访问控制技术讲解
网络安全9-访问控制技术
访问控制三要素:
访问控制的最基本概念
访问控制系统要素之间的行为关系参见下图:
访问控制过程
访问控制由两个重要过程组成 1、通过认证来检验主体的合法身份; 2、通过授权(Authorization)来限制用户 对资源的访问级别。 在认证和授权后,访问控制机制将根据预先设 定的规则对用户访问的资源进行控制,只有规 则允许的资源才能访问。
基于角色的访问控制
第9章 第2节
9.2 入网认证
入网认证即入网访问控制。它为网络访问 提供了第一层访问控制 入网认证控制哪些用户能够登录到服务器 并获得网络资源,也控制准许用户入网的 时间和准许他们在哪台工作站入网 入网认证实质上就是对用户的身份进行认 证
第9章 第2节
9.2 入网认证
网络安全
刘敏贤 副教授
西南科技大学计算机科学与技术学院
第9章 访问控制技术
本章的主要内容是对入网访问控制、物理隔离、 自主访问控制和强制访问控制等技术的实现原 理进行了详细的论述,并介绍了一些新型访问 控制技术。
第9章 访问控制技术
9.1 访问控制技术概述 9.2 入网认证 9.3 物理隔离措施 9.4 自主访问控制 9.5 强制访问控制 9.6 新型访问控制技术
例:工行、建行(见备注)
身份认证技术方法
目前,计算机及网络系统中常用的身份认证方 式主要有以下几种:
4. USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种 方便、安全的身份认证技术。它采用软硬件相结合、一 次一密的强双因子认证模式,很好地解决了安全性与易 用性之间的矛盾。 USB Key内置单片机或智能卡芯片,可以存储用户的密 钥或数字证书,利用USB Key内置的密码算法实现对用 户身份的认证。 基于USB Key身份认证系统主要有两种应用模式:一是 基于冲击/响应的认证模式,二是基于PKI体系的认证模 式。
信息系统数据安全保护技术
信息系统数据安全保护技术信息系统数据安全是当今互联网时代面临的重要问题之一。
随着信息技术的迅猛发展和互联网的普及应用,各种类型的数据在网络中的传输和存储变得越来越频繁和庞大,因此对信息系统数据安全的保护显得尤为重要。
本文将介绍几种常见的信息系统数据安全保护技术。
一、访问控制技术访问控制技术是信息系统数据安全保护的一项基础技术。
通过访问控制技术,可以对坏意用户的操作进行限制,确保只有经过授权的用户才能访问和修改数据。
常见的访问控制技术包括密码验证、身份认证、角色权限管理等。
其中,密码验证是最常见的一种访问控制技术,用户通过输入正确的用户名和密码才能成功访问系统。
二、数据加密技术数据加密技术是信息系统数据保护的一种重要手段。
通过对敏感的数据进行加密,可以在数据传输和存储过程中有效地防止非法的窃取和篡改。
常见的数据加密技术有对称加密和非对称加密。
对称加密使用同一个密钥进行加解密,速度较快,适合大数据量的加密;非对称加密则使用公钥和私钥进行加解密,安全性更高,适合小数据量的加密。
三、防火墙技术防火墙技术是信息系统安全保护中的重要一环。
防火墙可以监控和过滤进出网络的数据流量,通过一定的规则判断是否允许传输,从而保护系统免受恶意攻击。
防火墙可以设置不同的安全策略和访问权限,根据不同的需求选择适当的方式进行防护,如包过滤、状态检测、网络地址转换等。
四、入侵检测与防范技术入侵检测与防范技术可以及时发现和防范系统中的安全威胁。
通过对系统的各类行为进行监测和分析,可以识别出可能存在的入侵行为,并及时采取相应的防范措施。
常见的入侵检测与防范技术包括网络入侵检测系统(IDS)、入侵预防系统(IPS)等,这些技术可以实时监测网络流量,分析判断是否存在异常行为,并采取相应的封堵措施。
五、数据备份与恢复技术数据备份与恢复技术是信息系统数据安全保护中不可或缺的一部分。
通过定期备份重要的数据并妥善存储,即使在系统发生故障或者受到攻击时,也能够通过数据恢复技术将数据迅速恢复到之前的状态。
协议中的访问控制与权限管理技术
协议中的访问控制与权限管理技术【正文】在现代社会中,随着信息技术的不断进步和发展,网络安全问题已经成为了一个备受关注的话题。
对于信息系统而言,协议中的访问控制与权限管理技术被广泛应用于确保数据的安全与保密性,并且在法律层面上起到了重要的作用。
本文将就协议中的访问控制与权限管理技术进行深入探讨,并分析其在实际应用中所面临的挑战。
一、访问控制技术在协议中的应用访问控制是指对于系统资源的使用进行控制和管理的过程。
