网络访问控制技术综述
访问控制技术综述
2006年第28卷第4期第1页电气传动自动化ELECTRICDRIVEAUToMATIoNV01.28。
No.42006。
28(4):1~5文章编号:1005—7277(2006)04—000l—05访问控制技术综述鲍连承1,赵景波l,2(1.海军潜艇学院,山东青岛26607l;2.哈尔滨工程大学自动化学院,黑龙江哈尔滨150001)摘要:访问控制是一门重要的信息安全技术。
论文介绍了自主访问控制和强制访问控制的原理和特点,描述了基于角色的访问控制技术,分析了RBAC96模型、ARBAc97模型以及最近提出的NIsTRBAc建议标准的原理和特点。
关键词:自主访问控制;强制访问控制;基于角色的访问控制;角色管理中图分类号:TP393.08文献标识码:AAsurVeyonacce辎c帅troltechIlology—E≯AD—L妇n—c^P,191,Z且rAD-,抛—601’2(1.Ⅳ面ySH6m洲聊Ac础州,Qi增加266071,伪iM;2.A“幻mm如nco讹酽,日舶inE画船e^愕‰如邮蚵,日舶讥150001,吼im)Abstract:Accesscontrolisimportantinfo册ationsecuritytechnology.DiscretionarycontmlandmandatorycontIDlintroduced.Thetechnologyofmle—basedcontrolisdescribed.711leprinciplesandcharacteristicsofthemodelRBAC96andthemodelARBAC97weUthenewlypmposedNISTRBACstandardanalyzedindetail.Keywords:DAC;MAC;RBAC;mlemanagement1引言随着网络技术的发展和网上应用的日益增加,信息安全问题日益凸现。
目前,世界各国都深亥口认识到信息、计算机、网络对于国防的重要性,并且投入大量资金进行信息安全的研究和实践。
大数据安全研究综述
大数据安全研究综述随着大数据技术的日益发展,大数据安全问题也越来越受到人们的关注。
本文将对近年来大数据安全研究领域的相关工作进行综述。
一、大数据安全威胁大数据安全威胁包括以下几个方面:数据泄露、数据篡改、数据丢失、隐私泄露、身份伪装等。
1.数据泄露大数据中存储的数据是企业或个人的重要信息,一旦被泄露,将会造成严重的经济和社会损失。
2.数据篡改大数据中的数据量极大,由于数据来源和数据质量的不确定性,难以确定数据的真实性和完整性。
因此,黑客或攻击者可以通过篡改数据来达到各种目的。
3.数据丢失大数据的存储方式和传输方式非常复杂,不可避免地会出现数据丢失的情况,特别是在数据备份方面存在巨大的难度。
5.身份伪装攻击者可以通过伪装身份来获取机密信息,并且很难被发现。
因此,在大数据环境下,身份验证和访问控制显得非常重要。
二、大数据安全技术目前,针对大数据安全威胁,研究者们提出了一系列解决方案。
1.加密技术加密技术是目前最基本的安全技术,可以保证数据在传输过程中的隐私性和机密性。
在大数据存储和传输方面,加密技术可以通过数据加密、会话加密、磁盘加密等方式来实现。
2.访问控制技术访问控制技术是大数据安全技术中非常重要的一部分,可以帮助用户进行身份验证和权限控制。
目前,常见的访问控制技术包括基于角色的访问控制、基于身份的访问控制、基于属性的访问控制等。
3.数据备份和恢复技术数据备份和恢复技术是保证大数据可靠性和稳定性的关键技术,可以帮助用户尽快从数据丢失或硬件损坏等情况中恢复数据,并且保障数据的一致性。
4.数据脱敏技术数据脱敏技术可以避免敏感数据的泄露,主要包括数据加密、数据掩码、数据消毒等方法。
5.远程监控技术远程监控技术可以对大数据系统进行全面监控,及时捕捉安全漏洞和攻击行为,保障大数据的安全性。
