返回
chap07访问控制与防火墙技术.ppt

chap07访问控制与防火墙技术.ppt

ID:59499713

大小:2.69 MB

页数:70页

时间:2020-09-11

chap07访问控制与防火墙技术.ppt_第1页
chap07访问控制与防火墙技术.ppt_第2页
chap07访问控制与防火墙技术.ppt_第3页
chap07访问控制与防火墙技术.ppt_第4页
chap07访问控制与防火墙技术.ppt_第5页
资源描述:

《chap07访问控制与防火墙技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第七章访问控制与防火墙技术7.1访问控制的目标和原理1.访问控制的目标访问控制是针对越权使用资源的防御措施。其基本目标是:防止对任何资源进行未授权的访问。所谓未授权的访问是指未经授权的使用、泄露、修改、销毁信息以及颁发指令等。包括:非法用户进入系统以及合法用户对系统资源的非法使用。访问控制使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么,从而对机密性、完整性起直接的作用。访问控制与其他安全服务的关系模型如图7.1所示。图7.1访问控制与其他安全服务的关系模型7.1访问控制的目标和原理访问控制通过对信

2、息的有效控制来实现信息的可用性,包括:(1)谁可以颁发影响网络可用性的网络管理指令;(2)谁能够使用资源和占用资源;(3)谁能够获得什么服务。7.1访问控制的目标和原理2.访问控制的原理访问控制与其他安全措施之间的关系可以用图7.2来简要说明。在用户身份认证(如果必要)和授权之后,访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制,只有规则允许时才能访问,违反预定的安全规则的访问行为将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理资源,访问方式可以是获取信息、修改信息或者完成某种功能,一般情况可以理解为读、写或

3、者执行。图7.2访问控制与其他安全措施的关系模型7.1访问控制的目标和原理访问控制需要完成以下两个任务:(1)识别和确认访问系统的用户。(2)决定该用户可以对某一系统资源进行何种类型的访问。7.1访问控制的目标和原理3.访问控制模型的组成访问控制模型包括三个要素:主体、客体、授权。如图7.3所示(1)客体(Object)规定需要保护的资源,又称作目标(target)。(2)主体(Subject)或称为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。(3)授权(Authori

4、zation)规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。图7.3访问控制模型基本组成访问控制策略与机制访问控制策略(AccessControlPolicy)在系统安全策略级上表示授权。是对访问如何控制,如何做出访问决定的高层指南。访问控制机制(AccessControlMechanisms)是访问控制策略的软硬件低层实现。访问控制机制与策略独立,可允许安全机制的重用。访问控制策略与机制访问控制策略可分为自主访问控制、强制访问控制和基于角色的访问控制三大类。安全策略之间没有谁更好的说法,只是一种可以比一种提供更多的保护。应

5、根据应用环境灵活使用。访问控制策略之间的关系如图7.4所示。图7.4访问控制的一般策略自主访问控制自主访问控制(discretionarypolicies)的特点是根据主体的身份及允许访问的权限进行决策。所谓自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。最常见的自主访问控制是基于身份的访问控制IBAC(IdentityBasedAccessControl)。自主访问控制的访问类型访问许可与访问模式描述了主体对客体所具有的控制权与访问权.访问许可定义了改变访问模式的能力或向其它主体传送这种能力的能力.访问模式则

6、指明主体对客体可进行何种形式的特定的访问操作:读写运行.访问许可(AccessPermission)(1)等级型的(Hierarchical)最高领导(系统操作员)部门领导部门领导科组领导科组领导科组领导科组领导成员成员成员成员成员成员成员成员访问许可(AccessPermission)(2)有主型的(Owner)对每个客体设置一个拥有者(通常是客体的生成者).拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权.(3)自由型的(Laissez-faire)自主访问控制的缺点是:信息在移动过程中其访问权限关系会被

7、改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。强制访问控制强制访问控制是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制。由一个授权机构为主体和客体分别定义固定的访问属性,且这些访问权限不能通过用户来修改。例如将数据分成绝密、机密、秘密和一般等几类。用户的访问权限也类似定义,即拥有相应权限的用户可以访问对应安全级别的数据,从而避免了自主访问控制方法中出现的访问传递问题。这种方法具有层次性的特点,高级别的权限可访问低级别的数据。基于角色的访问控制是对自主控制和

8、强制控制机制的改进,它基于用户在系统中所起的作用来规定其访问权限。这个作用(即角色rule)可被定义为与一个特定活动相关联的一组动作和责任。角色包括职务特征、任务、责任、义务和资格。每个角色与一组用户和有关的动作相互关联

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。