在协议中,访问控制技术主要通过身份认证、授权和审计等手段来实现对用户权限的限制和管理。
1. 身份认证身份认证是指确定用户身份的过程。
在协议中,常见的身份认证方式有密码认证、指纹识别、智能卡认证等。
通过对用户进行身份验证,系统可以确保只有合法用户能够访问系统资源,从而有效地保护数据的安全性。
2. 授权控制授权控制是指根据用户的身份和权限进行资源操作的限制。
在协议中,授权控制通过访问权限列表或访问控制列表来限制用户对资源的访问。
只有被授权的用户才能够执行特定的操作,从而确保系统的安全性。
3. 审计控制审计控制是指对系统进行监控和记录的过程。
在协议中,审计控制通过记录用户的登录、操作日志等信息来监督用户的行为。
这不仅可以追踪用户的操作,发现潜在的安全问题,还能够提供证据以支持对于违规行为的调查和追责。
二、权限管理技术在协议中的应用权限管理是指根据用户身份和角色对资源的操作进行控制和管理的过程。
在协议中,权限管理技术主要通过角色定义和权限分配来实现对用户权限的管理。
1. 角色定义角色定义是指根据用户的职责和需求,将用户划分为不同的角色,并为每个角色分配特定的权限。
通过将用户的权限与角色相对应,可以更加方便地管理用户的权限,减少权限授权的复杂性。
2. 权限分配权限分配是指将角色与资源的访问权限进行关联的过程。
在协议中,权限分配可以通过权限矩阵、访问控制列表等方式来实现。
通过合理地分配权限,可以保证用户只能访问与其职责相符的资源,提高系统的安全性。
信息安全中的访问控制技术
信息安全中的访问控制技术信息安全是现代社会中一个非常重要的领域,随着信息技术的不断发展,人们对信息安全的需求越来越高。
在信息系统中,访问控制技术是一种重要的手段,用于保护系统中的敏感信息免受未经授权的访问。
本文将介绍几种常见的访问控制技术,包括身份验证、访问权限管理和审计跟踪。
1. 身份验证身份验证是访问控制的第一关口,它用于确认用户的身份。
常见的身份验证方式有密码验证、生物特征验证和令牌验证。
密码验证是最常用的身份验证方式之一,用户需要输入正确的用户名和密码才能访问系统。
为了增加密码的安全性,还可以要求用户使用复杂的密码,并定期更换密码。
生物特征验证则利用个体的生理特征或行为特征进行身份验证,比如指纹识别、虹膜识别和声纹识别等。
这些生物特征具有唯一性和不可伪造性,因此可以提供更高的安全性。
令牌验证是通过物理或虚拟的令牌实现的,用户需要携带令牌才能进行身份验证。
令牌可以是硬件设备,如智能卡或USB密钥,也可以是手机上的软件应用。
2. 访问权限管理一旦用户通过身份验证,访问权限管理就起到了关键作用。
它用于限制用户对系统资源的访问权限,确保用户只能访问其合法授权的资源。
访问权限管理可以通过不同的方式进行,如基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。
基于角色的访问控制是将用户分配到不同的角色,并为每个角色定义一组可访问资源的权限。
当用户身份发生变化时,只需修改其所属角色,而无需逐个更改其权限设置。
基于属性的访问控制则是根据用户的属性来决定其可以访问的资源。
例如,某些资源只允许在特定地理位置上的用户访问,或者用户必须在特定时间段内才能访问某些资源。
3. 审计跟踪审计跟踪是访问控制技术的另一个重要组成部分,它用于监控和记录用户对系统资源的访问行为。
通过审计跟踪,系统管理员可以追踪和分析用户的行为,及时发现异常活动,并采取相应的措施。
审计跟踪可以记录各种访问事件,如用户登录、访问文件、修改配置等。
访问控制技术研究及应用
访问控制技术研究及应用访问控制技术是计算机安全领域的一个重要研究方向,其主要目标是确保只有授权的用户或实体能够访问系统资源。
访问控制技术在各种应用中被广泛应用,如操作系统、数据库管理系统、网络安全等领域。
本文将介绍访问控制技术的基本原理、主要分类、研究进展和应用情况。
一、访问控制技术的基本原理1.身份识别和认证:确定用户或实体的身份,常用的身份验证方式有密码、指纹、虹膜等生物特征识别技术。
2.权限授权:根据用户或实体的身份和权限进行授权,确定其能够访问的资源,常用的权限授权策略有访问控制列表(ACL)、角色基于访问控制(RBAC)等。
3.安全策略:定义系统的安全策略,包括资源的保护级别、访问控制策略、访问审计等。
二、访问控制技术的主要分类根据实现方式和策略的不同,访问控制技术可以分为以下几类:1.逻辑访问控制:基于用户或实体的身份和权限来控制对系统资源的访问,常用的技术有身份认证、访问控制列表等。
