访问控制简介

最新推荐文章于 2024-03-22 11:48:34 发布
最新推荐文章于 2024-03-22 11:48:34 发布
阅读量728 收藏
点赞数

强制访问控制(Mandatory Access Control ,MAC)

用户无法更改访问控制规则,只有系统/超级用户可以更改访问控制规则。用户只能对某文件进行授权之内的操作。用户无法给其他用户授权,即使是文件所有者也不能。强制的意思是,对所有用户而言,上述规则必须遵守,无一例外。

例如:法律,一旦成文就必须遵守,任何人不能给其他人特赦,让其有违反法律的权限。(法制社会,皇权取消了。)

强制访问控制规则是基于主体和客体的属性或其他信息制定的。

自主访问控制(Discretionary Access Control, DAC):

实体的拥有者控制对该实体的访问。

如:我有一本书,我爱借给谁看就借给谁,我不想借出就不借,不需要向其他人请示。

当强制访问控制和自主访问控制结合使用时,强制访问控制首先作用,在强制访问控制下没有某文件权限的用户,不能对该文件进行相应的操作。连强制访问控制都没通过的请求,就没必要使用自主访问控制了。如果强制访问控制通过了请求,自主访问控制再起作用,两种控制都通过了,请求才被允许。

基于原创者的访问控制(Originator-Controlled Access-Control Model and DRM):

Originator-Controlled Access-Control(ORCON)——文件的创始人决定其他人对该文件的权限。

ORCON满足两个条件

假设某音乐o的ORCON是某机构X,机构X决定将o发售给机构Y下的客户用,则:

(1)机构Y下的客户在没有机构X的授权时,不能将音乐o卖给其他机构的客户。且

(2)音乐o的任何拷贝都受(1)保护。

实现:结合使用强制访问控制和自主访问控制。强制访问控制不让音乐o的任何拥有者/使用者更改o的权限要求,并且音乐o的所有拷贝都有一样的权限要求。自主访问控制,使得音乐o的创作者X能够改变o的权限要求。

实际上,ORCON在技术上很难实现。原因在于,典型的访问控制机制所针对的对象是实体(Entities),如文件、设备或其他对象;而ORCON访问控制的对象是实体entities上的信息(Informatica)。目前尚未有有效的实现机制

基于角色的访问控制(Role-Based Access-Control Models and Groups):

基于角色的访问控制(Role-Based Access Control, RBAC),为每个主体s赋予一个角色,并且每个主体在任何时刻只能有一个角色。

公理1. (授权规则/角色赋予规则)The rule of role authorization says that the active role of s must be in the set of authorized roles of s. 主体s的当前角色,必须是s能被赋予的角色之一。

否则,s可以是任何角色,也就可以肆意妄为。

令主体s能执行命令c时,断言***canexec(s, c)*** 的值为true。

公理2. (角色分配规则)The rule of role assignment says that if canexec(s, c) is true for any s and
any c, then s must have an active role. 主体s能够执行命令c,则s一定身处一个角色。

公理3. (授权处理规则)The rule of transaction authorization says that if canexec(s, c) is true,
then only those subjects with the same role as the active role of s may also execute
transaction. 每个角色都有对应的能执行的命令集合,且角色只能执行相应命令集合中的命令。

角色的包含关系(Containment of Roles):角色A能执行的命令集合为Com,角色B是角色A的上级,则身处角色B的主体s也能执行命令集合Com。并且,角色B可能还能执行其他命令。也就是说——角色B包含角色A(role B contains role A)。 另外,如果角色C包含角色B,则角色C也包含角色A。

职责划分(Separation of duty ):某工作/任务需要两个不同的角色共同完成,并且这两个角色是互斥的。令meauth® 是角色r的互斥角色集合,其中meauth® 和角色r的权限完全不同。

公理4. (职责划分)The rule of separation of duty says that if a role a is in the set meauth(b),
then no subject for which a is an authorized role may have b as another authorized role. 保证一项任务,需要两个不同的人完成,将一个任务划分成了互斥的两部分。