6.智能安全威胁分析技术智能安全威胁分析技术可以通过对大数据进行深度分析和挖掘,发现安全威胁和异常行为,提高安全防护的能力。
WiFi技术文献综述
WiFi技术文献综述摘要:随着网络技术和手机用户对无线通讯的需求与日俱增,出现了越来越多的无线通讯协议,直接带动了全球WiFi设备呈现迅猛增长的态势,WiFi在互联网时代作为一种短距离无线传输的技术应用,以其独有的优势备受各界的关注。
在WiFi的发展中有许多技术用于提升WiFi性能以及解决传输中出现的影响WiFI性能的问题,这些问题在实际的WLAN场景下导致传输性能的下降。
本文通过阅读关于WiFi协议与技术文献,分析了一些解决WiFi 应用性能的技术,其中包括基于TDMA思想的h-MAC,RT-WiFi;对传统IEEE 802.11 DCF 优化的A-DCF以及基于通过控制滑动窗口大小来调控接入概率来弥补TCP在WiFi应用中公平性问题的EF-TCP。
然后着重研究与论述了基于竞争方式MAC层协议的核心实现机制和特点,最后基于这些特点对WiFi性能技术的研究策略和发展趋势进行了展望。
关键字:WiFi;无线局域网;h-MAC;RT-WiFi;A-DCF;EF-TCP1.引言近年来,无线网络迅速发展,在众多无线标准中,无线局域网因为其较低的构建和运营成本、较高的传输速率、较远的传输距离等优点获得了人们的青睐。
随着笔记本电脑、Wi-Fi 手机、PDA等移动终端的广泛使用,用户对无线接入的需求日渐突出。
目前,Wi-Fi以其灵活性和可移动性,在家庭和小型办公网络用户对移动连接的需求是越来越大。
在这几年,无线AP的数量呈迅猛的增长,无线网络的方便与高效使其能够得到迅速的普及。
除了在一些公共地方有AP之外,国外已经有先例以无线标准来建设城域网,因此,Wi-Fi的无线地位将会日益牢固。
美国、日本等发达国家是目前Wi-Fi用户最多的地区。
廉价的Wi-Fi,必将得到更加广泛的应用。
WiFi是由AP ( Access Point ) 和无线网卡组成的无线网络。
AP一般称为网络桥接器或接入点, 它是当作传统的有线局域网络与无线局域网络之间的桥梁, 因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源。
PLC文献综述
PLC文献综述PLC(可编程逻辑控制器)文献综述一、引言可编程逻辑控制器(PLC)是一种广泛应用于工业控制领域的设备,它集计算机技术、通信技术、控制技术和电子技术于一体,具有灵活性强、可靠性高、易于编程和维护等优点。
随着工业4.0和智能制造的快速发展,PLC在自动化生产线、机器人控制、过程控制等领域的应用越来越广泛。
本文将从PLC的定义、发展历程、研究现状和未来趋势等方面对其进行文献综述。
二、PLC的定义和发展历程PLC是一种数字运算操作的电子系统,专为工业环境下的应用而设计。
它采用可编程的存储器,用于在其内部存储执行逻辑运算、顺序控制、计时、计数和算术运算等操作的指令,并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。
PLC的发展历程可以追溯到20世纪60年代,当时美国汽车工业生产线上出现了一种名为“可编程序控制器”的设备,用于控制生产线的运行。
随着计算机技术和微电子技术的发展,PLC的功能不断增强,应用范围也越来越广泛。
目前,PLC 已经成为工业自动化领域的重要组成部分。
三、PLC的研究现状目前,PLC的研究主要集中在以下几个方面:1.PLC的硬件设计:PLC的硬件设计主要包括中央处理器(CPU)、存储器、输入输出模块等。
随着技术的发展,PLC的硬件设计越来越先进,例如采用多核CPU、高速存储器和大容量输入输出模块等,提高了PLC的处理速度和性能。
2.PLC的软件设计:PLC的软件设计主要包括编程语言、编程环境和应用程序等。