2.物理访问控制:通过物理手段来限制对资源的访问,如门禁系统、安全门等。
3.操作系统级访问控制:主要包括基于角色的访问控制、强制访问控制(MAC)等技术,用于保护操作系统资源。
4.数据库访问控制:用于限制对数据库中数据的访问权限,常用的技术有基于角色的访问控制、行级访问控制等。
5.网络访问控制:主要包括防火墙、入侵检测系统等技术,用于保护网络资源免受未经授权的访问。
三、访问控制技术的研究进展1.基于属性访问控制(ABAC):ABAC是一种新兴的访问控制模型,它通过基于属性的访问策略来控制对资源的访问,相比传统的基于身份和权限的访问控制更加灵活和精细。
2.基于机器学习的访问控制:利用机器学习技术来进行访问控制决策,通过分析大量的历史数据和行为模式来识别异常访问行为,提高对未知攻击的检测和预防能力。
3.云计算访问控制:由于云计算环境中的资源共享性和虚拟化特性,访问控制变得更加复杂和关键。
因此,研究人员提出了基于角色的云访问控制、多租户访问控制等技术,以应对云环境下的安全挑战。
安全访问控制技术应用
安全访问控制技术应用安全访问控制技术在现代信息社会中起着至关重要的作用。
随着网络的发展和应用的普及,保护系统和数据的安全性成为人们关注的重点。
本文将深入探讨安全访问控制技术的应用,包括其定义、原理和常见的应用场景。
一、安全访问控制技术的定义及原理安全访问控制技术是指通过对资源的访问进行控制,确保只有授权的用户可以获得相应的权限来使用系统、数据或其他资源的技术手段。
它通过验证用户身份、控制权限的分配和监控用户访问行为来保护系统和数据的机密性、完整性和可用性。
安全访问控制技术的原理主要包括身份认证、授权和审计三个环节。
身份认证阶段通过验证用户的身份信息来确保其合法性,常见的身份认证方式包括密码验证、指纹识别和智能卡等。
授权阶段根据用户的身份和角色来分配相应的权限,以限制其对系统和数据的访问。
审计阶段通过监控和记录用户的访问行为,及时发现和阻止非法访问活动。
二、安全访问控制技术的应用场景1. 企业内部网络安全企业内部网络通常存储着大量的敏感信息和业务数据,因此需要对员工的访问进行严格控制。
安全访问控制技术可以确保只有经过授权的员工可以访问特定的数据和系统资源,并且可以根据不同的员工角色和级别设置不同的访问权限,进一步增强网络的安全性。
2. 云计算环境安全随着云计算技术的发展,越来越多的企业将数据和应用程序迁移到云平台上。
在这种情况下,安全访问控制技术能够帮助企业确保只有授权的用户可以访问云服务和数据,并且可以对用户的访问行为进行监控和审计,及时发现并阻止潜在的安全威胁。
3. 数据库安全数据库是企业重要的数据存储和管理平台,安全访问控制技术的应用可以防止未经授权的用户访问、修改或删除数据库中的数据。
通过身份认证和授权机制,数据库管理员可以确保只有具备相应权限的用户可以进行相关操作,并且可以对用户的访问行为进行记录和分析,提高数据库的安全性。
4. 物理设备访问控制安全访问控制技术不仅可以应用于网络和系统访问的控制,还可以应用于物理设备的访问控制。
访问控制技术讲义
本章内容
• 访问控制概述 • 常见的访问控制技术 • 授权与PMI • 安全审计
访问控制概述
访问控制基本概念 访问控制目标 访问控制与访问控制(Access Control)
防止对资源的未授权使用,包括防止以未授权方式使用 某一资源
非法用户的任何访问 合法用户的非法访问
主要解决面向机密性的访问控制
下读,主体安全级别高于客体时,允许读
上写,主体安全级别低于客体时,允许写
Objects
R/W W
W
W
TS(绝密级)
R R/W RR RR
Subject TS S s
W
W
R/W W
R
R/W
C
U
S(机密级 ) C(秘密级)
U(无密级)
Information Flow
3
0
强制访问控制(MAC)——BLP模型
访问控制概述
访问控制基本概念 访问控制目标 访问控制与身份认证 访问控制的实现机制
访问控制的实现机制
访问控制矩阵 访问能力表 访问控制列表
访问控制矩阵AM
最初实现访问控制机制的概念模型,以二维矩阵来 体现主体、客体和访问操作
访问控制可以很自然的表示成一个矩阵的形式
行表示主体(通常为用户) 列表示客体(各种资源) 行和列的交叉点表示某个主体对某个客体的访问权限(比如
3
6
强制访问控制(MAC)——BIBA模型
传统访问控制所存在的问题
同一用户在不同的场合需要以不同的权限访问系统,按 传统的做法,变更权限必须经系统管理员授权修改,因 此很不方便。
