訪問(wèn)控制模型簡(jiǎn)介課件_第1頁(yè)
訪問(wèn)控制模型簡(jiǎn)介課件_第2頁(yè)
訪問(wèn)控制模型簡(jiǎn)介課件_第3頁(yè)
訪問(wèn)控制模型簡(jiǎn)介課件_第4頁(yè)
訪問(wèn)控制模型簡(jiǎn)介課件_第5頁(yè)
已閱讀5頁(yè),還剩9頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、訪問(wèn)控制模型簡(jiǎn)介2012年3月21日第1頁(yè),共14頁(yè)。主要內(nèi)容一、什么是訪問(wèn)控制二、DAC模型三、MAC模型四、RBAC模型五、LBAC模型第2頁(yè),共14頁(yè)。訪問(wèn)控制是指控制對(duì)一臺(tái)計(jì)算機(jī)或一個(gè)網(wǎng)絡(luò)中的某個(gè)資源的訪問(wèn) 有了訪問(wèn)控制,用戶在獲取實(shí)際訪問(wèn)資源或進(jìn)行操作之前,必須通過(guò)識(shí)別、驗(yàn)證、授權(quán)。一、什么是訪問(wèn)控制第3頁(yè),共14頁(yè)。二、DAC模型Discretionary Access Control(DAC)自主訪問(wèn)控制模型 自主訪問(wèn)控制模型是根據(jù)自主訪問(wèn)控制策略建立的一種模型,允許合法用戶以用戶或用戶組的身份訪問(wèn)策略規(guī)定的客體,同時(shí)阻止非授權(quán)用戶訪問(wèn)客體,某些用戶還可以自主地把自己所擁有的客體

2、的訪問(wèn)權(quán)限授予其他用戶第4頁(yè),共14頁(yè)。自主訪問(wèn)控制模型的特點(diǎn)是授權(quán)的實(shí)施主體(可以授權(quán)的主體、管理授權(quán)的客體、授權(quán)組)自主負(fù)責(zé)賦予和回收其他主體對(duì)客體資源的訪問(wèn)權(quán)限。DAC模型一般采用訪問(wèn)控制矩陣和訪問(wèn)控制列表來(lái)存放不同主體的訪問(wèn)控制信息,從而達(dá)到對(duì)主體訪問(wèn)權(quán)限限制的目的。 DAC模型特點(diǎn)第5頁(yè),共14頁(yè)。 訪問(wèn)控制矩陣按列看是訪問(wèn)控制表內(nèi)容 按行看是訪問(wèn)能力表內(nèi)容第6頁(yè),共14頁(yè)。 訪問(wèn)控制表每個(gè)客體附加一個(gè)它可以訪問(wèn)的主體的明細(xì)表。第7頁(yè),共14頁(yè)。 三、MAC模型Mandatory Access Control(MAC)強(qiáng)制訪問(wèn)控制在MAC這種模型里,管理員管理訪問(wèn)控制。管理員制定策略

3、,用戶不能改變它。策略定義了哪個(gè)主體能訪問(wèn)哪個(gè)對(duì)象。這種訪問(wèn)控制模型可以增加安全級(jí)別,因?yàn)樗诓呗?,任何沒(méi)有被顯式授權(quán)的操作都不能執(zhí)行第8頁(yè),共14頁(yè)。強(qiáng)制訪問(wèn)控制(MAC)的主要特征是對(duì)所有主體及其所控制的客體(例如:進(jìn)程、文件、段、設(shè)備)實(shí)施強(qiáng)制訪問(wèn)控制。為這些主體及客體指定敏感標(biāo)記,這些標(biāo)記是等級(jí)分類和非等級(jí)類別的組合,它們是實(shí)施強(qiáng)制訪問(wèn)控制的依據(jù)系統(tǒng)通過(guò)比較主體和客體的敏感標(biāo)記來(lái)決定一個(gè)主體是否能夠訪問(wèn)某個(gè)客體。用戶的程序不能改變他自己及任何其它客體的敏感標(biāo)記,從而系統(tǒng)可以防止特洛伊木馬的攻擊 MAC特點(diǎn)第9頁(yè),共14頁(yè)。 MAC的安全級(jí)別強(qiáng)制訪問(wèn)策略將每個(gè)用戶及文件賦于一個(gè)訪問(wèn)級(jí)別

4、,如,最高秘密級(jí),秘密級(jí),機(jī)密級(jí)及無(wú)級(jí)別級(jí)。其級(jí)別為依次降低,系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來(lái)決定訪問(wèn)模式。訪問(wèn)模式包括:下讀:用戶級(jí)別大于文件級(jí)別的讀操作;上寫(xiě):用戶級(jí)別小于文件級(jí)別的寫(xiě)操作;下寫(xiě):用戶級(jí)別等于文件級(jí)別的寫(xiě)操作;上讀:用戶級(jí)別小于文件級(jí)別的讀操作;第10頁(yè),共14頁(yè)。Role Based Access Control(RBAC)基于角色的訪問(wèn)控制管理員定義一系列角色(roles)并把它們賦予主體。系統(tǒng)進(jìn)程和普通用戶可能有不同的角色。設(shè)置對(duì)象為某個(gè)類型,主體具有相應(yīng)的角色就可以訪問(wèn)它。這樣就把管理員從定義每個(gè)用戶的許可權(quán)限的繁冗工作中解放出來(lái) 四、RBAC模型第11頁(yè),共14頁(yè)。

5、 RBAC特點(diǎn)RBAC模型是20世紀(jì)90年代研究出來(lái)的一種新模型,從本質(zhì)上講,這種模型是對(duì)前面描述的訪問(wèn)矩陣模型的擴(kuò)展。這種模型的基本概念是把許可權(quán)(Permission)與角色(Role)聯(lián)系在一起,用戶通過(guò)充當(dāng)合適角色的成員而獲得該角色的許可權(quán)第12頁(yè),共14頁(yè)。 五、LBAC模型現(xiàn)有的基于層次的訪問(wèn)控制模型(LBAC)就是基于工作流視角的。它通常被用于由多個(gè)工作流管理系統(tǒng)實(shí)現(xiàn)的組織間(inter-organizational)工作流。原因是LBAC采用了一個(gè)獨(dú)立的訪問(wèn)層(Access Layer,AC),它封裝了該組織的訪問(wèn)控制系統(tǒng)。由訪問(wèn)層將組織內(nèi)的工作流轉(zhuǎn)化為組織間的工作流,而采用同樣的方式對(duì)組織內(nèi)和組織間的工作流

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論