返回
浅谈访问控制研究的实现

浅谈访问控制研究的实现

ID:44623257

大小:26.00 KB

页数:5页

时间:2019-10-24

浅谈访问控制研究的实现_第1页
浅谈访问控制研究的实现_第2页
浅谈访问控制研究的实现_第3页
浅谈访问控制研究的实现_第4页
浅谈访问控制研究的实现_第5页
资源描述:

《浅谈访问控制研究的实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈访问控制研究的实现【摘要】本文论述了访问控制方面的相关理论,介绍了3种经典的访问控制技术一一自主访问控制、强制访问控制和基丁•介色的访问控制,然后着重介绍了访问控制的的实现方式。【关键词】访问控制技术研究实现一、访问控制技术访问控制技术是一种重要的信息安全防范策略,它被广泛的应用于信息系统的各个领域,目的是保护系统资源能够合理的使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。二、访问控制(一)访问控制耍素1・主体:主体是对其他客体具有限制访问系统资源的权利;2•客体:一般作为被

2、操作的对象都可称为客体;3•控制策略:控制策略是主休对客体操作行为的约束条件集合,定义了主体对客体的作用行为和客体对主体的条件约束。(二)访问控制的策略访问控制策略包括登录访问控制、操作权限控制、目录安全控制、属性安全控制和服务器安全控制等方面的内容。(三)访问控制模型安全模型定义了执行策略以及技术和方法,通常这些模型是经过时间证明为有效的数学模型。常用的安全模型主要有Bell-LaPadule、Biba和Clark-Wilson等模型。(四)访问控制的分类访问控制最早产生于20世纪60年代,随后出现了多种重要的访问控制机制。访问控制因实现

3、的基本理念不同,分类也不同。常见的访问控制机制主要有自主访问控制、强制访问控制和基于角色的访问控制。(五)访问控制的实现1.访问控制的实现机制。实现访问控制实际上就是耍建立访问控制模型,并对该模型实施一系列访问规则的数据抽象过程。在实现的过程中,不仅要保证用户准确获取到自己所拥有的权限,还要对用户在访问期间进行限制检查,防止非法用户访问系统。下面将通过以文件的访问控制为例来讨论实现的过程。一般情况下,用户对系统的访问冇两种情况,一种是读取信息,一种是写入信息,在这里用Read代表读,Write代表写。由于系统中的管理员具有修改的权限,所以用

4、0PA代表管理操作。2•访问控制列表。访问控制表(ACL:AccessControlList)的原理是,每一项资源,都配有一个列表,这个列表记录的就是哪些用户可以对这项资源执行Read或Write操作。当系统试图访问这项资源时,会首先检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。ACL是一种面向资源的访问控制模型,它的机制是围绕“资源”展开的。由于它几乎不需要任何基础设施就可以完成访问控制,因此它的缺点也是很明显的,需要维护大量的访问权限列表。3•访问控制矩阵。访问控制矩阵(ACM:AccessContro

5、lMatrix)是用矩阵的形式描述系统的访问控制的模型,它由三元组(S,0,A)来定义,其屮:S是主体的集合一一行标对应主体,0是客体的集合一一列标对应客体,A是访问矩阵,矩阵元素A[s,o]是主体s在o上实施的操作。访问控制矩阵如果是多维矩阵,实现起来难度比较大,要管理的用户和文件很多,矩阵将呈几何级数增长,维护难度口大。但是对于普通的侍息系统而言,不存在这个问题,而且加之用数据库来实现,并且采用显示允许。在一个信息系统中需要访问的资源或者需要控制的客体不是很多,而冃通过显示的允许可以人大减少数据的兀余,效率也得以保证,但是在信息系统中授

6、权却是比较麻烦的。每添加一个用户就需要给该用户授权客体,需要从所有的客体中选出该用户能够访问的客体。这样不仅操作麻烦,而一且很遗漏或多选。4.访问控制能力。访问控制能力反应的是访问者请求访问系统资源的能力,即权限表。每一个访问者都拥有一个有效的标签,标签标明访问者具有何种访问方式,以访问特定的客体。访问控制能力表(ACCL:AccessControlCapabilitisList)以单个的用户为中心,可按传递的和不可传递的方式来建立权限表。权限传递的规则体现了RBAC角色的继承特点。5.访问控制安全标签列表。安全标签是附属在主体和客体上的一

7、组相对应的安全属性集。安全标签列表常被用于MAC系统中,在木章的第2.4.2节己经大体介绍了安全标签的基本模型。安全标签列表是比能力表更严格,它建立了一个严格的安全等级集合。对于不同的资源,根据属性标签来判断用户是否具有访问权限,这样就可以对主体和客体资源强制执行安全策略,对核心数据加以保护。这里描述的是文件系统中的访问控制安全标签列表。其实这种方案在信息系统中同样适用。这里的实现方式和前面的MAC访问控制模型里的实现是一致的。当主体的安全级别大于或等于客体的安全级别时,主体可以访问客体。这里只实现了“向下读”的策略,及主体能够访问安全级别

8、小于或等于其安全级别的客体。因为在一般的信息系统中基本不存在“向上写”的情况,即主体只能对安全级别大于或等于自己安全级别的客体进行写操作。在信息系统中,主体对客体的访问可以只冇一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。