返回
信息系统安全第3章

信息系统安全第3章

ID:40199641

大小:792.06 KB

页数:34页

时间:2019-07-25

信息系统安全第3章_第1页
信息系统安全第3章_第2页
信息系统安全第3章_第3页
信息系统安全第3章_第4页
信息系统安全第3章_第5页
资源描述:

《信息系统安全第3章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第3章访问控制身份认证访问控制资源用户访问请求权限系统访问控制——授权(authorization)控制网络访问控制:逻辑隔离物理隔离3.1系统访问控制基本概念——二元关系描述访问控制矩阵授权关系表访问控制策略自主强制访问控制策略基于角色的访问控制策略3.1.1访问控制的二元关系描述访问控制用一个二元组(控制对象,访问类型)来表示。其中的控制对象表示系统中一切需要进行访问控制的资源,访问类型是指对于相应的受控对象的访问控制,如:读取、修改、删除等等。几种常用的描述形式1.访问控制矩阵2.授权关系表3.访问能力表4.访问控制列表1.访问控制

2、矩阵访问控制矩阵也称访问许可矩阵,它用行表示客体,列表示主体,在行和列的交叉点上设定访问权限。表3.1一个访问控制矩阵的例子。表中,一个文件的Own权限的含义是可以授予(Authorize)或者撤销(Revoke)其他用户对该文件的访问控制权限。例如,张三对File1具有Own权限,所以张三可以授予或撤销李四和王五对File1的读(R)写(W)权限。主体(subjects)客体(objects)File1File2File3File4张三Own,R,WOwn,R,W李四ROwn,R,WWR王五R,WROwn,R,W2.授权关系表授权关系表

3、(AuthorizationRelations)描述了主体和客体之间各种授权关系的组合。主体访问权限客体张三OwnFile1张三RFile1张三WFile1张三OwnFile3张三RFile3张三WFile3李四RFile1李四OwnFile2李四RFile2李四WFile2李四WFile3李四RFile4王五RFile1王五WFile1王五RFile2王五OwnFile4王五RFile4王五WFile4能力(Capability)也称权能,是受一定机制保护的客体标志,标记了某一主体对客体的访问权限:某一主体对某一客体有无访问能力,表示了

4、该主体能不能访问那个客体;而具有什么样的能力,表示能对那个客体进行一些什么样的访问。它也是一种基于行的自主访问控制策略。张三File1OwnRWFile3OwnRW李四File1RFile2OwnRWFile3WFile4R王五File1RWFile3RFile4OwnRW3.访问能力表访问控制列表(AccessControlList,ACL)与访问能力表正好相反,是从客体出发描述控制信息,可以用来对某一资源指定任意一个用户的访问权限。File1张三OwnRW李四RFile2李四OwnRW王五RFile3张三OwnRW李四W王五RWFil

5、e4李四R王五OwnRW4.访问控制列表3.1.2(1)自主访问控制基本思想是:资源的所有者可以对资源的访问进行控制,任意规定谁可以访问其资源,自主地直接或间接地将权限传给(分发给)主体。优点:应用灵活与可扩展性,经常被用于商业系统。缺点:权限传递很容易造成漏洞,安全级别比较低,不太适合网络环境,主要用于单个主机上。3.1.2(2)强制访问控制基本思想:不允许单个用户确定访问权限,只有系统管理员才可以确定用户或用户组的访问权限。MAC主要用于多层次安全级别的系统(如军事系统)中。(1)下读(ReadDown)(2)上读(ReadUp)(3

6、)下写(WriteDown)(2)上写(WriteUp)3.1.3基于角色的访问控制策略基于角色的访问控制(Role-BaseAccessControl,RBAC)比针对个体的授权管理,在可操作性和可管理性方面都要强得多。3.2网络的逻辑隔离(1)数据包过滤技术;(2)网络地址转换技术;(3)代理技术.3.2.1数据包过滤地址过滤技术服务过滤技术状态检测过滤技术内容过滤技术数据包及其结构(1)源地址(SourceAddress)和目的地址(DestinationAddress)(2)标识符(3)标志F(Flag)(4)片偏移量FO(Fra

7、gmentOffset)(5)源端口(SourcePort)和目的端口(DestinationPort)(6)协议Prot(Protocol)。高层协议号由TCP/IP协议中央权威机构NIC(NetworkInformationCenter)分配,如:1——控制报文协议ICMP,6——传输控制协议TCP,8——外部网关协议EGP,17——用户数据抱协议UDP,29——传输层协议第4类ISO-TP4。(7)服务类型ToS(TypeofService)(8)数据包内容。数据包过滤规则与策略(1)默认接受:一切未被禁止的,就是允许的。即除明确指

8、定禁止的数据包,其他都是允许通过的。这也称为“黑名单”策略。(2)默认拒绝:一切未被允许的,就是禁止的。即除明确指定通过的数据包,其他都是被禁止的。这也称为“白名单”策略。3.地址过滤技术地址

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。