返回
计算机网络安全技术:访问控制技术

计算机网络安全技术:访问控制技术

ID:6154758

大小:269.00 KB

页数:48页

时间:2017-11-14

计算机网络安全技术:访问控制技术_第1页
计算机网络安全技术:访问控制技术_第2页
计算机网络安全技术:访问控制技术_第3页
计算机网络安全技术:访问控制技术_第4页
计算机网络安全技术:访问控制技术_第5页
资源描述:

《计算机网络安全技术:访问控制技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章访问控制技术本章学习目标访问控制的三个要素、7种策略、内容、模型访问控制的安全策略与安全级别安全审计的类型、与实施有关的问题日志的审计WindowsNT操作系统中的访问控制与安全审计5.1访问控制概述访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制,从而确保只有合法用户的合法访问才能给予批准,而且相应的访问只能执行授权的操作。访问控制是计算机网络系统安全防范和保护的重要手段,是保证网络安全最重要的核心策略之一,也是计算机网络安全理论基础重要组成部分。5.1.1访问控制的

2、定义访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素,即主体、客体和控制策略。主体S(Subject)是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。主体可以是某个用户,也可以是用户启动的进程、服务和设备。客体O(Object)是接受其他实体访问的被动实体。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中,客体可以是信息、文件、记录等的集合体,也可以是网路上的硬件设施,无线通信中的终端,甚至一个客体可以包含另外一个客体。控制策略控制策略A(Attribution

3、)是主体对客体的访问规则集,即属性集合。访问策略实际上体现了一种授权行为,也就是客体对主体的权限允许。访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机网络系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。为达到上述目的,访问控制需要完成以下两个任务:识别和确认访问系统的用户。决定该用户可以对某一系统资源进行何种类型的访问7种访问控制策略入网访问控制。网络的权限控制。目录级安全控制。属性安全控制。网络服务器安全控制。网络监测和锁定控制。网络端口和节点的安全控制。5.1.2访问控制矩阵访问控制系统三个要素之间的行为关系可以

4、用一个访问控制矩阵来表示。对于任意一个si∈S,oj∈O,都存在相应的一个aij∈A,且aij=P(si,oj),其中P是访问权限的函数。aij代表si可以对oj执行什么样的操作。访问控制矩阵如下:其中,Si(i=0,1,…,m)是主体对所有客体的权限集合,Oj(j=0,1,…,n)是客体对所有主体的访问权限集合5.1.3访问控制的内容访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计三个方面的内容。认证:包括主体对客体的识别认证和客体对主体检验认证。控制策略的具

5、体实现:如何设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。审计类似于飞机上的“黑匣子”,它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。5.2访问控制模型自主访问控制模型强制访问控制模型基于角色的访问控制模型其他访问控制模型基于任务的访问控制模型基于对象的访问控制模型5.2.1自主访问控制模型自主访问控制模型(Dis

6、cretionaryAccessControlModel,DACModel)是根据自主访问控制策略建立的一种模型,它基于对主体或主体所属的主体组的识别来限制对客体的访问,也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。自主访问控制又称为任意访问控制,一个主体的访问权限具有传递性。为了实现完整的自主访问系统,DAC模型一般采用访问控制表来表达访问控制信息。访问控制表(AccessControlList,ACL)是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明细表,来表示各个主体对这个客体的访问权限。明细表中的每一项都包

7、括主体的身份和主体对这个客体的访问权限。对系统中一个需要保护的客体oj附加的访问控制表的结构如图所示。Ojs0rs1ws2e……sxrwe对于客体oj,主体s0只有读(r)的权限;主体s1只有写(w)的权限;主体s2只有执行(e)的权限;主体sx具有读(r)、写(w)和执行(e)的权限。但是,在一个很大的系统中,可能会有非常多的主体和客体,这就导致访问控制表非常长,占用很多的存储空间,而且访问时效率下降。使用组(group)或者通配符可以有效地缩短表的长度。用户可以根据部门结构或者工作性质被分为有限的几类。同一类用户使用的资源基本上是相同的。因此,可以把一类用户

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。