;;;访问控制技术,是指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。
访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。;访问控制模型;自主访问控制(DAC):
用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
;例如:
以Linux的文件权限为例,实现访问控制列表
特点:
授权用户可以自主得将权限转移给别人,权限的修改是由特权用户来修改的。linux,unix,windowsNT(windows的系列名称,包括win10这些发行版本)都采用这样的形式。
;权限信息存储(访问权限表):
访问控制表(ACL)
访问能力控制表(ACCL)
访问控制矩阵(ACM)
;强制访问控制(MAC):
更为严格的权限管理,将主体和客体赋予一定的安全级别,每个用户根据自己的安全级别,就会有自己全部的访问权限,这种权限是于安全级别严格挂钩的,不允许转移,也不允许为单个用户改动;(1)BLP模型
于1973年提出的一种模拟军事安全策略的计算机访问控制模型,它也是最常用的一种多级访问控制模型,该模型用于保证系统信息的机密性。
;(2)Biba模型
1977年提出,多级访问控制模型,保护数据完整性。
上级可以向下写,下级不可以向上写,防止信息篡改。
下级可以向上读,上级不可以向下读。
和BLP模型相反。;RBAC支持三个著名的安全原则:
最小权限原则
责任分离原则
数据抽象原则;传统的RBAC与ACL等访问控制机制中,可以认为是ABAC的子集,对于RBAC,只是我们的访问机制的实现只是基于属性role而已,ACL则是基于属性是identity的AC。
;自主访问模型;;