信息安全访问控制技术概述.pdf

信息安全访问控制技术概述 课程内容 访问控制模型基本概念 自主访问控制模型 访问控制模型 强制访问控制模型 访问控制 标识和鉴别技术 访问控制技术 典型访问控制方法和实现 知识体 知识域 知识子域 2 知识域：访问控制模型 知识子域：访问控制基本概念  理解标识、鉴别和授权等访问控制的基本概念  理解常用访问控制模型分类 3 访问控制的概念和目标 访问控制：针对越权使用资源的防御措施 目标：防止对任何资源（如计算资源、通信资源 或信息资源）进行未授权的访问，从而使资源在 授权范围内使用，决定用户能做什么，也决定代 表一定用户利益的程序能做什么。 4 访问控制的作用 未授权访问：包括未经授权的使用、泄露、修改、 销毁信息以及颁发指令等。  非法用户对系统资源的使用  合法用户对系统资源的非法使用 作用：机密性、完整性和可用性(CIA) 5 主体与客体 主体  发起者，是一个主动的实体，可以操作被动实体的 相关信息或数据  用户、程序、进程等 客体  一种被动实体，被操作的对象，规定需要保护的资 源  文件、存储介质、程序、进程等 6 主体与客体之间的关系 主体：接收客体相关信息和数据，也可能改变客体 相关信息 一个主体为了完成任务，可以创建另外的主体，这 些子主体可以在网络上不同的计算机上运行，并由 父主体控制它们 客体：始终是提供、驻留信息或数据的实体 主体和客体的关系是相对的，角色可以互换 7 授权 规定主体可以对客体执行的操作：  读  写  执行  拒绝访问  … 8 标识 标识是实体身份的一种计算机表达，每个实体与计算 机内部的一个身份表达绑定 标识的主要作用：访问控制和审计  访问控制：标识用于控制是否允许特定的操作  审计：标识用于跟踪所有操作的参与者，参与者的任 何操作都能被明确地标识出来 9 主体标识的实例 主体的标识  在UNIX中，主体（用户）的身份标识为0-65535之 间的一个整数，称为用户身份号（UID）  常见的主体标识还包括用户名、卡、令牌等，也可 以是指纹、虹膜等生物特征 10 客体标识的实例 客体的标识  文件名  文件描述符或句柄  文件分配表的条目  UNIX中提供了四种不同的文件标识： • inode