访问控制模型(ACL BLP BiBA Clark-Wilson Chinese-wall RBAC ABAC)
自主访问控制模型(DAC)
- 自主访问控制是指用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
ACL权限命令列表
getfacl 文件名 #获取文件控制访问列表
setfacl -m u:用户名:7 文件名 #设置用户对文件或目录的控制访问权限
setfacl -m g:组名:7 文件名 #设置组对文件或目录的控制访问权限
setfacl -x u:用户名 文件名 #删除该用户对此文件的控制权
setfacl -x g:组名 文件名 #删除该组对此文件的控制权
setfacl -m u:用户名:r-- 文件名 #修改该用户对文件的控制权
setfacl -m g:组名:r-- 文件名 #修改该组对文件的控制权
setfacl -b 文件名 #清除该文件下的所有ACL权限
特点:
- 授权的实施主体自主负责赋予和回收其他主体对客体的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息,从而达到对主体访问权限的限制目的。
- ACL(访问控制列表)是DAC中常用的一种安全机制,系统安全管理员通过维护ACL来控制用户访问有关数据。
缺点
- 主体的权限太大,无意间就可能泄露信息。
- 不能防备特洛伊木马的攻击访问控制表。
- 当用户数量多、管理数据量大时,ACL就会很庞大,不易维护。
强制访问控制模型
主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。是
一种强加给访问主体的规则。
BLP模型
含义
- 于1973年被提出,是一种模拟军事安全策略的计算机访问控制模型,它是最早也是最常用的一种多级访问控制模型,主要用于保证系统信息的机密性,是第一个严格形式化的安全模型。
BLP模型的安全策略包括了自主安全策略和强制安全策略:
- 自主安全策略使用一个访问控制矩阵表示,矩阵中的元素表示主体对客体所有允许的访问模式,主体按照在访问矩阵中被授予的对客体的访问权限对客体进行相应的访问;
- 强制安全策略对每个主体和客体都定义了安全级,安全级由密级和范畴构成。安全级之间存在支配关系(密级高于或等于、范畴包含)
BLP安全特性:
低安全级不可以向高安全级读,高安全级可以向低安全级读
低安全级可以向高安全级写,高安全级不可以向低安全级写
同范畴内可以读写,不同范畴不可以读写
Biba模型
含义
- 1977年由Biba提出,多级访问控制模型,保护数据的完整性。为每一个主体和客体都分配了完整级。
安全完整特性:
- 当访问者安全级高于被访问者时,访问者可以向被访问者写入信息,但不可以读取被访问者信息;
- 当访问者的安全级低于被访问者时,访问者可以读取访问者信息,但不可以写入信息
“写”和“执行”操作
① 当且仅当i(O) ≤ i(S),主体S可以写客体O。
② 当且仅当i(S2) ≤ i(S1),主体S1可以执行S2。
Clark-Wilson模型概念
- 于1987年为了确保商业数据完整性的访问控制模型,侧重于满足商业应用的安全需求。每次操作前和操作后,数据都必须满足这个一致性条件。
Chinese-wall模型
- 若干有竞争关系数据集构成了利益冲突,该模型常用于域权限隔离;
- 利益冲突是一种不正当的商业竞争行为,经常出现在咨询业等商业领域中,通过内幕信息交易的方式造成巨大的商业损失,用户对不可公开信息进行访问而导致了利益冲突问题的行为,Chinese Wall安全模型策略有效地避免商业利益冲突产生.该模型主要特点是能追溯用户的历史访问记录,决定该用户对信息的访问权限,从而达到保护商业信息的目的,这也是其它安全模型策略所不具备的;
- 同一个域里面的不同角色不能赋予相同的权限;
基于角色的访问控制模型
RBAC模型
- 系统内置多个角色,将权限与角色进行关联,用户必须成为某个角色才能获得权限,根据用户所担任的角色来决定用户在系统的访问权限;
- 一个用户不分配多个角色,可以分配多个账号
- RBAC支持三个著名的安全原则:最小权限原则;责任分离原则;数据抽象原则
基于属性的访问控制(ABAC)模型
传统的RBAC与ACL等访问控制机制中,可以认为时ABAC的子集,对于RBAC,只是我们的访问机制的实现只是基于属性role而已,而ACL则时基于属性时identity的AC。ABAC就以面向对象的思想来进行更精细的访问控制,匹配复杂的业务场景;
对象(Subject)
指操作所针对的客体对象,比如订单数据或图片文件。权限控制表 (ACL: Access Control List)
用来描述权限规则或用户和权限之间关系的数据表。权限 (Permission)
用来指代对某种对象的某一种操作,例如“添加文章的操作”。权限标识 权限的代号,例如用“ARTICLE_ADD”来指代“添加文章的操作”权限。
访问控制模型(ACL BLP BiBA Clark-Wilson Chinese-wall RBAC ABAC)相关推荐
- 访问控制模型ACL和RBAC
2019独角兽企业重金招聘Python工程师标准>>> 1.ACL ACL是最早也是最基本的一种访问控制机制,它的原理非常简单:每一项资源,都配有一个列表,这个列表记录的就是哪些用户 ...