目前,PLC的编程语言主要有梯形图(Ladder Diagram)、指令表(Instruction List)、结构化文本(Structured Text)等,编程环境也越来越友好,例如采用图形化编程方式等。
此外,PLC的应用程序也不断丰富,例如实现运动控制、过程控制、网络通信等功能。
3.PLC的通信技术研究:随着工业自动化和信息化的融合,PLC的通信技术研究越来越重要。
物联网数据隐私保护技术综述
物联网数据隐私保护技术综述随着物联网的快速发展,大量的设备互联和数据交互使得个人隐私受到了越来越大的威胁。
物联网数据隐私保护技术的发展变得尤为重要。
本文综述了当前流行的物联网数据隐私保护技术,包括数据加密、访问控制、数据脱敏和去标识化等方面的技术。
1. 数据加密技术数据加密是最常用的保护隐私的技术手段之一。
它通过加密算法将数据转化为密文,只有具有相应密钥的用户才能解密获得原始数据。
对于物联网来说,数据在传输和存储过程中容易受到攻击,因此加密技术对于确保数据的保密性至关重要。
常见的加密算法包括对称加密算法和非对称加密算法。
2. 访问控制技术访问控制技术用于限制对敏感数据的访问权限,确保只有授权的用户或设备才能访问。
一种常见的访问控制技术是基于角色的访问控制(RBAC),通过将用户分配到不同的角色,然后为每个角色分配相应的访问权限。
另一种技术是基于属性的访问控制(ABAC),它基于用户的属性和环境条件来判断对数据的访问权限。
3. 数据脱敏技术数据脱敏技术用于对敏感数据进行处理,使得数据在不泄露敏感信息的前提下仍然具有一定的可用性。
常见的数据脱敏技术包括数据替换、数据隐藏和数据扰乱。
数据替换是将敏感数据替换为模拟数据;数据隐藏是将敏感数据隐去一部分信息;数据扰乱是打乱原始数据的顺序。
4. 去标识化技术去标识化技术是为了防止将个人数据与特定个体相联系,通常在数据发布或共享时使用。
去标识化技术可以通过删除或替换敏感信息来减少数据的个体识别能力。
常见的去标识化技术包括泛化、抽样和加噪声。
泛化是通过更广泛的表述来隐藏细节;抽样是将数据集中一部分数据删除或隐藏;加噪声是在数据中引入一定的噪声,使得原始数据不再具有准确性。
5. 匿名技术匿名技术是保护个人隐私的重要手段之一。
它可以通过隐藏或模糊关键识别信息来防止用户被个别识别。
常见的匿名技术包括k-匿名和d-匿名。
k-匿名是指将数据集中的每个记录与至少k-1个其他记录进行匿名化,使得攻击者无法确定特定的个体;d-匿名是对数据集中的属性进行一定程度的泛化或删除,以实现不可区分性。
大数据安全与隐私保护技术综述
大数据安全与隐私保护技术综述在当今数字化时代,大数据已成为各行各业的核心资源。
然而,大数据的快速增长和高度共享也带来了潜在的安全和隐私风险。
大数据的安全和隐私保护已成为一个备受关注的领域,需要不断演进和创新的技术来应对这些挑战。
本文将对大数据安全和隐私保护技术进行综述,介绍当前常用的技术和面临的挑战。
第一部分,我们首先来了解大数据安全技术。
为了保护大数据的安全性,常用的技术包括加密、访问控制和安全存储。
加密技术通过对数据进行加密和解密,使其只能被授权用户访问,从而保证数据的机密性。
访问控制技术采用不同的身份验证和授权方式,限制对数据的访问权限,确保数据的完整性和可靠性。
安全存储技术采用数据冗余和备份策略,防止数据遭受破坏或丢失。
第二部分,我们将重点介绍大数据隐私保护技术。
随着大数据的不断积累和共享,个人隐私信息暴露的风险也在增加。
为了保护个人隐私,在大数据中常采用的隐私保护技术包括数据匿名化、差分隐私和隐私保护算法。
数据匿名化通过对原始数据进行替换、泛化或扰动,使得个人敏感信息无法被识别出来。
差分隐私是一种更加严格的隐私保护方式,通过添加噪声或扰动来保护个体的隐私,并提供最大限度的数据实用性。
隐私保护算法利用密码学技术和数据挖掘方法,对敏感数据进行保护和处理,从而达到隐私保护的目的。