当用户量大量增加时,按每用户一个注册账号的方式将 使得系统管理变得复杂、工作量急剧增加,也容易出错。
访问控制技术
一、访问控制技术(一)主体、客体和访问授权访问控制涉及到三个基本概念,即主体、客体和访问授权。
主体:是一个主动的实体,它包括用户、用户组、终端、主机或一个应用,主体可以访问客体。
客体:是一个被动的实体,对客体的访问要受控。
它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存贮器、网络接点等。
授权访问:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的。
例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。
对用户的访问授权是由系统的安全策略决定的。
在—个访问控制系统中,区别主体与客体很重要。
首先由主体发起访问客体的操作,该操作根据系统的授权或被允许或被拒绝。
另外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成为了客体。
(二)访问控制策略访问控制通常有三种策略:自主访问控制( Discretionary Access Control );强制访问控制( Mandatory Access Control );基于角色的访问控制( Ro1e-Based Access Control )。
各种访问控制策略之间并不相互排斥,现存计算机系统中通常都是多种访问控制策略并存,系统管理员能够对安全策略进行配置使其达到安全政策的要求。
1、自主访问控制(DAC)自主访问控制,又称为随意访问控制,根据用户的身份及允许访问权限决定其访问操作,只要用户身份被确认后,即可根据访问控制表上赋予该用户的权限进行限制性用户访问。
使用这种控制方法,用户或应用可任意在系统中规定谁可以访问它们的资源,这样,用户或用户进程就可有选择地与其他用户共享资源。
它是一种对单独用户执行访问控制的过程和措施。
由于DAC对用户提供灵活和易行的数据访问方式,能够适用于许多的系统环境,所以DAC被大量采用、尤其在商业和工业环境的应用上。
然而,DAC提供的安全保护容易被非法用户绕过而获得访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第5章身份认证与访问控制技术教学目标●理解身份认证的概念及常用认证方式方法●了解数字签名的概念、功能、原理和过程●掌握访问控制的概念、原理、类型、机制和策略●理解安全审计的概念、类型、跟踪与实施●了解访问列表与Telnet访问控制实验5.1 身份认证技术概述5.1.1 身份认证的概念身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。
1. 身份认证的概念认证(Authentication)是指对主客体身份进行确认的过程。
身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。
2. 认证技术的类型认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。
从鉴别对象上,分为消息认证和用户身份认证两种。
(1)消息认证:用于保证信息的完整性和不可否认性。
(2)身份认证:鉴别用户身份。
包括识别和验证两部分。
识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。
从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证,5.1.2 常用的身份认证方式1. 静态密码方式静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。
2. 动态口令认证动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态短信密码和动态口令牌(卡)两种方式,口令一次一密。
图5-1动态口令牌3. USB Key认证采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式。
其身份认证系统主要有两种认证模式:基于冲击/响应模式和基于PKI体系的认证模式。
常用的网银USB Key如图5-2所示。
图5-2 网银USB Key4. 生物识别技术生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。
