ACL-IP访问控制列表配置实验

ACLIP访问控制列表配置实验优质资料(可以直接使用，可编辑优质资料，欢迎下载）

ACLIP访问控制列表配置实验优质资料(可以直接使用，可编辑优质资料，欢迎下载）IP访问控制列表配置目录：TOC\o"1-3"\h\u23652第一个任务的：验证测试523305第二个任务的：交换机的验证测试914938第三个任务的：扩展访问验证测试145789最后总结：15▲表示重要的一、IP标准访问控制列表的建立及应用工作任务你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许网段（校办企业财务科）主机发出的数据包通过，不允许网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa0端口，如图所示。第1步：基本配置路由器RouterA：R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,linevty04是进入VTY端口,对VTY端口进行配置,比如说配置密码,RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#noshutdownRouterA(config-if)#Exit路由器RouterB：R>enableR#configureterminalR(config)#hostnameRouterBRouterB(config)#linevty04RouterB(config-line)#loginRouterB(config-line)#password100RouterB(config-line)#exitRouterB(config)#enablepassword100RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaddress192.168.3RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#interfaces0/3/1RouterB(config-if)#ipaddressRouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#iprouteRouterB(config)#iproute第2步：▲在路由器RouterB上配置IP标准访问控制列表RouterB#showaccess-list1第3步：▲应用在路由器RouterB的Fa0/0接口输出方向上RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaccess-group1out验证测试RouterB#showipinterfacefastethernet0/0第4步：▲验证测试在校企主机的命令提示符下Ping0，能Ping通。在老师办公室主机的命令提示符下Ping0，不能Ping通。第二：任务如图所示，首先对交换机进行基本配置，实现三个网段可以相互访问；然后对交换机配置IP标准访问控制列表，允许网段（校企财务科）主机发出的数据包通过，不允许网段（教师办公室）主机发出的数据包通过，最后将这一策略加到交换机VLAN30的SVI端口输出方向上。根据拓扑图：第1步：交换机的基本配置Switch#configureterminalSwitch(config)#hostnames3550Switch(conifg)#iproutingSwitch(conifg)#vlan10Switch(config-vlan)#exitSwitch(conifg)#vlan20Switch(config-vlan)#exitSwitch(conifg)#interfacefastethernet0/1Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan10Switch(conifg-if)#exitSwitch(conifg)#interfacefastethernet0/6Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan20Switch(config-vlan)#exitSwitch(conifg)#interfacefastethernet0/20Switch(conifg-if)#switchportmodeaccessSwitch(conifg-if)#switchportaccessvlan30Switch(config-vlan)#exitSwitch(conifg)#Switch(config)#interfacevlan10SwitchSwitch(conifg-if)#noshutdownSwitch(conifg-if)#exitSwitch(config)#interfacevlan20SwitchSwitch(conifg-if)#noshutdownSwitch(conifg-if)#exitSwitch(config)#interfacevlan30Switch(conifg-if)#ipaddress192.168.3Switch(conifg-if)#noshutdownSwitch(conifg-if)#endSwitch#查看三层交换机的路由表Switch#showiproute第2步：▲配置命名IP标准访问控制列表Switch(config)#ipaccess-liststandardABC既可以列表好，也可以直接名字就可以了SwitchSwitchSwitch(config-std-nacl)#exitSwitch(config)#interfacevlan30Switch(config-if)#ipaccess-groupABCout验证测试Switch#showipinterfacevlan30第3步：▲验证测试在PC1主机的命令提示符下Ping0，能Ping通。在PC2主机的命令提示符下Ping0，不能Ping通。二、IP【扩展访问控制列表】的建立及应用工作任务你是学校网络管理员，学校的网管中心分别架设FTP、Web服务器，其中FTP服务器供教师专用，学生不可使用；Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络数据流量控制。首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表，不允许网段（学生宿舍）主机发出的去网段的FTP数据包通过，允许网段主机发出的其它服务数据包通过，最后将这一策略加到路由器RouterA的Fa0端口，如图所示。根据相应的图画出拓扑图：第1步：基本配置路由器RouterA：R>enableR#configureterminalR(config)#hostnameRouterARouterA(config)#linevty04RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100RouterA(config)#interfacefastethernet0/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfaces0/3/0RouterA(config-if)#noshutdownRouterA(config-if)#ExitRouterA(config)#interfacefastethernet0/1RouterA(config-if)#noshutdownRouterA(config-if)#Exit路由器RouterB：R>enableR#configureterminalR(config)#hostnameRouterBRouterB(config)#linevty04RouterB(config-line)#loginRouterB(config-line)#password100RouterB(config-line)#exitRouterB(config)#enablepassword100RouterB(config)#interfacef0/0RouterB(config-if)#ipaddress192.168.3RouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#interfaces0/1RouterB(config-if)#ipaddressRouterB(config-if)#noshutdownRouterB(config-if)#ExitRouterB(config)#iprouteRouterB(config)#iproute第2步：▲在路由器RouterA上配置IP扩展访问控制列表▲拒绝来自网段去网段的FTP流量通过RouterA(config)#access-list101denyTCP5555eqFTP▲还可以控制某一些端口的出入允许其它服务的流量通过RouterA(config)#access-list101permitIPanyany验证测试RouterA#showaccess-list101第3步：把访问控制列表应用在路由器RouterA的Fa0/0接口输入方向上。RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaccess-group101in第4步：分别配置FTP和Web服务器FTP服务器Web服务器第5步：验证测试在PC1主机的命令提示符下Ping0，能Ping通。但是发送FTP包就不能通，如下图：PC2五、▲总结：本次实验难度不大，主要小心一下端口的配置，还有一些IP访问的规则就行了。WEB服务器配置时，要自己去定义发送FTP数据包，这样才能测试到结果。RouterA(config)#linevty04VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,linevty04是进入VTY端口,对VTY端口进行配置,比如说配置密码RouterB(config)#interfacefastethernet0/0RouterB(config-if)#ipaccess-group1out列表1所定义的条件应用到从本路由器禁止从此接口出去RouterA(config-line)#loginRouterA(config-line)#password100RouterA(config-line)#exitRouterA(config)#enablepassword100配置进入路由器配置需要密码：而且不显示的▲易发生错误的是：交换机要启动路由协议Switch(conifg)#iproutingRouterA(config)#access-list101denyTCP5555eqFTP▲把访问控制列表应用在路由器RouterA的Fa0/0接口输入方向上。RouterA(config)#interfacefastethernet0/0RouterA(config-if)#ipaccess-group101in▲in和out都是对端口而言的。in表示进站，从外到内的进入端口的数据方向。一般是接收。【进入端口的数据方向】out表示出站，从内到外离开端口的数据方向。一般是发送。【离开端口的数据方向】基于角色管理的系统访问控制

