- 1、本文档共99页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
客体属性 与系统内客体相关联的属性也作为访问控制策略的一部分,客体安全属性有: a)敏感性标记:信息按“安全等级”进行分类,如“公开信息”、“机密信息”、“秘密信息”、“绝密信息”; 还可将系统内的信息按非等级分类,进行模拟人力资源系统的划分,称“范畴”,如参谋部、作战部、后勤部等, 系统内信息的敏感性标记由等级与非等级两部分组成:敏感性级别和范畴。 2.1 访问控制 访问控制 Access Control :限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。口令认证不能取代访问控制 。 访问控制机制:在信息系统中,为检测和防止未授权访问,以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。 为达到此目的,访问进程需达到以下两个目的: 识别和确认访问系统的用户; 决定该用户可以对某一系统资源进行何种类型的访问; 授权信息 访问控制与其他安全机制的关系 认证、授权、审计(AAA) Log 身份认证 访问控制 审计 授权(authorization) 主体 客体 用户认证解决的是:“你是谁?你是否真的是你所声称的身份?” 访问控制技术解决的是“你能做什么?你有什么样的权限?”。 三种常用的访问控制机制 自主访问控制DAC(Discretionary Access Control) 强制访问控制MAC(Mandatory Access Control ) 基于角色的访问控制RBAC(Role Based Access Control) 自主 访问控制 强制 访问控制 基于角色 访问控制 访问控制 2.1.1 自主访问控制 2.1.1 自主访问控制 定义:在自主访问控制机制中,用户有自主的决定权。这里所谓的自主决定权是指主体可以自主地将访问权,或访问权的某个子集授予其它主体。 灵活性高,被大量采用。 缺点:安全性最低,因为信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 访问控制矩阵 按列看是访问控制表内容(客体) 按行看是访问能力表内容(主体) 矩阵元素:相应的用户对目标的访问许可。 目标x R、W、Own R、W、Own 目标y 目标z 用户a 用户b 用户c 用户d R R R、W、Own R、W R、W 目标 用户 访问控制矩阵 为了实现完备的自主访问控制系统,由访问控制矩阵提供的信息必须以某种形式存放在系统中。 访问矩阵中的每行表示一个主体 每列则表示一个受保护的客体 而矩阵中的元素,则表示主体可以对客体的访问模式 矩阵中的许多元素常常为空。在实现自主访问控制机制时,常常是基于矩阵的行或列来表达访问控制信息。 访问控制矩阵的原理简单,实现起来并不难,但当用户和文件都很多时,就需要占用大量的存储空间。例如:如果系统有5000个用户和30000个文件,二维存取控制矩阵就要有5000*30000个表项,将占用大量的存储空间。 如果用户和文件系统要管理的文件有所增加,那么控制矩阵将会成几何级数增长,对于增长的矩阵而言,会有大量的空余空间。另外,查找这样大的表不仅不方便,而且还浪费大量的CPU时间。所以在实际应用时,常常要采用另外的变通方式来实现。 访问控制矩阵 1. 基于行的自主访问控制机制 所谓基于行的自主访问控制是在每个主体上都附加一个该主体可访问的客体的明细表。根据表中信息的不同可以分为以下三种形式: (1)能力表(CL:Capabilities List) (2)前缀表(Prefixes) (3)口令(Password) 访问能力表(CL) Obj1 Own R W O Obj2 R O Obj3 R W O UserA 每个主体都附加一个该主体可访问的客体的明细表。 2. 基于列的自主访问控制机制 所谓基于列的访问控制是指按客体附加一份可访问它的主体的明细表。基于列的访问控制可以有两种方式, 一种是保护位 一种是存取控制表 保护位(Protection Bits) (1)保护位(Protection Bits) 保护位对所有的主体、主体组(用户、用户组)以及该客体(文件)的拥有者,规定了一个访问模式的集合。保护位机制是一种简单易行的自主访问控制方式,能在一定程度上表达访问控制矩阵。 UNIX系统采用了保护位的方法。在Unix系统中,用户组是具有相似功能特点的用户集合。某客体的拥有者实际就是生成客体的主体,它对客体的所有权仅能通过超级用户特权来改变。 拥有者(超级用户除外)是唯一能够改变客体保护位的主体。一个用户可能属于多个静态的用户组,但是在某个时刻,一个用户只能属于一个活动的用户组。用户组及拥有者的权限都体现在客体
您可能关注的文档
- 《红岩》课件(必威体育精装版中考名著).ppt
- 【精品】正弦定理PPT课件.ppt
- XX汽车产品开发流程(CA-PDS)总体介绍分析.ppt
- 变电站一次设备、二次设备巡视要点.pptx
- 常见急诊的处理.ppt
- 大学课件《经济学原理》2.ppt
- 大学课件《经济学原理》3.ppt
- 大学课件《经济学原理》4.ppt
- 大学课件《经济学原理》10.ppt
- 大学生创业计划书 新型路灯控制系统自动化.pptx
- 《GB/T 32151.42-2024温室气体排放核算与报告要求 第42部分:铜冶炼企业》.pdf
- GB/T 32151.42-2024温室气体排放核算与报告要求 第42部分:铜冶炼企业.pdf
- GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法.pdf
- 中国国家标准 GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法.pdf
- 《GB/T 38048.6-2024表面清洁器具 第6部分:家用和类似用途湿式硬地面清洁器具 性能测试方法》.pdf
- 《GB/T 18238.2-2024网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数》.pdf
- GB/T 18238.2-2024网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数.pdf
- 《GB/T 17215.686-2024电测量数据交换 DLMS/COSEM组件 第86部分:社区网络高速PLCISO/IEC 12139-1配置》.pdf
- GB/T 13542.4-2024电气绝缘用薄膜 第4部分:聚酯薄膜.pdf
- 《GB/T 13542.4-2024电气绝缘用薄膜 第4部分:聚酯薄膜》.pdf
文档评论(0)