认证系统测量的生物特征一般是用户唯一生理特征或行为方式。
生物特征分为身体特征和行为特征两类。
5. CA认证国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。
用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。
发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。
表5-1 证书的类型与作用证书名称证书类型主要功能描述个人证书个人证书个人网上交易、网上支付、电子邮件等相关网络作业单位证书单位身份证书用于企事业单位网上交易、网上支付等Email证书用于企事业单位内安全电子邮件通信部门证书用于企事业单位内某个部门的身份认证服务器证书企业证书用于服务器、安全站点认证等代码签名证书个人证书用于个人软件开发者对其软件的签名企业证书用于软件开发企业对其软件的签名注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。
CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。
CA系统的主要功能是管理其辖域内的用户证书。
CA的主要职能体现在3个方面:(1)管理和维护客户的证书和证书作废表(CRL)。
(2)维护整个认证过程的安全。
(3)提供安全审计的依据。
5.1.3 身份认证系统概述1. 身份认证系统的构成身份认证系统的组成包括:认证服务器、认证系统客户端和认证设备。
系统主要通过身份认证协议和认证系统软硬件进行实现。
其中,身份认证协议又分为:单向认证协议和双向认证协议。
若通信双方只需一方鉴别另一方的身份,则称单项认证协议;如果双方都需要验证身份,则称双向认证协议。
如图5-3所示。
图5-3 认证系统网络结构图【案例5-1】AAA认证系统现阶段应用最广。
认证(Authentication)是验证用户身份与可使用网络服务的过程;授权(Authorization)是依据认证结果开放网络服务给用户的过程;审计(Accounting)是记录用户对各种网络服务的用量,并计费的过程。
2.常用认证系统及认证方法1)固定口令认证固定口令认证方式简单,易受攻击:(1)网络数据流窃听(Sniffer)。
(2)认证信息截取/重放。
(3)字典攻击。
(4)穷举尝试(Brute Force)。
(5)窥探密码。
(6)社会工程攻击。
(7)垃圾搜索。
2)一次性口令密码体制一次性口令认证系统组成:(1)生成不确定因子。
(2)生成一次性口令。
3)双因素安全令牌及认证系统(1)E-Securer的组成图5-4 E-Securer安全认证系统(2)E-Securer的安全性。
(3)双因素身份认证系统的技术特点与优势。
4)单点登入系统单点登入(Single Sign On,SSO)也称单次登入,是在多个应用系统中,用户只需要登入一次就可以访问所有相互信任的应用系统。
单点登入优势体现在5个方面:(1)管理简单。
(2)管理控制便捷。
(3)用户使用简捷。
(4)网络更安全。
(5)合并异构网络。
5)Infogo身份认证盈高科技INFOGO推出的安全身份认证准入控制系统。
其终端安全管理平台由MSAC 安全准入套件、ITAM资产管理套件、MSEP桌面套件(包括应用管理、补丁管理、终端运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理)和MSM移动存储介质管理套件组成。
课堂讨论1.什么是身份认证?身份认证技术有哪几种类型?2.常用的身份认证方式有哪些?并举例说明。
2.常用认证系统和认证方法有哪些?5.2数字签名概述5.2.1 数字签名的概念及功能1. 数字签名的概念及种类数字签名(Digital Signature)又称公钥数字签名或电子签章,是以电子形式存储于信息中或以附件或逻辑上与之有联系的数据,用于辨识数据签署人的身份,并表明签署人对数据中所包信息的认可。
基于公钥密码体制和私钥密码体制都可获得数字签名,目前主要是基于公钥密码体制的数字签名。
包括普通数字签名和特殊数字签名两种。
2. 数字签名的功能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
最终目的是实现6种安全保障功能:(1)必须可信。
(2)无法抵赖。
(3)不可伪造。
(4)不能重用。
(5)不许变更。
