信息安全概论———访问控制

本文介绍了访问控制的三个主要模型:自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。详细讨论了各自的特点,如DAC的灵活性与安全问题,MAC的严格权限管理,以及RBAC的平衡机制。同时,提到了访问控制的基本原则和Windows NT系统中的访问控制实现,包括访问令牌、安全描述符和活动目录等概念。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问控制

基本组成:主体,客体,控制策略;

访问控制模型:
1. 自主访问控制(DAC):
特点:授权用户可以自主得将权限转移给别人,权限的修改是由特权用户来修改的。linux,unix ,windows NT(windows 的系列名称,包括win 10这些发行版本)都采用这样的形式。

权限信息存储(访问权限表):
(1)访问控制表(ACL):以客体为核心,然后对客体联系所有的主体及其对应的权限。
(2)访问能力控制表(ACCL):以主体为核心,列出其所有允许访问的客体及权限。
(3)访问控制矩阵(ACM):二元矩阵表示权限关系,会有冗余。

特点:数据访问方式灵活,允许权限的自由转移,但是同时会带来安全问题,数据保护较低。

2.强制访问控制(MAC):
更为严格的权限管理,将主体和客体赋予一定的安全级别,每个用户根据自己的安全级别,就会有自己全部的访问权限,这种权限是于安全级别严格挂钩的,不允许转移,也不允许为单个用户改动。

读写权限实例:(军队常用的两种严格的机制)
(1)向上写,向下读:有效防止信息向低安全级泄露,保护机密性。
(2)向下写,向上读:有效防止了下级篡改信息,保护完整性。

3.基于角色的访问控制(RBAC):
综合了上述两种极端(自由和强制),设计的一种综合模型。
将用户不再单个考虑,而是将其组织为组,而将客体的权限也设置为角色,一种角色会有自己特定的能力,这样用户就可以以担任角色的方式来获取权限,而非直接得到权限。
这样,就即保留了自由的灵活性,即用户可以担任不同的角色来获取不同的权限,又保证了权限获取的严格性,即角色是固定的,不能有自由组合的角色出现,且角色的获取是可控的。
角色的获取和增删都是管理员决定,而非自由获得。这是RBAC和DAC的区别。
权限是由角色组织起来的,一个角色可能获取不同安全级的权限,所以就没有安全级的概念,按需添加角色。这是RBAC和DAC的区别。

访问控制模型的基本原则:
(1)最小特权原则:根据主体所需权力的最小化分配,能

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值