网络对抗7-访问控制与安全等级.pptVIP

网络攻击与防御-绪论 第13章 授权与访问控制 13.1 概念原理 访问控制服务 访问控制服务 -- 确定身份+授予访问权限 访问控制 访问包括读取数据、更改数据、运行程序、发起连接等对各种对象的“操作”。 访问控制用于限制访问主体（或称为发起者，如用户、进程、服务等）对访问对象（需要保护的资源）的访问权限； 访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。 访问控制的两个重要过程 通过“鉴别（authentication）”来检验主体的合法身份（认证） 通过授权（authorization）来限制用户对资源的访问 访问控制的应用类型 主机、操作系统访问控制 网络访问控制 应用程序访问控制 主机、操作系统访问控制 应用程序访问控制 13.2 常用实现方法 访问控制矩阵 稀疏,浪费存储空间 自主访问控制 DAC 自主访问控制机制允许对象的属主自主制定该对象的保护策略(决定谁可访问)。用户之间可授权 通常DAC通过授权列表（或访问控制列表ACL）来限定哪些主体对哪些对象可以执行哪些操作。 每个主体拥有一个用户名并属于一个组或具有一个角色 每个对象都拥有一个限定主体对其访问权限的访问控制列表（ACL） 每次访问发生时都会依据用户角色和ACL确定访问权限 强制访问控制 MAC 系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或所属对象