第三部分,我们将讨论大数据安全与隐私保护技术面临的挑战。
首先是数据规模和复杂性增加带来的挑战。
随着大数据规模的不断增加,传统的安全和隐私保护技术面临着效率和可扩展性上的挑战。
其次是隐私保护与数据可用性之间的平衡问题。
在保护隐私的同时,如何保持数据的可用性和可挖掘性成为一个难题。
此外,隐私保护技术本身也面临着攻击和破解的风险,技术的安全性需要不断地加强和提升。
最后,我们来看一些未来的发展趋势和展望。
随着技术的不断进步,大数据安全和隐私保护技术也在不断演化。
一方面,新的加密算法、安全存储技术和访问控制策略将被引入,以应对日益复杂的安全威胁。
基于属性的访问控制关键技术研究综述
制可保障数据仅能被拥有 相应权限的用户访问 , 得到 了广泛的研究. 其中, 基于属性 的访 问控制通过使 用属性作 为
访 问 控 制 的关 键 要 素 , 有 效 解 决 了具 有 大 规 模 、 强 动 态 性 及 强 隐 私 性 特 点 的 新 型 计 算 环 境 下 的 细 粒 度 访 问 控 制 问 题, 为 云计 算 、 物 联 网计 算 等 新 型 计 算 环 境 提 供 了 理 想 的访 问控 制 策 略. 该 文 将 基 于 属 性 的 访 问控 制 的 整 体 流 程 分 为 准 备 阶 段 和 执 行 阶段 , 并 对 两 阶 段 面 临 的关 键 问题 、 研 究现状 和发 展趋势进 行分析. 针对 其 中的实体属 性发现 、
FANG Li a n g ’ 。 ’ 。 ’ YI N Li — Hu a ’ ∞ GUO Yun — Chu a n ’ FANG Bi n — Xi ng ’
( S c h o o l o f C o mp u t e r S c i e n c e ,B e i j i n g U n i v e r s i t y o f Po s t s a n d T e l e c o mmu n i c a t i o n s , B e i j i n g 1 0 0 8 7 6 )
摘 要 云 计 算 、 物 联 网 等 新 型 计 算 模 式 为 我 们 提 供 了便 捷 的 数 据 共 享 、 高效计算 等服务 , 极 大 地 提 高 了 数 据 的处 理效率 , 提 升 了 计 算 和 存 储 资 源 的利 用 能 力 . 但 这 些 新 型 计 算 模 式 存 储 并 融 合 了大 量 具 有 “ 所有权” 特征 的数据 , 如 果 不 对 这 些 数 据 提 供 可靠 的 保 护 , 一 旦 泄 漏 就 会 给用 户 带 来 巨 大 的 损 失 . 作 为 数 据 保 护 的基 石 性 技 术 之 一 , 访 问 控
访问控制技术研究综述
1 访 问控制 一般原 理 在 访 问控 制 中 ,访 问 可 以对 一个 系 统或 在 一个
DA C模 型是 根据 自主访 问策 略 建立 的一种 模型 ,允
系 统 内部进 行 。在 访 问 控制 框 架 内主 要 涉及 请求 访
许 合 法用 户 以用 户或 用 户组 的身份 访 问策 略 规定 的 客 体 ,同 时阻止 非授 权用 户访 问客 体 。DA C模 型 的 主要 特点 是授 权 灵 活 ,系 统 中 的主体 可 以将 其拥 有
控 制模 型 、 当前 比较 流行 的基 于角 色的访 问控 制模 型和 基 于任 务 的 访 问 控 制模 型 ;另 外还 介 绍 了 目前 人 们
研 究 的其 他 几 种 访 问控 制 模 型 ;最后 ,指 出访 问控 制 技 术 的 发展 趋 势 。
关 键 词 : 访 问控 制 ;基 于 角 色的 访 问控 制 :基 于任 务 的访 问控 制
第 2 3卷 第 o 3期 21 年 O 01 3月
农 业 图书 情 报 学 刊 Ju l f ir yadIfr 6 nS i csi Agi l r o  ̄ ba n oma o ce e r ut e oL r n n n c u
