导图社区访问控制技术原理与应用

访问控制技术原理与应用

访问控制概述 1.1 访问控制概念指对资源对象的访问者授权、控制的方法及运行机制访问者:又称为主体,可以是用户、进程、应用程序等资源对象:又称为客体,即被访问的对象,可以是文件、应用服务、数据等授权:是访问者可以对资源对象进行访问的方式,如文件的读、写、删除、追加或电子邮件服务的接收、发送等(能干什么) 控制:就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策,如拒绝访问、授权许可、禁止操作等(能不能干..

编辑于2022-10-11 17:32:11 湖北省

网络安全

山里野生君

他的近期作品查看更多>>

访问控制技术原理与应用

社区模板帮助中心，点此进入>>

山里野生君

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 38.0k
- 969
- 2.4k
- 401
- 0
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 17.2k
- 3
- 186
- 9
- 1
Kacyun
域控上线
- 3.4k
- 169
- 11
- 4
- 0
jackrao
python思维导图
- 8.1k
- 550
- 242
- 7
- 0
(*^▽^*)
css
- 2.9k
- 1
- 43
- 3
- 0
A张舫
CSS
- 5.2k
- 271
- 189
- 33
- 0
journey
计算机操作系统思维导图
- 6.7k
- 351
- 208
- 16
- 0
journey
计算机组成原理
- 3.2k
- 98
- 70
- 8
- 0
journey
IMX6UL(A7)
- 1.9k
- 41
- 5
- 0
- 0
Handler XU
考试学情分析系统
- 2.6k
- 51
- 10
- 1
- 0
蒋龙

7.访问控制技术原理与应用

1. 访问控制概述

1. 访问控制概念

访问控制概念：是指对资源对象的访问者授权、控制的方法及运行机制。

访问者---主体

对象---客体

授权---能干什么，如增删改查

控制---能不能干，如拒绝、许可

2. 访问控制目标

一是防止非法用户进入系统；二是阻止合法用户越权访问。

要实现访问控制的目标，首先要对网络用户进行有效的身份认证，还可以进行系统的安全审计和监控。

2. 访问控制模型

1. 访问控制参考模型

访问控制机制的组成要素主要有主体（Subject，操作的实施者）、参考监视器（Reference Monitor，访问控制的决策单元和执行单元的集合体）、客体（Object，被操作的对象）、访问控制数据库（记录主体访问客体的权限及其访问方式的信息，提供访问控制决策判断的依据，也称为访问控制策略库）、审计库（存储主体访问客体的操作信息，如访问成功、失败等）。

2. 访问控制模型发展

自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常用于操作系统、数据库系统的资源访问；

基于使用的访问控制模型则用于隐私保护、敏感信息安全限制、知识产权保护；

基于地理位置的访问控制模型可用于移动互联网应用授权控制；

基于属性的访问控制主要提供分布式网络环境和Web服务的模型访问控制；

基于行为的访问控制模型根据主体的活动行为，提供安全风险的控制；---平时转账低于100，突然增加到了10000

基于时态的访问控制模型。---时态，可以理解为“时间”，比如普通用户上班时间不能浏览网页

3. 访问控制类型

1. 自主访问控制（DAC）

自主访问控制(Discretionary Access Control，DAC)，是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。---客体自己做主，随意性大，不安全

实现方式

（1）基于行的自主访问控制：主体上附加客体的明细表，根据表中信息的不同又可分成三种形式，，即能力表(capability list) 、前缀表(profiles) 和口令(password) 。

能力表：能力是访问客体的钥匙，它决定用户能否对客体进行访问以及具有何种访问模式（读、写、执行）。

前缀表：包括受保护客体名和主体对它的访问权限。当主体要访问某客体时，自主访问控制机制检查主体的前缀是否具有它所请求的访问权。

口令：口令验证。如果正确，它就可以访问该客体。

（2）基于列的自主访问控制：客体上附加主体的明细表，有两种形式，即保护位(protection bits) 和访问控制表(Access Control List, ACL) 。

保护位：通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合，通常以比特位来表示访问权限。UNIX/Linux系统就利用这种访问控制方法。---如Linux中的-rwx --- ---