‘角色roles’类似于‘组group’,但两者不同:组是系统管理员自己划分的,没有严格的划分规则;角色是根据工作任务定义的,和完成工作任务所需的命令密切相关。也就是说,角色是一种分组,但分组更宽泛一些,和完成任务工作的命令没有太大的关系。

guanshanyue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web应用安全:访问控制简介.pptx
06-17
访问控制简介 访问控制简介 1、什么是访问控制 访问控制是给出一套方法,将系统中的所有功能标识出来,组织起来,托管起来,将所有的数据组织起来标识出来托管起来, 然后提供一个简单的唯一的接口,这个接口的一端...
《学习笔记》· 信息安全之访问控制技术(三)
qq_45902723的博客
04-02 1888
昨天一起了解了访问控制模型中的自主访问控制,今天专门用一章来学习强制访问控制(因为刷题的时候经常遇到)
数据库中的存取控制——自主存取控制&强制存取控制
热门推荐
pinkCoderMonkey的博客
04-12 1万+
自主存取控制(Discretionary Access Control 简称DAC): C2级(见表1-1) 用户对不同的数据对象有不同的存取权限。 不同的用户对同一对象也有不同的权限。 用户还可以将其拥有的存取权限转授给其他用户。 强制存取控制(Mandatory Access Control 简称 MAC): B1级 每一个数据库对象被标以一定的密级。 每一个用户被授予某一个级别的许可证...
访问控制
sparename的博客
10-09 8085
访问控制访问控制基础自主访问控制模型强制访问控制模型基于角色的访问控制模型特权管理基础设施 访问控制基础 ◆理解访问控制的概念、作用及访冋控制模型的概念 访问控制基础 ◆什么是访问控制 ◆为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权簒改和滥用 ◆访问控制作用 ◆保证用户在系统安全策略下正常工作 ◆拒绝非法用户的非授权访问请求 ◆拒绝合法用户越权的服务请求 ◆访问控制模型基本概念 ◆一个信息系统在进行安全设计和开发时,必须满足某一给定的安全策略,即有关管理、保护和发布敏
CISP——访问控制(自主访问控制和强制访问控制
honest_gg的博客
02-24 9645
访问控制基本概念 什么是访问控制 为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用 访问控制作用 保证用户在系统安全策略下正常工作 拒绝非法用户的非授权访问请求 拒绝合法用户越权的服务请求 访问控制模型: 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的 组成: 主体、客体、实施、决策 访问控制模型的分类 自主访问控制模型(DA...
访问控制
m0_50299484的博客
03-25 2366
访问控制基础知识 访问控制基本概念 (1)主体:主体是访问操作中的主动实体,包括所有能够发起访问操作的实体,如人、进程、设备等。主体是访问的发起者,并造成了信息的流动或者系统状态的改变。 (2)客体:客体是访问操作中的被动实体,是包含信息或接受信息的被动接受访问的资源,如文件、设备、信号量、网络节点等。客体在信息流动中是处于主体的作用之下的,对客体的访问意味着对其中所包含信息的访问。 (3)动作:动作是信息在主体和客体之间流动的交互方式,有的文献称为“访问模式”。常见的动作主要包括读、写、读/写和执行等。
基于角色的访问控制简介
06-12
大学时的PPT讲义,保存了一段时间。介绍得还是比较清楚的。
python魔法方法-属性访问控制详解
09-21
#### 一、属性访问控制简介 在Python中,可以通过点号操作符(`.`)来访问或修改对象的属性。然而,默认情况下,Python对于不存在的属性访问会抛出`AttributeError`异常。为了更好地控制这种行为,Python提供了一些...
Python Go的开源访问控制库Casbin
最新发布
07-22
