返回
网络与信息安全概论网络与信息安全概论

网络与信息安全概论网络与信息安全概论

ID:34513907

大小:271.42 KB

页数:88页

时间:2019-03-07

网络与信息安全概论网络与信息安全概论_第1页
网络与信息安全概论网络与信息安全概论_第2页
网络与信息安全概论网络与信息安全概论_第3页
网络与信息安全概论网络与信息安全概论_第4页
网络与信息安全概论网络与信息安全概论_第5页
资源描述:

《网络与信息安全概论网络与信息安全概论》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络与信息安全概论网络与信息安全概论第九讲第九讲访问控制访问控制王昭北京大学信息科学技术学院软件研究所--信息安全研究室wangzhao@infosec.pku.edu.cn1讨论议题•访问控制的有关概念•访问控制的策略和机制•授权的管理•网络访问控制组件的分布2安全服务•安全服务(SecurityServices):计算机通信网络中,主要的安全保护措施被称作安全服务。根据ISO7498-2,安全服务包括:1.鉴别(Authentication)2.访问控制(AccessControl)3.数据机密性(D

2、ataConfidentiality)4.数据完整性(DataIntegrity)5.抗抵赖(Non-repudiation)3访问控制的概念和目标•一般概念——是针对越权使用资源的防御措施。•基本目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。•未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。–非法用户进入系统。–合法用户对系统资源的非法使用。4访问控制的作用•访问控制

3、对机密性、完整性起直接的作用。•对于可用性,访问控制通过对以下信息的有效控制来实现:(1)谁可以颁发影响网络可用性的网络管理指令(2)谁能够滥用资源以达到占用资源的目的(3)谁能够获得可以用于拒绝服务攻击的信息5主体、客体和授权•客体(Object):规定需要保护的资源,又称作目标(target)。•主体(Subject):或称为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。•授权(Authorization):规定可对该资源执行的动作(例如

4、读、写、执行或拒绝访问)。¾一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们。¾主客体的关系是相对的。6访问控制模型基本组成提交访问请求提出访问请求发起者访问控制实施功能Present目标SubmitInitiatorAccessRequestAEFAccessRequestTarget请求决策 决策DecisionRequestDecision访问控制决策功能ADF7访问控制与其他安全服务的关系安全管理员访问控授权数据库制决策单元目目引用监标目用户标

5、目目标控器标标身份鉴别访问控制审计8讨论议题•访问控制的有关概念•访问控制的策略和机制•授权的管理•网络访问控制组件的分布9访问控制策略与机制•访问控制策略(AccessControlPolicy):访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南。•访问控制机制(AccessControlMechanisms):是访问控制策略的软硬件低层实现。¾访问控制机制与策略独立,可允许安全机制的重用。¾安全策略之间没有更好的说法,只是一种可以比一种提供更多的保护。应根据应用环境

6、灵活使用。10访问控制策略•自主访问控制(discretionarypolicies,DAC),基于身份的访问控制(IdentityBasedAccessControl)•强制访问控制(mandatorypolicies,MAC),基于规则的访问控制(RuleBasedAccessControl)•基于角色的访问控制RBAC(role-basedpolicies)11如何决定访问权限•用户分类•资源•资源及使用•访问规则12用户的分类(1)特殊的用户:系统管理员,具有最高级别的特权,可以访问任何资源,并具

7、有任何类型的访问操作能力(2)一般的用户:最大的一类用户,他们的访问操作受到一定限制,由系统管理员分配(3)作审计的用户:负责整个安全系统范围内的安全控制与资源使用情况的审计(4)作废的用户:被系统拒绝的用户。13资源•系统内需要保护的是系统资源:–磁盘与磁带卷标–远程终端–信息管理系统的事务处理及其应用–数据库中的数据–应用资源14资源和使用•对需要保护的资源定义一个访问控制包(Accesscontrolpacket),包括:–资源名及拥有者的标识符–缺省访问权–用户、用户组的特权明细表–允许资源的拥有

8、者对其添加新的可用数据的操作–审计数据15访问规则•规定了若干条件,在这些条件下,可准许访问一个资源。•规则使用户与资源配对,指定该用户可在该文件上执行哪些操作,如只读、不许执行或不许访问。•由系统管理人员来应用这些规则,由硬件或软件的安全内核部分负责实施。16访问控制的一般实现机制和方法一般实现机制——•基于访问控制属性——〉访问控制表/矩阵¾访问控制表ACLs(AccessControlLists)¾访问能力表(Capab

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。