访问控制技术

最新推荐文章于 2024-01-04 01:00:43 发布
最新推荐文章于 2024-01-04 01:00:43 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 计算机安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40843499/article/details/117825589
版权

学习大数据安全的过程中发现该部分内容,恰与操作系统中的访问控制技术存在关联,于是统而归结于此。

Access Control中的基本术语:

主体:发起对资源的访问请求的主动实体,一般为系统的用户或进程
客体:能够被操作的实体,一般为各类资源及数据资源
操作:主体对客体的读、写等动作
访问权限:客体及对其的操作形成的二元组<操作,客体>
访问控制:确保数据等资源只能由经过授权的用户访问、使用和修改
访问控制策略:对系统中主体访问客体的约束需求描述
访问控制模型:对访问控制策略的抽象、简化和规范

访问授权:访问控制系统按照访问控制策略进行访问权限的授予
引用监控机:系统中监控主体和客体之间授权访问关系的部件

传统访问控制技术

自主访问控制

客体的属主决定主体对客体的访问权限。
自主访问控制模型可以表达为(S,O,A)三元组。其中,Subject表示主体集合,Object表示客体集合,Access matrix表示访问矩阵,A(si, oj)表示主体si能够对客体oj执行的操作权限。

在这里插入图片描述

能力表(CL)

基于主体的自主访问控制实现,记录每个主体和一个权限集合的对应关系,权限集合中每个权限被表示为客体以及其上允许的操作集合的二元组。

访问控制列表(ACL)

基于客体的自主访问控制实现,记录每个客体和一个权限集合的对应关系,权限集合中每个权限被表示为主体以及其能够进行的操作集合的二元组。

大数据环境下,自主访问控制模型面临着管理复杂度爆炸的问题。

强制访问控制

由安全管理员决定资源的访问控制策略,主体和客体之间满足偏序性质的安全标记形成支配关系从而进行访问控制。

基于机密性的BLP模型

安全级别(level)
范畴(category)
安全标记(label)
支配关系(dom)

BLP模型的核心规则为“不上读,不下写”,从而保证数据只能从低级别向高级别流动。
主体对客体的访问行为需要满足下列两条安全属性:

  1. 简单安全属性:
    主体 S S S可以读客体 O O O,当且仅当 L a b e l s   d o m   L a b e l o Label_{s}\ dom\ Label_{o} Labels dom Labelo,且 S S S O O O有自主型读权限。
  2. *安全属性:
    主体 S S S可以写客体 O O O,当且仅当 L a b e l o   d o m   L a b e l s Label_{o}\ dom\ Label_{s} Labelo dom Labels,且 S S S O O O有自主型写权限。
基于完整性的BIBA模型

完整性级别(level)
范畴(category)
安全标记(label)
支配关系(dom)

主体对客体的访问行为需满足下列三条安全属性:

  1. 完整性特性:
    主体 S S S能够写入客体 O O O,当且仅当 L a b e l s   d o m   L a b l e o Label_{s}\ dom\ Lable_{o} Labels dom Lableo
  2. 调用特性:
    主体 S 1 S_{1} S1能够调用主体 S 2 S_{2} S2,当且仅当 L a b e l s 1   d o m   L a b e l s 2 Label_{s_{1}}\ dom\ Label_{s_{2}} Labels1 dom Labels2
  3. 简单完整性条件:
    主体 S S S能够读取客体 O O O,当且仅当 L a b e l o   d o m   L a b e l s Label_{o}\ dom\ Label_{s} Labelo dom Labels

大数据场景下,安全标记的定义和管理将变得极为复杂,主客体规模也呈爆炸式增长。

基于角色的访问控制:RBAC(Role based access control)

基于密码学的访问控制技术

分类如下:

  1. 基于密钥管理的访问控制技术可以分为下列两种:
      - 基于单发送者广播加密的访问控制(广播发送者必须持有所有接收者的对称密钥)
      - 基于公钥广播加密的访问控制技术(广播发送者必须持有所有接收者的公钥)

  2. 基于属性加密的访问控制技术

下文简单介绍基于单发送者广播加密的访问控制技术:

基于密钥管理的访问控制技术,是通过严格的密钥管理来确保授权用户才有解密数据所需的密钥以实现访问控制。

技术方案的要点在于:如何通过密钥的管理实现向特定用户授予数据访问权

基于用户密钥树
数据所有者:拥有数据和完整的用户密钥树,负责根据数据分享的目标对象有选择地从用户密钥树中选取加密密钥对数据进行加密,并将加密结果广播给所有用户。
普通用户:拥有用户密钥树中与自己相关的部分密钥,负责接收数据密文并使用自己持有的密钥解密数据。

就密钥集合而言,在任意一条叶子节点到根节点的路径上,都不可能遇到其中的两把密钥!

