-電子商務(wù)5-訪問控制

5-訪問控制

主講：祝凌曦

單位：北京交通大學(xué)

辦公室：土建樓321

郵箱：ZHULINGXI@139.com今天，你移動支付了嗎？5-訪問控制1、訪問控制（AccessControl）概念：訪問控制是指控制對一臺計算機或一個網(wǎng)絡(luò)中的某個資源的訪問，是針對越權(quán)使用資源的防御措施。訪問控制規(guī)定了主體對客體訪問的限制，并在身份識別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。訪問控制所要控制的行為主要有讀取數(shù)據(jù)、運行可執(zhí)行文件、發(fā)起網(wǎng)絡(luò)連接等。5-訪問控制1、訪問控制（AccessControl）概念：主體（Subject）：主體是指主動的實體，是訪問的發(fā)起者，它造成了信息的流動和系統(tǒng)狀態(tài)的改變，主體通常包括人、進程和設(shè)備。客體（Object）：客體是指包含或接受信息的被動實體，客體在信息流動中的地位是被動的，是處于主體的作用之下，對客體的訪問意味著對其中所包含信息的訪問。客體通常包括文件、設(shè)備、信號量和網(wǎng)絡(luò)節(jié)點等。訪問（Access）：是使信息在主體和客體之間流動的一種交互方式。包括讀取數(shù)據(jù)、更改數(shù)據(jù)、運行程序、發(fā)起連接等。5-訪問控制2、目標(biāo)及任務(wù)防止對任何資源（如計算資源、通信資源或信息資源）進行未授權(quán)的訪問。就是要根據(jù)一定的原則對合法用戶的訪問權(quán)限進行控制，以決定他可以訪問哪些資源以及以什么樣的方式訪問這些資源。5-訪問控制3、訪問控制模型DAC模型MAC模型RBAC模型5-訪問控制3、訪問控制模型DAC模型DiscretionaryAccessControl（DAC）自主訪問控制模型自主訪問控制模型是根據(jù)自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規(guī)定的客體，同時阻止非授權(quán)用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權(quán)限授予其他用戶。5-訪問控制3、訪問控制模型DAC模型特點自主訪問控制模型的特點是授權(quán)的實施主體（可以授權(quán)的主體、管理授權(quán)的客體、授權(quán)組）自主負(fù)責(zé)賦予和回收其他主體對客體資源的訪問權(quán)限。DAC模型一般采用訪問控制矩陣和訪問控制列表來存放不同主體的訪問控制信息，從而達(dá)到對主體訪問權(quán)限限制的目的。5-訪問控制3、訪問控制模型MAC模型MandatoryAccessControl（MAC）強制訪問控制在MAC這種模型里，管理員管理訪問控制。管理員制定策略，用戶不能改變它。策略定義了哪個主體能訪問哪個對象。這種訪問控制模型可以增加安全級別，因為它基于策略，任何沒有被顯式授權(quán)的操作都不能執(zhí)行5-訪問控制3、訪問控制模型強制訪問策略將每個用戶及文件賦于一個訪問級別，如，最高秘密級，秘密級，機密級及無級別級。其級別為依次降低，系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來決定訪問模式。訪問模式包括：下讀：用戶級別大于文件級別的讀操作；上寫：用戶級別小于文件級別的寫操作；下寫：用戶級別等于文件級別的寫操作；上讀：用戶級別小于文件級別的讀操作；5-訪問控制3、訪問控制模型RBAC模型oleBasedAccessControl(RBAC)基于角色的訪問控制管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進程和普通用戶可能有不同的角色。設(shè)置對象為某個類型，主體具有相應(yīng)的角色就可以訪問它。這樣就把管理員從定義每個用戶的許可權(quán)限的繁冗工作中解放出來5-訪問控制3、訪問控制模型RBAC模型RBAC模型是20世紀(jì)90年代研究出來的一種模型，從本質(zhì)上講，這種模型是對