網路訪問控制的應用MAC地址過濾VLAN隔離ACL訪問控制列表防火牆訪問控制Windows平臺上有關訪問控制的幾個概念SID是一個可變長度的結構,用來唯一地描述一個用戶或者組可以轉化為字串形式SD包含了與一個安全對象有關的安全資訊Securityidentifiers(SIDs)fortheownerandprimarygroupofanobjectDACL(discretionaryaccess-controllist)SACL(systemaccess-controllist)以及一組控制標記數據結構ACL、ACEAccesstoken此對象描述了一個進程或者線程的安全環境包括SID,以及用戶所屬的組的SIDs,logonSID…
訪問控制訪問控制的概念訪問控制是為了限制訪問主體(或稱為發起者,是一個主動的實體,如用戶、進程、服務等)對訪問客體(需要保護的資源)的訪問許可權,從而使電腦系統在合法範圍內使用。訪問控制機制決定用戶及代表一定用戶利益的程式能做什麼,以及做到什麼程度。訪問控制由兩個重要過程組成通過認證來檢驗主體的合法身份;通過授權(Authorization)來限制用戶對資源的訪問級別。訪問控制的最基本概念主體(Subject)訪問的發起者,通常包括人、進程和設備。根據主體許可權不同可以分為四類:特殊用戶、一般用戶、審計用戶、作廢的用戶客體(Object)接受訪問的被動實體通常包括檔和文件系統、磁片和磁帶卷標、遠程終端、資訊管理系統的事務處理及其應用、資料庫中的數據、應用資源等。訪問控制的最基本概念訪問(Access)使資訊在主體和客體之間流動的一種交互方式。訪問許可(AccessPermissions)決定了誰能夠訪問系統,能訪問系統的何種資源以及如何使用這些資源。控制策略控制策略是主體對客體的訪問規則集,這個規則集直接定義了主體對客體的作用行為和客體對主體的條件約束。訪問控制策略自主訪問控制強制訪問控制基於角色的訪問控制基於任務的訪問控制基於對象的訪問控制自主訪問控制根據主體的身份及允許訪問的許可權進行決策。自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其他主體。靈活性高,被大量採用。缺點:資訊在移動過程中其訪問許可權關係會被改變。如用戶A可將其對目標O的訪問許可權傳遞給用戶B,從而使不具備對O訪問許可權的B可訪問O。自主訪問控制的實現機制訪問控制矩陣訪問控制列表訪問控制能力列表訪問控制矩陣利用二維矩陣規定任意主體和任意客體間的訪問許可權矩陣中的行代表主體的訪問許可權屬性,矩陣中的列代表客體的訪問許可權屬性,矩陣中的每一格表示所在行的主體對所在列的客體的訪問授權客體1客體2客體3主體1OwnRWOwnRW主體2ROwnRWW主體3RWR訪問控制列表以檔為中心建立訪問許可權表,表中登記了客體檔的訪問用戶名及訪問權隸屬關係Object1UserAOWNRWOUserBRWOUserCRO對於客體Object1,主體A具有管理、讀和寫的權力,主體B具有讀和寫的權力,主體C只能讀訪問控制能力列表以用戶為中心建立訪問許可權表,為每個主體附加一個該主體能夠訪問的客體的明細表UserAObject1OWNRWOObject2RWOObject3RO強制訪問控制每個用戶及檔都被賦予一定的安全級別,用戶不能改變自身或任何客體的安全級別,即不允許單個用戶確定訪問許可權,只有系統管理員可以確定用戶和組的訪問許可權。系統通過比較用戶和訪問的檔的安全級別來決定用戶是否可以訪問該檔。安全級別一般有五級:絕密級(TopSecret,T)、秘密級(Secret,S)、機密級(Confidential,C)、限制級(Restricted,R)和無密級(Unclassified,U),其中T>S>C>R>U。拒絕讀取?客體1導彈計畫級別:絕密主體:Jack級別:秘密允許讀取?客體2電話簿級別:限制訪問控制安全標籤列表用戶A的安全級別為S,那麼他請求訪問檔File2時,由於T>S,訪問會被拒絕;當他訪問File1時,由於S>R,所以允許訪問。用戶安全級別用戶AS用戶BC……用戶XT檔安全級別File1RFile2T……FilenS基於角色的策略與現代的商業環境相結合的產物同時具有基於身份策略的