正文內(nèi)容

信息安全身份認(rèn)證和訪問控制講義(編輯修改稿)

2025-03-08 14:24 本頁面

　

【文章內(nèi)容簡介】 37 ? 缺點 : 訪問控制矩陣中很多單元是空白項 ? 為了減輕系統(tǒng)開銷與浪費 ? 從主體（行）出發(fā)，表示矩陣的某一行的信息 —— 訪問能力表（ Access Capabilities List） ? 從客體（列）出發(fā)，表示矩陣某一列的信息 —— 訪問控制表（ Access Control List）武漢大學(xué)國際軟件學(xué)院 38 ? 能力（ Capability）是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了客體以及主體（訪問者）對客體的訪問權(quán)限。 ? 只有當(dāng)一個主體對某個客體擁有訪問的能力時，它才能訪問這個客體。武漢大學(xué)國際軟件學(xué)院 39 File1 Own R W File3 Own R W File1 R W File2 R File4 Own R W John Bob 武漢大學(xué)國際軟件學(xué)院 40 ? 訪問能力表的優(yōu)點： ? 訪問能力表著眼于某一主體的訪問權(quán)限，以主體的出發(fā)點描述控制信息，因此很容易獲得一個主體所被授權(quán)可以訪問的客體及其權(quán)限。 ? 訪問能力表的缺點： ? 如果要求獲得對某一特定客體有特定權(quán)限的所有主體比較困難。 ? 訪問控制服務(wù)應(yīng)該能夠控制可訪問某一個客體的主體集合，能夠授予或取消主體的訪問權(quán)限。于是出現(xiàn)了以客體為出發(fā)點的實現(xiàn)方式 —— 訪問控制表。武漢大學(xué)國際軟件學(xué)院 41 ? 訪問控制表（ ACL）對某個指定的資源指定任意一個用戶的權(quán)限，還可以將具有相同權(quán)限的用戶分組，并授予組的訪問權(quán)限 John Own R W Bob R File1 Alice R W 武漢大學(xué)國際軟件學(xué)院 42 ? 訪問控制表的優(yōu)點： ? 訪問控制表（ ACL）表述直觀、易于理解，比較容易查出對某一特定資源擁有訪問權(quán)限的所有用戶，有效地實施授權(quán)管理。 ? 在一些實際應(yīng)用中，還對 ACL進(jìn)行了擴(kuò)展，以進(jìn)一步控制用戶的合法訪問時間，是否需要審計等 ? 訪問控制表的局限：應(yīng)用到網(wǎng)絡(luò)規(guī)模較大、需求復(fù)雜的企業(yè)的內(nèi)部網(wǎng)絡(luò)時 ? 當(dāng)網(wǎng)絡(luò)中資源很多時，需要在 ACL中設(shè)定大量的表項。而且為了實現(xiàn)整個組織范圍內(nèi)的一致的控制策略，需要各管理部門的密切合作。 ? 單純使用 ACL，不易實現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策武漢大學(xué)國際軟件學(xué)院 43 ? 使用一張表描述主體和客體之間的關(guān)系，可以對表進(jìn)行排序主體訪問權(quán)限客體 John Own File1 John R File1 John W File1 John Own File3 John R File3 John W File3 Alice R File1 …… …… …… 武漢大學(xué)國際軟件學(xué)院 44 ? 身份認(rèn)證的基本概念 ? 身份認(rèn)證機(jī)制 ? 訪問控制的基本概念 ? 訪問控制實現(xiàn)方法 ? 