自主访问控制模型.pptVIP

第六章 访问控制;第六章 访问控制技术;6.1 访问控制的模型;访问控制的模式;主体（Subject）;客体（Object）;控制策略;三个要素之间的行为关系 ;访问控制关系示意图 ;用户标识（UID：User Identification）： 一个用来鉴别用户身份的字符串。 每个用户有且只能有唯一的一个用户标识。 用户注册进入系统必须提供用户标识 系统审查来确信当前用户是对应用户标识的那个用户。;多级安全信息系统;两种安全类别;访问控制内容;访问控制模型;访问控制模型;6.1.1 自主访问控制模型;自主访问控制模型的实现： 首先要对用户的身份进行鉴别 然后就可以按照访问控制列表所赋予用户的权限，允许和限制用户使用客体的资源 主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现。;自主访问控制模型的特点;6.1.2 强制访问控制模型;MAC对访问主体和受控对象标识两个安全标记： 一个是具有偏序关系的安全等级标记 一个是非等级分类标记。 主体和客体在分属不同的安全类别时，用SC表示它们构成的一个偏序关系， 比如：TS绝密级比密级S高，当 主体S的安全类别为TS 客体O的安全类别为S时 用偏序关系可以表述为SC(S)≥SC(O)。;主体对客体的访问;MAC和DAC;6.1.3 基于角色的访问控制模型;角色和组的主要区别在于： 用户属于组是相对固定的。 用户能被指