1.引言（iｎtrodｕctiｏn）

1。1.关键词定义（definitioｎｓ）

有关定义说明如下:安全管理：计算机技术安全管理的范围很广，可以包括网络安全性、数据安全性、操作系统安全性以及应用程序安全性等。很多方面的安全性管理大都已经有成熟的产品了，我们只需根据自己需要有选择性的使用就可达到自己的目的了。本文中有关关涉及＂安全管理"一词均只针对本公司推出的应用中有关对象与数据而言范围有限。主体：即可以象应用系统发出应用请求任何实体，包括各种用户、其它与本系统有接口的应用程序、非法入侵者。系统必须具有识别主体的能力，接口实际上也是由用户登记的,故主要问题是校验用户身份的合法性,系统应建立用户鉴别机构以验证用户身份.用户：用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其它资源的主体，我们用ｕsｅｒs表示一个用户集合.用户在一般情况下是指人。权限:权限是对计算机系统中的数据或者用数据表示的其它资源进行访问的许可.我们用peｒmisｓion表示一个权限集合。可分为对象访问控制和数据访问控制两种。对象访问控制:用一个二元组来表示:（控制对象，访问类型)。其中的控制对象表示系统中一切需要进行访问控制的资源。我们将引入一套完整的资源表示方法来对系统中出现的各类资源进行定义和引用（详见后述).访问类型是指对于相应的受控对象的访问控制,如：读取、修改、删除等等。数据访问控制:如果不对数据访问加以控制,系统的安全性是得不到保证的，容易发生数据泄密事件.所以在权限中必须对对象可访问的数据进行按不同的等级给予加密保护。我们同样用一个二元组来表示：(控制对象，谓词）.权限最终可以组合成如下形式:(控制对象，访问类型，谓词）。角色：角色是指一个组织或任务中的工作或位置，它代表了一种资格、权利和责任.我们用ｒoles表示一个角色集合。用户委派:用户委派是users与rｏlｅs之间的一个二元关系，我们用(u,r）来表示用户u被委派了一个角色ｒ。权限配置：权限配置是roles与perｍｉｓsiｏn之间的一个二元关系，我们用（r，ｐ）来表示角色ｒ拥有一个权限p。2。需求分析ﻫ根据我们在本行业多年积累下来的经验，参考了其它同行的成功经验整合了先进的思想,我们有能力为我们自己的应用系统开发一套功能完善而且又灵活方便的安全管理系统。使开发人员从权限管理重复劳动的负担中解放出来，专心致力于应用程序的功能上的开发。通过收集公司从事miｓ项目开发经验丰富的软件工程师对在各种情况下的对应系统的安性提出的需求做出了如下的总结。本系统在安全管理方面要考虑如下几个方面问题。2。1。角色与用户ﻫ需求:ﻫ角色由用户（这个用户与下一行的＂用户"应该不是同一个定义，”客户”好像合适一些＠不错，此处的用户确是有些偏于指向我们合同意义的客户,但是我认为与下面定义的＂用户＂不存在什么本质上的区别，因为客户最终也是以在系统中登记的用户身份来使用本系统,用户所能完成的功能也就是客户的需求.两者之间的细微区别读者可自己通过上下文加区分)自行定义，根据业务岗位不同可以定义多个角色。登录系统,首先需要向系统申请注册，同一个用户只能在系统中登记一次。用户是登录系统的楔子，角色是用户权限的基础.用户可以扮演多个角色。将某一角色授予某一用户时，权限不能超越该角色权限,但可以小于该角色权限。用户口令与数据库访问口令加密分析说明每个用户在系统中由一个唯的userid标识.用户通过系统登录界面登录系统,系统通过加密算法验证用户身份和判断用户是否已经登录系统。如果登录成功通知aｐｐlicatiｏnpreferencｅservice和安全管理系统保存用户登录信息。角色由用户根据自己的设想的组织机构进行添加设置，提供一个专门的模块用来设置组织机构，用户通过组织机构（定义＠部门机构还是后面提到的"机构是实现和执行各种策略的功能的集合”）方便地进行角色管理。例如：用户可以通过部门机构来进行角色的管理，部门采用编号分层的方式,编号的每两位为一个层次。例如一级部门编号为两位,二级部门编号为四位依此类推下去直到将全厂部门机构建立树状结构图.这类数据仅为方便用户管理角色而存在,在系统的其他方面不存在任何意义。每个角色在系统中也是由一个唯一角色编号来标识，同时必须保存用户所设置的机构信息,一般来说每个角色只需要保存自己所在机构的代码即可。2.２。菜单控制