訪問控制策略主要內(nèi)容武漢大學(xué)國際軟件學(xué)院 45 訪問控制策略 ? A. 自主訪問控制（ DAC） ? B. 強(qiáng)制訪問控制（ MAC） ? C. 基于角色的訪問控制（ RBAC） DAC MAC RBAC 訪問控制武漢大學(xué)國際軟件學(xué)院 46 ? 自主訪問控制（ DAC） ? 最早出現(xiàn)在七十年代初期的分時系統(tǒng)中，它是多用戶環(huán)境下最常用的一種訪問控制手段。 ? 用戶可以按自己的意愿對系統(tǒng)參數(shù)做適當(dāng)?shù)男薷模梢詻Q定哪個用戶可以訪問系統(tǒng)資源。 ? DAC有時又被稱為為基于主人的訪問控制武漢大學(xué)國際軟件學(xué)院 47 自主訪問控制 ? 優(yōu)點 ? 根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策 ? 自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體。 ? 靈活性高，被大量采用， Windows、 UNIX系統(tǒng)采用。 ? 缺點 ? 過于靈活、限制較弱、可能存在安全隱患 ? 如用戶 A把目標(biāo) X的訪問權(quán)賦予了用戶 B，用戶 B可能會把 X訪問權(quán)轉(zhuǎn)賦予用戶 C，而 A可能并不愿意讓 C訪問 X ? 用戶 A把目標(biāo) X的訪問權(quán)賦予了用戶 B，而根據(jù)系統(tǒng)基本安全規(guī)則， B并不能訪問 X。武漢大學(xué)國際軟件學(xué)院 48 自主訪問控制 —— 基于個人的策略 ? 根據(jù)哪些用戶可對一個目標(biāo)實施哪一種行為的列表來表示。 ? 等價于用一個目標(biāo)的訪問矩陣列來描述 ? 基礎(chǔ) (前提 )：一個隱含的、或者顯式的缺省策略 ? 例如，全部權(quán)限否決 ? 最小特權(quán)原則：要求最大限度地限制每個用戶為實施授權(quán)任務(wù)所需要的許可集合 ? 在不同的環(huán)境下，缺省策略不盡相同，例如，在公開的布告板環(huán)境中，所有用戶都可以得到所有公開的信息 ? 對于特定的用戶，有時候需要提供顯式的否定許可 ? 例如，對于違紀(jì)的內(nèi)部員工，禁止訪問內(nèi)部一些信息武漢大學(xué)國際軟件學(xué)院 49 自主訪問控制 —— 基于組的策略 ? 一組用戶對于一個目標(biāo)具有同樣的訪問許可。是基于身份的策略的另一種情形 ? 相當(dāng)于，把訪問矩陣中多個行壓縮為一個行。 ? 實際使用時 ? 先定義組的成員 ? 對用戶組授權(quán) ? 同一個組可以被重復(fù)使用 ? 組的成員可以改變武漢大學(xué)國際軟件學(xué)院 50 ? 強(qiáng)制訪問控制（ MAC） ? 基于規(guī)則的訪問控制，主體和客體分別定義安全等級標(biāo)記，在自主訪問控制的基礎(chǔ)上還必須受到安全標(biāo)記的約束。 ? 安全標(biāo)記是限制在目標(biāo)上的一組安全屬性信息項。在訪問控制中，一個安全標(biāo)記隸屬于一個用戶、一個目標(biāo) 、一個訪問請求。 ? 系統(tǒng)強(qiáng)制主體服從訪問控制策略。主要用于多層次安全級別的軍事應(yīng)用中。武漢大學(xué)國際軟件學(xué)院 51 強(qiáng)制訪問控制 ? 將主體和客體分級 ? 定義用戶的可信任級別及信息的敏感程度，如，絕密級，機(jī)密級，秘密級，無密級。 ? 根據(jù)主體和客體的級別關(guān)系決定訪問模式 ? 訪問控制關(guān)系分為 ? 上讀