(6)处理快、应用广。
5.2.2 数字签名的原理及过程1.数字签名算法的组成数字签名算法主要有两部分组成:签名算法和验证算法。
签名者可使用一个秘密的签名算法签署一个数据文件,所得的签名可通过一个公开的验证算法进行验证。
常用数字签名主要是公钥加密(非对称加密)算法的典型应用。
2.数字签名基本原理及过程在网络环境中,数字签名可以代替现实中的“亲笔签字”。
整个数字签名的基本原理采用的是双加密方式,先将原文件用对称密钥加密后传输,并将其密钥用接收方公钥加密发给对方。
一套完整的数字签名通常定义签名和验证两种互补的运算。
单独的数字签名只是一加密过程,签名验证则是一个解密的过程。
基本原理及过程,如图5-5所示。
图5-5 数字签名原理及过程课堂讨论1.数字签名和现实中的签名有哪些区别和联系?2.数字签名的基本原理及过程怎样?5.3 访问控制技术概述5.3.1 访问控制的概念及原理1.访问控制的概念及要素访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。
通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。
访问控制包括三个要素:(1)主体S(Subject)。
是指提出访问资源具体请求。
(2)客体O(Object)。
是指被访问资源的实体。
(3)控制策略A(Attribution)。
2.访问控制的功能及原理访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制的内容包括认证、控制策略实现和安全审计,如图5-6所示。
图5-6 访问控制功能及原理5.3.2 访问控制的类型及机制访问控制可以分为两个层次:物理访问控制和逻辑访问控制。
1. 访问控制的类型访问控制类型有3种模式:1)自主访问控制自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。
包括在文件,文件夹和共享资源中设置许可。
图5-7 Linux系统中的自主访问控制2)强制访问控制强制访问控制(MAC)是系统强制主体服从访问控制策略。
是由系统对用户所创建的对象,按照规则控制用户权限及操作对象的访问。
主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。
MAC的安全级别常用的为4级:绝密级、秘密级、机密级和无级别级,其中T>S>C>U。
系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。
3)基于角色的访问控制角色(Role)是一定数量的权限的集合。
指完成一项任务必须访问的资源及相应操作权限的集合。
角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制(RBAC)是通过对角色的访问所进行的控制。
使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。
可极大地简化权限管理。
RBAC模型的授权管理方法,主要有3种:①根据任务需要定义具体不同的角色。
②为不同角色分配资源和操作权限。
③给一个用户组(Group,权限分配的单位与载体)指定一个角色。
RBAC支持三个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则。
2.访问控制机制访问控制机制是检测和防止系统未授权访问,并对保护资源所采取的各种措施。
是在文件系统中广泛应用的安全防护方法,一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯穿于系统全过程。
访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体间的访问权限。
主要采用以下2种方法。
1)访问控制列表访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。
2)能力关系表能力关系表(Capabilities List )是以用户为中心建立访问权限表。
与ACL 相反,表中规定了该用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。
相反,检索具有授权访问特定客体的所有主体,则需查遍所有主体的能力关系表。
3. 单点登入的访问管理根据登入的应用类型不同,可将SSO 分为3种类型。