【计算机系统和网络安全技术】第四章:访问控制

最新推荐文章于 2023-10-19 16:05:41 发布
最新推荐文章于 2023-10-19 16:05:41 发布
阅读量734 收藏 1
点赞数 1
分类专栏: 计算机系统和网络安全技术 文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ymx520haha/article/details/129207578
版权

第四章:访问控制

1.访问控制定义

授予或拒绝下列特定要求的过程:1.获得并使用信息及相关信息处理服务2.进入特定物理设施

实现依据安全策略对使用系统资源进行控制,且仅许可授权实体(用户,进程,程序等)依据该策略使用该系统资源。

访问控制策略:

自主访问控制DAC:基于请求者的身份和访问规则控制访问,规定请求者可以做什么

强制访问控制MAC:通过比较具有安全许可的安全标志来控制访问

基于角色的访问控制RBAC:基于用户在系统中所具有的角色和说明各种角色用户享有哪些访问权的规则来控制访问

基于属性的访问控制ABAC:基于用户、被访问资源及当前环境条件来控制方访问

2.主体客体和访问权

主体:能够访问客体的实体,一般存在三类:所有者,组,世界

客体:外界对其访问受到控制的资源,一个用来包含或接收信息的实体

访问权:描述了主体可以访问客体的方式,读写,执行,创建删除,搜索

3.自主访问控制DAC

自主访问控制方案是指一个实体可以被授权按照自己的意愿使另一个实体能够访问某些资源

保护域:

• 一组客体及对这些客体的访问权。
• 保护域这个更一般的概念用来提供更多的灵活性
• 根据访问矩阵的规定,一行定义一个保护域
• 用户可以通过定义一个新的保护域来为不同类别的用户创建进程
• 进程与保护域之间的关联可以是静态的,也可以是动态的
• 用户程序运行于用户模式,不能使用某些受保护的内存区域
• 当用户进程调用系统例程时,那个例程运行于系统模式(内核模式),其 能够执行特权指令,并能访问受保护的内存区域。

4.UNIX访问控制


所有类型的UNIX文件都由操作系统通过inode (索引节点, index nodes)
• Inode是包含操作系统对一个文件所需的关键信息的控制结构 • 几个文件名可以与一个inode关联
• 一个文件也仅被一个inode控制
• 文件的属性及访问许可和其他控制信息都存储在inode中
• 在磁盘上有个inode表,其中包含了文件系统中所有文件的inode
• 打开一个文件时,它的inode被读进驻村,存储在驻留内存的inode表中
目录呈分层树状结构
   
• 每个目录包含文件或其他目录
• 包含文件名和指向关联inode的指针的列表


• 唯一的用户标识号(user ID)
• 用户是主组的成员,还可能是其
他许多用组ID标识的组的成员
• 属于一个特定组
• 与每个文件相关联的是12个保护
位的组合:
• 用来指定文件属主、同组用户与
 其他用户的读、写和执行许可
• 用户ID、组ID和保护位是文件的 inode的一部分


 “设置用户ID”(SetUID)  “设置组ID”(SetGID)
 当用户执行该文件时,系统会临时把文件创建者的用户ID或文件属组的权 限分配给执行该文件的用户。
 该特征使我们能够创建和使用正常情况下能访问其他用户不能访问的文件 的特权程序
 黏滞位
 然而当该位应用到目录时,则指出只有该目录中任何文件的属主才可以重
命名、移动或删除那个文件。  超级用户
 不受通常的文件访问控制限制  具有系统范围的访问权

很多现代UNIX及基于UNIX的操作系统都支持访问控制列表 • FreeBSD、OpenBSD、Linux和Solaris
• FreeBSD
• 当允许管理员通过setFacl命令为文件分配一个UNIX用户ID和组的列表
• 任何数目的用户和组都可以通过读、写、执行三个保护位与文件关联
• 文件不是必须具有ACL
• FreeBSD文件包括一个附加的保护位。用来指出文件是否具有扩展的ACL
• 进程请求访问文件系统对象:
• 第一步:选择与请求进程最佳匹配的ACL项
• 第二步:检查匹配项是否包含足够的许可


