访问控制(相关概述)
访问控制
访问控制是指在鉴别用户的合法身份后,通过某种途径准许或限制用户对数据信息的访问能力及范围,阻止未经授权的资源访问,包括阻止以未经授权的方式使用资源。
三个要素
访问控制包含三个要素,即主体、客体和访问策略。
主体是指一个发出请求或要求的实体。主体可以是某个用户,也可以是用户启动的进程、服务或设备。
客体是接受其他实体访问的被动实体。凡是可以被操作的信息、资源、对象都可以被看作客体。
控制策略是主体对客体的访问规则集,限制主体对客体的访问权限。
访问控制模型
(1)自主访问控制(DAC)
DAC是在确认主体身份及所属组的基础上,根据访问者的身份和授权来决定访问模式、对访问进行限定的一种控制策略。DAC策略允许对客体拥有控制权的主体明确地指定其他主体对该客体的访问权限。
“自主”的含义是这种策略允许有某种访问特权的主体把对客体的访问权限传递给其他主体。
自主访问控制模型(DAC Model)是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的对客体的访问权限授予其他用户。
(2)强制访问控制(MAC)
强制访问控制模型是一种多级访问控制策略,系统事先给所有的主体和客体指定不同的安全级别,比如绝密级、机密级、秘密级和无密级。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定主体能否访问该客体。并且这些安全属性是不能改变的,它由管理部门或由操作系统自动地按照严格的规则来设置,不像自主访问控制那样由用户或它们的程序直接或间接地修改。
强制访问系统根据主体和客体的敏感标记来决定访问模式。访问模式包括:
下读(Read Down):用户级别大于文件级别的读操作;
上写(Write Up):用户级别小于文件级别的写操作;
下写(Write Down):用户级别等于文件级别的写操作;
上读(Read Up):用户级别小于文件级别的读操作。
由于MAC通过分级的安全标签实现了信息的单向流通,因此,一直被军方采用,其中,最著名的是Bell-La Padula模型和Biba模型:Bell-La Padula模型具有只允许向下读、向上写的特点,可以有效地防止机密信息向下级泄露;Biba模型则具有不允许向下读、向上写的特点,可以有效地保护数据的完整性。
(3)基于角色的访问控制(RBAC)
基于角色的访问控制通过引入角色的概念,把对客体对象的访问权限授予角色而不是直接授予用户,然后为用户分配角色,用户通过角色获得访问权限。
(4)基于任务的访问控制(TBAC)
而基于任务的访问控制是从企业的工作流处理角度来解决安全问题,当数据在工作流中流动时,执行相关任务活动操作的用户在改变,用户的权限也在改变,这些变化都与数据处理的上下文环境相关。因此,TBAC的目的是从任务的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。优点是在进行权限的控制时考虑到执行的上下文环境发生变化的问题。
(5)基于对象的访问控制(OBAC)
OBAC模型从受控对象的角度出发,将主体的访问权限直接与受控对象相关联,一方面定义对象的访问控制表,增、删、修改访问控制项易于操作;另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从而减少了主体的权限管理,减轻了由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。
安全访问控制策略实现方式
基于身份的安全策略
基于规则的安全策略
安全策略
实施原则:.访问控制安全策略的实施原则围绕主体、客体和安全控制规则集兰者之间的关系展开。
●最小特权原则。是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权主体的危险。
●最小泄漏原则。是指主体执行任务时,按照主体所需要知道的信息最小花的原则分配给主体权力。
●多级安全策略。是指主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)、秘密(S)、机密©、限制(RS)和无级别(U) 5级来划分。多级安全策略的优点是避兔敏感信息的扩散。具有安全级别的信息资源,只有安全级别比它高的全体才能够访问。
访问控制(相关概述)相关推荐
- html笔记(二)html4+css2.0(元素类型、css精灵、宽度自适应、BFC、浏览器相关概述、css统筹)
大标题 小节 一.元素类型 1. 元素分类 2. 置换和非置换元素 3. 元素类型转换 二.css精灵 三.宽高自适应 1. 宽度自适应 2. 高度自适应 3. 最小高度自适应 4. 高度塌陷及解决办 ...
