访问控制技术研究及应用

合集下载

浅析访问控制技术

【关键词１问控制安全操作系统控制模型访
中图分类号：Ｐ９Ｔ３３文献标识码：Ａ文章编号：０８１３（０８２ — ８３１０ — ７９２０）４６ —
ＳｒｅｆＡｃｅｓＣｏｔｏｕｖｙｏｃｓｎｒｌ
对系统中信息流进行保护，息容易泄漏，法抵御特洛伊木信无马的攻击。访同控制表（Ｃ）ＤＡＬ是ＡＣ中常用的一种安全机制，系统安全管理员通过维护ＡＬ来控制用户访问有关数据。ＣＡＬ的优点在于它的表述直观、于理解，且比较容易查出Ｃ易而对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。当用户数量多、理数据量大时，Ｃ但管ＡＬ就会很庞大。当组织内的人员发生变化、作职能发生变化时。Ｃ工ＡＬ的维护就变得非常困难。另外，分布式网络系统，Ｃ不利于实现统对ＤＡ
２１自主访问控制（ｓｒｔｎｒｃｅｓＣｎｒ１．ＤｉｅｉａｙＡｃｓｏｔｏ）ｃｏ
自主访问控制ＤＡ是基于访问者身份或所属工作组来Ｃ
进行访问控制的一种方法。基本思想是：许一个用户或以该允用户身份运行的进程，指定其它用户对本用户所拥有的信息
Ｗ０－ｂｘｕｏ

访问控制技术研究

活、习和工作方式开始发生变化。在带来方便和快捷学
的同时，信息安全开始引起人们的重视。问控制作为访
保护计算机信息安全的一种技术，有着相当重要的作
用。问控制是指通过某种途径，访允许或限制访问能力
及范围的一种方式，是针对越权使用资源的防御措施。访问控制的目的是为了限制访问主体对访问客体的访
并且可以将权限授予其他主体或从其他主体收回他所授予的权限，比较符合人们对权限的基本认识。这ＤＣ的缺点是，对访问权限的转移很容易产生漏Ａ洞，使得客体的所有者最终都不能控制该客体的访问权限，并且非法主体可以间接的获得对某个客体的访
Ｒｅｅｒｈｏｃｅｓｃｎｒｌｔｃｏｏｙｓａｃｆａｃｓｏｔｏｅｈｎｌｇ
ＵＵｅＷｉ
（ｅｖｒＣｎｅ，ｏｉａｇａｅＩｓｔｔｏＳｉｚＵｉｒｔ，ｈｅｉ８２０，ｈａＮｈｏｅｔＦｒｇＬｎｕｇｎｔｕｅｆｈｈｉｎｖｓｙＳｉｚ３０３Ｃｉ）ｋｒｅｎｉｅｅｉｈｎ
技术（Ａ）ＭＣ和基于角色的访问控制技术（ＢＣ）其中重点讨论分析了ＲＡ，ＲＡ，ＢＣ并对每种访问控制技术进行了优缺点分析总结。
关键词：色；角自主访问控制；强制访问控制；于角色的访问控制基中图分类号：Ｐ９Ｔ３９文献标识码：Ａ文章编码：６２６５（０７０ —０６０１７ — ２１２０）０９ —２７

