一、原理
- 访问控制是计算机安全的核心元素
- 计算机安全的主要目的就是防止非授权用户对资源的访问,防止合法用户以非授权的方式访问资源
- 访问控制的基本元素:主体(能够访问客体的实体),客体(外界对其访问收到限制的资源,例如 文件,目录,邮箱,程序),访问权限(描述主体可以访问客体的方式 【读,写,执行,删除,创建,搜索】)
- 访问控制策略:自主访问控制,强制访问控制,基于角色的访问控制,基于属性的访问控制
- 访问控制包括的内容:
认证:考虑对合法用户进行验证
控制策略实现:对控制策略的选用与管理,对非法用户或是越权操作进行管理
审计:对非法用户或是越权操作进行追踪
- 访问控制的应用类型,根据应用环境分类可分为
物理,网络(防火墙),操作系统,应用(如大型数据库的数据表的访问控制策略)
二、访问控制模板
1.自主访问控制(DAC)
访问控制的分类法:
1.基于访问控制属性:分成访问控制表和访问控制矩阵
2.基于用户和资源分档“安全标签”分成多级访问控制
自主访问控制主要包括的形式:
- 访问控制表:
- 访问能力表:
- 访问控制矩阵:
- 授权关系表:
这是一个更加简洁的表现方式,会每次记录主体有哪些权限,并且是对谁有此权限都会详细记录在本表格中
自主访问控制的应用:
优点:每个主体都有用户名,每个客体都有一个限制主体对其访问的访问控制列表ACL
所以自主访问控制灵活性高,可拓展,粒度细
缺点:对已经有权限的主体,在如何使用和信息传播方面,没有强加任何权限
应用于商业和工业:例如主流的操作系统,防火墙ACL
2.强制访问控制(MAC)
MAC通过分级的安全标签实现了信息的单向流通,一直被军方采用,其中最著名的两个模型就是
Bell-LaPadula模型和Bida模型
3.基于角色的访问控制(RBAC)
原理:一个主体被授权到一个被授权的组中,主体访问客体时,先提交组的属性
四、安全级别(TCSEC)
- D级别是最低的安全级别,对系统提供最小的安全防护(DOS ,WINDOWS98)
- C级别属于自由性安全保护
- C1可实现用户和数据的分离,保护或限制用户权限的传播
- C2比C1划分的更详细,能够实现受控安全保护、个人账户管理、审计和资源隔离(UNIX,LINUX和WindowsNT系统)
3.B级别 能够提供强制存取控制和自主存取控制
4.A级别 称为验证设计级,是目前最高的安全级别,只应用到军方
五、总结
访问控制我认为就是针对主体要对客体进行不合规的访问的控制,其包含4个策略或模型,分别是自主访问控制,强制访问控制,基于角色的访问控制,基于属性的访问控制
自主访问控制因为它具有访问控制列表(ACL),访问能力表等形式,所以它每个客体都有一个限制主体对其访问的访问控制列表ACL,粒度细,效率低,只要用于工商业
强制访问控制 MAC 和 DAC 的区别就在于强制两个字,强制体现在只能由系统来给主体和客体分配安全等级,访问控制执行时进行等级比较,它的等级,安全性高,但缺乏灵活性,被军方采用
基于角色访问控制 一个角色被放到一个组中,执行访问控制时先提交所在组的属性,再进行访问,通过增加了一层间接性带来了灵活性
观看b站计算机狂人老时的视频后,做学习笔记,笔记里面的图片大多引用自视频