平原上的维克多
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AS-400 CL编程汇总
01-06
目录 第一章 介绍 1.1 控制语言 1.2 CL过程 1.3 命令定义 1.4 菜单 1.5 目标和库 1.6 信息 1.7 测试功能 第二章 CL程序设计 2.1 生成一个CL程序 2.2 CL过程中使用的命令 2.3 使用CL过程 2.4 处理变量 2.5 CL过程中的控制处理 2.6 可做变量的值 2.7 处理CL过程 2.8 编译以前版本的源程序 第三章 控制程序和过程间的流程通讯 3.1 CALL命令 3.2 CALL PRC命令 3.3 RETURN命令 3.4 在程序和过程间传递参数 3.5 使用数据队列在程序与过程之间通讯 3.6 使用数据区在程序与过程之间通讯 第四章 4.1 目标类型及一般属性 4.2 目标完成的功能 4.3 库 4.4 使用库 4.5 OS/400民族语言支持 4.6 说明目标 4.7 显示目标说明 4.8 得到目标说明 4.9 目标的生成信息 4.10 删除系统中不用的目标 4.11 从一个库往另一个库中移动目标 4.12 生成重复的目标 4.13 重命名目标 4.14 目标压缩及解压缩 4.15 删除目标 4.16 分配资源 第五章 在CL程序和过程中处理目标 5.1 在CL程序中访问目标 5.2 在CL过程中处理文件 第六章 先进的程序设计 6.1 使用QCAPCMD程序 6.2 使用QCMDEXC程序 6.3 使用QCMDCHK程序 6.4 在CL程序或过程中使用信息子文件 6.5 在运行时允许用户修改CL命令 6.6 使用程序员菜单 6.7 DBCS数据的应用程序设计 6.8 在CL程序中使用DBCS数据 6.9 样板CL程序 6.10 从带或软盘上装入和运行应用程序 第七章 定义信息 7.1 生成一个信息文件 7.2 往文件中加一个信息 7.3 系统信息文件检索 7.4 信息队列类型 第八章 处理信息 8.1 往一个系统用户发送信息 8.2 从CL程序发送信息 8.3 在CL程序或过程中监控信息 8.4 中断处理程序 8.5 QSYSMSG信息队列 8.6 使用系统回答列表 8.7 信息日志 第九章 定义命令 9.1 定义命令简介 9.2 定义命令 9.3 数据类型和参数限制 9.4 定义参数列表 9.5 使用提示控制 9.6 使用键字参数和提示替代程序 9.7 生成命令 9.8 显示命令定义 9.9 修改过程或程序中命令定义的影响 9.10 写一个命令处理程序或过程 9.11 写一个有效性检查程序 9.12 定义及生成命令的例子 第十章 调试ILE程序 10.1 ILE源的调试 10.2 调试命令 10.3 准备要调试的程序目标 10.4 启动ILE源的调试 10.5 往调试环境中加一个程序目标 10.6 从调试环境中取消程序目标 10.7 显示程序源码视图 10.8 修改模块目标 10.9 单步通过程序目标 10.10 步出程序目标 10.11 步入程序目标 10.12 显示变量 10.13 修改变量的值 10.14 变量属性的例子 10.15 与一个变量、表达式或命令等同的名字 10.16 ILE CL的源码调试的民族语言支持
[XJTU计算机网络安全与管理]——第十二讲 访问控制
weixin_47692652的博客
06-14 2310
[XJTU计算机网络安全与管理]——第十二讲 访问控制
大数据安全保障的四种关键技术
SafePloy_SH的博客
12-05 184
它通过对敏感数据的脱敏处理,以保护数据的隐私和安全。它通过对数据的备份和恢复,以保护数据的完整性和可用性。在线备份可实现数据的实时备份和恢复,离线备份则可将数据备份到本地或远程存储设备中,以保护数据的完整性和可用性;单点登录可实现多个应用系统的统一身份认证,基于角色的访问控制可根据用户角色划分不同的访问权限,基于属性的访问控制则可根据用户属性划分不同的访问权限。数据存储加密侧重于防止数据被非法获取,数据传输加密则侧重于防止数据在传输过程中被篡改或窃取,数据访问加密则侧重于防止未经授权的用户访问数据。
3.2 访问控制
draper-crypto的博客
07-09 2228
3.2 访问控制
网络安全基础之访问控制模型详解——DAC, MAC, RBAC
最新发布
Demonslzh的博客
01-04 2104
随着数据泄露事件的频繁发生和网络攻击的日益复杂化,确保敏感数据和关键资源的安全变得越来越重要。在众多网络安全措施中,访问控制模型扮演着至关重要的角色。为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。
第五讲 访问控制技术
热门推荐
skicth的博客
12-24 1万+
概念:访问控制 访问控制列表 访问能力表 授权关系表            自主访问控制 强制访问控制 基于角色的访问 理解:访问控制技术的实现原理,技术特点            访问控制模型的特点及使用场景 运用举例:能够依据具体的应用场景,选择恰当的访问控制
访问控制
sparename的博客
10-09 7737