网络访问控制技术及应用研究

摘要：随着计算机技术的运用和发展，网络控制技术的必要性和重要性逐渐显现出来。国内外很多科研工作者对此进行了系统的研发工作，以期让网络访问控制技术更加成熟，能够更好的运用。本文通过对网络访问控制技术的说明，分析了
ｉｍｐｏｔｎｅｏｒｄａｐａｉＭａｏｍｅｔｃａｄｆｒｉｎｒｓａｃｅｓｃｄｔａｒｓａｃｎｄｄｖｌｐｅｔｏｅｓｓｅｔｌｏｒａｃｆｇａｕｎｙａｐｅｒｎｇ．ｎｙｄｓｉｎｏｅｇｅｅｒｈｒｏｎｕｃｅｅｒｈａｅｅｏｍｎｆｔｙｔｍＯａｌｗｈｎｔｒａｃｓｏｔｏｅｈｌｇｓｏｅｍａｕｎｔｅｂｅｔｕｅＢａｅｎｔｅｎｔｏｋｃｅｓｃｎｔｏｅｈｏｌｇｙｔａｅｗｏｋｃｅｓｃｎｒｌｔｃｎｏｏｙｉｍｒｔｒａｄｂｅｔｒａｌｏｓ．ｓｄｏｈｅｗｒａｃｓｏｒｌｔｃｎｏｔｅｈａｌｚｓｔｓｆｎｅｗｏｋａｃｓｏｔｏｌｅｈｌｙａｄｐｒａｃｆｔｅｆｅｄ．ｎａｙｅｈｅｕｅｏｔｒｃｅｓｃｎｒｃｎｏｏｇｎｉｏｔｎｅｏｌｔｍｈｉＫｅｙｗｏｒｓＮｅｗｏｋ；ｃｓ；ｎｔｏｌｅｈｌｙＡｐｐｉａｉｄ：ｔｒＡｃｅｓＣｏｒｃｎｏｏｇ；ｔｌｃｔｏｎ
网络访问控制技术的运用领域及其重要性。关键词：网络；访问；控制技术；应用

访问控制技术研究及应用

访问控制技术研究及应用访问控制技术是计算机安全领域的一个重要研究方向，其主要目标是确保只有授权的用户或实体能够访问系统资源。

访问控制技术在各种应用中被广泛应用，如操作系统、数据库管理系统、网络安全等领域。

本文将介绍访问控制技术的基本原理、主要分类、研究进展和应用情况。

一、访问控制技术的基本原理1.身份识别和认证：确定用户或实体的身份，常用的身份验证方式有密码、指纹、虹膜等生物特征识别技术。

2.权限授权：根据用户或实体的身份和权限进行授权，确定其能够访问的资源，常用的权限授权策略有访问控制列表（ACL）、角色基于访问控制（RBAC）等。

3.安全策略：定义系统的安全策略，包括资源的保护级别、访问控制策略、访问审计等。

二、访问控制技术的主要分类根据实现方式和策略的不同，访问控制技术可以分为以下几类：1.逻辑访问控制：基于用户或实体的身份和权限来控制对系统资源的访问，常用的技术有身份认证、访问控制列表等。

2.物理访问控制：通过物理手段来限制对资源的访问，如门禁系统、安全门等。

3.操作系统级访问控制：主要包括基于角色的访问控制、强制访问控制（MAC）等技术，用于保护操作系统资源。

4.数据库访问控制：用于限制对数据库中数据的访问权限，常用的技术有基于角色的访问控制、行级访问控制等。

5.网络访问控制：主要包括防火墙、入侵检测系统等技术，用于保护网络资源免受未经授权的访问。

三、访问控制技术的研究进展1.基于属性访问控制（ABAC）：ABAC是一种新兴的访问控制模型，它通过基于属性的访问策略来控制对资源的访问，相比传统的基于身份和权限的访问控制更加灵活和精细。

