CL困难访问权限传递ACL困难CL.PPT-.pptxVIP

第六章 访问控制;安全服务;一、访问控制的概念;访问控制的概念和目标;访问控制的作用;访问控制模型基本组成;访问控制与其他安全服务的关系模型;第六章 访问控制;1983 年，美国国防部率先推出了《可信计算机系统评估准则》（TCSEC），.;阻止非授权用户访问目标的方法： 1）访问请求过滤器： 当一个发起者试图访问一个目标时，审查其是否获准以请求的方式访问目标； 2）分离 防止非授权用户有机会去访问敏感的目标。 这两种方法涉及： 访问控制机制和访问控制策略。;访问控制策略 系统中存取文件或访问信息的一整套严密安全的规则。通过不同方式建立：OS固有的，管理员或用户制定的。 访问控制机制 对访问控制策略抽象模型的许可状态转换为系统的物理形态，并对访问和授权进行监测。是具体实施访问策略的所有功能的集合，这些功能可通过系统的软硬件实现。;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;二、访问控制策略;访问控制策略模型可分为： · 自主式策略（基于身份的策略）;如何决定访问权限;用户的分类;资源;资源和使用;访问规则;访问控制的一般实现机制和方法;访问控制矩阵;访问控制矩阵;访问控制表(ACL);访问能力表(CL);ACL、CL访问方式比较;ACL、CL访问方式比较;授权关系表;下读（read down）：用户级别大于文件级别的读操作； 上写（Write up）：用户级别小于文件级别的写操作； 下写（Write down）：用户级别等于文件级别的写操作；上读（read up）：用户级别小于文件级别的读操作；;自主 访问控制;自主访问控制（DAC）;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;访问许可(Access Permission);第六章 访问控制;(2)有主型的(Owner) 对每个客体设置一个拥有者 (通常是客体的生成者).拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权.;第六章 访问控制;第六章 访问控制;基于身份的策略：基于个人的策略;基于身份的策略：基于组的策略;强制访问控制（MAC）第六章 访问控制;精确描述;强制访问控制实现机制-安全标签;自主/强制访问的问题;基于角色访问控制（RBAC）;第六章 访问控制;第六章 访问控制;第六章 访问控制;基于角色访问控制（RBAC）;基于角色访问控制（RBAC）;角色的继承关系;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;第六章 访问控制;五、基于角色访问控制（RBAC）;第六章 访问控制;第六章 访问控制;第六章 访问控制;六、访问控制的其它考虑;· 穿越互操作区域的策略映射 安全区域边界的翻译、映射，不同区域安全策略不同;· 访问控制信息的产生、分发和存储