大數(shù)據(jù)中的訪問控制技術(shù)_第1頁
大數(shù)據(jù)中的訪問控制技術(shù)_第2頁
大數(shù)據(jù)中的訪問控制技術(shù)_第3頁
大數(shù)據(jù)中的訪問控制技術(shù)_第4頁
大數(shù)據(jù)中的訪問控制技術(shù)_第5頁
已閱讀5頁,還剩32頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

大數(shù)據(jù)中的訪問控制技術(shù)什么是大數(shù)據(jù)?歷史:

“大數(shù)據(jù)”這個(gè)術(shù)語最早期的引用可追溯到apacheorg的開源項(xiàng)目Nutch。當(dāng)時(shí),大數(shù)據(jù)用來描述為更新網(wǎng)絡(luò)搜索索引需要同時(shí)進(jìn)行批量處理或分析的大量數(shù)據(jù)集。隨著谷歌MapReduce和GoogleFileSystem(GFS)的發(fā)布,大數(shù)據(jù)不再僅用來描述大量的數(shù)據(jù),還涵蓋了處理數(shù)據(jù)的速度。大數(shù)據(jù)的定義

對(duì)于“大數(shù)據(jù)”(Bigdata)研究機(jī)構(gòu)Gartner給出了這樣的定義?!按髷?shù)據(jù)”是需要新處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)。大數(shù)據(jù)的意義

大數(shù)據(jù)技術(shù)的戰(zhàn)略意義不在于掌握龐大的數(shù)據(jù)信息,而在于對(duì)這些含有意義的數(shù)據(jù)進(jìn)行專業(yè)化處理。換言之,如果把大數(shù)據(jù)比作一種產(chǎn)業(yè),那么這種產(chǎn)業(yè)實(shí)現(xiàn)盈利的關(guān)鍵,在于提高對(duì)數(shù)據(jù)的“加工能力”,通過“加工”實(shí)現(xiàn)數(shù)據(jù)的“增值”。大數(shù)據(jù)的關(guān)鍵技術(shù)

大數(shù)據(jù)技術(shù),就是從各種類型的數(shù)據(jù)中快速獲得有價(jià)值信息的技術(shù)。大數(shù)據(jù)領(lǐng)域已經(jīng)涌現(xiàn)出了大量新的技術(shù),它們成為大數(shù)據(jù)采集、存儲(chǔ)、處理和呈現(xiàn)的有力武器。

大數(shù)據(jù)處理關(guān)鍵技術(shù)一般包括:大數(shù)據(jù)采集、大數(shù)據(jù)預(yù)處理、大數(shù)據(jù)存儲(chǔ)及管理、大數(shù)據(jù)分析及挖掘、大數(shù)據(jù)展現(xiàn)和應(yīng)用(大數(shù)據(jù)檢索、大數(shù)據(jù)可視化、大數(shù)據(jù)應(yīng)用、大數(shù)據(jù)安全等)。訪問控制技術(shù)

防止對(duì)任何資源進(jìn)行未授權(quán)的訪問,從而使計(jì)算機(jī)系統(tǒng)在合法的范圍內(nèi)使用。意指,用戶身份及其所歸屬的某項(xiàng)定義組來限制用戶對(duì)某些信息項(xiàng)的訪問,或限制對(duì)某些控制功能的使用的一種技術(shù),如UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的原理就是基于此技術(shù)之上。訪問控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。大數(shù)據(jù)中的訪問控制訪問控制模型

自主訪問控制(DAC)

強(qiáng)制訪問控制(MAC)信息流模型基于角色的訪問控制模型(RBAC)PDR擴(kuò)展模型大數(shù)據(jù)中的訪問控制訪問控制策略

基于身份的安全策略

基于規(guī)則的安全策略訪問控制與授權(quán)(權(quán)限控制)訪問控制與審計(jì)(操作日志)訪問控制模型自主訪問控制(DAC)

自主訪問控制(DiscretionaryAccessControl,DAC)是這樣的一種控制方式,由客體的屬主對(duì)自己的客體進(jìn)行管理,由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體,這種控制方式是自主的。也就是說,在自主訪問控制下,用戶可以按自己的意愿,有選擇地與其他用戶共享他的文件。