2.基于机器学习的访问控制：利用机器学习技术来进行访问控制决策，通过分析大量的历史数据和行为模式来识别异常访问行为，提高对未知攻击的检测和预防能力。

3.云计算访问控制：由于云计算环境中的资源共享性和虚拟化特性，访问控制变得更加复杂和关键。

因此，研究人员提出了基于角色的云访问控制、多租户访问控制等技术，以应对云环境下的安全挑战。

网络安全中访问控制技术的研究

源。访问过程包括读取数据、更改数据、运行程序、发起访问用户身份的合法性做出认证．然后按照访问控制连接等操作。资源可以是能够以某种方式（读操作、策略所赋予用户的权限来决定是否允许或者限制用户如写操作或修改操作）对其进行操作的任何一个对象，也对客体资源的访问。主体授权权限的修改一般由特权系统安全管理员）者是特权用户组来完成。或可以是那些被迫执行的某种操作（如运行某个程序或用户（自主访问控制模型的实现方法通常是采用基于矩者发送一个消息）的对象。客户可能就是用户实体，服务器可能就是某种资源。之，问控制就是为了限制阵的行或列来表示自主访问控制的信息，从而达到对总访在矩阵中，对应系统中涉行访问主体（称之为发起者，某个主动的实体，或是如用主体访问权限限制的目的。列对我们常用的访问控制列户、进程、服务等等）对访问客体（需要受保护的资源）及的主体．应系统的客体。表（ｃｅｓ０ｔｌｉ，Ｃ）ＡｃｓＣｎｒｓＡＬ就是一种基于列的自主访ｏＬｔ的访问权限．从而使计算机系统可以在合法范围内使
为广泛的访问控制手段它是基于对主体及主体所属
防止未授权的用户非法访问受保护的资源．保证主体组的识别．来实现对客体访问进行限制的一种方合法用户可以正常访问信息资源．这是访问控制的基案．同时它还要校验主体对客体的访问请求是否符合

访问控制技术研究简介-资料

2019/10/17
访问控制技术研究简介
8
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
基于角色的访问控制（续）
RBAC时态约束模型
为满足用户－角色关系以及角色之间的关系的动态性要求，Bertino等人于2000年提出Temporal-RBAC模型。该模型支持角色的周期使能和角色激活的时序依赖关系
属性的易变性(mutable)和控制的连续性（continuity）是UCON 模型与其他访问控制模型的最大差别。
2019/10/17
访问控制技术研究简介
14
使用控制模型
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
UCON现有研究分类：
UCONABC核心模型授权策略语言、语法和框架安全性分析网格计算环境授权框架协作环境授权框架面向普适计算环境面向移动自组网面向网络服务面向数字版权管理多自治域环境授权
访问控制技术研究简介
9
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
基于任务的访问控制
(task-based access control,简称TBAC)
TBAC模型是一种基于任务、采用动态授权的主动安全模型。它从应用和企业的角度来解决安全问题。它采用面向任务的观点,从任务的角度来建立安全模型和实现安全机制,在任务处理的过程中提供实时的安全管理。 TBAC的基本思想：
现有的风险等级划分方法：
抽取风险因素授予风险因素权重简单累加得出风险等级
Jame BD 准备下一步将风险引入到访问控制中。
2019/10/17
访问控制技术研究简介
13

访问控制技术研究简介

2019/11/20
访问控制技术研究简介
20
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
访问控制技术应用环境
网格(grid)
目前常用的有3 种网格计算环境:Condor,Legion 和Globus。网格计算中的访问控制一般是通过身份证书和本地审计来
起源：20 世纪70 年代,当时是为了满足管理大型主机系统上共享数据授权访问的需要。
发展：访问控制作为系统安全的关键技术,既是一个古老的内容又面临着挑战。随着计算机技术和应用的发展,特别是网络应用的发展,这一技术的思想和方法迅速应用于信息系统的各个领域。对网络安全的研究成为当前的研究热点。
映射机制（主体映射，客体映射，角色映射，属性映射）
委托机制指定机制安全联盟机制信任管理机制等等
2019/11/20
访问控制技术研究简介
17
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
多自治域互操作访问控制技术
互操作代表性模型
IRBAC2000(角色映射，适用于具有可信任的控制中心环境)
DRBAC（角色委托，使用于动态结盟环境） Trust Management（信任管理）
2019/11/20
访问控制技术研究简介
18
华中科技大学计算机学院智能与分布式计算机实验室（IDC）
多自治域互操作访问控制技术
互操作研究分类：
1.构建跨域授权框架或体系结构
Purdue大学的Shafiq等人提出了一套集中式的建立多域互操作关系框架
它利用上读/下写来保证数据的完整性,利用下读/上写来保证数据的保密性。
MAC是由美国政府和军方联合研究出的一种控制技术, 目的是为了实现比DAC 更为严格的访问控制策略。