需求

此菜单乃系统业务功能菜单。由业务功能模块列表和用户菜单定制共同组成。每个用户可以拥有自己的菜单，也可以直接采用角色缺省菜单(当用户同时充当多个角色并且权限重复时，重复的权限仅一次有效）分析说明为了方便用户进行权限组织管理，需要在系统中建立一张业务功能模块列表,在用户界面上表示为树状分层结构.业务功能模块以用户定制菜单来体现,仍然采用编号分层方式，编号的每两位为一个层次.并标明一个层次是子菜单还是业务模块,子菜单只有一种可否被访问的权限设置，业务模块权限由系统管理员或授权用户进行设置。对每个业务模块设置它的对象控制、记录增删改控制和记录集控制.当用户拥有对业务模块的某一权限时,必需对处于它上级的子菜单有可被访问的权限。删除某一个级子菜单时将提示用户他的下级菜单与功能模块都将被删除掉.当用户同时充当多个角色并且权限重复时，重复的权限仅一次有效,用户拥有他充当的所有角色的权限的并集.用户与角色拥有的系统权限查询时以业务功能模块列表的树状结构显示出来。2.3．对象控制

需求ﻫ对象是指应用系统窗口中的可视对象，如菜单项、按钮、下拉列表框、数据编辑控件及数据编辑控件的字段等。对象控制通过角色与用户授权来实现.对象控制包括对对象属性的控制可对数据编辑控件中的数据记录的维护权限：对象属性：使能/禁止、可视／屏蔽记录维护：增加、删除、修改的组合分析说明将每个业务模块可进行属性设置的对象由程序员事先设定或由售后技术支持工程师指导用户加入.在系统管理员或授权用户进行设置业务模块的每种权限时,设置用户在拥有该业务模块这种权限时的对象属性.没有设置属性的对象在保存对象信息的时候，用户权限信息中不被保存.2。4.记录集控制ﻫ需求

