访问控制概述
访问控制概念
访问控制:对资源对象的访问者授权、控制的方法及运行机制
访问者(主体):用户、进程、应用程序等;
资源对象(客体):文件、应用服务、数据等;
授权:访问者可以对资源对象进行访问的方式,如文件读、写、删除、追加或邮件服务的收发等;
控制:对访问者使用方式的监测和限制,以及对是否许可用户访问资源对象做出决策 ,如拒绝访问、授权许可、禁止操作等。
- 认证机制:验证用户身份,防止非法访问
- 访问控制:根据授权数据库,确定用户对系统资源的访问类型,授权用户访问操作
- 审计机制:对认证机制、用户访问操作进行记录,以备有据可查
访问控制目标
防止非法用户访问
阻止越权(合法用户非法使用资源)
访问控制模型
主体Subject:客体的操作实施者(人、进程或设备)编辑进程是存取文件主体,而文件则是客体
客体Object:主体操作的对象,对客体访问隐含这对其信息的访问
参考监视器Reference Monitor:是访问控制的决策单元和执行单元的集合体 控制从主体到客体的每次操作,监督主客体之间的授权访问行为,并将重要安全事件存