接纳控制技术.doc

《接纳控制技术.doc》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、一接纳控制技术:未经许可、注册不可以登陆网络。接纳控制主要通过访问控制模型来控制合法用户对网络系统及其资源的访问。二访问控制技术：防止合法登陆的川户访问未经授权的资源，针对越权使川资源的防御措施根据ISO749&2,安全服务包括：1.鉴别(Authentication)2.访问控制(AccessControl)3.数据机密性(DataConfidentiality)4.数据完整性(Datalntegrity)5.抗抵赖(Non・repudia【ion)访问控制的目标：访问控制的日标：机密性要求完整性要求可审计性要求可用性要求访问控制机制授权资源访问控制策略可分为：§白主式策略(基于

2、身份的策略)U基于个人的策略隐含的缺省策略禁止/开放最小特权原则：最大限度地控制用户为完成授权任务所需要的许可集。U基于组的策略多个用户被组织在一起并赋予一个共同的标识符。更容易、更有效。§强制式策略(基于规则的策略)多用于机密、军事部门多级策略：下读:上写:下写:上读：为防止泄密：下读上写BellLaPadula模型“上写”完整性：防止删改数据、木马下写上读Biba模型“下写”访问控制的种类及实现技术:入网访问控制网络的权限控制日录级安全控制属性安全控制网络服务器安全控制网络监测和锁定控制网络端口和节点的安全控制防火墙控制访问控制模型：(3种)I自主访问控制(discretion

3、aryAccessControl,DAC)；自主是指一个拥有一定访问权限的主体可以自主的以直接或间接地将权限授予其他主体。主体的访问权具有传递性。I强制访问控rfe'J(mandatoryAccessControl,MAC)强制访问控制为所有的主体和客体指定安全级别：绝密级、机密级、秘密级和无密级。根据主体和客体的级别标记来决定访问模式,用户的访问必须遵守安全政策划分的安全级别的设定以及有关访问权限的设定。当用户提出访问请求时，系统对主客体两者的安全级别进行比较确定访问是否合法。MAC不允许进程生成共享文件，从而防II•.了进稈通过共享文件将信息从一个进程传到另一个进稈的情况出现。

4、1基于角色的访问控制(RuleBasedAccessControl,RBAC)RBAC基木思想：授权给用户的访问权限，通常由用户在一个组织屮扌!［当的角色來确定。1当用户被赋予一定角色时，用户具有这个角色所具有的所有访问权。其所执行的操作与其所扮演的角色的职能相匹配依据RBAC策略，系统定义各种角色，每种角色可以完成一定的职能；d不同的川户根据贞•职能和责任被赋予相应的角色；0某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。RBAC特点：最小权限原则是指：用户所拥有的权力不能超过他执行工作时所需的权限。具有职责分离的能力，对于某些特定的操作集，某个角色或用户不可能同时

5、独立地完成所有这些操作，这时需要进行职责分离不同角色承担被授了不同的权限，同样也赋有不同的责任，并且不同角色的访问权限可以相互制约，因而具有更高的安全性。(互斥的角色不能由同一个人担任)缺点：I不I•分成熟，在角色配置的工稈化，角色动态转换等方面需要改进.1比DAC/MAC复杂,系统实现难度大:需要用户自己定义木领域的安全策略，定义众多的角色和访问权限及其关系很复杂在一个大的系统中，可能会有非常多的主体和客体，这就导致访问控制表非常长，占用了很多存储空间，而且访问时效率下降.:::可以采用分组和使用通配符来解决该问题。