访问控制模型(ACL BLP BiBA Clark-Wilson Chinese-wall RBAC ABAC)

最新推荐文章于 2024-04-29 18:02:53 发布
最新推荐文章于 2024-04-29 18:02:53 发布
阅读量7.2k 收藏 26
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Duncelhy/article/details/107212613
版权

自主访问控制模型(DAC)

  • 自主访问控制是指用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。

ACL权限命令列表

getfacl 文件名							#获取文件控制访问列表
setfacl -m u:用户名:7 文件名				#设置用户对文件或目录的控制访问权限
setfacl -m g:组名:7 文件名				#设置组对文件或目录的控制访问权限	
setfacl -x u:用户名 文件名				#删除该用户对此文件的控制权
setfacl -x g:组名 文件名					#删除该组对此文件的控制权
setfacl -m u:用户名:r-- 文件名			#修改该用户对文件的控制权
setfacl -m g:组名:r-- 文件名				#修改该组对文件的控制权
setfacl -b 文件名						#清除该文件下的所有ACL权限

特点:

  • 授权的实施主体自主负责赋予和回收其他主体对客体的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。
  • ACL(访问控制列表)是DAC中常用的一种安全机制,系统安全管理员通过维护ACL来控制用户访问有关数据。

缺点

  • 主体的权限太大,无意间就可能泄露信息。
  • 不能防备特洛伊木马的攻击访问控制表。
  • 当用户数量多、管理数据量大时,ACL就会很庞大,不易维护。

强制访问控制模型

主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。是
一种强加给访问主体的规则。

BLP模型

含义

  • 于1973年被提出,是一种模拟军事安全策略的计算机访问控制模型,它是最早也是最常用的一种多级访问控制模型,主要用于保证系统信息的机密性,是第一个严格形式化的安全模型。

BLP模型的安全策略包括了自主安全策略和强制安全策略:

  • 自主安全策略使用一个访问控制矩阵表示,矩阵中的元素表示主体对客体所有允许的访问模式,主体按照在访问矩阵中被授予的对客体的访问权限对客体进行相应的访问;
  • 强制安全策略对每个主体和客体都定义了安全级,安全级由密级和范畴构成。安全级之间存在支配关系(密级高于或等于、范畴包含)

在这里插入图片描述
BLP安全特性:

低安全级不可以向高安全级读,高安全级可以向低安全级读
低安全级可以向高安全级写,高安全级不可以向低安全级写
同范畴内可以读写,不同范畴不可以读写

Biba模型
含义

  • 1977年由Biba提出,多级访问控制模型,保护数据的完整性。为每一个主体和客体都分配了完整级。

安全完整特性:

  • 当访问者安全级高于被访问者时,访问者可以向被访问者写入信息,但不可以读取被访问者信息;
  • 当访问者的安全级低于被访问者时,访问者可以读取访问者信息,但不可以写入信息

在这里插入图片描述

“写”和“执行”操作
① 当且仅当i(O) ≤ i(S),主体S可以写客体O。
② 当且仅当i(S2) ≤ i(S1),主体S1可以执行S2。

Clark-Wilson模型概念

  • 于1987年为了确保商业数据完整性的访问控制模型,侧重于满足商业应用的安全需求。每次操作前和操作后,数据都必须满足这个一致性条件。

Chinese-wall模型

  • 若干有竞争关系数据集构成了利益冲突,该模型常用于域权限隔离;
  • 利益冲突是一种不正当的商业竞争行为,经常出现在咨询业等商业领域中,通过内幕信息交易的方式造成巨大的商业损失,用户对不可公开信息进行访问而导致了利益冲突问题的行为,Chinese Wall安全模型策略有效地避免商业利益冲突产生.该模型主要特点是能追溯用户的历史访问记录,决定该用户对信息的访问权限,从而达到保护商业信息的目的,这也是其它安全模型策略所不具备的;
  • 同一个域里面的不同角色不能赋予相同的权限;

基于角色的访问控制模型

RBAC模型

  • 系统内置多个角色,将权限与角色进行关联,用户必须成为某个角色才能获得权限,根据用户所担任的角色来决定用户在系统的访问权限;
  • 一个用户不分配多个角色,可以分配多个账号
  • RBAC支持三个著名的安全原则:最小权限原则;责任分离原则;数据抽象原则