### Python Go的开源访问控制库Casbin #### 一、简介与背景 Casbin是一款功能强大且高效的开源访问控制库,适用于多种编程语言环境,包括Go、Python等。该库旨在为不同类型的项目提供灵活而可靠的访问控制解决方案...
访问控制列表
07-14
### 访问控制列表知识点详解 #### 一、访问控制列表(ACL)概念与作用 访问控制列表(Access Control List,简称ACL),是网络设备上一种重要的安全策略工具,主要用于控制网络流量,实现数据包过滤的功能。通过设定...
软考-访问控制技术原理与应用
苍木念川的博客
10-19 1749
访问控制是计算机安全的一个重要组成部分,用于控制用户或程序如何使用系统资源。访问控制的目标是确保只有经过授权的用户或程序可以访问特定的资源,例如文件、文件夹、系统设置、网络服务和数据库等。访问控制由以下三个概念构成:主体:主体是指被授权或未经授权试图访问系统的用户、程序或进程。资源:资源是指需要被保护的系统资源,例如文件、数据、设备或服务等。访问控制规则:访问控制规则是指由系统管理员定义的规则,用于限制主体对资源的访问权限。
3.2 访问控制
draper-crypto的博客
07-09 2347
3.2 访问控制
【计算机系统和网络安全技术】第四章:访问控制
ymx520haha的博客
02-24 807
授予或拒绝下列特定要求的过程:1.获得并使用信息及相关信息处理服务2.进入特定物理设施实现依据安全策略对使用系统资源进行控制,且仅许可授权实体(用户,进程,程序等)依据该策略使用该系统资源。访问控制策略:自主访问控制DAC:基于请求者的身份和访问规则控制访问,规定请求者可以做什么强制访问控制MAC:通过比较具有安全许可的安全标志来控制访问基于角色的访问控制RBAC:基于用户在系统中所具有的角色和说明各种角色用户享有哪些访问权的规则来控制访问。
访问控制之DAC】简述Linux中的主动访问控制
刘元林的博客
03-20 1119
在计算机安全中,自主访问控制(英语:,缩写DAC)由《可信计算机系统评估准则》[1]所定义的访问控制中的一种类型。Linux 内核的也叫,用户身份问题和文件管理方式就是受控于这种机制。Linux 系统中的用户主要分为(系统管理员)和两种,并将他/她们划分到不同的中。而这两种用户是否能够访问系统中的某个文件则与该文件的rwx 权限属性有关。如果某个程序想要访问这个文件,Linux 内核会根据该程序的和与该文件UID和GID的进行对比来决定是否允许操作。
访问控制技术
顺其自然~专栏
03-07 2892
限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
访问控制知识 上篇(着重原始访问控制模型)
weixin_68177269的博客
08-08 1770
目的主体客体访问权限认证:考虑对合法用户进行验证控制策略实现:对控制策略的选用与管理,对非法用户或是越权操作进行管理审计:对非法用户或是越权操作进行追踪物理,网络(防火墙),操作系统,应用(如大型数据库的数据表的访问控制策略)..................
数据库系统访问控制面面观
KaiwuDB 数据库
03-22 1045
信息系统安全是保护信息系统中各类型数据资源免受未经授权的访问(包括查看、新增、修改、删除),确保数据完整性、保密性和可用性。在当下万物互联的发展背景下,信息安全尤其重要。访问控制作为信息安全的重要组成部分,既可对用户访问信息系统进行身份鉴别,又可细粒度控制用户对信息的访问权限。数据库作为信息系统的基础软件,承担着数据存储的责任,需要保证信息的完整性、保密性和可用性,就需要进行严格的访问控制。以下为部分内容节选,点击视频查看完整版内容。
Cisco视频监控与访问控制简介
这个演讲由Kent Breaux主讲,旨在介绍Cisco在视频监控和访问控制领域的解决方案。 首先,演讲强调了物理安全融合的重要性。在现代社会,随着技术的发展,传统的物理安全系统,如闭路电视(CCTV)和门禁控制,正在与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值