版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第6章
访问控制技术访问控制的概念与原理访问控制结构访问控制策略访问控制模型本章小结第6章访问控制技术访问控制的概念与原理Part1访问控制身份认证非法用户已经被身份认证挡在了系统之外。访问控制是对合法用户进行访问权限控制。访问控制的功能允许合法用户访问受保护的网络资源。防止合法的用户对受保护的网络资源进行非授权的访问。
并非身份合法就什么都可以做,还要根据不同的访问者,规定他们分别可以访问哪些资源,以及用什么方式访问这些资源。访问控制的原理五大要素访问控制结构Part2访问控制矩阵(访问许可矩阵){主体客体主体对客体访问权限的集合表6-1访问控制矩阵访问控制结构访问控制结构访问能力表访问控制结构访问控制表授权关系表访问控制结构访问控制结构常见访问控制结构总结:访问控制矩阵(空间浪费,不予适用)访问能力表(从主体出发)访问控制表(从客体出发)授权关系表(主体、客体关系)访问控制策略Part3访问控制策略访问控制安全策略自主式强制式{用户授权用户系统授权用户OSI安全体系结构用的不是强制式/自主式的术语,而是改为用基于身份和基于规则的策略。
从实际应用来看:基于身份的策略=自主式策略基于规则的策略=强制式策略访问控制策略基于身份的安全策略用户可访问资源的一部分(访问控制表),或由系统授予用户特权标记或权力。基于身份的策略分为基于个体的策略和基于组的策略。访问控制策略基于身份的安全策略基于个体的策略一个基于个体的策略使用用户可以对一个目标实施哪一种行为的列表来表示。这等价于用一个目标的访问矩阵来描述。基于个体的策略陈述也总是依赖于一个暗含的或清晰的缺省策略。这类策略遵循最小特权原则。访问控制策略基于身份的安全策略基于组的策略基于组的策略是允许一组用户对一个目标具有同样的访问许可读4写2执行
1
其他组用户基于规则的安全策略所有数据和资源以及用户都标注了安全标记;系统通过比较用户的安全级别和客体资源的安全级别,判断是否允许用户进行访问基于规则的安全策略等同于
强制安全策略基于规则的策略分为多级策
略和基于间隔的策略基于规则的安全策略多级策略自动控制执行,用于保护数据的非法泄露,和数据的完整性多级策略分配给每个目标—个密级,每个用户从相同的层次中分配一个等级。目标的分配反映了它的敏感性,用户的分配反映了它的可信程度基于规则的安全策略多级策略规则下读上写:保证信息机密性上读下写:保证信息完整性只写只读读写基于规则的安全策略基于间隔的策略目标集合关联于安全间隔或安全类别,通过它们来分离其他目标用户需要给一个间隔分配一个不同的等级,以便能访问该间隔中的目标在一个间隔中的访问可能受控于特殊的规则实际应用Part4单机读4写2执行
1
其他组用户Linux文件系统权限控制计算机网络模型计算机网络模型网络协议http等
报文
tcp/udp端口
报文段
分组、路由ip地址
数据报
交换MAC地址
帧
物理信号光缆、电缆、双绞线、无线电波应用层WebAPP的拦截器Spring提供HandlerInterceptor接口实现拦截器
基于角色进行访问控制传输层针对端口进行访问控制
1.HTTP协议常用端口号:802.FTP(文件传输)协议常用端口号:20、213.Telnet(远程登录)协议常用端口号:234.SSH(安全登录)默认的端口号为22
路由器的扩展ACL(AccessControlList)可以检查源地址和目标地址,特定的协议,端口号:
ipaccess-groupACL编号
{in|out}网络层针对IP进行访问控制
access-list1permit9access-list2deny955denyallipaccess-groupACL编号
{in|out}access-list1deny9access-list101denytcp5555eq21denyall网络层经理部门/8员工部门/8财务部门/8外网/241.员工部门不可访问外网2.经理部门的服务器不接受财务与员工部门的http请求ADCBEFG员工部门不可访问外网,访问控制列表需要
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 专升本(英语)模拟试卷28(共890题)
- 智慧林业三防一体信息化平台解决方案
- 沪科粤教版初中八年级上册学案(含答案) 全册
- 苏教版小学数学五年级下册教案 全册
- MCC2.0-6单侧曲轨侧卸式矿车的原理 参数齐全
- 极低出生体重儿PICC置管致乳糜胸的护理体会课件
- 高三上学期数学周练
- 出入口守卫委托服务协议(标准版)
- 开学大典教师代表发言(3篇)
- 初中物理教师个人述职报告5篇
- 财产解冻申请书 个人解冻申请书
- 压力容器生产单位压力容器质量安全日管控、周排查、月调度制度(含表格记录)
- 人教版小学数学一年级下册期末测试质量分析共5篇
- 新闻采访与写作课件第二章新闻采写的主体记者
- 农田灌溉水费管治暂行方案
- 2023年体育单招语文模拟试题
- 创业计划书宠物殡葬服务
- 尸体护理 (养老护理员培训课件)
- 供电局综合管理岗竞聘情景面试题本
- 锚杆框架梁交底
- 海洋钻井手册- 钻井设计
评论
0/150
提交评论