记录集的控制是通过条件设置来实现,因此，需要控制记录集的数据库表需要设置专门的记录集筛选字段，而筛选条件由用户根据岗位自进定义，建立过滤表，统一管理。分析说明在对用户设置业务模块权限时，同时在过滤表中设置本模块的数据编辑控件的数据筛选条件，筛选条件是组成sｑl语句的wherｅ条件子句迫使当前访问的模块根据筛选条件对数据编辑控件的ｓql语句进行重组，并检索数据.当存在需要从数据库中多个表取数据的情况时，过滤表中存在多条记录，每一条记录记录一个数据编辑控件取数的筛选条件.sql语句的wheｒｅ子句的生成与校验可以通过的sql语法分析服务，利用对象所提供的函数分析sql语句，截取ｗｈere条件子句，校验新组合的sｑｌ语句的合法性。2．5。权限分布管理ﻫ需求ﻫ上述提到的权限管理内容应该满足既可集中管理，也可分散管理的目标。分析说明权限管理由系统管理员集中管理,系统管理员工作负担过大，难对所有岗位的分工有全面和具体的了解，对权限作出标准细致的划分，对于大型的管理系统适合于把一部分设置权限的交由一些比较高级的用户来进行,有利于各岗位细致协调的工作.这就是权限的分散管理.要实现权限的分散管理,就须对授权模块进行一些授权管理，这要求整个系统的授权安全管理工作要做到细致,不要出现权限的漏洞使一些高级用户拥有过大的权限。3.方案设计ﻫ3。１.安全保护策略ﻫ从上面各方面的需求分析来看，我们需要一套既行之有效,又方便灵活的安全管理方案.要采用各种控制机构和密码保护技术.安全保护策略是设计安全可靠系统的准则,通常涉及下列几个方面：区分安全策略与安全机构。策略是信息安全性的高级指导,策略出自对用户要求，设备环境、机构规则、法律约束等方面的详细研究.策略重要性在于指导作用。而机构是实现和执行各种策略的功能的集合。完善的机构是实施正确安全策略的物质基础。故一般要求机构能实现不同的策略,以便策略变动时无需要更换安全机构。安全策略:企业信息管理系统是一个大型的分布式数据资源管理系统，它包括信息量巨大以及不同程度的信息敏感度，各种有访问需求的用户，使得其安全管理非常复杂.基于角色的系统安全控制模型是目前国际上流行的先进的安全管理控制方法。我们的安全管理系统也根据自身的需要有选择性的吸收其部分思想.其特点是通过分配和取消角色来完成用户权限的授予和取消,并且提供了角色分配规则和操作检查规则。安全管理人员根据需要定义各种角色，并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色.这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离，如下图所示,角色可以看成是一个表达访问控控制策略的语义结构，它可以表示承担特定工作的资格。

由于实现了用户与访问权限的逻辑分离，基于角色的策略极大的方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉，加入代表新职务或新任务的角色即可。研究表明,角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,并且委派用户到角色不需要很多技术，可以由行政管理人员来执行，而配置权限到角色的工作比较复杂，需要一定的技术，可以由专门的技术人员来承担,但是不给他们委派用户的权限，这与现实中情况正好一致。除了方便权限管理之外,基于角色的访问控制方法还可以很好的地描述角色层次关系,实现最少权限原则和职责分离的原则.安全保护机构：本系统的安全保护机构基本上是于上面的安全策略相互适应的，系统保护的总体结构示意如下:ﻫ

保护机构应负责阻止一切物理破坏和用户可能的操作破坏，后者归结为主体可用何种方式访问哪些对象。主体、访问类型、对象是我们要讨论的保护机构主要成分安全管理的职责：安全管理有集中管理与分散管理两种。前者意指一切权利都由负责系统安全工作的专职人员或小组组掌握，他（们)决定用户的访问权利，控制系统安全一切方面.后者是指不同的管理员控制着系统安全的不同方面，管理系统的不同部分，决定不同用户的访问权利，甚至允许对象所有者转让访问对象的权利，集中管理，安全可靠但不灵活;分散管理则应考虑避免漏洞和协调一致的问题。本系统因是针对大的集团企业管理的产品权限分配比较复杂,故采用了集中管理与分散管理相结合的形式。访问控制策略。它提供决定用户访问权利的依据。其中最重要的一个普遍的原则是"需者方知策略＂（ｔｈeneｅd—ｔｏ-know)。也就是说，只有一个工作需要的，才是他应该知道的。它从原则上限制了用户不必要的访问权利,从而堵截了许多破坏与泄露数据信息的途经.按照这一原则授予用户的权利,是用户能完成工作的最小权利集合,故也称之为”最少特权策略"。信息流动控制。只限制用户的访问权利而不考虑数据流动是极其危险的。例如，在考勤时各部门的主管只能为自己部门的职员考勤,人事部可以提取全部数据,因此在提取数据时一定要加以限制。控制数据流动以防止无权用户在数据流动后获得访问权利.密码变换。对于非常机密数据可变换为密码存贮，使得不知道密码的入侵者无法破译所得到的数据密码。密码变换能防止泄密,但不能保护数据信息不被破坏。软硬结合保护。这是安全保护的基本策略,许多硬保护功能是软件难以实现的，有些即使能实现,效率也不高。对安全遭到破坏的响应。各种保护机构都有可能遭到破坏，因此系统必须制订检测破坏手段与处置措施。3．2．安全管理机构分析ﻫ３．2。1。功能框架示意图内部总体功能框架图ﻫ外调用的功能框架示意图

