返回
保密安全与密码技术6访问控制.ppt

保密安全与密码技术6访问控制.ppt

ID:50268952

大小:308.01 KB

页数:33页

时间:2020-03-11

保密安全与密码技术6访问控制.ppt_第1页
保密安全与密码技术6访问控制.ppt_第2页
保密安全与密码技术6访问控制.ppt_第3页
保密安全与密码技术6访问控制.ppt_第4页
保密安全与密码技术6访问控制.ppt_第5页
资源描述:

《保密安全与密码技术6访问控制.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、保密安全与密码技术第六讲访问控制1安全机制2访问控制的目的访问控制是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。3访问控制的基本概念基本的访问控制政策模型访问控制和其他安全机制的关系访问控制原理4访问控制的基本概念主体(Subject)主体是一个主动的实体,它提出对资源访问请求,如用户,程序,进程等。客体(Object)含有被访问资源的被动实体,如网络、计算机、数据库、文件、目录、计算机程序、外设、网络。访问(Access)对资源的使用

2、,读、写、修改、删除等操作,例如访问存储器;访问文件、目录、外设;访问数据库;访问一个网站。5访问控制的基本概念访问可以被描述为一个三元组(s,a,o)主体,发起者:Subject,Initiator客体,目标:Object,Target访问操作:AccessObjectRead/Write/Exec6访问控制模型访问控制执行功能 (AEF)访问控制决策功能 (ADF)客体主体的访问控制信息主体客体的访问控制信息访问控制政策规则上下文信息(如时间,地址等)决策请求决策访问请求提交访问7访问控制的基本概念访问控制信息(ACI)的表示主体访问控制属性客体访问控

3、制属性访问控制政策规则授权(Authorization)怎样把访问控制属性信息分配给主体或客体如何浏览、修改、回收访问控制权限访问控制功能的实施控制实施部件如何获得实体的访问控制信息怎样执行8能力表(CapabilityList)能力表与主体关联,规定主体所能访问的客体和权限。表示形式:用户Profile,由于客体相当多,分类复杂,不便于授权管理授权证书,属性证书从能力表得到一个主体所有的访问权限,很容易从能力表浏览一个客体所允许的访问控制权限,很困难O1RWO2RO5RWESi9访问控制表(AccessControlList)访问控制表与客体关联,规定能

4、够访问它的主体和权限由于主体数量一般比客体少得多而且容易分组,授权管理相对简单得到一个客体所有的访问权限,很容易浏览一个主体的所有访问权限,很困难S1RWS2RS5RWEOj10ACL、CL访问方式比较鉴别方面:二者需要鉴别的实体不同保存位置不同浏览访问权限ACL:容易,CL:困难访问权限传递ACL:困难,CL:容易访问权限回收ACL:容易,CL:困难ACL和CL之间转换ACL->CL:困难CL->ACL:容易11ACL、CL访问方式比较多数集中式操作系统使用ACL方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集,在现代OS中CL也得到广泛应用1

5、2访问控制矩阵访问控制机制可以用一个三元组来表示(S,O,M)主体的集合S={s1,s2,…,sm}客体的集合O={o1,o2,…,on}所有操作的集合A={R,W,E,…}访问控制矩阵M=S×O2A13访问控制矩阵矩阵的的i行Si表示了主体si对所有客体的操作权限,称为主体si的能力表(CapabilityList)矩阵的第j列Oj表示客体oj允许所有主体的操作,称为oj的访问控制表(ACL)14访问控制策略模型自主型访问控制DAC(DiscretionaryAccessControl)强制型访问控制MAC(MandatoryAccessControl

6、)基于角色的访问控制RBAC(Role-BasedAccessControl)基于对象的访问控制模型OBAC(Object-BasedAccessControl)15自主型访问控制DACDiscretionaryAccessControl,DAC每个客体有一个属主,属主可以按照自己的意愿把客体的访问控制权限授予其他主体DAC是一种分布式授权管理的模式控制灵活,易于管理,是目前应用最为普遍的访问控制政策16自主型访问控制DAC自主访问控制模型是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,

7、某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。自主访问控制模型的特点是授权的实施主体可以授权的主体;管理授权的客体;授权组自主访问控制又称为任意访问控制。LINUX,UNIX、WindowsNT或是SERVER版本的操作系统都提供自主访问控制的功能。17自主型访问控制DACDAC模型提供的安全防护还是相对比较低的,不能给系统提供充分的数据保护。自主负责赋予和回收其他主体对客体资源的访问权限。DAC采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。无法控制信息流动:信息在移动过程中其访问权限关系会被

8、改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。