一、背景介绍
信息系统安全是保护信息系统中各类型数据资源免受未经授权的访问(包括查看、新增、修改、删除),确保数据完整性、保密性和可用性。在当下万物互联的发展背景下,信息安全尤其重要。访问控制作为信息安全的重要组成部分,既可对用户访问信息系统进行身份鉴别,又可细粒度控制用户对信息的访问权限。数据库作为信息系统的基础软件,承担着数据存储的责任,需要保证信息的完整性、保密性和可用性,就需要进行严格的访问控制。
以下为部分内容节选,点击视频查看完整版内容。
二、访问控制模型简介
访问控制核心功能和要素
访问控制的核心功能:身份鉴别和资源访问控制,具体体现在以下四个方面:允许合法的主体进入受保护的系统;禁止非法的主体进入受保护的系统;允许合法的主体对受保护的资源进行授权的访问;禁止合法的主体对受保护的资源进行非授权的访问。
访问控制的三要素是:主体、客体和控制策略:
- 主体,请求访问资源的实体,可以是系统用户、进程或设备等;
- 客体,被访问的资源实体,可以是文件或数据库对象等;
- 控制策略,是属性集合,可以是读、写或执行等。
身份鉴别
1、基于口令的身份鉴别
通过用户名和密码进行身份鉴别,大多数信息系统都会采用该方法。
2、基于证书的身份鉴别
通过签名证书进行身份鉴别,使用较多的是 TLS(Transport Layer Security,传输层安全协议)证书。该方法既可以对证书的合法性进行验证,同时对证书与系统相结合的信息进行验证。证书的合法性验证,一般需要验证证书的有效性(证书在有效期内)和可信性(证书链可信)。与系统相结合的信息,一般是 Common Name 与系统用户的信息相关。
3、基于三方认证中心的身份鉴别
在业务复杂或者子系统较多的信息系统中,很有必要使用统一的认证中心进行身份鉴别。常用的统一身份认证架构有 LDAP、Radius、GSSAPI 等。GSSAPI 的具体实现较多,例如 KerberosV5、NTLM 和 SPNEGO。
4、基于生物特征的身份鉴别
依据每个用户的唯一生物特征进行鉴别,包括指纹、声音、面部识别、虹膜、笔迹、手形、掌纹等。
5、基于硬件设备的身份鉴别
使用与身份绑定的硬件设备,
最低0.47元/天 解锁文章
扫一扫
4
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
