络与信息安全第八讲访问控制陈钟北京大学信息科学技术学院软件研究所-信息安全研究室chen@cs.pku.edu.cn2003年春季北京大学硕士研究生课程讨论议题访问控制的有关概念访问控制的策略和机制授权的管理、网络访问控制组件的分布安全服务安全服务(SecurityServices):计算机通信网络中,主要的安全保护措施被称作安全服务。根据ISO7498-2,安全服务包括:鉴别(Authentication)访问控制(AccessControl)数据机密性(DataConfidentiality)数据完整性(DataIntegrity)抗抵赖

2、(Non-repudiation)ISO7498-2到TCP/IP的映射访问控制的概念和目标一般概念——是针对越权使用资源的防御措施。基本目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户进入系统。合法用户对系统资源的非法使用。访问控制的作用访问控制对机密性、完整性起直接的作用。对于可用性,访问控制通过对以下信息的有效控制来实现:(1)谁可以颁发影响网络可用

3、性的网络管理指令(2)谁能够滥用资源以达到占用资源的目的(3)谁能够获得可以用于拒绝服务攻击的信息主体、客体和授权客体(Object):规定需要保护的资源,又称作目标(target)。主体(Subject):或称为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。授权(Authorization):规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们。主客体的关系是相对的。访问控制

4、模型基本组成访问控制与其他安全服务的关系模型引用监控器身份鉴别访问控制授权数据库用户目标目标目标目标目标审计安全管理员访问控制决策单元访问控制策略与机制访问控制策略(AccessControlPolicy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。访问控制机制(AccessControlMechanisms):是访问控制策略的软硬件低层实现。访问控制机制与策略独立,可允许安全机制的重用。安全策略之间没有更好的说法,只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。访问控制策略自主访问控制(d

5、iscretionarypolicies),基于身份的访问控制IBAC(IdentityBasedAccessControl)强制访问控制(mandatorypolicies),基于规则的访问控制RBAC(RuleBasedAccessControl)基于角色的访问控制(role-basedpolicies)如何决定访问权限用户分类资源资源及使用访问规则用户的分类(1)特殊的用户:系统管理员,具有最高级别的特权,可以访问任何资源,并具有任何类型的访问操作能力(2)一般的用户:最大的一类用户,他们的访问操作受到一定限制,由系统管理员分配(3)作审

6、计的用户:负责整个安全系统范围内的安全控制与资源使用情况的审计(4)作废的用户:被系统拒绝的用户。资源系统内需要保护的是系统资源:磁盘与磁带卷标远程终端信息管理系统的事务处理及其应用数据库中的数据应用资源资源和使用对需要保护的资源定义一个访问控制包(Accesscontrolpacket),包括:资源名及拥有者的标识符缺省访问权用户、用户组的特权明细表允许资源的拥有者对其添加新的可用数据的操作审计数据访问规则规定了若干条件,在这些条件下,可准许访问一个资源。规则使用户与资源配对,指定该用户可在该文件上执行哪些操作,如只读、不许执行或不许访问。由

7、系统管理人员来应用这些规则,由硬件或软件的安全内核部分负责实施。访问控制的一般实现机制和方法一般实现机制——基于访问控制属性——〉访问控制表/矩阵基于用户和资源分级(“安全标签”)——〉多级访问控制常见实现方法——访问控制表ACLs(AccessControlLists)访问能力表(Capabilities)授权关系表访问控制矩阵任何访问控制策略最终均可被模型化为访问矩阵形式:行对应于用户,列对应于目标,每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。访问控制矩阵按列看是访问控制表内容按行看是访问能力表内容目标xR、W、

8、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W目标用户访问控制表(ACL)userAOwnRWOuserBRO

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。