第四章:访问控制
1.访问控制定义
授予或拒绝下列特定要求的过程:1.获得并使用信息及相关信息处理服务2.进入特定物理设施
实现依据安全策略对使用系统资源进行控制,且仅许可授权实体(用户,进程,程序等)依据该策略使用该系统资源。
访问控制策略:
自主访问控制DAC:基于请求者的身份和访问规则控制访问,规定请求者可以做什么
强制访问控制MAC:通过比较具有安全许可的安全标志来控制访问
基于角色的访问控制RBAC:基于用户在系统中所具有的角色和说明各种角色用户享有哪些访问权的规则来控制访问
基于属性的访问控制ABAC:基于用户、被访问资源及当前环境条件来控制方访问
2.主体客体和访问权
主体:能够访问客体的实体,一般存在三类:所有者,组,世界
客体:外界对其访问受到控制的资源,一个用来包含或接收信息的实体
访问权:描述了主体可以访问客体的方式,读写,执行,创建删除,搜索
3.自主访问控制DAC
自主访问控制方案是指一个实体可以被授权按照自己的意愿使另一个实体能够访问某些资源
保护域:
• 一组客体及对这些客体的访问权。
• 保护域这个更一般的概念用来提供更多的灵活性
• 根据访问矩阵的规定,一行定义一个保护域
• 用户可以通过定义一个新的保护域来为不同类别的用户创建进程
• 进程与保护域之间的关联可以是静态的,也可以是动态的
• 用户程序运行于用户模式,不能使用某些受保护的内存区域
• 当用户进程调用系统例程时,那