访问控制表：简称ACL，是在每个客体上都附加一个主体明细表，表示访问控制矩阵，表中每一项都包括主体的身份和主体对该客体的访问权限。

2. 强制访问控制

强制访问控制（(Mandatory Access Control，MAC）是指根据主体和客体的安全属性，以强制方式控制主体对客体的访问。安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全级别和范畴。当主体安全级别≥客体的安全级别，主体的范畴包含客体的范畴时，进程才能访问客体，否则就拒绝。

3. 基于角色的访问控制

基于角色的访问控制（RBAC）它通过分配和取消角色来完成用户权限的授予和取消，并且提供角色分配规则。角色就是系统中的岗位、职位或者分工，RBAC包括用户（U）、角色（R）、会话（S）和权限（P）四个基本要素。---p是powr

RBAC分成两个部分，访问权限与角色相关联，角色再与用户关联，从而实现了用户与访问权限的逻辑分离。便于授权管理，便于根据工作需要分级，便于赋予最小特权，便于任务分担，便于文件分级管理。

4. 基于属性的访问控制

基于属性的访问控制（Attribute Based Access Control，ABAC）：访问控制方法是根据主体的属性、客体的属性、环境的条件以及访问控制策略对主体的请求操作进行授权许可或拒绝。

4. 访问控制策略设计与实现

1. 访问控制策略

访问控制策略：用于规定访问资源的权限，防止资源损失、泄密或非法使用。

在设计访问控制策略时，一般应考虑下面的要求：

（1）不同网络应用的安全需求，如内部用户访问还是外部用户；

（2）所有和应用相关的信息的确认，如通信端口号、IP地址等；

（3）网络信息传播和授权策略，如信息的安全级别和分类；

（4）不同系统的访问控制和信息分类策略之间的一致性；

（5）关于保护数据和服务的有关法规和合同义务；

（6）访问权限的更新和维护。

访问控制策略必须指明禁止什么和允许什么

在说明访问控制规则时，应做到以下几点：

（1）所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提；---想想IP绑定，已绑定IP的是允许的，未绑定的就是不被允许的---->即“未经明确允许的都是禁止的”

（2）信息标记的变化，包括由信息处理设备自动引起的或是由用户决定引起的；

（3）由信息系统和管理人员引起的用户许可的变化；

（4）规则在须布之前需要管理人员的批准或其他形式的许可。

一个访问控制策略由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成

2. 访问控制规则

访问控制规则实际上就是访问约束条件集，目前，常见的访问控制规则有基于用户身份、基于时间、基于地址、基于服务数量等多种情况

（1）基于用户身份的访问控制规则：账号+口令

（2）基于角色的访问控制规则是根据用户完成某项任务所需要的权限进行控制的。

（3）基于地址的访问控制规则利用访问者所在的物理位置（---地域）或逻辑地址空间（IP）来限制访问操作。

（4）基于时间的访问控制规则利用时间来约束访问操作，例如，下班时间不允许访问服务器。

（5）基于异常事件的访问控制规则利用异常事件来触发控制操作，例如，当系统中的用户登录出现三次失败后，系统会在一段时间内冻结账户。

（6）基于服务数量的访问控制规则利用系统所能承受的服务数量来实现控制，例如，为了防范拒绝服务攻击，网站在服务能力接近某个阀值时，暂时拒绝新的网络访问请求

5. 访问控制过程与安全管理

1. 访问控制过程

访问控制的目的是保护系统的资产，防止非法用户进入系统及合法用户对系统资源的非法使用。

实现访问控制管理的五个步骤

第一步，明确访问控制管理的资产，例如网络系统的路由器、Web服务等；

第二步，分析管理资产的安全需求，例如保密性要求、完整性要求、可用性要求等：

第三步，制定访问控制策略，确定访问控制规则以及用户权限分配；

第四步，实现访问控制策略，建立用户访问身份认证系统，并根据用户类型授权用户访问资产：

第五步，运行和维护访问控制系统，及时调整访问策略。

2. 最小特权管理

特权设置有利于系统维护和配置，但不利于系统的安全性。最小特权原则指系统中每一个主体只能拥有完成任务所必要的权限集。特权的分配原则是“按需使用”。---最小特权，常用于数据库