5.基于角色的访问控制RBAC

 RBAC约束提供了一种另RBAC适应组织中的管理和安全策略 细节的手段
• 约束是在角色之间定义的关系或与角色相关的条件 • 类型:
互斥角色
• 一个用户只能被分配 给集合中的一个角色 (这个限制可以是静 态的,也可以是动态 的)
• 在一次会话中一个用 户仅能被分配给集合 中的一个角色
基数
• 设置关于角色的最大 数值。
先决条件角色
• 如果已被分配给另一 个指定角色时,用户 只能被分配一个特定 角色。

RBAC基本模型中的四种实体类型

用户:可以访问此计算机系统的个人。

角色:控制此计算机系统的组织中的一个已命名的作业功能。

权限:批准对一个或多个对象的特定访问模式。

会话:用户与分配给用户的角色集的激活子集之间的映射。


6.基于属性的访问控制ABAC

能够定义表 达资源和主 体二者属性 条件的授权
ABAC方法的优势在于 它的灵活性 以及表达能力。
劣势是:需要考虑每次访问对资源 和用户属性的评价所造 成的性能影响。
Web服务是 实现ABAC 模型的开创性技术,尤其是引入了 可扩展的访问控制标记 语言 (XAMCL)
将ABAC模型应用到云服务引起了人们的兴趣