自主訪問控制是保護(hù)系統(tǒng)資源不被非法訪問的一種有效手段。但是這種控制是自主的,即它是以保護(hù)用戶的個(gè)人資源的安全為目標(biāo)并以個(gè)人的意志為轉(zhuǎn)移的。

自主訪問控制是一種比較寬松的訪問控制,一個(gè)主題的訪問權(quán)限具有傳遞性。

計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基定義和控制系統(tǒng)中命名用戶對(duì)命名客體的訪問。

實(shí)施機(jī)制(例如:訪問控制表)允許命名用戶以用戶和(或)用戶組的身份規(guī)定并控制客體的共享;阻止非授權(quán)用戶讀取敏感信息。并控制訪問權(quán)限擴(kuò)散。

自主訪問控制機(jī)制根據(jù)用戶指定方式或默認(rèn)方式,阻止非授權(quán)用戶訪問客體。訪問控制的粒度是單個(gè)用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對(duì)客體的訪問權(quán)。阻止非授權(quán)用戶讀取敏感信息。自主訪問控制的標(biāo)準(zhǔn)自主訪問控制有兩個(gè)至關(guān)重要的標(biāo)準(zhǔn):(1)文件和數(shù)據(jù)的所有權(quán):系統(tǒng)中的每個(gè)物體都有所有者。在大多數(shù)DAC系統(tǒng)中,物體的所有者是產(chǎn)生這個(gè)物體的人(或事件,或另一個(gè)物體)。那么次物體的自主訪問控制權(quán)限由它的產(chǎn)生著決定;(2)訪問權(quán)限及獲批:物體的所有者擁有訪問權(quán)限,并且可以批準(zhǔn)他人試圖訪問的請(qǐng)求。自主訪訪問控控制的的優(yōu)缺缺點(diǎn)優(yōu)點(diǎn)主體對(duì)對(duì)授權(quán)權(quán)過程程具有有極大大的靈靈活性性缺點(diǎn)權(quán)限的的授予予過程程存在在鏈?zhǔn)绞浇Y(jié)構(gòu)構(gòu),它它能控控制主主體能能否直直接獲獲得對(duì)對(duì)客體體的訪訪問權(quán)權(quán)限但但不能能控制制主體體間接接獲得得對(duì)客客體的的訪問問權(quán)限限。其其安全全性能能相對(duì)對(duì)較低低在權(quán)限管理理方面,系系統(tǒng)需要維維護(hù)不同主主體對(duì)不同同客體的不不同訪問權(quán)權(quán)限之間的的關(guān)系,權(quán)權(quán)限管理復(fù)復(fù)雜性較高高訪問控制模模型強(qiáng)制訪問控控制(MAC)概念:在自自主訪問控控制的基礎(chǔ)礎(chǔ)上,增加加了對(duì)資源源的屬性((安全屬性性)劃分,,規(guī)定不同同屬性下的的訪問權(quán)限限。特點(diǎn):(1)將主體和和客體分級(jí)級(jí),根據(jù)主主體和客體體的級(jí)別標(biāo)標(biāo)記來決定定訪問模式式。(2)其訪問控控制關(guān)系分分為:上讀讀/下寫,下讀讀/上寫。(3)通過梯度度安全標(biāo)簽簽實(shí)現(xiàn)單向向信息流通通模式。安全屬性四四個(gè)級(jí)別的的規(guī)定T>C>S>UT:絕密級(jí)((TopSecret)C:機(jī)密級(jí)((Confidential)S:秘密級(jí)((Secret)U:無級(jí)別級(jí)級(jí)(Unclassified)四種強(qiáng)制訪訪問控制策策略規(guī)定下讀:用戶戶級(jí)別大于于文件級(jí)別別的讀操作作上寫:用戶戶級(jí)別低于于文件級(jí)別別的寫操作作下寫:用戶戶級(jí)別大于于文件級(jí)別別的寫操作作上讀:用戶戶級(jí)別低于于文件級(jí)別別的讀操作作強(qiáng)制訪問控控制的優(yōu)缺缺點(diǎn)優(yōu)點(diǎn):權(quán)限授予過過程中,不不僅需要檢檢查主體是是否對(duì)客體體具有操作作權(quán)限,還還需要檢查查主、客體體的安全屬屬性是否符符合要求,,使得授權(quán)權(quán)過程更加加安全。