1. 访问控制的目标
- 防止非法用户进入系统
- 阻止合法用户对系统资源的非法使用
2. 访问控制参考模型
- 主体:主体是客体的操作实施者,实体通常是人、进程或设备等
- 客体:客体是被主体操作的对象
- 参考监视器:访问控制的决策单元与执行单元的集合体
- 访问控制数据库:记录主体访问客体的权限即访问方式的信息提供访问控制决策判断的依据,也称访问控制策略库。
- 审计库:存储主体访问客体的操作信息,包含成功与失败的访问操作信息
3. 访问控制类型
3.1. 自主访问控制
- 主要有基于行和基于列2种访问控制
- 基于行:能力表、前缀表、口令
- 基于列:保护位、访问控制列表
3.2. 强制访问控制
- 强制访问控制(Mandatory Access Control,MAC)
- 系统根据主体和客体的安全属性,已强制方式控制主体对客体的访问。
- mac用户访问信息的读写关系
-
- 下读:用户级别高于文件级别的读操作
- 上读:用户级别低于文件级别的读操作
- 下写:用户级别低于文件级别的写操作
- 上写:用户级别高于文件级别的写操作
- 总结:级别高于文件下读上写,级别低于文件上读下写
3.3. 角色访问控制
- 基于角色的访问控制(RBAC)根据完成某些职责任务所需要访问的权限来授权于管理
- RBAC由用户(U)、角色(R)、会话(S)和权限(P)四个基本要素组成
3.4. 属性访问控制
- 属性访问控制(Arrtibute Based Access Control,ABAC)
- 根据主体属性、客体属性、环境的条件以及访问策略对主体的请求进行授权许可或拒绝