3.2。2。主要功能组件的职责

3。2。2．1．对象定义工具与权限定义工具对象定义工具。

对象是指系统中各种功能模块、数据、界面元素(包括菜单、按钮等各种界面上能控制的控件）等，它们是主体能访问的各种对象。由于对象的机密程度不等,受到的保护程度亦有差别。系统中的对象均由程序员通过系统提供的对象定义工具事先定义好系统要控制的对象。系统也只能控制这些事先已定义好的对象,因此，对象定义是整个系统的核心步骤直接影响后面的各个安全控制环节。建议由开发程序员进行初始化配置。对象定义的包括如下几步：功能模块定义：系统中除部分公用的界面、公用功能模块外,其它均为业务功能模块是用户完成各自不同的业务功能的主要算途径，也是我们安全管理要保护的重点对象，所以我们必须对业务功能模块定义.有定义的功能模块对象我们就有可能组织权限根据用户需要完成的工作配置用户业务功能菜单，这也符合＂最少特权策略"。界面元素控制:除了功能菜单要受到控制外，如要控制功能模块的界面元素其功能模块界面元素也需定义,大部分界面元素均包含有相关的业务功能操作,所以对相应操作的界面元素是进行定义是有必要的.数据信息控制：业务功能模块的大部分界面元素是显示和操作数据内容的基础，也是用户对读取数据和操作数据的主要途径，为了数据信息的安全有必要对这界面元素的操作数据予以采取安全保密措施.这就需要对这些界面元素定义相关的数据约束条件。对象定义(流程)流程图如下

权限定义工具.

在定义好系统对象的前提下，定义对象的在不同情况的的访问类型,希望对象在不同情况下具有不同的访问类型,这就需要定义对象的权限.定义权限就是是定义对象访问控制和数据访问控制。为了表述方便我们对权限用一个三元组符号来表示p（o，ｔ，p),其中o表示访问对象;ｔ表示访问类型；p表示谓词.表示在谓词p为真时对于对象ｏ可进行t类型的访问.权限定义系统安全管理基础步骤之一，只有给各种对象定义好访问的权限，才能给角色配置权限,基于角色管理才能成为可能。系统提供定义权限工具,请程序员根据实际需求定义对象的权限。定义权限的流程图如下:

3.2．2.2.角色定义与权限配置角色定义。

基于角色的访问控制方法的思想就是把对用户的授权分成两部份,用角色来充当用户行驶权限的中介。这样,用户与角色之间以及角色与权限之间就形成了两个多对多的关系。系统提供角色定义工具允许用户根据自己的需要(职权、职位以及分担的权利和责任)定义相应的角色.角色之间有相应继承的关系，当一个角色r1继承另一个角色ｒ2时,r1就自动拥有了r2的访问权限（表示ｒ1—〉r２).角色继承关系自然的反映了一个组织内部权利和责任的关系,为方便权限管理提供了帮助。角色继承关系提供了对已有角色的扩充和分类的手段，使定义新的角色可以在已有角色的基础上进行,扩充就是通过增加父角色的权限去定义子角色,分类通过不同子角色继承同一父角色来体现。另外还允许多继承,即一个角色继承多个父角色，多继承体现对角色的综合能力。角色定义示流程图如下：

权限配置.

角色是一组访问权限的集合，一个用户可以是很多角色的成员,一个角色也可以有很多个权限，而一个权限也可以重复配置于多个角色。权限配置工作是组织角色的权限的工作步骤之一，只有角色具有相应的权限后用户委派才能具有实际意义。权限配置流程图如下:ﻫ3。２。2．３。用户、用户组定义用户定义。ﻫ系统的最终使用者是用户,因此必须建立用户的鉴别机构，登记用户的身份信息.在系统中定义可登录的用户操作系统是系统安全管理所必须步骤，也是人与系统的接口.用户组定义。

为了本系统适用于分散式权限管理，加入了用户组的概念，是指一群用户的集合。方便权限管理用户组也可以委派角色,当用户被加入用户组时自动对用户的所在用户组拥有的角色进行了委派。为了便于分散式权限管理系统同时还支持对部分组的权限进行下发方式处理,授权特定的用户对用户组的用户权限进行管理。３。2.2。4。权限审查

在授权完成后可检查登录用户所的拥有的能力表信息，审查给用户的权限是合适，如不合适可重新进行用户委派和收回部分权限的处理.目前系统只能以对用户组管理的模式对一个用户组内的用户可进行部分权限收回处理。３.２。2.５．用户鉴别机构ﻫ安全保护的首要问题是鉴别用户身份。目前有三种方法可用:第一、利用用户的物理特征(声波、指纹、相貌、签名)。这在理论是最可靠的,但由于物理特征可能随时间变化且记录尚欠成熟等原因，使该方法未能广泛应用。第二、利用用户特有的证件，如身份证、机器可读卡先考片,其缺点是证件可能被别人复制或冒用。第三、利用用户知道的某件能证明其身份的约定(如口令）。这是当前较为常用的方法。本系统采用第三种方法。用户名称标识其它情况chendａｇood……如上表所示是用户鉴别机构保存的一张登记有每个用户名称、标识和有关情况的表，表中的用户名通常是公开的,标识则是保密的,当用户要访问系统时，须首先把自已的名称和标识登记到系统中(即出示证件）。这时用户鉴别系统机构检查用户的标识是否与用表中的标识一致，是则认为用户身份己得到证实，否则认为是假冒，系统将拒绝用户要求执行的操作.口令是最常用的一种标识,通常由若干字母、数字组合而成。系统只允许用户连续两次或三次登记口令，如果都不对则要等待一段较长的时间才成重新登记,这种延长时间的方法能够有效的防止冒名者猜测口令的可能。3.2.2．6.访问控制机构

