第七章 访问控制技术原理与应用
1、访问控制概述
访问控制概念:是指对资源对象的访问者授权、控制的方法及运行机制。访问者又称为主体,资源对象又称为客体。
- 授权是访问者可以对资源对象进行访问的方式;
- 控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决定。
访问控制目标:防止非法用户进入系统;阻止合法用户对系统资源的非法使用。怎么实现:
- 首先要对网络用户进行有效的身份认证;
- 根据不同的用户授予不同的访问权限;
- 同时还可以进行系统的安全审计和监控。
2、访问控制模型
访问控制参考模型:访问控制机制由一组安全机制构成。组成要素有:
- 主体:操作的实施者
- 参考监视器:访问控制的决策单元和执行单元的集合体
- 客体:被操作的对象
- 访问控制数据库:记录主体访问客体的权限及其访问方式的信息,提供访问控制决策判读的依据,也称访问控制策略库
- 审计库:存储主体访问客体的操作信息,如访问成功、失败等
访问控制模型发展
- 自主访问控制模型
- 强制访问控制模型
- 基于角色的访问控制模型
- 基于使用的访问控制模型
- 基于地理位置的访问控制模型
- 基于属性的访问控制
- 基于行为的访问控制
- 基于时态
3、访问控制类型
自主访问控制(DAC)重要:是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权,实现方式有两大类:
基于行的自主访问控制:每个主体上都附加一个该主体可访问的客体的明细表
-
能力表:访问客体的钥匙,决定用户能否对客体进行访问以及具有何种访问模式(读r、写w、执行x)
-
前缀表:包括受保护客体名和主体对它的访问权限。当主体要访问某客体时,自主访问控制机制检查主体的前缀是否具有它所请求的访问权。
-
口令(密码):每个客体都相应的有一个口令。主体在对客体进行访问前,必须向系统提供该客体的口令。
-
user1:主体名
-
file1:文件名
-
整个框为能力表
基于列的自主访问控制:每个客体上都附加一个可访问它的主体明细表,有两种形式:
- 保护位:通过对所有主体、主体组以及客体的所拥有者知名一个访问模式集合,通常以比特位表示访问权限。
- 访问控制表:简称ACL,是在每个客体上都附加一个主体明细表,表示访问控制矩阵。
强制访问控制(MAC):根据主体和客体的安全属性,以强制方式控制主体对客体的访问。每个文件等客体都被赋予了相应的安全级别和范畴,当且仅当进程的安全级别不小于客体的安全级别,并且进程的范畴包含文件的范畴时,进程才能访问客体。
基于角色的访问控制(RBAC):通过分配和取消角色来完成用户权限的授予和取消。RBAC包括用户(U)、角色(R)、会话(S)和权限(P)四个基本要素。
整个访问控制过程分为:访问权限与角色相关联,角色再与用户相关联。
基于属性的访问控制(ABAC):根据主体的属性、客体的属性、环境的条件以及访问控制策略对主体的请求操作进行授权许可或拒绝。
4、访问控制策略设计与实现
访问控制策略:用于规定访问资源的权限、防止资源损失、泄密或非法使用。
一个访问控制策略:所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成。
访问控制规则:实际上就是访问约束条件集,是访问控制策略的具体实现和表现形式。
5、访问控制过程与安全管理
访问控制过程:访问控制的目的是保护系统的资产,防止非法用户进入系统及合法用户对系统资源的非法使用。
最小特权管理:特权是用户超越系统访问控制所拥有的权限。特权的管理应按最小化机制,防止特权误用。最小特权原则指系统中每一个主体只能拥有完成任务所必要的权限集。特权的分配原则是“按需使用”。
用户访问管理:为了防止系统的非授权使用,对系统中的用户权限应进行有效管理。主要工作:用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户。
口令安全管理:口令是当前大多数网络实施访问控制进行身份鉴别的重要依据。
6、访问控制主要产品与技术指标
访问控制是网络安全普遍采用的安全技术,其产品表现形式有独立系统形态、功能模块形态、专用设备形态
访问控制主要技术指标
- 产品支持访问控制策略规则类型
- 产品支持访问控制规则最大数量
- 产品访问控制规则检查速度
- 产品自身安全和质量保障级别
7、访问控制技术应用
网络访问控制应用参考:网络控制访问是通过一定技术手段实现网络资源操作 限制,使得用户只能访问所规定的资源
- 网络通信连接控制:只有当通信流符合访问控制规则时,才允许通信正常进行。
- 基于VLAN的网络隔离:将网络划分为若干个小的子网(网段),或者是外部网和内部网。
- Web服务访问控制应用参考:Web服务访问控制基本流程:
292
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