访问控制技术研究

企业技术开发２００８年２月随着网络应用的逐步深入，安全问题日益受到关注。

一个安全的网络需要可靠的访问控制服务作保证。

访问控制就是通过某种途径显式地准许或限制访问能力及范围的一种方法。

一个完整的访问控制系统一般应包括：主体，发出访问操作、存取要求的主动方，通常指用户或用户的进程。

客体，被调用的程序或欲存取的数据访问。

访问控制政策，一套规则，用于确定主体是否对客体拥有访问权限。

１常见的访问控制技术１．１自主访问控制技术（ＤＡＣ）ＤＡＣ是基于访问者身份或所属工作组来进行访问控制的一种手段。

访问自主是指具有某种访问权限的访问者可以向其他访问者传递该种访问许可（也许是非直接的）。

由于ＤＡＣ提供了灵活的访问控制方式，使得ＤＡＣ广泛应用在商业和工业环境中。

但ＤＡＣ也存在着不足：一是资源管理分散；二是用户间的关系不能在系统中体现出来，不易管理；三是不能对系统中信息流进行保护，信息容易泄漏，无法抵御特洛伊木马攻击。

１．２强制访问控制技术（ＭＡＣ）ＭＡＣ的主要特征是对所有主体及其所控制的客体实施强制访问控制。

为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。

系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。

用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止特洛伊木马的攻击；但ＭＡＣ存在应用的领域比较窄；完整性方面控制不够等问题。

由于ＭＡＣ通过分级的安全标签实现了信息的单向流通，因此它一直被军方采用。

１．３基于角色的访问控制技术（ＲＢＡＣ）ＲＢＡＣ的基本思想就是根据安全策略划分出不同的角色，资源访问许可被封装在角色中，用户被指派到角色，用户通过角色间接地访问资源。

ＲＢＡＣ模型（见图１）包含了５个基本的静态集合，即用户集、角色集、权限集（包括对象集和操作集），以及一个运行过程中动态维护的集合，即会话集，如图１所示。

访问控制技术研究李建华（国防科技大学计算机学院，湖南长沙４１００７３）摘要：访问控制作为一门重要的信息安全技术，对保障主机系统和应用系统的安全起到了重要作用。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

湖南大学硕士学位论文访问控制技术研究及应用姓名：尹绍锋申请学位级别：硕士专业：软件工程指导教师：杨贯中;杨志新20081001T f?硕I:学位论文摘要访问控制技术是构成信息安全体系不可缺少的重要组成部分。

随着信息化进程的深化，尤其是网络应用的迅速増加，信息系统的用户规模在不断膨胀。

传统的访问控制技术采用人工方式实现对访问控制体系运行期的维护。

当访问控制体系变得庞大时，这种维护方式错误率会增高、维护变得困难、运行成本也随着增长起来。

本文希望构建ー种能够适用于大用户数信息系统的访问控制体系，使之运行期的维护工作变得简化。

本文一方面对现有访问控制技术，尤其对基于角色访问控制技术，进行了学习、研究。

熟悉掌握了该领域中的各种概念，对比了各种技术在用户管理上的实现模式，分析这些模式对大用户量管理的支持。

同时，对访问控制体系的维护管理，尤其是运行期的用户管理与用户授权管理这两项工作进行了研究。

从多个角度分析运行期期的维护逻辑与业务逻辑之间的关系，发现在多数.管理信息系统中，用户的权限与业务体系中的信息有着一定的依存关系，提出可以依靠业务系统的信息来驱动访问控制体系的权限分配的思想。