杜绝对系统非法访问主要方法是访问控制。用户系统的访问规则可以用访问规则表示，根据安全策略用访问规则给0用户授权。访问控制就是要处理怎样表达和核对访问规则的问题。从形式上来说，一条访问规则可以写成四元组的形式(u，o，t，ｐ)可前已有权限表示形式重新表示为（u,ｐ)。系统的访问控制分为模块级控制和界面元素级控制。ﻫ存贮和检查访问规则是访问控制机构须解决的部问题。本系统为考虑运行速度根据系统中角色、权限配置、用户委派等关系动态地的组成一张用户能力表保存在系统中根据上述配置信息改变由系统动态生成和保存。能力表（也称ｃ-表）是存贮和核对访问规则的一种有效形式。能力表是面向主体的,用以说明主体能对那个访问对象执行何种操作.能力表的基本形式如下：ｓij（oi１，ti1，pi１）………。。（oｉj,tij，pｉj）其中si表示第ｉ个主体；ｊ为ｓｉ可访问的数据对象的个数；(oｉ1，ti1,ｐi１)为访问权限。全部主体的能力表的集合即为系统的全部访问规则。当某个访问请求需进行生效检查时,则按访问请求的主体找到能力表逐项核对以决定其是否有效。安全管理控制核心ﻫ安全管理控制核心是系统安全管理的核心控制部分,它在系统中控制整个系统的安全控制工作,由它决定系统是否启动安全管理,在什么情况下调用访问控制机构，根据情况编写访问规则,如何将已有的访问规则应用于控制,存贮访问规则。4．系统评价

