返回
运行安全-访问控制

运行安全-访问控制

ID:42728883

大小:316.56 KB

页数:43页

时间:2019-09-21

运行安全-访问控制_第1页
运行安全-访问控制_第2页
运行安全-访问控制_第3页
运行安全-访问控制_第4页
运行安全-访问控制_第5页
资源描述:

《运行安全-访问控制》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、运行安全--访问控制主讲人:翟健宏Email:zhaijh@hit.edu.cn办公室:新技术楼509Tel:0451-8640257311访问控制的基本概念2访问控制的实现机制和方法3访问控制的一般策略4授权的管理21访问控制的基本概念1.1安全服务安全服务(SecurityServices):开放某一层所提供的服务,用以保证系统或数据传输足够的安全性。根据ISO7498-2,安全服务包括:实体认证EntityAuthentication数据保密性DataConfidentiality数据完整性DataIntegr

2、ity防抵赖Non-repudiation访问控制AccessControl31.2访问控制的概念原始概念:是对进入系统的控制(用户标识+口令/生物特性/访问卡)。一般概念:是针对越权使用资源的防御措施。分类:自主访问控制强制访问控制基于角色的访问控制访问控制的目的:是为了限制访问主体用户、进程服务等对访问客体文件系统等资源的访问权限,从而使计算机系统在合法范围内使用。决定用户能做什么,也决定代表一定用户利益的程序能做什么。作用:是对需要访问系统及其数据的人进行鉴别,并验证其合法身份;也是进行记账审计等的前提。41.

3、3访问控制与其他安全措施的关系模型51访问控制的基本概念2访问控制的实现机制和方法3访问控制的一般策略4授权的管理62访问控制的实现机制和方法2.1实现机制基于访问控制属性:访问控制表/矩阵基于用户和资源分档“安全标签”:多级访问控制72.2常见实现方法主要包括三种形式:访问控制表ACL(AccessControlLists)访问能力表(Capabilities)访问控制矩阵授权关系表8访问控制表:每个客体附加一个它可以访问的主体的明细表。9访问能力表:每个主体都附加一个该主体可以访问的客体的明细表。10访问控制矩阵

4、:按列看是访问控制表内容,按行看是访问能力表内容。11授权关系表121访问控制的基本概念2访问控制的实现机制和方法3访问控制的一般策略4授权的管理133访问控制的一般策略自主访问控制强制访问控制自主/强制访问的问题基于角色的访问控制一个基于角色的访问控制的实例RBAC与传统访问控制的差别RBAC参考模型RBAC的优势143访问控制的一般策略15自主访问控制特点:根据主体的身份和授权来决定访问模式;具有访问权限的可传递性。缺点:信息在移动过程中,其访问权限关系会被改变,如用户A可将其对目标O的访问权限传递给用户B,从而

5、使不具备对O访问权限的B,可访问O。16强制访问控制特点:将主题和客体分级,根据主体和客体的级别标记来决定访问模式,如绝密级、机密级、秘密级、无密级。其访问控制关系分为:上读/下写(完整性),下读/上写(机密性)。通过梯度安全标签实现单向信息流通模式。下级可看上级的信息但不能修改上级内容下级对上级可提意见,但不能看上级的信息。17强制访问控制精确描述强制访问控制(MAC)中,系统包含主体集S和客体集O,每个S中的主体s及客体集中的客体o,都属于一固定的安全类SC,安全类SC=包括两个部分:有层次的安全级别和

6、无层次的安全范畴。构成一偏序关系≤。Bell-LaPadula:保证保密性简单安全特性(无上读):仅当SC(o)≤SC(s)时,s可以读取o;*-特性(无下写):仅当SC(s)≤SC(o)时,s可以修改oBiba:保证完整性同1相反。(无上写,无下读)(贝尔-拉帕丢拉(Bell-Lapadula)模型——多安全级,强制规则)18强制访问控制MAC(MandatoryAccessControl)InformationFlow19自主/强制访问的问题自主访问控制配置的粒度小配置的工作量大,效率低强制访问控制配置的粒度大缺

7、乏灵活性例:1000主体访问10000客体须1000万次配置,如每次配置需1秒,每天工作8小时,就需10,000,000/3600*8=347.2天。20基于角色的访问控制基于角色的访问控制是一个复合的规则,可以被认为是早期的IBAC和RBAC的结合体。一个身份被分配给一个被授权的组。起源于UNIX系统或别的操作系统中组的概念(10yearhistory)。21基于角色的访问控制特点:责任分离(separationofduties)角色分层(rolehierarchies)角色激活(roleactivation)用户

8、角色关系的约束(constraintsonuser/rolemembership)22基于角色的访问控制角色概念Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity。每个角色与一组用户和有关的动作相互关联,角色中所属

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。