強(qiáng)制訪問控控制的優(yōu)缺缺點(diǎn)缺點(diǎn):權(quán)限管理系系統(tǒng)必須按按照系統(tǒng)規(guī)規(guī)定為每個(gè)個(gè)主體或客客體分配安安全屬性,,并且需要要仔細(xì)定義義主、客體體安全屬性性之間的對(duì)對(duì)應(yīng)關(guān)系,,從而防止止合法用戶戶不能對(duì)授授權(quán)客體進(jìn)進(jìn)行操作,,以及非法法主體能夠夠?qū)ξ词跈?quán)權(quán)的客體進(jìn)進(jìn)行操作的的現(xiàn)象,其其權(quán)限管理理難度較大大。模型中可信信主體不受受特性約束束訪問權(quán)限限太大,不不符合最小小特權(quán)原則則,難于應(yīng)應(yīng)付訪問權(quán)權(quán)限具有很很多微小差差別的情況況,應(yīng)對(duì)可可信主體的的操作權(quán)限限和應(yīng)用范范圍進(jìn)一步步細(xì)化。信息流模型型從安全模型型所控制的的對(duì)象來看看,一般有有兩種不同同的方法來來建立安全全模型:一一種是信息息流模型,,另一種是是訪問控制制模型。信息流模型型主要著眼眼于對(duì)客體體之間的信信息傳輸過過程的控制制,通過對(duì)對(duì)信息流向向的分析可可以發(fā)現(xiàn)系系統(tǒng)中存在在的隱蔽通通道,并設(shè)設(shè)法予以堵堵塞。信息息流是信息息根據(jù)某種種因果關(guān)系系的流動(dòng),,信息流總總是從舊狀狀態(tài)的變量量流向新狀狀態(tài)的變量量。信息流流模型的出出發(fā)點(diǎn)是徹徹底切斷系系統(tǒng)中信息息流的隱蔽蔽通道,防防止對(duì)信息息的竊取。。隱蔽通道道就是指系系統(tǒng)中非正正常使用的的、不受強(qiáng)強(qiáng)制訪問控控制正規(guī)保保護(hù)的通信信方式。隱隱蔽通道的的存在顯然然危及系統(tǒng)統(tǒng)敏感信息息的保護(hù)。。信息流模型型需要遵守守的安全規(guī)規(guī)則是:在在系統(tǒng)狀態(tài)態(tài)轉(zhuǎn)換時(shí),,信息流只只能從訪問問級(jí)別低的的狀態(tài)流向向訪問級(jí)別別高的狀態(tài)態(tài)。信息流流模型實(shí)現(xiàn)現(xiàn)的關(guān)鍵在在于對(duì)系統(tǒng)統(tǒng)的描述,,即對(duì)模型型進(jìn)行徹底底的信息流流分析,找找出所有的的信息流,,并根據(jù)信信息流安全全規(guī)則判斷斷其是否為為異常流。。若是就反反復(fù)修改系系統(tǒng)的描述述或模型,,直到所有有的信息流流都不是異異常流為止止。信息流流模型是一一種基于事事件或蹤跡跡的模型,,其焦點(diǎn)是是系統(tǒng)用戶戶可見的行行為?,F(xiàn)有有的信息流流模型無法法直接指出出那種內(nèi)部部信息流是是被允許的的,哪種是是不被允許許的,因此此在實(shí)際系系統(tǒng)中的實(shí)實(shí)現(xiàn)和驗(yàn)證證中沒有太太多的幫助助和指導(dǎo)。?;诮巧牡脑L問控制制模型(RBAC))基本定義角色:指一一個(gè)或一組組用戶在組組織內(nèi)可執(zhí)執(zhí)行的操作作的集合。。角色就充充當(dāng)著主體體(用戶))和客體之之間的關(guān)鍵鍵橋梁。角色授權(quán)::每個(gè)角色色與一組有有關(guān)的操作作相互關(guān)聯(lián)聯(lián),角色所所屬的用戶戶有權(quán)執(zhí)行行這些操作作。