—
Vo . 3 N o 0 1 , 2 .3
(irr, bi nt nvri , a ghn0 3 0 , hn) LbayHee U idU i sy T n sa 6 0 0C ia e e t
Abt c T i atceito u e ec nr le h oo yg n rl r cpe ea o ae eta io a o t l d lc mp rd sr t hs r l r d c dt o t c n lg e ea i il, lb rtdt dt n l nr a i n h o t p n h r i c o mo e, o ae
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络访问控制技术综述摘要:随着科学的不断进步,计算机技术在各个行业中的运用更加普遍。
在计算机技术运用过程中信息安全问题越发重要,网络访问控制技术是保证信息安全的常用方式。
本文介绍了研究网络访问控制技术的意义,主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。
关键字:信息安全网络访问控制技术0.引言近年来,计算机网络技术在全球范围内应用愈加广泛。
计算机网络技术正在深入地渗透到社会的各个领域,并深刻地影响着整个社会。
当今社会生活中,随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。
在商业、金融和国防等领域的网络应用中,安全问题必须有效得到解决,否则会影响整个网络的发展。
一般而言信息安全探讨的课题包括了:入侵检测(Intrusion Deteetion)、加密(Encryption)、认证(Authentieation)、访问控制(Aeeess Control)以及审核(Auditing)等等。
作为五大服务之一的访问控制服务,在网络安全体系的结构中具有不可替代的作用。
所谓访问控制(Access Control),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。
网络访问控制技术是通过对访问主体的身份进行限制,对访问的对象进行保护,并且通过技术限制,禁止访问对象受到入侵和破坏。
1.研究访问控制技术的意义全球互联网的建立以及信息技术飞快的发展,正式宣告了信息时代的到来。
信息网络依然成为信息时代信息传播的神经中枢,网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空,而且还包括看不见、摸不着的网络空间。
随着现代社会中交流的加强以及网络技术的发展,各个领域和部门间的协作日益增多。
资源共享和信息互访的过程逐越来越多,人们对信息资源的安全问题也越发担忧。
因此,如何保证网络中信息资源的安全共享与互相操作,已日益成为人们关注的重要问题。
信息要获得更大范围的传播才会更能体现出它的价值,而更多更高效的利用信息是信息时代的主要特征,谁掌握的信息资源更多,就能更好的做出更正确的判断。
是获得这些效果的更重要的前提是,信息是安全的,涉及到商业秘密或国家安全的重要信息会更加注重信息的安全性,否则宁愿牺牲信息的共享。
所以我们要找到更好的保证信息安全的方法。
访问控制是防止非法用户使用系统和合法用户越权使用系统的关键技术。
传统访问控制模型有自主访问控制 DAC(Discretionary AccessControl)、强制访问控制MAC(Mandatory Access Control)和基于角色的访问控制RBAC(Role-based Access Control)。
访问控制技术是保证信息安全的一项重要技术,发展的已经较为成熟,本文主要介绍当今主流的网络访问控制技术,为今后研究网络中信息传输的安全性进行铺垫。