在这里插入图片描述
基于属性的访问控制(ABAC)模型

  • 传统的RBAC与ACL等访问控制机制中,可以认为时ABAC的子集,对于RBAC,只是我们的访问机制的实现只是基于属性role而已,而ACL则时基于属性时identity的AC。ABAC就以面向对象的思想来进行更精细的访问控制,匹配复杂的业务场景;

  • 对象(Subject)
    指操作所针对的客体对象,比如订单数据或图片文件。

  • 权限控制表 (ACL: Access Control List)
    用来描述权限规则或用户和权限之间关系的数据表。

  • 权限 (Permission)
    用来指代对某种对象的某一种操作,例如“添加文章的操作”。

  • 权限标识 权限的代号,例如用“ARTICLE_ADD”来指代“添加文章的操作”权限。

Duncelhy
关注
  • 8
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
论文研究-一种虚拟机访问控制安全模型.pdf
07-22
结合Chinese WallBLP模型,提出了一种适合于虚拟机的访问控制安全模型VBAC,在PCW安全模型的基础上,引入了BLP多级安全模型,并对BLP进行了相应改进,该模型可对虚拟机内部资源使用、共享以及事件行为进行安全控制...
Clark-Wilson 安全模型的基本原理
weixin_35749796的博客
12-17 1621
Clark-Wilson 安全模型是一种用于保证数据完整性和一致性的安全模型。它是由 David L. Clark 和 David R. Wilson 在 1987 年提出的。 Clark-Wilson 模型基于两个基本概念: 执行单元 (execution unit):执行单元是指在系统中执行业务流程的程序。执行单元可以是人或者是自动化系统。 数据单元 (data unit):数据单元是指系...
NISP二级7.3 强制访问控制模型
Charon_____ajsh的博客
11-29 1633
主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。
系统架构设计高级技能 · 安全架构设计理论与实践_系统架构安全设计要求
最新发布
2401_84301948的博客
04-29 540
(7) 假冒 :通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。(8) 旁路控制 :攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”。利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。(9) 授权侵犯 :被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。(10) 特洛伊木马 :软
Clark-Wilson安全模型Biba安全模型说明正确的是() 都是完整性安全模型,本质上是相同的 都是完整性安全模型,其完整性的内涵有差异 都是形式化描述的安全模型 都是基于格设计的安全模型
weixin_35750483的博客
12-16 293
Clark-Wilson安全模型Biba安全模型都是完整性安全模型,但它们是有区别的。 Clark-Wilson安全模型是一种形式化的完整性安全模型,它旨在保护数据的完整性和一致性。它通过定义数据的“内在性”和“外在性”来描述数据的状态,并通过规定特定类型的操作(称为经过认证的操作)来保护数据的完整性。 Biba安全模型是一种基于格的完整性安全模型,它的目的是防止恶意程序或攻击者破坏系统的完整性...
《学习笔记》· 信息安全访问控制技术(三)
qq_45902723的博客
04-02 1842
昨天一起了解了访问控制模型中的自主访问控制,今天专门用一章来学习强制访问控制(因为刷题的时候经常遇到)
简单理解安全模型
5L2g556F5ZWl77yf
03-10 5192
文章目录Bell-LaPadula 模型Biba 模型Chinese Wall 模型Clark-Wilson模型摘要 Bell-LaPadula 模型 主要功能:首重机密性,防止以未经授权的方式访问秘密资讯。 安全策略的第一个数学模型,用于定义安全状态和访问模式的概念。 优点:    1.是一种严格的形式化描述;    2.控制信息只能由低向高流动,能满足军事部门等一类对数据保密性要求特别高的机构的需求。 缺点: 1.上级对下级发文受到限制;    2.部门之间信息的横向流动被禁止; 3.缺乏灵活、安全的授
论文研究-一种使用RBAC模拟实施BLP的方法.pdf
07-22
给出了使用RBAC96模型模拟实施BLP模型的方法,包含实施BLP模型安全标记、简单安全属性、自由*属性和严格*属性以及针对可信主体定义的可信范围的方法。
基于BLP_BIBA混合的云计算数据中心安全访问控制模型.pdf
07-21
基于BLP_BIBA混合的云计算数据中心安全访问控制模型.pdf
论文研究-两种模型结合使用的研究与性能分析.pdf
07-22
基于Bell-Lapadula模型Clark_ Wilson模型,提出了一种混合使用这两种模型的方法,并对这两种模型混合使用的实用性进行了讨论。
BLP8G21S-160PV.pdf