角色與組::-組:一組用用戶的集合合。-角色:一個(gè)個(gè)用戶/一組用戶的的集合+一組操作權(quán)權(quán)限的集合合?;舅枷朐L問控制的的過程與訪訪問者的身身份認(rèn)證密密切相關(guān),,通過確定定該合法訪訪問者的身身份來確定定訪問者在在系統(tǒng)中對(duì)對(duì)哪類信息息有什么樣樣的訪問權(quán)權(quán)限。一個(gè)個(gè)訪問者可可以充當(dāng)多多個(gè)角色,,一個(gè)角色色也可以由由多個(gè)訪問問者擔(dān)任。。RBAC模模型的基本本結(jié)構(gòu)模型中以角角色作為訪訪問控制的的核心,用用戶以什么么樣的角色色對(duì)資源進(jìn)進(jìn)行訪問,,決定了用用戶擁有的的權(quán)限以及及可執(zhí)行何何種操作。。采用了角角色的授權(quán)權(quán)規(guī)定對(duì)于于用戶是一一種強(qiáng)制性性的規(guī)定,,用戶不能能自主的將將訪問權(quán)限限傳給他人人。RBAC模模型基本原原理圖RBAC模模型特點(diǎn)基于用戶角角色對(duì)客體體執(zhí)行訪問問控制。權(quán)限同角色色關(guān)聯(lián),角角色比用戶戶本身更為為穩(wěn)定。用戶和適當(dāng)當(dāng)?shù)慕巧P(guān)關(guān)聯(lián):用戶在系統(tǒng)統(tǒng)里表現(xiàn)出出一定的活活動(dòng)性質(zhì),,這種活動(dòng)動(dòng)性質(zhì)表明明用戶充當(dāng)當(dāng)了一定的的角色。用用戶訪問系系統(tǒng)執(zhí)行相相關(guān)操作時(shí)時(shí),系統(tǒng)必必須先檢查查用戶的角角色,核對(duì)對(duì)該角色是是否具有執(zhí)執(zhí)行相關(guān)操操作的權(quán)限限。一個(gè)用用戶可以充充當(dāng)多個(gè)角角色,一個(gè)個(gè)角色也可可以由多個(gè)個(gè)用戶擔(dān)任任。用戶與角色色關(guān)聯(lián)的方方式,便于于授權(quán)管理理、根據(jù)工工作需要分分級(jí)、賦予予最小特權(quán)權(quán)、任務(wù)分分擔(dān)以及文文件分級(jí)管管理。用戶、角色色、權(quán)限三三者相互獨(dú)獨(dú)立的結(jié)構(gòu)構(gòu)保證了授授權(quán)過程的的靈活性。。PDR擴(kuò)展展模型示意意圖訪問控制策策略基于身份的的安全策略略(IDBACP)目的是過濾濾對(duì)數(shù)據(jù)或或資源的訪訪問,只有有能通過認(rèn)認(rèn)證的那些些主體才有有可能正常常使用客體體的資源。。----基于個(gè)人的的策略----基于組的策策略基于個(gè)人的的策略基于組的策策略訪問控制策策略基于規(guī)則的的安全策略略(1)授權(quán)通常常依賴于敏敏感性。在在一個(gè)安全全系統(tǒng)中,,數(shù)據(jù)或資資源應(yīng)該標(biāo)標(biāo)注安全標(biāo)標(biāo)記,代表表用戶進(jìn)行行活動(dòng)的進(jìn)進(jìn)程可以得得到與其原原發(fā)者相應(yīng)應(yīng)的安全標(biāo)標(biāo)記。(2)實(shí)現(xiàn)上,,由系統(tǒng)通通過比較用用戶的安全全級(jí)別和客客體資源的的安全級(jí)別別來判斷是是否允許用用戶進(jìn)行訪訪問。訪問控制與與授權(quán)(權(quán)權(quán)限控制))授權(quán)行為信任模型信任管理系系統(tǒng)授權(quán)行為信任模型信任模型

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論