2.访问控制技术研究现状简介访问控制技术最早产生于上个世纪 60 年代,发展到现在访问控制技术的研究和应用己经获得了很多成果,建立了目前使用最为广泛的自主访问控制(Discretionary Access Control, DAC)、强制访问控制(Mandatory Access Control,MAC)、基于角色的访问控制(Role Based Access Control,RBAC)的模型,而且自主访问控制技术和强制访问控制技术已得到了较为普遍的应用。
自主访问控制技术是一种在多用户环境下常用的访问控制技术,最早出现20世纪 70 年代的分时系统中,在目前流行的 UNIX 操作系统中也被普遍应用,允许被授权用户以用户或用户组的身份访问由访问控制策略规定的资源,同时禁止非法用户访问资源。
在传统的信息系统中,访问通常基于访问控制链表(Access Control List,ACL),ACL 与授权系统结合成为一个整体,在允许和拒绝对资源的访问中扮演关键的作用。
强制访问控制技术的主要应用场景是在军事领域中,它是在 DAC 的基础上,增加了对网络中资源安全属性的划分,规定不同属性下主体所拥有的访问权限。
MAC 是一种多级访问控制策略,系统事先给访问主体和受控资源分配不同的安全级别的属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,进而再决定访问主体能否访问该受控对象。
基于角色的访问控制技术的概念由 Ferraiolo 和 Kuhn 于 1992 年在美国国家标准技术局举办的计算机安全研讨会中通过一个名为“Role-Based Access Control”的论文中提出。
这是 RBAC 系列文献中的第一篇以 RBAC 命名的文章。
其后,美国乔治森大学的R.Sandhu 于 1996 年在 IEEE Computer 期刊上发表了 RBAC 的经典文献“Role-Based Access Control Models”,提出了 RBAC96 的著名模型,成为 RBAC 模型发展的基石。
更进一步于 1997 年提出了一种分布式 RBAC 管理模型 ARBAC97,实现了在 RBAC 模型上的分布式管理。
随后的 ARBAC99和 ARBAC02都进一步完善了 RBAC 的管理功能。
RBAC 的主要特点是分配一个所谓的角色给用户或用户组。
角色概念对应于系统中的岗位或者职位。
由于角色是访问控制策略的核心,这样极大地简化了安全管理,特别适用于大规模的网络应用。
但是目前基于 DAC、MAC 和 RBAC 的访问控制系统大都以专有的方式实现访问控制和授权,不同的系统都维护各自的单独的一套访问控制策略,部署不同的访问控制技术。
这样不仅需要付出高昂的成本来制定和维护这些策略,也不利于信息的交换和共享,且在一个系统中开发的访问控制系统在另一个系统中难以得到重用,更加难以实现本文中的多域跨网络的安全访问。
3.访问控制技术访问控制系统是一个安全的信息系统中是不可或缺的组成部分,访问控制的目的在于拒绝非法用户的访问并对合法用户的操作行为进行规范。
只有经授权的访问主体,才允许访问特定的系统资源。
它包括用户能做什么和系统程序根据用户的行为应该怎么做两层含义。
访问控制策略是一套限定如何使用受保护的资源的规则库。
系统会根据访问控制策略来判定用户对资源的使用是否是合法的。
从本质上讲,访问控制就是根据访问控制策略来限制用户对资源的访问的,使用户和资源之间有了一道“墙”,防止了用户对资源的无限制直接访问,任何用户对资源的访问都必须经过这道墙——访问控制系统,访问控制系统根据访问控制策略对访问者的访问请求进行仲裁,这样使得用户对资源采取的任何操作都会处于系统的监控范围内,从而保证系统资源的合法使用。
