密码学应用-访问控制

一.访问控制模型

  为用户对系统资源提供最大限度的共享的基础上，对用户的访问权限进行管理，防止对信息的非授权篡改和滥用。保证用户在系统安全策略下正常工作，拒绝非法用户的非授权访问请求，拒绝合法用户越权的服务请求

二.自主访问控制模型（DAC）

访问控制列表(ACL, Access Control List)，每一个客体都配有一个列表，这个列表记录了主体对客体进行何种操作。当系统试图访问客体时，先检查这个列表中是否有关于当前用户的访问权限。ACL是一种面向资源的访问控制模型，它的机制是围绕资源展开的。

自主访问控制是指用户有权对自身锁创建的访问对象进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户回收其访问权限。

特点：

授权的实施主体自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限的限制目的。

ACL是DAC中常用的一种安全机制，系统安全管理员通过维护ACL来控制用户访问有关数据。

缺点：

主体的权限太大，无意间就可能泄露信息

不能防备木马的攻击访问控制表

当用户数量多、管理数据量大时，ACL就会很庞大。不易维护。

三.BLP模型

BLP的安全特性：低安全级不可以向高安全级读，高安全级可以向低安全级读。

                            低安全级可以向高安全级写，高安全级不可以向低安全级写。

四.BIBA模型

Biba的安全特性：低安全级不可以向高安全级写，高安全级可以向低安全级写。

                             低安全级可以向高安全级读，高安全级不可以向低安全级读。

五.Chinese Wall 中国长城模型

概念：若干有竞争关系数据集构成了利益冲突类，同一个域里面的不同角色不能赋予相同的权限

六.基于角色的访问控制(RBAC)模型

      内置多个角色，将权限与角色进行关联，用户必须成为某个角色才能获取权限，根据用户所担任的角色来决定用户在系统中的访问权限。