- 【CANoe】车载网络的相关概述
CANoe开发的相关学习 基础篇章: 第一章 车载网络的相关概述 车载网络的相关概述 CANoe开发的相关学习 前言 一.车载网络的起源 二.CAN总线概述 1.CAN总线的简单发展 2.CAN总线特 ...
- jvm学习第十、十一天、十二天—垃圾回收器1、垃圾回收的相关概述2、 垃圾回收相关算法3、 垃圾回收器
标题:jvm学习第十.十一天.十二天-垃圾回收器 学习内容: 1.垃圾回收的相关概述 2. 垃圾回收相关算法 3. 垃圾回收器 内容详情: 1.垃圾回收的相关概述 什么是垃圾( Garbage)? 垃 ...
- BOS项目01_02_项目的相关概述、MySQL创建新用户并授权、数据库环境的配置、Mysql命令行
系列文章目录 文章目录 系列文章目录 前言 一.项目的相关概述 二.数据库环境的配置--MySQL创建新用户并授权 前言 我们这里的BOS系统是指: 物流业务操作系统 一.项目的相关概述 1.1> ...
- 湖北省高校户口迁回原籍相关概述
湖北省高校户口迁回原籍相关概述 一.背景交代及说明 和政府打交道一直是非常费时费劲费事的,但不打招呼又不行,因为你属于他管理.写此篇概述主要是讲述大体方法和步骤,以免耽误个人时间与精力,费力不讨好! ...
- oracle访问控制策略查看,基于角色的访问控制(概述)
基于角色的访问控制(概述) 基于角色的访问控制 (Role-based access control, RBAC) 是一种安全功能,用于控制用户对通常仅限于 root 角色的任务的访问.通过对进程和用 ...
- 1、集合--相关概述
Java大致分类: 1.set:代表无序,不可重复的集合 2.List:代表有序.可重复的集合 3.Map:代表具有映射关系的集合 4.Queue:JDK1.5之后新增的一种集合,代表一种队列集合的实 ...
- CodeWarrior相关概述
第一课认识 CodeWarrior Translated from CodeWarriorU.COM CodeWarrior 能做些什么? 当你知道自己能写更好的程序时,你一定不会再使用别人开发的应用 ...
- 游戏系统及开发相关概述(上)
众所周知,目前我们接触到的大部分游戏都是由各个子系统组合而成的,如战斗系统,经济系统,邮件系统,聊天系统等等.而每个子系统会有自己相关的功能,从而组成了一个完整的游戏.本文会介绍游戏的系统组成.概念及 ...
- 游戏系统及开发相关概述(下)
1.1.6 聊天系统 聊天系统就是用于聊天的,包含局内游戏的聊天和局外大厅的聊天.一般有PVP模式的手机游戏都会设聊天系统,而且玩家发出的内容是有言论控制的,游戏侧会过滤玩家发布恶意广告,色情,欺诈等 ...
最新文章
- 烂大街的缓存穿透、缓存击穿和缓存雪崩,你真的懂了?
- python资料免费-python 资料
- STM32 进入Stop模式后电流还是很大怎么办?
- 创建Maven项目时,GroupId和Artifact Id填写
- 接口使用jwt返回token_JWT实现token验证
- \sdk\include\wspiapi.h(47) : error C2265: 'Unknown' : reference to a zero-sized array is illegal 解
- java7和java8切换_仍不切换到Java 8的6个理由
- 自研redis sdk支持自动dns切换(附源码)
- Exchange Server 2016 独立部署/共存部署 (三)—— 安装Exchange程序
- cocos2d-x画线
- echarts3.0 本期累计堆叠
- mysql 数据库自动备份(bat+计划任务方式)--亲测备份及还原成功
- Java 完全自学手册,从外包到大厂,再到年薪 100 万技术大佬都靠它
- RLC电阻电容电感基础知识——电感篇
- 2019数据安装勾选_怎么安装勾选平台控件,如何网上勾选认证发票?
- 人体的神经系统图 分布,人的神经系统分布图
- 电脑PC端如何下载B站视频?
- 实验室新生成长指南[2.2.1] · 连接器
- LVGL littlevgl使用
- 矩阵代数(四)- 分块矩阵