欢迎来到天天文库
浏览记录
ID:49373122
大小:758.00 KB
页数:72页
时间:2020-02-05
《计算机网络信息安全理论与实践教程 第7章.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、第7章 访问控制技术的原理与应用7.1访问控制目标7.2访问控制系统模型7.3访问授权和模型7.4访问控制类型7.5访问控制策略的设计与组成7.6访问控制管理过程和内容7.7访问控制案例分析7.8本章小结本章思考与练习7.1访问控制目标访问控制的目标有两个,一是防止非法用户进入系统,二是阻止合法用户对系统资源的非法使用,即禁止合法用户的越权访问。要实现访问控制的目标,首先要对网络的用户进行有效的身份认证,然后根据不同的用户授予不同的访问权限,进而保护系统资源。同时还可以进行系统的安全审计和监控,检测用户对系统的攻击企图。简
2、而言之,访问控制可通过采取两条措施来实现,即:*识别和鉴定访问系统的用户的真实身份,防止非法访问。*确定用户对系统资源的访问类型,授权用户访问操作。目前,访问控制的主要类型有:*物理访问控制:主要针对物理环境或设备实体而设置的安全措施,一般包括门禁系统、警卫、个人证件、门锁、物理安全区域划分。*网络访问控制:主要针对网络资源而采取的访问安全措施,一般包括网络接入控制、网络通信连接控制、网络区域划分、网络路由控制、网络节点认证。*操作系统访问控制:针对计算机资源而采取的访问安全措施,例如文件读/写访问控制、进程访问控制、内存
3、访问控制等。*数据库访问控制:针对数据库资源而采取的访问安全措施,例如数据库表创建。*应用系统访问控制:针对应用系统资源而采取的访问安全措施,例如业务系统进入、业务执行操作、业务系统信息读取等。7.2访问控制系统模型访问控制机制由一组安全机制构成,可以抽象为一个简单的模型,其组成要素主要有:主体、参照监视器(ReferenceMonitor)、客体、访问控制数据库、审计库,如图7-1所示。*主体(subject):是引起信息在客体之间流动的一种实体。通常,这些实体是指人、进程或设备等,一般是代表用户执行操作的进程。如编辑一
4、个文件时,编辑进程是存取文件的主体,而文件是客体。图7-1访问控制模型示意图*客体(object):是系统中被动的主体行为承担者。对一个客体的访问隐含着对其包含信息的访问。客体的实体类型有:记录、程序块、页面、段、文件、目录、目录树和程序,还有位、字节、字、字段、处理器、视频显示器、键盘、时钟、打印机和网络节点等。*参照监视器(referencemonitor):监督主体和客体之间授权访问关系的部件,是访问控制执行单元和决策单元。参照监视器的关键需求是控制从主体到客体的每一次存取,并将重要的安全事件存入审计文件之中。*访问
5、控制数据库:记录主体访问客体权限及其访问方式的信息,数据库可以动态变化和修改,它随着主体和客体的产生或删除及其权限的修改而改变。*审计库:存储主体访问客体的操作信息,包括访问成功信息、访问失败信息以及访问操作信息。7.3访问授权和模型访问是主体对客体实施操作的能力,访问控制是指以某种方式限制或授予这种能力。授权是指主体经过系统鉴别后,系统根据主体的类型分配访问权限。例如,在操作系统中,用户对文件的访问权限有读、写和执行。如图7-2所示,Linux普通用户spring可以读取文件/etc/passwd的内容,但无法执行。访问
6、控制与授权密不可分,通过授权,可以实现有效控制。图7-2用户对文件的访问权限一般情况下,访问控制可以用一个三元组来表示,即(S,O,A),其中,S表示主体集合,O表示客体集合,A表示属性集合。7.4访问控制类型7.4.1自主访问控制自主访问控制(DiscretionaryAccessControl,简称DAC)是指客体的所有者按照自己的安全策略授予系统中的其他用户对它的访问权。目前,自主访问控制的实现方法有两大类,即基于行的自主访问控制和基于列的自主访问控制。1.基于行的自主访问控制基于行的自主访问控制方法在每个主体上都附
7、加一个该主体可访问的客体的明细表。根据表中信息的不同,又可将表分成三种形式,即能力表(capabilitieslist)、前缀表(profiles)和口令(password)。(1)能力表。能力表是访问客体的钥匙,它决定用户是否能够对客体进行访问以及具有何种访问模式(读、写、执行)。拥有一定能力的主体可以按照给定的模式访问客体。(2)前缀表。前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时,自主访问控制机制检查主体的前缀是否具有它所请求的访问权。(3)口令。在基于口令机制的自主存取控制机制中,每个客体都相应
8、地有一个口令。主体在对客体进行访问前,必须向操作系统提供该客体的口令。如果正确,它就可以访问该客体。2.基于列的自主访问控制基于列的自主访问控制机制则是在每个客体上都附加一个可访问它的主体的明细表,它有两种形式,即保护位(protectionbits)和访问控制表(AccessControlList,A
此文档下载收益归作者所有