主体模型:主体是一个主动的实体,能引起客体之间的信息流动或者系统状态改变,每个主体都有能够定义其身份和特征的关联属性

客体模型:一个被动包含接收信息的与信息系统相关的实体,客体具有可以用来制定访问控制决策的属性

环境属性:描述了信息访问时发生时所处的运行、技术的甚至态势的环境或情景,很大程度上被大多数访问控制规则所忽视

7.身份、凭证、访问管理ICAM

ICAM是一种用来管理和实现数字身份、凭证和访问控制的综合性方法

Flavedo~Y
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
自主访问控制实验——DAC 基于RBAC1的访问控制实验
06-30
题目1:自主访问控制实验; 要求:设计必需的界面环境, (1) 对主体、客体、权限进行定义和配置 (2) 对主体进行自主授权 (3) 对主体的访问权限进行控制实验 (4) 对主体进行传递授权的操作,通过实验观察系统的执行情况 (5) 对访问成功和不成功的两种情形均给出结果 要求:设计必需的界面环境, (1) 对主体、客体、权限进行定义和配置 (2) 对角色及角色的层次关系进行定义 (3) 对角色的权限进行定义(有继承关系的就不用重新定义) (4) 给出用户-角色多对多关系的配置 (5) 对用户的角色信息进行修改,通过访问控制实验,体现不同层次的角色访问权限的差别 (6) 对上述实验情况下访问成功和不成功的两种情形均给出结果 写的不是很好,仅供参考。
访问控制
m0_50299484的博客
03-25 2207
访问控制基础知识 访问控制基本概念 (1)主体:主体是访问操作中的主动实体,包括所有能够发起访问操作的实体,如人、进程、设备等。主体是访问的发起者,并造成了信息的流动或者系统状态的改变。 (2)客体:客体是访问操作中的被动实体,是包含信息或接受信息的被动接受访问的资源,如文件、设备、信号量、网络节点等。客体在信息流动中是处于主体的作用之下的,对客体的访问意味着对其中所包含信息的访问。 (3)动作:动作是信息在主体和客体之间流动的交互方式,有的文献称为“访问模式”。常见的动作主要包括读、写、读/写和执行等。
工具系列 | 基于元模型的访问控制策略描述语言
Tinywan
03-10 153
https://mp.weixin.qq.com/s/n7D6PQiI3zRCgvpLeSrKQQ
策略机:一种访问控制策略定义和执行的新架构
m0_61869253的博客
08-08 53
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
SELINUX、Security Access Control Strategy && Method And Technology Research - 安全访问控制策略及其方法技术研究...
weixin_30725467的博客
06-17 193
catalog 0. 引言 1. 访问控制策略 2. 访问控制方法、实现技术 3. SELINUX 0. 引言 访问控制网络安全防范和客户端安全防御的主要策略,它的主要任务是保证资源不被非法使用、保证网络/客户端安全最重要的核心策略之一。访问控制包括 1. 入网访问控制 2. 网络权限控制 3. 目录级控制 4. 属性控制等多种手段 访问控制相关领域...
访问控制
sparename的博客
10-09 7757
访问控制访问控制基础自主访问控制模型强制访问控制模型基于角色的访问控制模型特权管理基础设施 访问控制基础 ◆理解访问控制的概念、作用及访冋控制模型的概念 访问控制基础 ◆什么是访问控制 ◆为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权簒改和滥用 ◆访问控制作用 ◆保证用户在系统安全策略下正常工作 ◆拒绝非法用户的非授权访问请求 ◆拒绝合法用户越权的服务请求 ◆访问控制模型基本概念 ◆一个信息系统在进行安全设计和开发时,必须满足某一给定的安全策略,即有关管理、保护和发布敏
CISP——访问控制(自主访问控制和强制访问控制
honest_gg的博客
02-24 9129
访问控制基本概念 什么是访问控制 为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用 访问控制作用 保证用户在系统安全策略下正常工作 拒绝非法用户的非授权访问请求 拒绝合法用户越权的服务请求 访问控制模型: 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的 组成: 主体、客体、实施、决策 访问控制模型的分类 自主访问控制模型(DA...
3.2 访问控制
draper-crypto的博客
07-09 2234
3.2 访问控制
软考-访问控制技术原理与应用
最新发布
苍木念川的博客
10-19 1328
访问控制计算机安全的一个重要组成部分,用于控制用户或程序如何使用系统资源。访问控制的目标是确保只有经过授权的用户或程序可以访问特定的资源,例如文件、文件夹、系统设置、网络服务和数据库等。访问控制由以下三个概念构成:主体:主体是指被授权或未经授权试图访问系统的用户、程序或进程。资源:资源是指需要被保护的系统资源,例如文件、数据、设备或服务等。访问控制规则:访问控制规则是指由系统管理员定义的规则,用于限制主体对资源的访问权限。
《学习笔记》· 信息安全之访问控制技术(三)
qq_45902723的博客
04-02 1642
昨天一起了解了访问控制模型中的自主访问控制,今天专门用一章来学习强制访问控制(因为刷题的时候经常遇到)
计算机系统网络安全.pptx
06-10
从信息安全理论和技术来看,它包括: 密码理论与技术 认证与识别理论与技术 授权与访问控制理论与技术 审计追踪技术 网络隔离与访问代理技术 安全管理与安全工程理论与技术 反病毒技术 2023/6/4 计算机系统与网络...
数据通信与网络技术-第8章-网络安全.pptx
06-08
