访问控制安全机制及相关模型(包括:强制访问控制和自主访问控制)
重点理解:强制访问控制模型
访问控制的两个重要过程
1.鉴别:检验主题的合法身份
2.授权:显示用户对资源的访问级别
访问控制分类:
强制访问控制
自助访问控制
强制访问控制(MAC):
用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。
1.主体 (用户, 进程) 被分配一个安全等级
2.客体 (文件, 数据) 也被分配一个安全等级
3.访问控制执行时对主体和客体的安全级别进行比较
BLP 保密模型基于两种规则来保障数据的机秘度与敏感度:
上读(NRU) , 主体不可读安全级别高于它的数据
下写(NWD) , 主体不可写安全级别低于它的数据