网络访问控制组件的分布A．.ppt

访问控制模型基本组成 访问控制决策组件是一个对请求的行为用访问控制策略规则来做出访问控制决策的网络单元。 访问控制实施组件实施由决策组件做出的决策。 访问控制 访问控制策略 访问控制机制 网络访问控制组件的分布 授权的管理 路由控制 访问控制策略 访问控制策略 基于身份的策略 等同于自主式策略，允许系统中信息的拥有者按照自己的意愿去指定谁可以以何种访问模式去访问该客体。 根据主体的身份及允许访问的权限进行决策。 如何把用户和目标分组有很大的灵活性，其范围可从单个用户和目标的清晰识别到大组的使用。 缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 基于规则的策略 广泛地应用于政府机密部门。这些策略能用算法表达，并能在计算机上自动执行。也称为强制访问控制。 将主体和客体分级，根据主体和客体的级别标记来决定访问模式。如，绝密级，机密级，秘密级，无密级。 其访问控制关系分为： 下读/上写规则 BL模型 机密性 上读/下写规则 Biba模型 完整性 示例通讯过程中如何体现BL模型思想 。当企业的两个分支网络要跨越非可信网络进行互联时，可以假设两个分支机构的安全级别均为机秘，而Internet，作为VPN的传输媒介，它的安全级别为公开，因此依照BL模型，Internet上的用户仅可