访问控制访问控制基础自主访问控制模型强制访问控制模型基于角色的访问控制模型特权管理基础设施 访问控制基础 ◆理解访问控制的概念、作用及访冋控制模型的概念 访问控制基础 ◆什么是访问控制 ◆为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权簒改和滥用 ◆访问控制作用 ◆保证用户在系统安全策略下正常工作 ◆拒绝非法用户的非授权访问请求 ◆拒绝合法用户越权的服务请求 ◆访问控制模型基本概念 ◆一个信息系统在进行安全设计和开发时,必须满足某一给定的安全策略,即有关管理、保护和发布敏
软考-访问控制技术原理与应用
苍木念川的博客
10-19 1305
访问控制是计算机安全的一个重要组成部分,用于控制用户或程序如何使用系统资源。访问控制的目标是确保只有经过授权的用户或程序可以访问特定的资源,例如文件、文件夹、系统设置、网络服务和数据库等。访问控制由以下三个概念构成:主体:主体是指被授权或未经授权试图访问系统的用户、程序或进程。资源:资源是指需要被保护的系统资源,例如文件、数据、设备或服务等。访问控制规则:访问控制规则是指由系统管理员定义的规则,用于限制主体对资源的访问权限。
信息安全:访问控制技术原理与应用.
网络安全领域___专研者.
08-10 930
访问控制是网络信息系统的基本安全机制。访问控制是指对资源对象的访问者授权、控制的方法及运行机制。访问者又称为主体,可以是用户、进程、应用程序等;而资源对象又称为客体,即被访问的对象,可以是文件、应用服务、数据等;授权是访问者可以对资源对象进行访问的方式,如文件的读、写、删除、追加或电子邮件服务的接收、发送等;控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策,如拒绝访问、授权许可、禁止操作等。
详解:windows server授权和访问控制技术.docx
12-30
授权和访问控制技术架构 Windows Server 2003中使用的授权和访问控制模型基于以下概念: 基于用户的授权 用户启动的每个应用程序都在该用户的安全上下文中运行,而不是在应用程序的安全上下文中运行。应用程序还可以...
访问控制技术1
08-03
访问控制技术防火墙基本概念在被保护网络和其他网络之间实施访问控制的一组设备设计目标所有的通信,无论是从内部到外部还是从外部到内部,都必须经过防火墙只有授权的通信
云计算访问控制技术.pdf
07-17
云计算访问控制技术.pdf
GMT 0032-2014 基于角色的授权与访问控制技术规范 .rar
09-08
本标准规定了基于角色的授权与访问控制框架结构及框架内各组成部分的逻辑关系;...本标准适用于公钥密码技术体系下基于角色的授权与访问控制系统的研制,并可指导对该类系统的检测及相关应用的开发。
山东大学 软件学院 2021-2022 春季学期 《大数据安全》期末考题
qq_40843499的博客
06-22 2962
简析大数据生命周期中存在哪些安全风险,我们可以使用哪些技术手段实现安全目标?(10) 简析自主访问控制技术的原理和实现,叙述自主访问控制技术在大数据环境下的优点和缺点。(15) 比较对称加密算法和公钥加密算法的优缺点以及在大数据安全背景下的应用。(15) 简述RSA算法的原理和设计方案(15) 简述消息鉴别码(MAC)的作用以及HMAC的实现原理(15) 现有n个文本文件,设计密文关键字检索技术(15) 某机构有一个安全中心T和n个用户,设计通过T向用户分发密钥的方案以及用户之间的数据安全共享方案。(15.
加密数据库与密文检索、同态加密
qq_40843499的博客
06-19 2926
密文检索的概念 云存储环境中,用户将数据加密后上传至云服务器,密文检索技术能够对密文进行检索并将满足条件的数据返回给用户,用户将密文解密后得到结果。 基于全文扫描的关键词搜索方案 数据拥有者通过SetUp算法生成密钥k′和k′′k^{'}和k^{''}k′和k′′,伪随机数序列S1,S2...SlS_{1},S_{2}...S_{l}S1​,S2​...Sl​(其中lll为文档中关键词的数目)以及伪随机函数FFF和fff。 将文档分组为关键词序列w1,w2,...,wlw_{1},w_{2},...,w_
基于Shamir门限方案的秘密共享
qq_40843499的博客
06-20 2064
秘密共享的基本概念 将秘密分割后由不同的参与者进行管理,单个参与者无法恢复秘密信息,只有若干个参与者共同协作才能恢复。 Shamir门限方案 (t,N)门限方案:设秘密S被分成N个部分信息,每个部分由一个参与者持有,使得: 通过t个或多于t个参与者所持有的信息可重构S。 少于t个参与者所持有的信息无法重构S。 其中t成为门限值,t=N时所有用户全部到场才能恢复密钥。 ...
详细介绍认证和访问控制技术
06-08
认证和访问控制技术是计算机安全中非常重要的一部分,主要用于确认用户身份和控制用户权限,从而保护系统和数据的安全。下面就认证和访问控制技术进行详细介绍: 1. 认证技术 认证技术是指通过一系列验证过程来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值