返回
计算机技术网络安全技术教程 ch6 访问控制技术

计算机技术网络安全技术教程 ch6 访问控制技术

ID:43811026

大小:408.50 KB

页数:62页

时间:2019-10-15

计算机技术网络安全技术教程 ch6 访问控制技术_第1页
计算机技术网络安全技术教程 ch6 访问控制技术_第2页
计算机技术网络安全技术教程 ch6 访问控制技术_第3页
计算机技术网络安全技术教程 ch6 访问控制技术_第4页
计算机技术网络安全技术教程 ch6 访问控制技术_第5页
资源描述:

《计算机技术网络安全技术教程 ch6 访问控制技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第6章访问控制技术内容提要:本章概述访问控制技术操作系统安全技术数据库安全技术本章小结本章概述访问控制是实现既定安全策略的系统安全技术,它通过某种途径显式地管理着对所有资源的访问请求。根据安全策略的要求,访问控制对每个资源请求做出许可或限制访问的判断,可以有效地防止非法用户访问系统资源和合法用户非法使用资源。美国国防部的可信计算机系统评估标准(TESEC)把访问控制作为评价系统安全的主要指标之一。返回本章首页在信息安全领域,操作系统和数据库管理系统的安全是核心问题。操作系统安全是整个计算机系统安全的基础,

2、该研究领域自20世纪70年代以来,已得到快速的发展。其安全机制主要包括两个方面,即访问控制和隔离控制。其中,访问控制是其安全机制的关键。近年来,数据库系统在应用范围、应用规模和开放程度上不断增强,这使其安全问题变得越来越复杂。当前,针对数据库系统采取的安全措施主要有信息流控制、推导控制和访问控制,其中应用最广且最为有效的当属访问控制。返回本章首页6.1访问控制技术计算机信息系统访问控制技术最早产生于上个世纪60年代,随后出现了两种重要的访问控制技术,即自主访问控制(DiscretionaryAccessC

3、ontrol,DAC)和强制访问控制(MandatoryAccessControl,MAC)。但是,作为传统访问控制技术,它们已经远远落后于当代系统安全的要求,安全需求的发展对访问控制技术提出了新的要求。返回本章首页6.1.1认证、审计与访问控制在讨论传统访问控制技术之前,先就访问控制与认证、审计之间的关系,以及访问控制的概念和内涵进行概要说明。在计算机系统种,认证、访问控制和审计共同建立了保护系统安全的基础,如图6-1所示。其中认证是用户进入系统的第一道防线,访问控制是在鉴别用户的合法身份后,控制用户对

4、数据信息的访问,它是通过引用监控器实施这种访问控制的。返回本章首页返回本章首页区别认证和访问控制是非常重要的。正确地建立用户的身份标识是由认证服务实现的。在通过引用监控器进行访问控制时,总是假定用户的身份已经被确认,而且访问控制在很大程度上依赖用户身份的正确鉴别和引用监控器的正确控制。同时要认识到,访问控制不能作为一个完整的策略来解决系统安全,它必须要结合审计而实行。审计控制主要关注系统所有用户的请求和活动的事后分析。返回本章首页所谓访问控制(AccessControl)就是通过某种途径显式地准许或限制访

5、问能力及范围的一种方法。通过访问控制服务,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。访问控制是实现数据保密性和完整性机制的主要手段。返回本章首页访问控制系统一般包括:主体(subject):指发出访问操作、存取请求的主动方,它包括用户、用户组、终端、主机或一个应用进程,主体可以访问客体。客体(object):指被调用的程序或欲存取的数据访问,它可以是一个字节、字段、记录、程序、文件,或一个处理器、存储器及网络节点等。安全访问政策:也称为授权访问,它是一套规则,用以确

6、定一个主体是否对客体拥有访问能力。返回本章首页在访问控制系统中,区别主体与客体是比较重要的。通常主体发起对客体的操作将由系统的授权来决定,并且,一个主体为了完成任务可以创建另外的主体,并由父主体控制子主体。此外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成了客体。访问控制规定了哪些主体可以访问,以及访问权限的大小,其一般原理如图6-2所示。返回本章首页返回本章首页在主体和客体之间加入的访问控制实施模块,主要用来负责控制主体对客体的访问。其中,访问控制决策功能块是访问控

7、制实施功能中最主要的部分,它根据访问控制信息作出是否允许主体操作的决定,这里访问控制信息可以存放在数据库、数据文件中,也可以选择其它存储方法,且要视访问控制信息的多少及安全敏感度而定。其原理如图6-3所示。返回本章首页返回本章首页6.1.2传统访问控制技术1.自主访问控制DAC及其发展DAC是目前计算机系统中实现最多的访问控制机制,它是在确认主体身份以及(或)它们所属组的基础上对访问进行限定的一种方法。传统的DAC最早出现在上个世纪70年代初期的分时系统中,它是多用户环境下最常用的一种访问控制技术,在目前

8、流行的Unix类操作系统中被普遍采用。其基本思想是,允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。返回本章首页上个世纪70年代末,M.H.Harrison,W.L.Ruzzo,J.D.Ullma等对传统DAC做出扩充,提出了客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的HRU访问控制模型,并设计了安全管理员管理访问权限扩散的描述语言。到了1992年,Sa

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。