吉林律师网站建设多少钱,网站的建设背景图片,网站推广策划,南通网站制作计划访问控制是在身份认证的基础上#xff0c;根据不同身份的用户对用户的访问请求加以限制。身份认证关心的是“你是谁#xff0c;你是否拥有你所声明的身份”这个问题#xff1b;而访问控制则关心“你能做什么#xff0c;不能做什么”的问题。 在访问控制过程中#xff0c;一…访问控制是在身份认证的基础上根据不同身份的用户对用户的访问请求加以限制。身份认证关心的是“你是谁你是否拥有你所声明的身份”这个问题而访问控制则关心“你能做什么不能做什么”的问题。 在访问控制过程中一般把发出访问、存取请求的一方例如用户、程序、进程等叫作主体而把被访问的对象和资源例如文件、数据库、设备、内存区域等叫作客体。另外还有一套定义主体与客体之间相互关系确定不同主体对不同客体的访问能力与权限的规则叫作访问规则。一个完整的访问控制体系就是由上述三方面共同构成的。 1访问控制策略 访问控制策略一般可以划分为三类自主访问控制Discretionary Access Control DAC强制访问控制Mandarory Access ControlMAC基于角色的访问控制Roal Based Access ControlRBAC。其中 DAC、MAC 是属于传统的访问控制策略而 RBAC 则是后来出现的一种访问控制策略被认为具有很大的优势具有很好的发展前景。 1自主访问控制DAC。自主访问控制是目前计算机系统中实现最多的访问控制机制它使主体可以自主地进行配置以决定其他的主体可以采取什么样的方式来访问其所拥有的一些资源即一个拥有一定权限范围的主体可以直接或者间接地把权限授予其他的主体。 常见的操作系统如 Windows、UNIX 等都是采用自主访问控制策略来实施访问控制的。其常见的方式是由某个用户一般为某个文件或资源的拥有者或超级管理员采用某种方式指定不同类型、不同分组的其他用户对其名下的资源的访问许可和访问方式。 自主访问控制策略中由用户自己决定其他用户对系统中某些资源的访问权限这样虽然方便但是却很难保证这种类型的授权对于整个系统来说是安全的。首先用户往往不知道或者难以确定其他的用户是否适合具有对某些资源的访问权限其次如果不是所有的用户都有很强的安全意识可能随意授权那么这对于系统安全就是一个潜在的威胁再次由用户自己决定访问权限的分配不利于系统管理员实施统一的全局访问控制另外许多组织中往往希望对于信息系统采取的授权与控制结构能够与该组织的行政结构一致。总之自主访问控制策略容易使系统失控容易给非法入侵者留下可乘之机。所以自主访问控制策略的安全性不是很高。 随着网络规模的扩大用户对访问控制服务的质量也提出了更高的要求采用自主访问控制策略已经很难满足一个安全性要求比较高的系统的需要。 2强制访问控制MAC。强制访问控制是系统统一采用某种访问权限的授予和撤销的策略而且强制所有主体都必须服从这种访问权限的分配。 MAC 一般用在安全级别层次比较多的军事、安全等特殊应用领域中。它预先为系统中接受的所有主体、客体根据可以信任的程度、所处的岗位和承担的任务、信息的敏感程度、时间发展的阶段等划分成若干级别例如信息可以分为绝密、机密、秘密和无密级等不同的级别。然后再根据主体和客体的级别标记来决定访问模式任何用户对任何客体的访问请求都由这种安全级别的划分及相应的权限配置来控制。 强制访问控制由于过于强调系统的安全性能虽然能够很好地控制系统的安全但是它管理起来比较麻烦工作量很大也不够灵活。 3基于角色的访问控制RBAC。DAC 和 MAC 访问控制策略都各有其特点但是也各有它们的不足。而基于角色的访问控制则可以在克服以上两者的缺点的同时提供一个良好的安全的系统环境因而是面向企业的系统中一种十分有效的访问控制策略。 DAC 系统中有一种常见的情况就是在一个组织中最终用户能够使用某些资源但是它并不是该资源的拥有者资源的拥有者是这个组织或组织中的所有用户。这时就应该基于用户的职务来进行访问权限的设置和分配而不应该基于资源的拥有者来进行。 例如在图书馆中应该根据某一个用户是流通人员、文献编目人员还是分馆的管理员等不同的角色来分配和设置权限。如果是文献编目人员那么他对系统中流通的图书这种资源就只能有查看的权限而对未进行典藏的图书等资源就有比较高的访问权限如果是分馆的管理员那么他相应地就具有对该分馆的读者、文献等资源有较高的访问权限而对其他用户则没有。也就是说用户具有什么样的访问权限不直接取决于用户自己而是取决于他所属的角色有什么样的角色就有什么样的权限。 角色的种类和访问权限由系统管理员来定义每一个成员属于哪种类型的角色也由系统管理员来规定即只有系统管理员才有权定义和分配角色而且对于用户来说只能服从系统中的这一系列规定而不能有自主的配置因此这是一种非自主型访问控制策略。 2访问许可的授权, 有三种类型 1等级型。把对客体的存取控制权限的修改能力划分成不同的等级拥有高级别修改能力的主体可以把这种权限分配给比其级别低的主体。依此类推从而将访问许可的授权关系组成一个树型结构。 例如超级管理员可以作为这个等级树的根具有修改所有客体的存取控制表的能力且可以向任意一个主体分配这种修改权。系统管理员把用户根据部门划分成多个子集并对部门领导授予相应存取控制权限的修改权和对修改权的分配权。部门领导又可以把自己所拥有的权力按照同样的方法向下授权。 这种方式的优点是树型结构与实际组织机构类似并且可以由领导根据日常实际工作需要进行授权来对各级用户进行控制与管理。但这种方式也有一个缺点就是对同一个客体来说可能存在多个主体有能力修改其存取控制权限。 2拥有型。这种类型对每一个客体都有一个拥有者一般情况下就是该客体的创建者拥有者具有对所拥有的客体的全部的控制权并且可以任意修改其拥有的客体的访问控制表并可对其他主体授予或撤销对其客体的任何一种访问权限。但是拥有者无权将其对客体的访问控制权的分配权授予其他主体。 在 UNIX 系统中就是用这种方式来进行授权控制的。 3自由型。自由型的特点是一个客体的拥有者可以对任何主体授予对他所拥有的客体的访问权限同时还可以把这种分配权授予其他主体而不受任何限制。这样获得了这种授权的主体就可以把这种分配权授予更多的主体而不受该客体拥有者的限制。这样一旦访问控制的分配权被授予出去就很难控制对客体的访问了。显然这样做安全性比较差一般的系统中很少采用这种方式。