当一个用户对某个资源提出访问请求时,访问控制仲裁就会对用户的请求作出响应,由用户 ID 或可区别的身份特征到安全策略库中查询与该用户相对应的安全策略,如果找到的安全策略允许该用户对特定资源提出的访问请求,则反馈给用户的响应为允许,否则拒绝。
系统管理员可以根据用户的身份、职务等将各种权限通过配置安全策略数据库的形式授予不同的用户,这样就制定出适用于不同用户或资源的安全策略。
一个正常的访问控制系统主要包含三个要素:访问主体、访问客体、访问策略。
访问主体是指发出访问请求的发起者;访问客体是指被主体调用的程序或欲存取的数据,即必须进行控制的资源或目标;安全访问策略往往是指一套规则,被用来判定一个访问主体对所要访问的资源(客体)是否被允许。
其中访问主体与访问客体是相对的,当一个访问主体受到另一个访问主体的访问时,该主体便成为了访问客体。
3.1自主访问控制自主访问控制技术的内容是指主体能够对访问的权限进行自主设置。
也就是说,能够赋予其他主体访问权限,也可以对访问权限进行收回。
其执行的主体为单个。
这样的好处是可以通过矩阵来实现主体客体的排列,虽然不需要将整个矩阵来进行保存,但通过行列来进行访问控制,因此能够让访问的操作更加有效率。
而且,自主访问控制能够很直观地将访问客体呈现出来,而且更加迅速的查到所需查询的内容。
但同时也暴露出一定的弊端,就是这样的联系方式让整个系统的结构显得更加复杂繁琐。
大量的主体要进行访问的时候都需要进行权限的关联。
特别是在企业等比较复杂的网络结构中使用这项自主访问控制技术时,因为网络中的信息不仅量大而且关系复杂,网络覆盖整个企业的各个部门,因此管理员不仅要负责对主体的访问权限进行设置,也需要对信息进行管理和发布。
不仅需要花费大量的人力和物力,也对整个网络的安全性有一定程度的影响。
尤其这样的企业往往网络结构复杂,规模大,用户对网络的需求也各有不同,因此需要对这些方面进行注意。
而且,在访问权限的设置上还有一定的问题。
网络的所有信息都属于企业,但职员等所属的部门需要对这些信息进行访问,这就存在着怎样让部门的职员能够访问自己领域所需要的信息,但其他部门的信息并不对其进行公开。
这就需要管理员在对其进行网络访问授权的时候进行限定,这项工作不仅繁琐,也容易出错。
3.2强制访问控制强制访问控制是指主体按照系统事先的设置来进行访问。
强制访问控制所涉及的信息中,按照信息的保密度分了各种等级,用户则根据权限也有不同的签证。
签证能够决定用户对某一级别及其以下的等级信息进行访问,但不能够对级别以上的信息进行访问。
这种访问控制技术由于其自身的性质特点,多运用于军事系统中,但其明显的缺点在于,由于是按照等级制度进行访问,但在同级的信息没有能够得到明确的归类之分,因此,在同级间的访问没有限制。
3.3基于角色访问控制随着对访问控制服务质量的要求不断提高,以上两种访问控制技术已经很难满足这些要求。
DAC 将一部分授予或回收访问权限的权力留给了用户,这样使得管理员很难确定到底哪些用户对同一资源拥有权限,不利于实现统一的全局访问控制,并且很容易出现错误,也就更无法实现细粒度访问控制和动态权限扩展。
而 MAC 又过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性考虑不足。
二十世纪九十年代以来,随着信息系统规模的扩大,系统用户的增加,角色的概念逐步形成并逐步产生了在信息系统中以角色概念为中心的访问控制模型。
基于角色的访问控制是指用户获得的权限是由用户所在的用户组中的角色来确定的,当系统中的用户被赋予一个角色时,该用户就具有这个角色所具有的所有访问权限。
用户首先经认证后获得一个角色,该角色被分派了一定的权限,用户以特定角色访问系统资源,访问控制机制检查角色的权限,并决定是否允许访问。
RBAC 从控制主体的角度出发,由整个系统管理中相对比较稳定的职责对角色进行划分,将访问控制权限授予与否与角色用户联系,在这点上 MAC 和 DAC是将权限直接授予相对应的用户,这是基于角色与它们相区别的重要的一点。