- 访问控制模型详细介绍
1.访问控制模型 为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用.保证用户在系统安全策略下正常工作,拒绝非法用户的非授权访问请求,拒绝合法用户越权的服务 ...
- 【计算机三级信息安全】访问控制模型
目录 1.访问控制简介 2.访问控制模型 2.1.自主访问控制 2.1.1.访问控制矩阵 2.1.2.访问能力表和访问控制表 2.2.强制访问控制 2.2.1.安全标签 2.2.2.强制访问策略 2. ...
- NISP二级7.3 强制访问控制模型
目录 强制访问控制模型 什么是强制访问控制(MAC ) 特点 BLP模型 BLP模型的安全策略包括自主安全策略和强制安全策略两个部分. BLP模型的构成 BLP模型的策略 注意点 关键知识点 Biba ...
- 访问控制模型总结(DAC MAC RBAC ABAC)
访问控制模型 在项目中需要加入访问空值,于是对访问控制模型多了一些调研,介绍一些常见的访问控制模型. 访问控制模型三要素 主体(Subject) 指主动对其它实体施加动作的实体 客体 (Object) ...
- 访问控制列表(ACL)基本的配置以及详细讲解
[网络环境] 网络时代的高速发展,对网络的安全性也越来越高.西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司 ...
- 针对访问控制列表ACL 与 基于角色的访问控制RBAC进行简单介绍
2019独角兽企业重金招聘Python工程师标准>>> 访问控制列表(Access Control List,ACL) ACL是最早也是最基本的一种访问控制机制,它的原理非常简单:每 ...
- 常见的权限访问控制模型
权限访问控制即控制用户对资源或者服务的访问权限,目前流行的权限访问控制模型有以下几种. MAC(Mandatory Access Control) 起初由政府和军方设计并使用, 它有非常严格的访问控制 ...
- php acl rbac,建站常用的用户权限管理模型ACL和RBAC的区别
常用的权限管理模型ACL和RBAC的区别 1.ACL ACL是最早也是最基本的一种访问控制机制,它的原理非常简单:每一项资源,都配有一个列表,这个列表记录的就是哪些用户可以对这项资源执行CRUD中的那 ...
- 【设计权限系统】ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景
[权限系统设计]ACL, DAC, MAC, RBAC, ABAC模型的不同应用场景 ACL 访问控制列表 规定资源可以被哪些主体进行哪些操作 场景:部门隔离 适用资源:客户页面.人事页面 在ACL权 ...
最新文章
- python php linux-选择PHP与Python,可以考虑这三个问题
- nginx的负载均衡
- 24点游戏详细截图介绍以及原型、Alpha、Beta对比
- 设计模式(一):从三类模式六种原则看设计模式
- MacOS上 编译GMSSL
- **产品经理之流程图**
- 中标麒麟系统u盘安装_中标麒麟u盘安装系统教程
- STM32--舵机(SG90)
- matlab线性规划的最优化,【OR】Matlab求解最优化问题(1) 线性规划
- css动画效果轮播图片
- 量化金融kaggle竞赛汇总
- 软件测试基础篇二之linux
- 1 Tbps! 使用英特尔第三代Xeon® Scalable Processor 加速VPP IPsec
- 免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
- 网站关键词该如何优化?
- rotate_end_effector in circular
- 计算机文秘,{办公文秘}文秘计算机专业(186页)-原创力文档
- 探究磁盘碎片产生的原因及预防办法
- win7文件夹中的图片使用“XX图标”查看模式显示时,无法正常显示图片缩略图
- k30s刷鸿蒙系统,红米K40和K30S至尊纪念版哪个好?