信息安全原理与应用-访问控制

信息安全原理与应用-访问控制

ID:41529501

大小:921.01 KB

页数:51页

时间:2019-08-27

信息安全原理与应用-访问控制_第1页
信息安全原理与应用-访问控制_第2页
信息安全原理与应用-访问控制_第3页
信息安全原理与应用-访问控制_第4页
信息安全原理与应用-访问控制_第5页
资源描述:

《信息安全原理与应用-访问控制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1信息安全原理与应用第九章访问控制本章由王昭主写2讨论议题访问控制的有关概念访问控制的策略和机制3访问控制的概念和目标一般概念——是针对越权使用资源的防御措施。基本目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。未授权的访问包括:非法用户进入系统。合法用户对系统资源的非法使用。访问控制的目标保护存储在某些机器上的个人信息或重要信息的保密性维护机器内系统的完整性减少病毒感染的机会45主体、客体和授权客体(Object):规定需要保护的资源,又称作目标(target)。主体(Subject):或称为发起者(Initiat

2、or),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。授权(Authorization):规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。主客体的关系是相对的。6访问控制系统的基本组成访问控制与其他安全服务的关系8讨论议题访问控制的有关概念访问控制的策略和机制9访问控制策略与机制访问控制策略(AccessControlPolicy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。访问控制机制(AccessControlMechanisms):是访问控制策略的软

3、硬件低层实现。访问控制机制与策略独立,可允许安全机制的重用。安全策略之间没有更好的说法,只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。访问控制策略自主访问控制强制访问控制基于角色的访问控制其他访问控制策略10自主访问控制自主访问控制概念访问控制表能力表自主访问控制的授权管理11自主访问控制概念自主访问控制(discretionarypolicies,DAC),基于身份的访问控制(IdentityBasedAccessControl)特点:根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某

4、个子集授予其它主体。灵活性高,被大量采用。缺点:信息在移动过程中其访问权限关系会被改变。12访问控制矩阵任何访问控制策略最终均可被模型化为访问矩阵形式:行对应于用户,列对应于目标,每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。按列看是访问控制表内容,按行看是访问能力表内容14访问控制表(ACL)每个客体附加一个它可以访问的主体的明细表。15访问能力表(CL)每个主体都附加一个该主体可访问的客体的明细表。16ACL、CL访问方式比较(1)ACL17ACL、CL访问方式比较(2)CL18ACL、CL访问方式比较(3)鉴

5、别方面:二者需要鉴别的实体不同保存位置不同浏览访问权限不同访问权限回收不同多数集中式操作系统使用ACL方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集,在现代OS中CL也得到广泛应用19ACL:基于个人和组的策略基于个人:根据哪些用户可对一个目标实施哪一种行为的列表来表示。等价于用一个目标的访问矩阵列来描述。基于组:一组用户对于一个目标具有同样的访问许可。相当于,把访问矩阵中多个行压缩为一个行。实际使用时,先定义组的成员对用户组授权同一个组可以被重复使用组的成员可以改变基于组的策略在表示和实现上更容易和更有效基础(前提):一个隐含

6、的、或者显式的缺省策略例如,全部权限否决20访问模式AccessMode系统支持的最基本的保护客体:文件,对文件的访问模式设置如下:(1)读-拷贝(Read-copy)(2)写-删除(write-delete)(3)运行(Execute)(4)无效(Null)21自主访问控制的授权管理集中式管理:只有单个的管理者或组对用户进行访问控制授权和授权撤消。分级式管理:一个中心管理者把管理责任分配给其它管理员,这些管理员再对用户进行访问授权和授权撤消。分级式管理可以根据组织结构而实行。所属权管理:如果一个用户是一个客体的所有者,则该用户可以对其它用

7、户访问该客体进行授权访问和授权撤消。协作式管理:对于特定系统资源的访问不能有单个用户授权决定,而必须要其它用户的协作授权决定。分散式管理:在分散管理中,客体所有者可以把管理权限授权给其他用户。22Win2000的访问控制-1DAC,采用ACL帐户(useraccounts)定义了Windows中一个用户所必要的信息,包括口令、安全ID(SID)、组成员关系、登录限制,…组:universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空

8、间唯一,全局惟一的48位数字S-1-5-21-1507001333-1204550764-1011284298-500SID带有前缀S,它的各个部分之间用连字符隔开第一个数字(本

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。