4.1.系统特点（自评）ﻫ安全管理系统核心思想是在基于角色控制思想的基础上提取改进而来的，上述功能模型能较好満足产品开发人员提出的系统访问控制需求.分析如下:实现了系统开发过程中的职责分离，系统的安全管理部分被作为整个系统的核心控制部分，单独的被分离出来制定一些整个系统通用的安全准则。程序员在开发时不要过多的考虑程序安全性的问题只需要遵系统的安全准则即可，而是把主要精力花费在系统的业务功能上.有效的利用系统已有的资源减少系统的冗余,使系统的条理更加清楚。对已有功能模块只需设置不同的特征参数和对各种界面元素实施不同的访问类型控制,就能产生不同控制效果不需程序员再进行编写程序的工作。基于角色对用户组进行访问控制：对一组用户比对单个用户进行访问控制更加合理,用户组代表了具有相近工作性质的一组用户的集合,可以委派完成用户组工作的角色以控制用户组的权限范围(当然我们也可以把角色看成是我们系统中一个特定用户组）。同时支持角色的继承和多继承。通过改变用户的当前角色集就可以改变用户的权限，而改变某种角色所含的权限时又可以改变一组用户的权限，基于这种访问控制方式有３个方面的作用:（1）简化了权限管理，避免直接在用户和数据之间进行授权和取消。研究表明,用户所具有的权限易于发生改变，而某种角色所对应的权限更加稳定;(2）有利于合理划分职责,用户只有其所应具有权限,这样可以避免越权行为,有关用户组的关系描述正是对此的支持;（ｃ)防止权力滥用，敏感的工作分配给若干个不同的用户完成，需要合作的操作序列不能由单个用户完成。支持动态地改变用户的权限:安全管理考虑了访问权限不是静态，而是动态的情况。所有对象的权限均用三元组来表示p(ｏ,ｔ，ｐ)主体在系统中的访问规则用四元组来表示（s,o,t，ｐ）。当产品系统使用工作流时,可通过产品平台与安全管理控制核心的接口，重新为编写访问规则，动态修改主体能力表.动态分配用户完成当前工作流环节所需的权限.权限的相互关联：各种权限不是互相独立而是相互关联的,而且权限可以有感知其它用用户操作,这可以描述有关协同权限。功能例如在给数据编辑控件授权只读权限时，收回用户对数据插入和删除权限,该权限允许感知其它用户的操作，诸如某用户改变了数据等等。提供方便的授权/取消机制和检查机制：只要进行简单的赋值操作即可完成授权，同时由角色分配规则和主体访问规则控制则指导模型式的应用。用户之间的授权关系：依据角色指派关系,运行系统中的用户自身可以对角色进行管理，这提供了又一种动态改变用户权限的手段。通常，角色指派的权力都在系统中具有管理责任的用户手中.一、货物清单：物理：编号名称规格型号功能单位数量备注核对04003高中学生电源交流2～16V/3A，每2V一档；直流稳压2～16V/2A，每2V一档台2804003高中学生电源(改进型)双路0～12V稳压连续可调，1.5A，两路可串联使用，限流式过载保护，自动恢复。交流一路，0～15V，3A，连续可调正弦波。带不低于2.5级电压表，延时式过载保护。台28可做电子电路实验04006高中教学电源交流：2～24V，每2V一档，2～6V/12A，8～12V/6A，14～24V/3A，直流稳压：1～25V分档连续可调，2～6V/6A，8～12V/4A，14～24V/2A；40A、8s自动关断台104007蓄电池6V，15Ah，阀控式或封闭免维护式台204008调压变压器2kVA，TDGC2系列台104010电池盒4个一组，1号电池，可串并联组2804011感应圈电子开关式台104012直流高压电源高压250V、300V、600V、1000V、1200V、1500V，纹波电压≤0.5V。电流：250V、300V时≥0.1A；600V、1000V、1200V、1500V时≥0.05A；有过载保护。台104013学生高压微电流源输入DC6V，输出电压不小于17.5kV，短路电流不大于500µA台2804014教学用铅酸蓄电池充电器可充28个可调内阻电池和阀控式铅－酸蓄电池台110002木直尺1000mm只2810004钢直尺200mm只2810004钢直尺600mm只2810005钢卷尺5000mm盒2810010游标卡尺125mm，0.02mm把2810010游标卡尺125mm，0.05mm把2810011外径千分尺(螺旋测微器)25mm，0.01mm只2810012数显游标卡尺150mm，0.01mm把111001物理天平500g台111002学生天平200g，0.02g台2811003托盘天平200g，0.2g台1411003托盘天平500g，0.5g台111021金属钩码(高中组)50g×4，200g×4套2811022金属槽码(高中组)2g×4，5g×4，10g×4，20g×4，50g×4，100g×4，200g×4，5g×1金属槽码盘和10g×1金属槽码盘套2812001机械停表0.1s块2812003电子停表0.01s块2812004电子停钟0.1s块2812005电火花计时器单频率：0.02s,火花距离不小于10mm,平均电流不大于0.5mA个2812005电火花计时器多频率：0.01s、0.02s、0.05s,有同步释放功能个2812006电磁打点计时器个2815003高中数字演示电表直流/交流电压、电流，检流；四位半数码管,不小于5cm只315007绝缘电阻表500V只1教师用15008直流电流表2.5级，0.6A，3A只84串并联电路每组3只15008直流电流表2.5级，200μA只2815009直流电压表2.5级，3V，15V只84串并联电路每组3只15010灵敏电流计±300μA只2815011多用电表指针式，不低于2.5级只28不低于MF47型15011多用电表数字式，三位半，电压﹑电流﹑电阻﹑温度测试﹑电容﹑二极管测试只28不低于890型15011多用电表数字式，四位半，电压﹑电流﹑电阻﹑温度测试﹑频率测试﹑电容﹑二极管测试只1教师用，不低于9806型15015交流电流表2.5级，毫安级只2815016演示电流电压表台2J0402型15017演示微电流电阻表台1J0403型15教学示波器台115022学生示波器台2815023示波器小型、通用。