基于此，作者提出了一种自适应的访问控制技术，在ー些应用范围内，该技术能够自动适应业务部分的变化，完成用户授权的控制，从而简化访问控制机制运行期的维护管理。

通过对基于角色访问控制模型的开放性及可扩展性的分析，以基于角色访问控制模型为基础，构建出自适应访问控制模型。

并从技术实现与开发成本等角度分析讨论了该访问控制技术的可行性。

最后，将自适应的访问控制技术在ー个高校人事管理系统中进行了应用。

该应用以人事业务为基础，对自适应模块进行了实现，使该系统具备了对用户及其权限进行自维护的能力，解决了人工管理可能存在的问题。

通过实际应用，一方面，通过实例验证了自适应访问控制技术实现的可行性，同时也明确了访问控制体系下ー步的研究方向。

关键词：信息安全；访问控制；维护；自适应AbstractAccess control technology takes a vital part in the safety of information system. With the popularization of the information system and especially the rapid increase or internet application, the size of users m access control system needed to be supervised is increasing fast. So to administrate the large number of users by the traditional pure man-managed way is more and more difficult. And this research is intended to find an&适应》问拧制技术的研究り/、V:用access control system which can be used by the information system with large number of users.The author first made a careful and deeply study of the existing access control systems. During the process, some certain kinds of representative access control technologies were consulted by the author to analyze the principles of achieving access control technology. The author mastered the orientation and effect of these definitions in access control system. The author believed that the rule of authority had lot to do with its applying situation, and this rule could be existed the applying situation of access control, fhe author found that there was a relationship of leading and concluding between the authority of users and statistic information in the operation system. So the author came up with the intellectualized access control technology based on these researches, which aimed to construct an intellectualized control model by introducing an intellectualized model in the role-based access control system. And this Auto-adapt Access Control technology and its possibility were discussed froe the angle of technology achievement and cost.At last, a set of Auto-adapt Access Control system was applied in the personnel management in an university. This was based on the personnel operation, and achieved the Auto-adapt model, to make the system can correctly assign the management of the users and their authority. And it solved the countless problems which were caused by man-managed administration. By the application of this system, the possibility, merits and demerits of the intellectualized access control system has been proved preliminarily on one hand, and it established the basis for the further research on the other hand.Key words: Information Security；Access Control；Maintenance；Auto-adaptT程硕丨:学位论文插图索引图 1.1 RB-RBAC图 (4)图2.1访问控制矩阵图 ...................................... :.. (7)图2.2 RBAC96模型四个子模型之间的关系图 (9)图2.3 RBAC96模型中RBAC3模型图 (10)图2.4 RBAC97模型图 (11)图3.1自适应访问控制模型图 (16)图3.2用户自适应管理模块图 (16)图3.3授权自适应管理模块图 (17)图3.4岗位与系统身份图 (18)图3.5访问控制体系维护示意图 (19)图3.6维护成本时间关系图 (21)图3.7自适应访问控制系统框架图 (22)图3.8基于人事业务的自适应访问控制管理流程示意图 (23)图3.9用户行为管理图 (23)图4.1人事管理信息系统业务功能模块简图 (26)图4.2系统用户继承关系图 (26)图4.3自适应访问控制子系統体系结构图 (29)图4.4人事管理信息系统体系结构图 (29)图4.5角色、许可管理类图 (32)图4.6用户管理类图 (34)图4.7用户角色与菜单示意图 (38)图4.8输入界面生成序列图 (38)图4.9用户登录序列图 (39)图4.10访问控制许可管理界面图 (40)图4.11身份管理界面图 (40)图4.12粒度管理界面图 (41)illf i适应访问柠制技术的研究リ应用附表索引表4.1许可表 (31)表4.2 #色表 (32)表4.3用户表 (33)表4.4职员基本信息表 (33)表4.5身份描ki表 (35)表4.6粒度描述表 (37)T g硕I:学位论文湖南大学学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。

除了文中特別加以标注引用的内容外，本论文不包含任何其它个人或集体已经发表或撰写的成果作品。

对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。

本人完全意识到本声明的法律后果由本人承担。

学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的規定，同意学校保留井向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。

本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。

本学位论文属于1、保密□，在_年解密后适用本授权书。

2、不保密口。

(请在以上相应方框内打“十’）円期：：^8：年/ム月/ n円期:ルパ/Wi，日T程硕丨.•学位论文第1章绪论1.1研究背景信息化不仅在科技、经济、社会等各个领域中强有力的支持者现代化建设进程，而且在人类物质文明和精神文件的整体上引导着世界发展m。

在信息化建设飞速发展的同时，信息化安全中的访问控制技术，随着信息系统规模的快速增长，也面临着严峻的考验，这些问题主要体现在人工维护存在处理速度慢、管理成本高、风险高，以及相关的信息管理人员缺乏。

现在的计算机系統得用户量随着网络应用推广在迅速增长[2]，其规模已经轻易突破千计，而且十万、百万用户量的系统也变得普遍起来，在这种用户量情况下，单靠人工来管理，完成用户的注册、维护以及用户的授权管理，简直是不可能的事情。