网络安全9访问控制技术.pdfVIP

第9章 访问控制技术 本章的主要内容是对入网访问控制、 物理隔离、自主访问控制和强制访 问控制等技术的实现原理进行了详 细的论述,并介绍了一些新型访问 控制技术。 第9章 访问控制技术 9.1 访问控制技术概述 9.2 入网认证 9.3 物理隔离措施 9.4 自主访问控制 9.5 强制访问控制 9.6 新型访问控制技术 第9章 第1节 第9章 访问控制技术 要保证计算机系统实体的安全, 必须对计算机系统的访问进行控 制 访问控制的基本任务  防止非法用户即未授权用户进入系 统  合法用户即授权用户对系统资源的 非法使用 问题提出  例1：学校的教务管理系统全校师生都可以使用,但是只有 老师可以输入考试成绩,只有学生可以对教学质量进行评价。 。。 例2：作为QQ用户,执行同样的登录操作,为什么QQ服务器 可以识别出有的用户花了钱晋升为QQ会员,有的用户开通了 各种钻,更多的只是普通的QQ用户呢？ 例3：论坛规定,发贴或跟贴必须要先注册并登录,而且只 有管理员可以删贴,甚至封贴。 访问控制的最基本概念  主体（subject）  一个提出请求或要求的实体,是动作的发起者（不一定是 动作的执行者）,有时也称为用户或访问者 （如被授权使 用计算机的人）；  主体含义广泛,可以是用户、用户组、计算机终端、外设 卡、手持终端设备、一个数据文件甚至是应用服务程序或 进程。  客体（object）  接受其他实体访问的被动实体,凡是可以被操作的信息、 资源、对象都可以作为客体；  通常包括文件和文件系统、磁盘和磁带卷标、远程终端、 信息管理系统的事务处理及其应用、数据库中的数据、应 用资源等。 访问控制的最基本概念  访问（access）  使信息在主体和客体之间流动的一种交互方式。  对文件客体来说,典型的访问就是读、写、执行和所有； 其中所有权指谁能改变文件的访问权。  访问控制策略（access control policy）  主体对客体的访问规则集,这个规则集直接定义了主体对 客体的作用行为和客体对主体的条件约束。  体现了一种授权行为,也就是客体对主体的权限允许,这 种允许不能超越规则集。 访问控制的最基本概念  访问控制  指主体依据某些控制策略或者权限对客 体或其资源进行的不同的授权访问。  可以限制访问主体（或称为发起者,是 一个主动的实体,如用户、进程、服务 等）对访问客体（需要保护的资源）的 访问权限,从而使计算机系统在合法范 围内使用。  访问控制三要素： 访问控制的最基本概念  访问控制系统要素之间的行为关系参 见下图： 访问控制过程  访问控制由两个重要过程组成 1、通过认证来检验主体的合法身 份； 2、通过授权 （Authorization） 来限制用户对资源的访问级别。 在认证和授权后,访问控制机制将 根据预先设定的规则对用户访问的 访问控制过程 这种控制通过监控器进行,每一次 用户对系统内目标进行访问时,都 由这个监控器来进行调节 控制过程：用户对系统进行访问时, 监控器便依据访问控制策略,以确 定准备进行访问的用户是否确实得 到了进行此项访问的许可。 访问控制过程 严格区分身份认证和访问控制很重 要！ 原因：正确建立用户的身份是认证 服务的责任,而访问控制则假定在 通过监控器实施访问控制前,用户 的身份就已经得到了验证；因而, 访问控制的有效性取决于用户的正 确识别,同时也取决于监控器正确 访问控制技术概述 访问控制是从计算机系统的处理 能力方面对信息提供保护 它按照事先确