访问控制是确保系统安全的关键机制,包括自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。DAC允许客体自身设定访问权限,如能力表、前缀表和口令;MAC基于安全级别和范畴限制访问;RBAC通过角色分配权限;ABAC则根据主体、客体和环境属性决定访问权限。Unix/Linux采用基于列的访问控制,如保护位和ACL。
访问控制
概述
def: 指对资源对象的访问者授权、控制的方式及运行机制。
访问者(用户、进程、应用程序等)又称主体,资源对象(文件、应用服务、数据等)又称客体,授权(读写删除),控制就是对访问者使用方式的检测和限制所做的决策(拒绝访问、授权许可)
访问控制的目的:
一、防止非法用户进入系统
二、阻止合法用户对系统资源的非法使用(越权)
访问控制模型
抽象成
主要组成元素: 主体、参考监视器、访问控制数据库、审计库、客体。
访问控制类型
❤自主访问控制(DAC):
客体依照自身安全策略对系统用户授予访问权限,分为两类:
🌞基于行的自主访问控制: 为主体附加一个可以访问客体的明细表,可分为三种形式:
| 表中形式 | 描述 |
|---|---|
| 能力表 | 能力是访问客体的钥匙,决定访问客体及访问方式 |
| 前缀表 | 包括受保护客体名及对它的访问权限 |
| 口令 | 在基于口令的自主存取机制中,客体有对应口令,主体访问需要口令 |
🌞基于列的自主访问控制: 为每个客体附加一个访问他的主体的明细表。有两种形式:
| 表中形式 | 描述 |
|---|---|
| 保护位 | Unix/Linux所用访问控制方法,对所有主体、主体组以及客体的拥有者指明一个访问模型集合。通常用比特位表示。 |
| 访问控制表(ACL) | 在每个客体上附加一个主体明细表,表示访问控制矩阵。 |
❤强制访问控制(MAC):
条件:主体的安全级别不小于客体的安全级别,并且进程的范畴包含文件的范畴,才可以访问,否则就拒绝。
❤基于角色的访问控制(RBAC):
通过分配和取消角色来完成用户权限的授权和取消。
RBAC包括:用户(U)、角色(R)、会话(S)和权限(P)四个基本要素。
过程:访问权限与角色相关联、角色再与用户相关联。实现用户与访问权限的逻辑分离。
❤基于属性的访问控制(ABAC):
根据主体的属性、客体的属性、环境的条件以及访问控制策略对主体的请求操作进行授权许可或拒绝。
策略实现设计及实现
组成:
过程与安全管理
主要产品&技术指标
访问控制技术应用
🉑Unix/Linux: 参考基于列。。
🉑其他:
扫一扫
3623
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