點擊復(fù)制文檔內(nèi)容

教學(xué)課件相關(guān)推薦

信息安全原理與應(yīng)用訪問控制-資料下載頁

【總結(jié)】電子工業(yè)出版社，《信息安全原理與應(yīng)用》，?版權(quán)所有,引用請注明出處1信息安全原理與應(yīng)用第九章訪問控制本章由王昭主寫電子工業(yè)出版社，《信息安全原理與應(yīng)用》，?版權(quán)所有,引用請注明出處2討論議題?訪問控制的有關(guān)概念?訪問控制的策略和機(jī)制

2025-01-18 08:16

[精選]網(wǎng)絡(luò)安全身份認(rèn)證及其應(yīng)用-資料下載頁

【總結(jié)】第8章身份認(rèn)證及其應(yīng)用引言身份認(rèn)證(身份識別與驗證，IdentificationandAuthentication)?安全防御的第一道防線，用戶獲得訪問權(quán)限的第一步?訪問控制的基礎(chǔ)（第9章）訪問控制：識別和區(qū)分用戶，然后賦予訪問權(quán)限–最小特權(quán)原理(LeastPrivilegeTheorem)，系統(tǒng)

2025-01-23 23:08

bit5信息系統(tǒng)安全機(jī)制-訪問控制-資料下載頁

【總結(jié)】訪問控制技術(shù)孫建偉計算機(jī)網(wǎng)絡(luò)攻防對抗技術(shù)實驗室北京理工大學(xué)內(nèi)容概要?訪問控制原理?自主訪問控制?強(qiáng)制訪問控制?基于角色的訪問控制?常用操作系統(tǒng)中的訪問控制概念?通常應(yīng)用在信息系統(tǒng)的安全設(shè)計上。?定義：在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機(jī)制。?目的：

2025-01-12 06:58

北京大學(xué)網(wǎng)絡(luò)信息安全課件-身份認(rèn)證-資料下載頁

【總結(jié)】網(wǎng)絡(luò)與信息安全第五講密碼學(xué)基礎(chǔ)(四)王昭北京大學(xué)信息科學(xué)技術(shù)學(xué)院軟件研究所信息安全研究室2022年春季北京大學(xué)碩士研究生課程回顧與總結(jié)?對稱密碼算法–運算速度快、密鑰短、多種用途（隨機(jī)數(shù)產(chǎn)生、Hash函數(shù)）、歷史悠久–密鑰管理困難（分發(fā)、更換）?

2025-02-21 20:54

信息安全技術(shù)實驗報告實驗2身份認(rèn)證-資料下載頁

【總結(jié)】常熟理工計算機(jī)科學(xué)與工程學(xué)院《信息安全技術(shù)》實驗報告實驗序號：2《信息安全技術(shù)》實驗報告實驗名稱：身份認(rèn)證姓名：張德磊學(xué)院：計算機(jī)科學(xué)與工程學(xué)院專業(yè)：物聯(lián)網(wǎng)工程班級：物聯(lián)網(wǎng)131學(xué)號：092313121指導(dǎo)教師：樂德廣實驗地址：N6-106

2025-08-03 09:13

[精選]消息認(rèn)證與身份認(rèn)證的方法-資料下載頁

【總結(jié)】4認(rèn)證技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院電商安全目錄1.消息認(rèn)證2.身份認(rèn)證的方法3.身份認(rèn)證協(xié)議2023/2/92華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息認(rèn)證消息認(rèn)證的概念?消息認(rèn)證是指使意定的接收者能夠檢驗收到的消息是否真實的方法。?驗證的內(nèi)容包括?消息的源和宿?消息的完整性

2025-01-22 18:07

bit5信息系統(tǒng)安全機(jī)制之訪問控制技術(shù)教材-資料下載頁

2025-01-12 06:57

[精選]計算機(jī)安全保密xxxx-07身份認(rèn)證-資料下載頁

【總結(jié)】1/28/20231第七章身份認(rèn)證認(rèn)證的基本原理認(rèn)證協(xié)議典型的認(rèn)證應(yīng)用1/28/20232認(rèn)證的基本原理1身份認(rèn)證概述n認(rèn)證：是對網(wǎng)絡(luò)中的主體進(jìn)行驗證的過程；認(rèn)證過程中用戶必須提供他是誰的證明。n授權(quán)：身份認(rèn)證的過程證明了一個對象的身份，進(jìn)而決定授權(quán)賦予該對象的權(quán)利是什么。n審計：基于日志，核查責(zé)任。1/28

