中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之訪問控制技術(shù)與模型

       下面是由希賽小編整理的中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之訪問控制技術(shù)與模型，希望能幫助學(xué)友們。具體內(nèi)容如下：

       訪問控制技術(shù)

       訪問控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問。包括3個(gè)要素，即主體、客體和控制策略。

       主體：是指一個(gè)提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者。主體可以是一個(gè)計(jì)算機(jī)資源（物理設(shè)備、數(shù)據(jù)文件、內(nèi)存或進(jìn)程）或一個(gè)合法用戶。

       客體：是接受其他實(shí)體訪問的被動(dòng)實(shí)體。凡是可以被操作的信息、資源、對(duì)象都可以認(rèn)為是客體?？腕w可以是數(shù)據(jù)、文件、記錄的集合體，甚至是網(wǎng)路上的硬件設(shè)備。

       控制策略：是主體對(duì)客體的操作行為集和約束條件集。即主體對(duì)客體的訪問規(guī)則集，定義了主體可以實(shí)施的作用行為和客體對(duì)主體的條件約束，體現(xiàn)了一種授權(quán)行為。

       訪問控制模型

       1985年美國軍方提出可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC)，其中描述了兩種訪問控制策略：自主訪問控制模型（DAC)和強(qiáng)制訪問控制模型（MAC)。1992年，F(xiàn)erraiolo和Kuhn又提出了基于角色的訪問控制（RBAC),后來，又出現(xiàn)了基于任務(wù)和基于對(duì)象的訪問控制模型。

       1.自主訪問控制橫型

       自主訪問控制模型（DiscretionaryAccessControlModel,DACModel)是根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權(quán)限授予其他用戶。Linux,UNIX,WindowsNT或是Server版本的操作系統(tǒng)都提供自主訪問控制的功能。

       在實(shí)現(xiàn)上，首先要對(duì)用戶的身份進(jìn)行鑒別，然后可以按照訪問控制列表所陚予用戶的權(quán)限允許和限制用戶使用客體的資源。

       2.強(qiáng)制訪問控制橫型

       強(qiáng)制訪問控制模型（MandatoryAccessControlModel,MACModel)是一種比DAC更為嚴(yán)格的訪問控制策略。和DAC模型不同，MAC是一種多級(jí)訪問控制策略。

       MAC通過分級(jí)的安全標(biāo)簽實(shí)現(xiàn)信息的單向流通，具體模型有：Bell-LaPadula模型和Biba模型。Bell-LaPadula模型具有只允許向下讀、向上寫的特點(diǎn)，可以有效地防止機(jī)密信息向下級(jí)泄露：Biba模型則具有不允許向下讀、向上寫的特點(diǎn)，可以有效地保護(hù)數(shù)據(jù)的完整性。

       3.基于角色的訪問控制模型

       基于角色的訪問控制模型（Role-basedAccessModel,RBACModel)的基本思想是將訪問許可權(quán)分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。

       RBAC從控制主體的角度出發(fā)，根據(jù)管理中相對(duì)穩(wěn)定的職權(quán)和責(zé)任來劃分角色，將訪問權(quán)限與角色相聯(lián)系。角色成為訪問控制中訪問主體和受控對(duì)象之間的一座橋梁。

       角色可以看做是一組操作的集合，不同的角色具有不同的操作集，這呰操作集由系統(tǒng)管理員分配給角色。

       4.基于任務(wù)的訪問控制橫型

       上述幾個(gè)訪問控制模型都是從系統(tǒng)的角度出發(fā)去保護(hù)資源,沒有考慮執(zhí)行的上下文環(huán)境，也不能記錄主體對(duì)客體權(quán)限的使用，限制使用時(shí)間。如果為了完成一個(gè)任務(wù)而頻繁變動(dòng)角色，改變?cè)L問對(duì)象，使用這些模型就非常不便。因此，引入工作流概念和基于任務(wù)的訪問控制模型（Task-basedAccessControlModel,TBACModel)。工作流是為完成某一目標(biāo)而由多個(gè)相關(guān)的任務(wù)（活動(dòng)）構(gòu)成的業(yè)務(wù)流程。當(dāng)數(shù)據(jù)在工作流中流動(dòng)時(shí)，執(zhí)行操作的用戶在改變，用戶的權(quán)限也在改變。

       TBAC從應(yīng)用和企業(yè)層角度來解決安全問題，以面向任務(wù)的觀點(diǎn)，從任務(wù)（活動(dòng)）的角度來建立安全模型和實(shí)現(xiàn)安全機(jī)制，在任務(wù)處理的過程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理。

       在TBAC中，對(duì)象的訪問權(quán)限控制隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，不僅可以對(duì)不同工作流實(shí)行不同的訪問控制策略，而且還能對(duì)同一工作流的不同任務(wù)實(shí)例實(shí)行不同的訪問控制策略。從這個(gè)意義上說.TBAC是基于任務(wù)的，是一種基于實(shí)例（instance-based)的訪問控制模型。

       5.基于對(duì)象的訪問控制橫型

       當(dāng)用戶數(shù)鋨多、處理的信息數(shù)據(jù)量巨大時(shí)，用戶權(quán)限的管理任務(wù)將變得十分繁重，應(yīng)用DAC或MAC模型進(jìn)行訪問控制顯然就不夠了。如果采用RBAC模型，安全管理員除了維護(hù)用戶和角色的關(guān)聯(lián)關(guān)系外，還需要將龐大的信息資源訪問權(quán)限陚予有限個(gè)角色。當(dāng)信息資源的種類增加或減少，受控對(duì)象的厲性發(fā)生變化，安全管理員必須隨時(shí)更新所有角色的訪問權(quán)限，增加新的角色。而訪問控制需求變化往往是不可預(yù)知的，這樣，訪問控制管理的難度和工作量巨大。針對(duì)這種情況，引入了基于受控對(duì)象的訪問控制模型（Object-basedAccessControlModel,OBACModel)。

       OBAC模型針對(duì)數(shù)據(jù)差異變化和用戶需求變化，從受控對(duì)象的角度出發(fā)，將訪問主體的訪問權(quán)限直接與受控對(duì)象相關(guān)聯(lián)，定義了對(duì)象的訪問控制列表，增、刪、修改訪問控制項(xiàng)等，當(dāng)受控對(duì)象的屬性發(fā)生改變，或者受控對(duì)象發(fā)生繼承和派生行為時(shí)，無需更新訪問主體的權(quán)限，只需要修改受控對(duì)象的相應(yīng)訪問控制項(xiàng)即可，從而減少了訪問主體的權(quán)限管理，降低了授權(quán)數(shù)據(jù)管理的復(fù)染性。

       返回目錄：中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之網(wǎng)絡(luò)安全技術(shù)匯總

       >>>>>點(diǎn)擊立即參加報(bào)名培訓(xùn)

       相關(guān)推薦：

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