数据通信与网络技术-第8章-网络安全全文共53页,当前为第4页。 2.网络安全的主要特性 1. 保密性 信息不泄露给非授权用户、实体或过程,或供其利用的特性。 2. 完整性 据未经授权不能进行改变的特性。 3. 可用性 可...
计算机网络技术(第六版)课程标准.doc
05-25
主要参考书 《计算机网络》(第四版) 吴功宜,清华大学出版社,2017.4。 《计算机网络》(第六版)[美] Keith W.Ross,机械工业出版社,2014。 二、课程各章教学内容纲要 第一章 计算机网络概述 1.教学基本要求 (1...
计算机网络安全基础.zip
07-08
计算机网络安全基础 第1章 网络基础知识与因特网...第4章 计算机系统安全与访问控制 第5章 数据库系统安全 第6章 计算机病毒的防治 第7章 数据加密与认证技术 第8章 网络安全技术 第9章 网络站点的安全 第10章 数据安全
计算机应用技术基础》第四章.pptx
01-08
本章学习目标 了解影响计算机安全的因素,学会如何保障个人计算机系统安全和基本网络安全,具备解决与应对计算机系统问题的能力。 本章要点 影响计算机安全的因素 如何保护自己的计算机系统 计算机系统出现问题后...
访问控制介绍
晓川吖的专栏
09-15 1万+
概念以及要素 指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC网络准入控制系统的原理就是基于此技术之上。 访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问访问控制的概念及要素 访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等
访问控制安全机制及相关模型(包括:强制访问控制和自主访问控制
热门推荐
ajian005的专栏
01-10 4万+
第一章 访问控制的概念  访问控制分类  网络访问控制  主机/操作系统访问控制  应用程序访问控制  加密方式在访问控制系统中的应用 第二章 强制访问控制与自主访问控制  强制访问控制(MAC)  自主访问控制(DAC) 第三章 访问控制模型  BELL-LAPADULA保密性模型  LATTICE安全模型  BIBA完整性模型  CLARK WILSON完整
SELinux策略语言--编写TE规则
行知致简的专栏
02-02 1288
neverallow规则也支持通配符来代表所有的类型,求补算操作符(~)也表示所有的类型,除了明确列出的之外。这条规则是最常见的使用type_change规则的示例,它在用户登陆时重新标记终端设备,login程序会通过一个内核接口查询SELinux模块中的策略,传递类型sysadm_t和tty_device_t,接收sysadm_tty_device_t类型作为重新标记的类型,这个机制允许在一个新的登陆会话过程中,登陆进程以用户的名义标记tty设备,将特殊的类型封装到策略中,而不用硬编码到应用程序中。
网安概论(四)
eldrida1的博客
03-12 1683
基于域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,是一个 Linux 内核模块,也是 Linux 的一个安全子系统。主要作用是实现最小访问原则——传统Linux是根据进程属主来决定是否有访问权限的,而Selinux是根据进程类型决定的。传统Linux的不足存在特权用户root: 任何人只要得到root的权限,对于整个系统都可以为所欲为。这一点Windows也一样。
计算机第二章windows7操作系统思维导图
09-22
Windows 7操作系统的思维导图如下: 1. Windows 7操作系统概述: - Windows 7是Microsoft推出的操作系统,是Windows家族的一员。 - Windows 7以提供更稳定、易用和安全的用户体验为目标。 2. Windows 7的特点和优势: - 界面友好:Windows 7采用了Aero界面,具有更好的可视化效果和操作体验。 - 提升性能:Windows 7在系统资源管理和性能优化上有所改进,提供更高的运行效率。 - 强大兼容性:Windows 7兼容大量的应用程序和外部设备,提供广泛的硬件和软件支持。 - 改进的安全性:Windows 7加强了安全性,提供了更安全的上网和数据保护功能。 3. Windows 7的基本操作: - 桌面和任务栏:桌面是Windows 7的主要工作区域,任务栏用于快速访问和切换程序。 - 文件和文件夹管理:使用Windows资源管理器浏览、创建、复制、移动和删除文件和文件夹。 - 窗口管理:Windows 7支持多窗口管理,可最小化、最大化和平铺窗口来优化显示。 - 系统设置:通过控制面板可进行系统设置、用户管理、硬件设置和网络配置等操作。 - 上网和网络连接:Windows 7提供了Internet Explorer和网络设置功能,可轻松上网和连接网络。 4. Windows 7的高级功能: - 用户账户控制(UAC):提供了更好的用户权限管理和程序安全性。 - 虚拟硬盘(VHD):可以通过创建和挂载虚拟硬盘来扩展存储和进行数据备份。 - Windows XP模式:允许在Windows 7上运行Windows XP程序,提供向后兼容性。 - 多媒体功能:Windows Media Player可播放音频和视频,Windows Media Center提供更丰富的多媒体体验。 总结:Windows 7是一款功能强大、易于使用和安全可靠的操作系统,具有提升性能、强大的兼容性和改进的安全性等优点。通过桌面、任务栏、窗口管理和系统设置等基本操作,用户可以方便地进行文件和文件夹管理、上网和网络连接。此外,Windows 7还提供了用户账户控制、虚拟硬盘、Windows XP模式和多媒体功能等高级特性,为用户提供更丰富的体验和功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Flavedo~Y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值