互聯(lián)網(wǎng)技術培訓訪問控制模型

互聯(lián)網(wǎng)技術 責任編輯:xianyu018 2013-09-08

摘要:視頻教程在線輔導面授招生考試大綱指定教材報名時間9.2.1訪問控制模型1985年美國軍方提出可信計算機系統(tǒng)評估準則(TCSEC),其中描述了兩種訪問控制策略:自主訪問控制模型(DAC)和強制訪問控制模型(MAC)。1992年,F(xiàn)erraiolo和Kuhn又提出了基于角色的訪問控制(RBAC),后來,又出現(xiàn)了基于任務和基于對象的訪問控制模型。1.

    在線輔導 面授招生 考試大綱 指定教材 報名時間

9.2.1 訪問控制模型

1985年美國軍方提出可信計算機系統(tǒng)評估準則(TCSEC),其中描述了兩種訪問控制策略:自主訪問控制模型(DAC)和強制訪問控制模型(MAC)。1992年,F(xiàn)erraiolo和Kuhn又提出了基于角色的訪問控制(RBAC),后來,又出現(xiàn)了基于任務和基于對象的訪問控制模型。

1.自主訪問控制橫型

自主訪問控制模型(DiscretionaryAccessControlModel,DACModel)是根據(jù)自主訪問控制策略建立的一種模型,允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體,同時阻止非授權用戶訪問客體,某些用戶還可以自主地把自己所擁有的客體的訪問權限授予其他用戶。Linux,UNIX,WindowsNT或是Server版本的操作系統(tǒng)都提供自主訪問控制的功能。

在實現(xiàn)上,首先要對用戶的身份進行鑒別,然后可以按照訪問控制列表所陚予用戶的權限允許和限制用戶使用客體的資源。

2.強制訪問控制橫型

強制訪問控制模型(MandatoryAccessControlModel,MACModel)是一種比DAC更為嚴格的訪問控制策略。和DAC模型不同,MAC是一種多級訪問控制策略。

MAC通過分級的安全標簽實現(xiàn)信息的單向流通,具體模型有:Bell-LaPadula模型和Biba模型。Bell-LaPadula模型具有只允許向下讀、向上寫的特點,可以有效地防止機密信息向下級泄露:Biba模型則具有不允許向下讀、向上寫的特點,可以有效地保護數(shù)據(jù)的完整性。

3.基于角色的訪問控制模型

基于角色的訪問控制模型(Role-basedAccessModel,RBACModel)的基本思想是將訪問許可權分配給一定的角色,用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。

RBAC從控制主體的角度出發(fā),根據(jù)管理中相對穩(wěn)定的職權和責任來劃分角色,將訪問權限與角色相聯(lián)系。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。

角色可以看做是一組操作的集合,不同的角色具有不同的操作集,這呰操作集由系統(tǒng)管理員分配給角色。

4.基于任務的訪問控制橫型

上述幾個訪問控制模型都是從系統(tǒng)的角度出發(fā)去保護資源,沒有考慮執(zhí)行的上下文環(huán)境,也不能記錄主體對客體權限的使用,限制使用時間。如果為了完成一個任務而頻繁變動角色,改變訪問對象,使用這些模型就非常不便。因此,引入工作流概念和基于任務的訪問控制模型(Task-basedAccessControlModel,TBACModel)。工作流是為完成某一目標而由多個相關的任務(活動)構成的業(yè)務流程。當數(shù)據(jù)在工作流中流動時,執(zhí)行操作的用戶在改變,用戶的權限也在改變。

TBAC從應用和企業(yè)層角度來解決安全問題,以面向任務的觀點,從任務(活動)的角度來建立安全模型和實現(xiàn)安全機制,在任務處理的過程中提供動態(tài)實時的安全管理。

在TBAC中,對象的訪問權限控制隨著執(zhí)行任務的上下文環(huán)境發(fā)生變化,不僅可以對不同工作流實行不同的訪問控制策略,而且還能對同一工作流的不同任務實例實行不同的訪問控制策略。從這個意義上說.TBAC是基于任務的,是一種基于實例(instance-based)的訪問控制模型。

5.基于對象的訪問控制橫型

當用戶數(shù)鋨多、處理的信息數(shù)據(jù)量巨大時,用戶權限的管理任務將變得十分繁重,應用DAC或MAC模型進行訪問控制顯然就不夠了。如果采用RBAC模型,安全管理員除了維護用戶和角色的關聯(lián)關系外,還需要將龐大的信息資源訪問權限陚予有限個角色。當信息資源的種類增加或減少,受控對象的厲性發(fā)生變化,安全管理員必須隨時更新所有角色的訪問權限,增加新的角色。而訪問控制需求變化往往是不可預知的,這樣,訪問控制管理的難度和工作量巨大。針對這種情況,引入了基于受控對象的訪問控制模型(Object-basedAccessControlModel,OBACModel)。

OBAC模型針對數(shù)據(jù)差異變化和用戶需求變化,從受控對象的角度出發(fā),將訪問主體的訪問權限直接與受控對象相關聯(lián),定義了對象的訪問控制列表,增、刪、修改訪問控制項等,當受控對象的屬性發(fā)生改變,或者受控對象發(fā)生繼承和派生行為時,無需更新訪問主體的權限,只需要修改受控對象的相應訪問控制項即可,從而減少了訪問主體的權限管理,降低了授權數(shù)據(jù)管理的復染性。

返回目錄:通信工程師互聯(lián)網(wǎng)技術培訓網(wǎng)絡安全匯總

編輯相關推薦:

互聯(lián)網(wǎng)技術考試局域網(wǎng)和城域網(wǎng)匯總

通信工程師考試培訓互聯(lián)網(wǎng)技術重點匯總

通信工程師互聯(lián)網(wǎng)技術考試網(wǎng)絡操作系統(tǒng)

通信工程師考試培訓互聯(lián)網(wǎng)交換技術教程

更多資料
更多課程
更多真題
溫馨提示:因考試政策、內容不斷變化與調整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請考生以權威部門公布的內容為準!

通信工程師備考資料免費領取

去領取

距離2025 通信工程師考試

還有
  • 3
  • 1
  • 3
專注在線職業(yè)教育23年

項目管理

信息系統(tǒng)項目管理師

廠商認證

信息系統(tǒng)項目管理師

信息系統(tǒng)項目管理師

!
咨詢在線老師!