密码学应用(二)
简介
访问控制技术:指防止对任何资源进行未授权的访问,从而使计算机在合法的范围内使用。
一般是指通过用户身份及其所属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。
访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
访问控制模型
访问控制模型:在为用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。保证用户在系统安全策略下正常工作,拒绝非法用户的非授权访问请求,拒绝合法用户越权的服务请求。
访问控制模型 | ||
---|---|---|
自主访问控制模型(DAC) | 访问控制列表(ACL) | |
权能列表(Capacity List) | ||
强制访问控制模型(MAC) | 保密性 | Bell-Lapudula模型 |
完整性 | Biba模型 | |
Clark-Wilson模型 | ||
Chinese Wall模型 | ||
基于角色访问控制模型(RBAC) | ||
基于属性访问控制模型(ABAC)(面向对象) |
自主访问控制模型
自主访问控制:是指用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
常用应用:Linux的文件权限,实现访问控制表/矩阵:
gatfacl FileName #获取文件控制访问列表
setfacl -m u:userName:7 FileName #设置用户在文件或目录控制访问列表
setfacl -m g:groupName:7 FileName #设置用户组在文件或目录控制访问列表
setfacl -x u:UserName FileName #删除某用户在某个目录或者文件上的访问列表
setfacl -x u:groupName FileName #删除某用户组在某个目录或者文件上的访问列表
setfacl -b FileName #取消对该文件上的所有ACL权限
DAC模型特点:
- 授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主题的访问控制信息,从而达到对主体访问权限的限制目的;
- ADL(访问控制表)是DAC中常用的一种安全机制,系统安全管理员通过维护ACL来控制用户访问有关数据。
DAC模型缺点:- 主题的权限太大,无意间就可能