3. 用户访问管理

为了防止系统的非授权使用，对系统中的用户权限应进行有效管理。用户管理是网络安全管理的重要内容之一，其主要工作包括用户登记、用户权限取消、撤销用户。

用户管理一般流程如图所示

4. 口令安全管理

口令安全管理：口令是当前大多数网络实施访问控制进行身份鉴别的重要依据

原则

口令选择应至少在8个字符以上，应选用大小写字母、数字、特殊字符组合；

禁止使用与账号相同的口令；

更换系统默认口令，避免使用默认口令：.

限制账号登录次数，建议为3次；.

禁止共享账号和口令；

口令文件应加密存放，并只有超级用户才能读取；禁止以明文形式在网络上传递口令：

口令应有时效机制，保证经常更改，并且禁止重用口令；

对所有的账号运行口令破解工具，检查是否存在弱口令或没有口令的账号。

6. 访问控制主要产品与技术指标

访问控制是网络安全普遍采用的安全技术，其产品表现形式有独立系统形态（---以独立的系统存在）、功能模块形态（---以模块形式集成到其他系统）、专用设备形态。

1.访问控制主要产品

（1）4A系统

4A是指认证（Authentication）、授权（Authorization）、账号（Account）、审计（Audit），中文名称为统一安全管理平台。平台常用基于角色的访问控制方法，以便于账号授权管理。

（2）安全网关

安全网关产品的技术特点是利用网络数据包信息和网络安全威胁特征库，对网络通信连接服务进行访问控制。这类产品是一种特殊的网络安全产品，如防火墙、统一威胁管理(UTM) 等。

（3）系统安全增强

系统安全增强产品的技术特点是通常利用强制访问控制技术来增强操作系统、数据库系统的安全，防止特权滥用。如Linux 的安全增强系统SELinux 、Windows 操作系统加固等。

2.访问控制主要技术指标

（1）产品支持访问控制策略规则类型。品的技术特点是集成了访问控制机制和功能，提供多种访问控制服务。---类型要多

（2）产品支持访问控制规则最大数量。问控制方法，以便于账号授权管理。---数量要大

（3）产品访问控制规则检查速度。---速度要快

（4）产品自身安全和质量保障级别。---级别越高越好

7. 访问控制技术应用

1. 访问控制技术应用场景类型

略....

2. UNIX/Linux 系统访问控制应用参考

UNIX/Linux系统访问控制应用参考：在每个文件上使用“9比特位模式”来标识访问控制权限信息。如 -rw-r--r--

其中-rw-r--r--就是文件的权限信息，共用10个字符表示，第1个字符为文件的类型，是文件则为-，是目录则是D；后9个字符为不同用户分别对该文件具有的权限，分为文件所有者（owner）、文件所属组用户（group）、其他用户（other）三类，以及可读、可写、可执行三个权限，见下图。---其实就是3*3的结构

上表中，表示权限的字符rwx还可以用数字来表示，-rw-r--r--就是644

3. Windows访问控制应用参考

Windows访问控制应用参考：Windows用户登录到系统时，WinLogon进程为用户创建访问令牌，包含用户及所属组的安全标识符（SID），作为用户的身份标识。文件等客体则含有自主访问控制列表（DACL），标明谁有权访问，还含有系统访问控制列表（SACL），标明哪些主体的访问需要被记录。

用户进程访问客体对象时，通过WIN32子系统向核心请求访问服务，核心的安全参考监视器（SRM）将访问令牌与客体的DACL进行比较，决定客体是否拥有访问权限，同时检查客体的SACL，确定本次访问是否落在既定的审计范围内，是则送至审计子系统。

4. IIS FTP 访问控制应用参考

IISFTP访问控制应用参考：匿名访问控制设置，FTP的目录安全性设置（读取即下载，写入即上传，FTP站点的目录权限对所有的FTP用户都有效）如下图

5. 网络访问控制应用参考

略...

6. xxx后面的都不重要

略...