访问控制技术
1.概述
访问控制是策略(policy)和机制(mechanism)的集合,它允许对限定资源的授权访问。
1)访问三要素 主体(用户)/客体(资源)/控制策略
2.访问控制策略
包括:登录访问控制、操作权限控制、目录安全控制、属性安全控制、服务器安全控制等方面。
登录访问控制可分为3个步骤:用户名的识别与验证,用户口令的识别与验证,用户账号默认限制检查。
属性安全控制级别高于用户操作权限设置级别。
3.访问控制模型
1)Bell-LaPadula BLP模型
BLP模型是第一个正式的安全模型。基于上读下写规则,提供保密性。
2)Lattice模型
3)Biba模型 基于下读上写机制,提供数据完整性保证。
4.访问控制分类
1)自主访问控制(Discretionary Access Control,DAC)
大部分信息系统的自主访问控制模块借助了访问控制列表ACL。
特点是:控制自主,可以控制主体对客体的直接访问,但不能控制主体对客体的间接访问。
2)强访问控制MAC
MAC要求主题对客体的访问满足BLP模型的两个基本特性。
MAC和DAC可以为每个用户分配访问权限规则集,也可以通过组的形势进行授权。
3)基于角色的访问控制(Role-Based Access Control,RBAC)
基本模型RBAC0指明了用户、角色、访问权和会话之间的关系。
层次模型RBAC1中,上层角色可以继承下次角色的访问权。
约束模型RBAC2中,继承了RBAC0的所有基本特性,增加了对RBAC0的所有元素的约束检查,只有拥有有效值的元素才可以被接受。如:不能将互相冲突的角色分给同一个用户。
层次约束模型RBAC3,兼有RBAC1和RBAC2的特点。
安全原则:最小特权原则、责任分离原则和数据抽象原则。
4)基于任务的访问模型(Task-Based Access Control,TBAC)
TBAC模型由工作流、授权结构体、授权步、许可集4部分组成。
一个工作流由多个任务组成,每个任务对应一个授权结构体,每个授权结构体包括若干授权步。
在TBAC中前一个授权步的处理(通过/否定等)决定后续授权步的操作许可。
TBAC在工作流中广泛应用。
5)基于对象的访问控制(Object-Based Access Control,RBAC)
在OBAC模型中,将ACL与受控对象及其属性相关联,实现对对象及其属性的访问控制。
支持用户、组、角色、权限集合。
允许对策略和规则进行复用,继承和派生操作。
扫一扫
434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