2025-02-13 19:59

sqlserver身份認(rèn)證-資料下載頁

【總結(jié)】SQLServer2021的身份認(rèn)證模式1.WindowsNT認(rèn)證模式用戶登錄WindowsNT時進(jìn)行身份認(rèn)證，登錄SQLServer時不再進(jìn)行身份驗證。對于WindowsNT認(rèn)證模式登錄的幾點重要說明：(1)必須將NT網(wǎng)絡(luò)賬號加入到SQLServer中，才能采用NT網(wǎng)絡(luò)賬

2025-05-10 19:25

[精選]網(wǎng)絡(luò)安全11-訪問控制-資料下載頁

【總結(jié)】網(wǎng)絡(luò)安全訪問控制、審計和備份網(wǎng)絡(luò)安全的構(gòu)成?物理安全性?設(shè)備的物理安全：防火、防盜、防破壞等?通信網(wǎng)絡(luò)安全性?防止入侵和信息泄露?系統(tǒng)安全性?計算機(jī)系統(tǒng)不被入侵和破壞?用戶訪問安全性?通過身份鑒別和訪問控制，阻止資源被非法用戶訪問?數(shù)據(jù)安全性?數(shù)據(jù)的完整、可用?數(shù)據(jù)保密性

2025-01-25 12:58

haccp認(rèn)證分析和控制管理-資料下載頁

【總結(jié)】HACCP危害分析及關(guān)鍵控制點介紹報告人:內(nèi)容?HACCP歷史及現(xiàn)狀?如何實施HACCP?ISO/DIS15161食品和飲料工業(yè)申請ISO9000指導(dǎo)綱要?HACCP與ISO9000的整合?如何申請HACCP認(rèn)證?小組練習(xí)與討論HACCP歷史及現(xiàn)狀-美國

2025-01-08 19:28

05身份認(rèn)證-資料下載頁

【總結(jié)】1第5章身份認(rèn)證計算機(jī)系統(tǒng)安全2一、認(rèn)證的基本原理在現(xiàn)實生活中，我們個人的身份主要是通過各種證件來確認(rèn)的，比如：身份證、戶口本等。認(rèn)證是對網(wǎng)絡(luò)中的主體進(jìn)行驗證的過程，用戶必須提供他是誰的證明，他是某個雇員，某個組織的代理、某個軟件過程（如交易過程）。認(rèn)證(authent

2025-08-04 07:53

網(wǎng)絡(luò)與信息安全技術(shù)系統(tǒng)訪問控制與審計技術(shù)-資料下載頁

【總結(jié)】2第3章就介紹過，“訪問控制”和“審計”均屬于安全技術(shù)體系的安全服務(wù)的范疇,如下圖：3?訪問控制三要素?客體：系統(tǒng)控制的資源，如，文件、硬件接口等。?主體：某個用戶、用戶執(zhí)行的程序和服務(wù)，它產(chǎn)生對客體的訪問或操作。主體和客體是相對的，主體也可能成為客體。?授權(quán)：規(guī)定主體對該資源執(zhí)行的動

2025-01-08 03:45

北京大學(xué)網(wǎng)絡(luò)信息安全課件--訪問控制-資料下載頁

【總結(jié)】網(wǎng)絡(luò)與信息安全第八講訪問控制陳鐘北京大學(xué)信息科學(xué)技術(shù)學(xué)院軟件研究所－信息安全研究室2021年春季北京大學(xué)碩士研究生課程討論議題?訪問控制的有關(guān)概念?訪問控制的策略和機(jī)制?授權(quán)的管理、網(wǎng)絡(luò)訪問控制組件的

2025-01-16 19:34