-电子商务5-访问控制

5-访问控制

主讲：祝凌曦

单位：北京交通大学

办公室：土建楼321

邮箱：ZHULINGXI@139.com今天，你移动支付了吗？5-访问控制1、访问控制（AccessControl）概念：访问控制是指控制对一台计算机或一个网络中的某个资源的访问，是针对越权使用资源的防御措施。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。访问控制所要控制的行为主要有读取数据、运行可执行文件、发起网络连接等。5-访问控制1、访问控制（AccessControl）概念：主体（Subject）：主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。客体（Object）：客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。访问（Access）：是使信息在主体和客体之间流动的一种交互方式。包括读取数据、更改数据、运行程序、发起连接等。5-访问控制2、目标及任务防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。就是要根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的方式访问这些资源。5-访问控制3、访问控制模型DAC模型MAC模型RBAC模型5-访问控制3、访问控制模型DAC模型DiscretionaryAccessControl（DAC）自主访问控制模型自主访问控制模型是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。5-访问控制3、访问控制模型DAC模型特点自主访问控制模型的特点是授权的实施主体（可以授权的主体、管理授权的客体、授权组）自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限限制的目的。5-访问控制3、访问控制模型MAC模型MandatoryAccessControl（MAC）强制访问控制在MAC这种模型里，管理员管理访问控制。管理员制定策略，用户不能改变它。策略定义了哪个主体能访问哪个对象。这种访问控制模型可以增加安全级别，因为它基于策略，任何没有被显式授权的操作都不能执行5-访问控制3、访问控制模型强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级，秘密级，机密级及无级别级。其级别为依次降低，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括：下读：用户级别大于文件级别的读操作；上写：用户级别小于文件级别的写操作；下写：用户级别等于文件级别的写操作；上读：用户级别小于文件级别的读操作；5-访问控制3、访问控制模型RBAC模型oleBasedAccessControl(RBAC)基于角色的访问控制管理员定义一系列角色（roles）并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访问它。这样就把管理员从定义每个用户的许可权限的繁冗工作中解放出来5-访问控制3、访问控制模型RBAC模型RBAC模型是20世纪90年代研究出来的一种模型，从本质上讲，这种模型是对