07-21
BLP8G21S-160PV.pdf
计算机三级信息安全技术知识点总结(6)
weixin_50956890的博客
10-19 1720
RBAC、访问矩阵模型都不属于强制访问控制模型。 强制访问控制模型有:Bell-Lapudula模型BLP模型)、Biba模型Clark-Wilson模型Chinese Wall模型。 同时具有强制访问控制和自主访问控制属性的访问控制模型是:Chinese WallChinese Wall模型也属于混合策略模型Chinese Wall模型应用在多边安全系统中的安全模型。 典型的PKI系统包括CA(证书机构)、RA(注册机构)、LDAP。 PKI是创建、管理、存储、分布和作废数字证书的一
【计算机三级信息安全访问控制模型
开心星人的博客
07-23 5301
在计算机系统中,认证、访问控制(AccessControl)和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线,访问控制是在鉴别用户的合法身份后,控制用户对数据信息的访问,它是通过引用监控器实施这种访问控制的。访问控制是在身份认证的基础上,根据身份对提出的资源访问请求加以控制,是针对越权使用资源的现象进行防御的措施。访问控制是网络安全防范和保护的主要策略,它可以限制对关键资源的访问,防止非法用户或合法用户的不慎操作所造成的破坏。目的主体是访问客体的主动实体;客体是被访问的被动实体。.....
访问控制模型总结(DAC MAC RBAC ABAC)
ch1982802500ch的博客
10-26 7403
访问控制模型 在项目中需要加入访问空值,于是对访问控制模型多了一些调研,介绍一些常见的访问控制模型. 访问控制模型三要素 主体(Subject) 指主动对其它实体施加动作的实体 客体 (Object) 是被动接受其他实体访问的实体 控制策略 (Policy) 为主体对客体的操作行为和约束条件 自主访问控制模型(DAC) 概念 自主访问控制模型(DAC,Discretionary Access Control)是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定
系统架构设计师-信息安全技术(2)
张瑞东的博客
08-18 1979
系统架构设计师-信息安全技术(2)
访问控制模型--自主访问控制模型(基础篇)
weixin_44535758的博客
11-30 3890
一、访问控制三要素:主体、客体、访问控制策略主体(Subject) 指主动对其它实体施加动作的实体客体 (Object) 是被动接受其他实体访问的实体控制策略 (Policy) 为主体对客体的操作行为和约束条件。
网络安全基础之访问控制模型详解——DAC, MAC, RBAC
Demonslzh的博客
01-04 4208
随着数据泄露事件的频繁发生和网络攻击的日益复杂化,确保敏感数据和关键资源的安全变得越来越重要。在众多网络安全措施中,访问控制模型扮演着至关重要的角色。为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。
CISP——访问控制(自主访问控制和强制访问控制
honest_gg的博客
02-24 9587
访问控制基本概念 什么是访问控制 为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用 访问控制作用 保证用户在系统安全策略下正常工作 拒绝非法用户的非授权访问请求 拒绝合法用户越权的服务请求 访问控制模型: 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的 组成: 主体、客体、实施、决策 访问控制模型的分类 自主访问控制模型(DA...
角色的访问控制机制
qq_61141142的博客
10-21 296
访问控制——或者广义的称其为授权——作为概念,在人类有了保护自己的财产的意识时就已经存在。守卫、门和锁在远古时期就已经用作保护个人的财物不受他人侵犯。对访问控制的需求在很大程度上促进了被认为是世界上首个安全处理系统的诞生。在1879年,美国俄亥俄州代顿市一个名为James Ritty的酒馆老板设计出“清廉的出纳员”,即随后广为人知的现金出纳机。通过在顾客的完全注视下录入出售量,这样一项交易就被记入现金记录机,而且只有在此时店员才被允许使用存储现金的抽屉,Ritty的发明减轻了店员偷窃这个普遍存在的难题。通过
RBAC 角色控制模型BLP 模型及用途,Biba 模型及用途;
04-23
RBAC(Role-Based Access Control)角色控制模型是一种访问控制方法,它将实体的权限授予角色,而不是直接授予实体。角色可以从基于上下文的策略或基于任务的策略中继承权限,这样更容易管理和维护。BLP(Bell-LaPadula)模型Biba模型安全策略模型,它们用于控制对资源的访问。BLP模型基于机密性,旨在保护高安全级别对象和信息免受低安全级别实体的读取和更改。而Biba模型则基于完整性,旨在保护高完整性级别对象和信息免受低完整性级别实体的更改和污染。这些模型安全领域被广泛应用,以确保系统的安全性和保护机密性、完整性、可用性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值