DC10MHz，5mV/div，触发电平锁定台28不低于4250型15023示波器通用二踪。多通道，采样频率不低于20MHz台1教师用15023示波器15MHz，慢扫10s/cm台1教师用15026电阻箱四位9999Ω，0.5级个2815026电阻箱五位99999Ω，0.5级个116030量角器(圆等分器)半圆直径不小于190mm个28平行四边形定则、几何光学21004惯性演示器套221005摩擦计套2821006螺旋弹簧组0.5N，1N，2N组221006螺旋弹簧组3N，5N只28胡克定律学生实验21011帕斯卡球个121024摩擦力演示器台121025微小形变演示器高矮两平面镜,带支架标尺,激光笔可调角度套121026力的合成分解演示器套121027支杆定滑轮和桌边夹组每套带支杆单滑轮、尼龙线、桌边夹各3件，小铁环1件，支杆高度可调套2821028高中静力学演示教具套121029高中力学演示板套121030杠杆套2821033滚摆(麦克斯韦滚摆)个221034离心轨道有捕球网套121038手摇离心转台台1与离心机械模型配用21039电动离心转台可调速台1与离心机械模型配用21046毛钱管(牛顿管)带释放装置套121047伽利略理想斜面演示器长度不小于1200mm,一端高度可连续升降，连接曲面光滑套1可演示势能和动能转换等21048斜槽轨道有小球121049运动合成分解演示器可做匀速-匀速、匀速-匀加速运动合成套121050演示轨道小车利用电火花计时，车拖纸带式，打点有效距离不小于900mm套121051轨道小车车拖纸带式，打点有效距离不小于600mm套2821051轨道小车轨道打点式，打点有效距离不小于600mm；套2821053演示斜面小车1200mm套121054斜面小车套2821055气垫导轨1200mm，可调台28与数字计时器和小型气源配合使用21056小型气源气压不小于5kPa，低噪声台2821057自由落体实验仪有4个光电门套28与有4光电门扩充Ⅰ型数字计时器配合使用21058水滴运动频闪观察仪在频闪光源下连续观察均匀水滴自由下落及抛射运动套121059牛顿第二定律演示仪套121060牛顿第二定律实验仪一体化水平双车轨道，首端可安两打点计时器，尾端有缓冲，同步刹车不损纸带，小车质量200克，车中可平放4个50克钩码，纸带打点位移不小于600mm套28用两打点计时器测纸带位移21061反冲运动演示器有两种以上运动形式套121062超重失重演示器记忆指针式个121063超重失重演示仪移动距离不小于1.5米，超重、失重加速度可调，灵敏测力计示数可见套121064动能势能演示器半定量实验台121065平抛竖落仪个121066平抛运动实验器套2821067平抛和碰撞实验器套2821068碰撞实验器台2821069冲击摆实验器台121070频闪运动实验仪套2需数码相机(摄象机)和微机配合使用，自由落体﹑平抛﹑斜抛、弹性碰撞、机械能守恒等实验21071二维空间—时间描迹仪能做平抛、斜抛、碰撞、向心力、单摆振动图象等实验套121072向心力演示器台121072向心力演示器数显台121074向心力实验器手动指针式台2821074向心力实验器电动指针式台2821076凹凸桥演示器套121077演示力矩盘个121078力矩盘个2821079动量传递演示器(碰撞球)不少于5球套121080微重力实验装置微重力实验、自由落体坐标系和静止坐标系实验套1需数码相机(摄像机)﹑微机﹑摄像机落体轨道架配合使用22001音叉256Hz套122001音叉512Hz套122005纵波演示器套122021声速测量仪台122021共振音叉440Hz对122021声波演示仪套122021纵横波演示器台122021绳波演示器横波、行波、驻波、模拟偏振，长6米以上套122021波动弹簧扁钢丝弹簧，外径不小于66mm，圈数不小于180，两端为90°弯折半圆个122021波动演示器帘式台122021发波水槽电动波源带同步频闪光源套122021发波水槽机械振子套122021弹簧振子气垫式套1配以小型气源或电吹风22021弹簧振子水平式和悬吊式套122弹簧振子振动图象描绘器自动稳定走纸台122021简谐振动投影演示器台122022匀速圆周运动投影器台122023单摆组5个摆球组2822024单摆振动图象演示器非投影式台122025单摆运动规律演示器光电门计时套122215油膜实验器套2822216浸润和不浸润现象演示器个122217液体表面张力演示组套122218液体表面张力实验组套2822219毛细现象演示器套122220伽尔顿板(道尔顿板)型号：F-DB-BS-3台122220伽尔顿板(道尔顿板)型号：F-DB-BS-1台2822222气体定律实验器要提供修正体积套2822223玻意耳定律实验器U型管式,有竖刻度板等套2822224盖·吕萨克定律实验器定容烧瓶式，L形玻璃管，横刻度板等套2823001玻棒(附丝绸)或有机玻棒(附丝绸)，教师用对123003胶棒(附毛皮)或聚碳酸酯棒(附毛皮)，教师用对123005箔片验电器教师用对123005箔片验电器学生用对2823007静电计(指针验电器)对123008感应起电机台123009枕形导体副123010小灯座个56串并联每组至少2个23011单刀开关个56串并联每组至少2个23012滑动变阻器20Ω，2A；个2823012滑动变阻器50Ω，1.5A个2823012滑动变阻器200Ω，1.25A个123019电阻定律演示器台123024电阻定律实验器不少于四根导线，长度、截面积、材料不同台2823025演示线路实验板高中演示组套123026学生线路实验板高中学生组套2823033单刀双掷开关个2823034双刀双掷开关个2823035焦耳定律演示器套123037保险丝作用演示器套123040范氏起电机台123041球形导体个123042验电器连接杆个123043移电球(验电球)个123044验电羽对123045验电幡个123046尖形布电器个12