国产又黄又粗又长又大又硬又猛,色婷婷一区二区三区三州

訪問控制技術(shù)

- 編輯：admin - 2018-08-02 19:56:05

訪問控制策略可以劃分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制三種。

訪問控制策略可以劃分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制三種。

(1)自主訪問控制( Discretionary Access Control)

自主訪問控制是一種允許主體對訪問控制進(jìn)行特定限制的訪問控制類型。它允許主體針對訪問資源的用戶設(shè)置訪問控制權(quán)限，用戶對資源的每次訪問都會(huì)檢查用戶對資源的訪問權(quán)限，只有通過驗(yàn)證的用戶才能訪問資源。

20世紀(jì)70年代，隨著分時(shí)系統(tǒng)的出現(xiàn)，自主訪問控制DAC也逐漸興起。DAC是在確認(rèn)主體身份及所屬組的基礎(chǔ)上，根據(jù)訪問者的身份和授權(quán)來決定訪問模式，對訪問進(jìn)行限定的一種控制策略。所謂自主，是指具有授予某種訪問權(quán)力的主體(用戶)能夠自己決定是否將訪問控制權(quán)限的某個(gè)子集授予其他的主體或從其他主體那里收回他所授子的訪問權(quán)限。

DAC將訪問規(guī)則存儲(chǔ)在訪問控制矩陣中，通過訪問控制矩陣可以很清楚地了解DAC。該矩陣的行表示主體，列表示客體，矩陣的每個(gè) 元素表示某個(gè)主體對某個(gè)客體的訪問授權(quán)。用戶對任一客體的訪問請求都要檢查這個(gè)訪問控制矩陣。如果矩陣中用戶和客體的交又點(diǎn)上記錄有這個(gè)訪問類型，那么訪間就被允許，否則就被拒絕。

DAC的優(yōu)點(diǎn)是其自主性為用戶提供了極大的靈活性，從而使之適合于許多系統(tǒng)和應(yīng)用。但也正由于這種自主性，在DAC中，信息總是可以從一個(gè)實(shí)體流向另一個(gè)實(shí)體，即使對于高度機(jī)密的信息也是如此，因此如果自主訪問控制不加以控制就會(huì)產(chǎn)生嚴(yán)重的安全隱患。例如，用戶A可以將其對客體0的訪問權(quán)限傳遞給用戶B，從而使不具備對0訪問權(quán)限的B也可以訪問0，這樣的結(jié)果是易于產(chǎn)生安全漏洞，因此自主訪間控制的安全級別較低。

另外，由于同一用戶對不同的客體有不同的存取權(quán)限，不同的用戶對同一客體有不同的存取權(quán)限，用戶、權(quán)限、客體間的授權(quán)管理復(fù)雜。

(2)強(qiáng)制訪問控制( Mandatory Access Control)

強(qiáng)制訪問控制是一種不允許主體干涉的、依據(jù)主體和客體的安全級別來決定主體是否有對客體的訪問權(quán)的訪問控制類型。它是基于安全標(biāo)識(shí)和信息分級等信息敏感性的訪問控制，通過比較資源的敏感性與主體的級別來確定是否允許訪問。系統(tǒng)事先給所有的主體和客體指定不同的安全級別，最高秘密級( Top Secret)、秘密級( Secret)機(jī)密級( Confidential)以及無級別級( Unclassified)，其級別順序?yàn)門S>S>C>U。在實(shí)施訪問控制時(shí)，系統(tǒng)先對主體和客體的安全級別進(jìn)行比較，再?zèng)Q定訪問主體能否訪問該客體。最典型的例子是由Bell and Lapadula提出的BLP模型。

(3)基于角色的訪問控制(Role_ Based Access Control)

RBAC是由美國國家標(biāo)準(zhǔn)化和技術(shù)委員會(huì)(NIST)的 Ferraiolo等人在20世紀(jì)90年代提出的，由于其特有的優(yōu)點(diǎn)引起了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注，成為研究計(jì)算機(jī)和數(shù)據(jù)庫安全性的一個(gè)熱點(diǎn)。RBAC的基本思想是在用戶和訪問權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起來，通過對角色的授權(quán)來控制用戶對系統(tǒng)資源的訪問角色是訪問權(quán)限的集合，用戶通過賦予不同的角色獲得角色所擁有的訪問權(quán)限。一個(gè)用戶可擁有多個(gè)角色，一個(gè)角色可授權(quán)給多個(gè)用戶二個(gè)角色可包含多個(gè)權(quán)限，一個(gè)權(quán)限可被多個(gè)角色包含。用戶通過角色享有權(quán)限，它不直接與權(quán)限相關(guān)聯(lián)，權(quán)限對存取對象的操作許可是通過活躍角色實(shí)現(xiàn)的。在RBAC模型系統(tǒng)中，每個(gè)用戶進(jìn)入系統(tǒng)時(shí)得到一個(gè)會(huì)話，一個(gè)用戶會(huì)話可能激活的角色是該用戶的全部角色的子集。對此用戶而言，在一個(gè)會(huì)話內(nèi)可獲得全部被激活的角色所包含的訪問權(quán)限。角色之間也可存在繼承關(guān)系，即上級角色可繼承下級角色的部分或全部權(quán)限，從而形成了角色層次結(jié)構(gòu)。

在一個(gè)組織中，針對各種工作職能定義不同的角色，同時(shí)，根據(jù)用戶的責(zé)任和資格來分配其角色。這樣可十分簡單地改變用戶的角色分配，當(dāng)系統(tǒng)中增加新的應(yīng)用功能時(shí)可以在角色中添加新的權(quán)限。此外，可撤銷用戶的角色或從角色中撤銷一些原有的權(quán)限。

自主訪問控制和強(qiáng)制訪問控制，都是由主體和訪問權(quán)限直接發(fā)生關(guān)系，主要針對用戶個(gè)人授予權(quán)限。大型應(yīng)用系統(tǒng)的訪問用戶往往種而基于角色訪問控制RBAC引入角色這個(gè)概念，將權(quán)限和角色相關(guān) 類繁多、數(shù)量巨大、并且動(dòng)態(tài)變化，使得權(quán)限管理負(fù)擔(dān)巨大且易出錯(cuò)。

通過給APP開發(fā)用戶分配適當(dāng)?shù)慕巧允谟栌脩魴?quán)限，實(shí)現(xiàn)了用戶和訪問權(quán)限的邏輯分離，這樣的授權(quán)管理比較起針對個(gè)體的授權(quán)來說，可操作性和可管理性都要強(qiáng)得多，非常適合大型多用戶管理信息系統(tǒng)的授權(quán)管理。

你會(huì)喜歡下面的文章? You'll like the following article.