返回
信息安全原理张基温电子教案第9章访问控制

信息安全原理张基温电子教案第9章访问控制

ID:42340531

大小:260.50 KB

页数:28页

时间:2019-09-13

信息安全原理张基温电子教案第9章访问控制_第1页
信息安全原理张基温电子教案第9章访问控制_第2页
信息安全原理张基温电子教案第9章访问控制_第3页
信息安全原理张基温电子教案第9章访问控制_第4页
信息安全原理张基温电子教案第9章访问控制_第5页
资源描述:

《信息安全原理张基温电子教案第9章访问控制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、访问控制访问控制(AccessControl)是对信息系统资源的访问范围以及方式进行限制的策略。简单地说,就是防止合法用户的非法操作。它是建立在身份认证之上的操作权限控制。身份认证解决了访问者是否合法者,但并非身份合法就什么都可以做,还要根据不同的访问者,规定他们分别可以访问哪些资源,以及对这些可以访问的资源可以用什么方式(读?写?执行?删除?等)访问。它是基于权限管理的一种是非常重要的安全策略。对用户权限的设定,称为授权(Authorization)。9.3.1基本概念1.主体与客体访问控制可以

2、描述为:主动的主体(Subject)使用某种特定的访问操作去访问一个被动的客体(Object),所使用的特定的访问操作受访问监视器控制。这就是图9.1所示的安全系统逻辑模型。主体身份认证访问控制客体访问监视器访问请求权限图9.1安全系统逻辑模型主体和客体都是访问控制系统中的实体。主体是发出访问请求的主动方,通常是用户或用户进程。客体是被访问的对象,通常是被调用的程序、进程,要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。安全策略,就是对这些访问进

3、行约束的一组规则和目标,它反映了系统的安全需求,并可以用达到安全目的而采取的步骤进行描述。2.访问权限(1)Bell-LaPadula安全模型中的访问权限1973年DavidBell和LenLapadula提出了第一个也是最著名安全策略模型Bell-LaPadula安全模型,简称BLP模型。在基本层面上,定义了两种访问方式:·观察(Observe):查看客体的内容。·改变(Alter):改变客体的内容。在Bell-LaPadula安全模型中定义了4种访问权限:执行、读、添加(有时也称盲目的写)和写

4、。表9.1给出了这些访问权限与访问方法之间的关系。执行添加读写查看√√改变√√表9.1Bell-LaPadula安全模型中的访问权限注意,这里基于效率的考虑,写访问通常包含读访问。这样,在编辑一个文件时,就无须先打开一次进行读(了解内容),再打开一次用于写了。所以写访问包含了查看和改变两种访问形式。(2)UnixUnix的访问控制用3种权限表示:读(read)、写(write)、执行(execute)。它们应用于文件和目录时含义有所不同,如表9.2所示。用于文件用于目录读从一个文件读列出目录内容写

5、写进一个文件创建或重命名目录中的一个文件执行执行一个(程序)文件搜索目录表9.2Unix的访问控制3种权限(3)WindowsNT/2000/XPWindowsNT/2000/XP的权限分为文件权限和目录权限。每一个权限级别都确定了一个执行特定的任务组合的能力,这些任务是:Read(R)、Execute(X)、Write(W)、SetPermission(P)、TakeOwnership(O)。表9.3表明任务与各种权限级别之间的关联。权限RXWDPO目录权限NoAccessListRXReadR

6、XAddXWAddandReadRXWChangeRXWDFullcontrolRXWDPO文件权限NoAccessReadRXChangeRXWDFullcontrolRXWDPO用户行为用户不能访问该目录可以查看目录中的子目录和文件名,也可以进入其子目录具有Linux权限,用户可以读取目录中的文件和运行目录中的应用程序用户可以添加文件和子目录具有Add和Read的权限具有Add和Read的权限,另外还可以更改文件的内容,删除文件和子目录具有Change的权限,另外用户可以更改权限和获取目录的所

7、有权。用户不能访问该文件用户可以读取该文件,如果是应用程序可以运行具有Read的权限,还可以修改和删除文件具有Change的权限,还可以更改权限和获取文件的所有权。表9.3WindowsNT/2000/XP表明任务与各种权限级别之间的关联9.3.2访问控制结构对于单个主体和客体进行单独的定义。但是对于数量众多的主体和客体,就要设计一种合适的实现结构了。下面介绍几种常用的访问控制结构。1.访问控制矩阵访问控制矩阵也称访问许可矩阵,它用行表示客体,列表示主体,在行和列的交叉点上设定访问权限。表9.4为

8、一个访问控制矩阵的例子。File1File2File3File4张三Own,R,WOwn,R,W李四ROwn,R,WWR王五R,WROwn,R,W表中,一个文件的Own权限的含义是可以授予(Authorize)或者撤销(Revoke)其他用户对该文件的访问控制权限。例如,张三对File1具有Own权限,所以张三可以授予或撤销李四和王五对File1的读(R)写(W)权限。访问矩阵比较直观,但是表中会出现空白。2.访问能力表能力(Capability)是受一定机制保护的客体标志,标记了

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。