- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
RBAC的相关知识
关于RBAC的相关知识
信安0802 王昊 3080604040
一 、背景
随着网络技术的发展和网上应用的日益增加,信息安全问题日益凸现当前信息安全技术主要包括密码技术、身份认证、访问控制、入侵检测、风险分析与评估等诸多方面在实际应用中,这些安全技术相互支持与协作,各自解决安全问题的某一方面但目前人们关注的重点是密码技术、身份认证、入侵检测等,访问控制技术没有得应有的重视事实上访问控制技术是一个安全信息系统不可或缺的安全措施,对保护主机系统和应用系统的安全都有重要意义。
访问控制技术起源于70年代,当时是为了满足管理大型主机系统上共享数据授权访问的需要但随着计算机技术和应用的发展,特别是网络应用的发展,这一技术的思想和方法迅速应用于信息系统的各个领域在30年的发展过程中,先后出现了多种重要的访问控制技术,它们的基本目标都是防止非法用户进入系和合法用户对系统资源的非法使用为了达到这个目标,访问控制常以用户身份认证为前提,在此基础上实施各种访问策略来控制和规范合法用户在系统中的行为。
?二 、传统访问控制技术
自主访问控制
自主访问控制随分时系统的出现而产生,其基本思想是:系统中的主体可以自主的将其拥有的对客体的权限部分或者全部授予其它主体。其通常通过访问控制列表(ACL:Access Control List)来实现,包括基于行(主体)的DAC和基于列(客体)的DAC。基于行的DAC在每个主体上都附加一个该主体可访问的客体的明细表,而基于列的DAC则在每一个客体上都附加一个可以访问该客体的主体的明细表。其实现简单,在早期得到了广泛的应用。但是由于其允许访问权的传递,使得传递出去的访问权难以管理。另外其无法保护受保护资源的副本。最后,其用于管理主客体数量巨大的系统将造成开销巨大,效率低下的问题,难以满足大型应用,特别是网络应用的需要。
强制访问控制??? 强制访问控制最初源于对信息机密性的要求以及防止特洛伊木马之类的攻击,其最开始应用于军方系统中。其通过对主体和客体分配固定的安全属性,利用安全属性来决定主体是否可以对客体的进行访问。安全属性是固定的,任何用户或者用户进程都无法改变自身或者其它主/客体的安全属性。另外,强制访问控制通常和自主访问控制结合使用,主体只有通过了强制访问控制和自主访问控制检查后才能访问客体,因而可以防止特洛伊木马之类的程序窃取信息。
其本质是基于格的非循环单向信息流政策。其具有两个关键规则:不向上读,不向下写,即信息只能由低安全级向高安全级流动,任何反向信息流动都是被禁止的。
虽然其通过增加访问限制来增加了信息的机密性,但是也不可避免的降低了系统的灵活性,另外其不能实施完整性控制,这限制了它在网络中的应用。再者,现代计算机中不可避免的存在大量的逆向潜信道,如:共享内存,大量的Cache,这也影响了其的广泛应用。
?三 、新型访问控制技术
基于角色的访问控制
基于角色访问控制RBAC(Role Based Access Control)的概念早在七十年代就已经提出,但在相当长的一段时间并没有得到人们的关注。进入九十年代,安全需求的发展使RBAC又引起了人们的极大关注。
在RBAC中,在用户和访问许可权之间引入角色(Role)的概念,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系,角色可以根据实际的工作需要生成或取消,而用户可以根据自己的需要动态地激活自己拥有的角色,避免了用户无意中危害系统安全。
目前以有多种模型,主要分为:
l? 由Sandhu等人提出的RBAC96/ARBAC97/ARBAC02模型族
l? 角色图模型
l? NIST(National Institute of Standard and Technology)模型
l? OASIS(Open Architecture for Securely Interworking Service)模型
l? SARBAC(Scope Administrative RBAC)模型
以下将就各模型分别介绍,并对比其优缺点
?1.???? RBAC961)???????? 基本模型RBAC0(Core RBAC)
RBAC0由四个基本要素构成,即用户(User)、角色(Role)、会话(Session)、授权(Permission)。在一个系统中,定义并存在着多个用户、角色,同时对每个角色设置多个授权关系,称之为访问许可权的授予(Permission Assignment)。在RBAC中,用户和角色,角色和权限的关系是多对多的关系。通过定义角色分离了用户与权限之间的直接关联,方便管理员进行人员管理和授权。授权机制可以视之为在系统内通过特定的操作(Action)将主体与客体联系起来,语义可以是允许读、允许修改等。在一个系统中,根据系
文档评论(0)