北京大学网络信息安全课件-访问控制

北京大学网络信息安全课件-访问控制

ID:40156661

大小:176.50 KB

页数:41页

时间:2019-07-23

北京大学网络信息安全课件-访问控制_第1页
北京大学网络信息安全课件-访问控制_第2页
北京大学网络信息安全课件-访问控制_第3页
北京大学网络信息安全课件-访问控制_第4页
北京大学网络信息安全课件-访问控制_第5页
资源描述:

《北京大学网络信息安全课件-访问控制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、访问控制北京大学计算机系2002/04/13安全服务的各个层面安全服务(SecurityServices):安全系统提供的各项服务,用以保证系统或数据传输足够的安全性根据ISO7498-2,安全服务包括:实体鉴别(EntityAuthentication)数据保密性(DataConfidentiality)数据完整性(DataIntegrity)防抵赖(Non-repudiation)访问控制(AccessControl)访问控制的概念以及分类一般概念——是针对越权使用资源的防御措施。形式化地说——访

2、问控制是一个二元函数f(s,o,r)一般分为:自主访问控制强制访问控制基于角色的访问控制访问控制的目的是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。访问控制与其他安全措施的关系模型引用监视器鉴别访问控制授权数据库用户目标目标目标目标目标审计安全管理员访问控制的一般实现机制和方法一般实现机制——基于访问控制属性——〉访问控制表/矩阵基于用户和资源分级(“安全标签”)——〉多级访问控制

3、常见实现方法——访问控制表(ACL)访问能力表(Capabilities)授权关系表SubjectsObjectsS1S2S3O1O2O3Read/writeWriteReadExecute按列看是访问控制表内容按行看是访问能力表内容访问控制实现方法——访问控制矩阵userAOwnRWOuserBROuserCRWOObj1访问控制实现方法——访问控制表(ACL)访问控制实现方法——访问能力表(CL)Obj1OwnRWOObj2ROObj3RWOUserA访问控制实现方法——授权关系表UserAOwn

4、Obj1UserARObj1UserAWObj1UserAWObj2UserARObj2ACL、CL访问方式比较ACLSsubjectclient(s,r)objectserverACL、CL访问方式比较(续一)CLsubjectclient(o,r)objectserverACL、CL访问方式比较(续二)鉴别方面:二者需要鉴别的实体不同保存位置不同浏览访问权限ACL:容易,CL:困难访问权限传递ACL:困难,CL:容易访问权限回收ACL:容易,CL:困难ACL和CL之间转换ACL->CL:困难CL-

5、>ACL:容易ACL、CL访问方式比较(续三)多数集中式操作系统使用ACL方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集,在现代OS中CL也得到广泛应用自主访问控制强制访问控制基于角色访问控制访问控制访问控制的一般策略访问控制的策略——自主访问控制特点:根据主体的身份和授权来决定访问模式。缺点:信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。访问控制的策略——强制访问控制特点:1.将主题和客体分级,根据主体和客体的

6、级别标记来决定访问模式。如,绝密级,机密级,秘密级,无密级。2.其访问控制关系分为:上读/下写,下读/上写(完整性)(机密性)3.通过安全标签实现单向信息流通模式。访问控制的策略——强制访问控制更精确的描述:强制访问控制(MAC)中,系统包含主体集S和客体集O,每个S中的主体s及客体集中的客体o,都属于一固定的安全类SC,安全类SC=包括两个部分:有层次的安全级别和无层次的安全范畴。构成一偏序关系≤。Bell-LaPadula:保证保密性-简单安全特性(无上读):仅当SC(o)≤SC(s)时

7、,s可以读取o -*-特性(无下写):仅当SC(s)≤SC(o)时,s可以修改oBiba:保证完整性-同(1)相反TSSCUTSSCUR/WWR/WRR/WRWRRRR/WRWWWWSubjectsObjectsInformationFlow访问控制的策略——强制访问控制MACInformationFlow1.自主式太弱2.强制式太强3.二者工作量大,不便管理例:1000主体访问10000客体,须1000万次配置。如每次配置需1秒,每天工作8小时,就需10,000,000/(3600*8)=347.2

8、天访问控制的策略——自主/强制访问的问题访问控制的策略——基于角色的访问控制角色概念Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity.访问控制的策略——基于角色的访问控制角色与组的区别组:用户集角色: 用户集+权限集访问控制的策略——基于角色的访问控制角色控制与DAC、MAC的区别:角色控制相对独立,根据配置可使某些角色为

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。