信息系统安全第3章.pptVIP

张基温编著信息系统安全教程第3章访问控制第3章访问控制身份认证访问控制资源用户访问请求权限系统访问控制——授权（authorization）控制网络访问控制：逻辑隔离物理隔离3.1系统访问控制基本概念——二元关系描述访问控制矩阵授权关系表访问控制策略自主强制访问控制策略基于角色的访问控制策略访问控制用一个二元组（控制对象，访问类型）来表示。其中的控制对象表示系统中一切需要进行访问控制的资源，访问类型是指对于相应的受控对象的访问控制，如：读取、修改、删除等等。01几种常用的描述形式访问控制矩阵授权关系表访问能力表访问控制列表023.1.1访问控制的二元关系描述1.访问控制矩阵访问控制矩阵也称访问许可矩阵，它用行表示客体，列表示主体，在行和列的交叉点上设定访问权限。表3.1一个访问控制矩阵的例子。表中，一个文件的Own权限的含义是可以授予（Authorize）或者撤销（Revoke）其他用户对该文件的访问控制权限。例如，张三对File1具有Own权限，所以张三可以授予或撤销李四和王五对File1的读（R）写（W）权限。主体（subjects）客体（objects）File1File2File3File4张三Own,R,WOwn,R,W李四ROwn,R,WWR王五R,WROwn,R,W2.授权关系表授权关系表（AuthorizationRelations）描述了主体和客体之间各种授权关系的组合。主体访问权限客体张三OwnFile1张三RFile1张三WFile1张三OwnFile3张三RFile3张三WFile3李四RFile1李四OwnFile2李四RFile2李四WFile2李四WFile3李四RFile4王五RFile1王五WFile1王五RFile2王五OwnFile4王五RFile4王五WFile4能力（Capability）也称权能，是受一定机制保护的客体标志，标记了某一主体对客体的访问权限：某一主体对某一客体有无访问能力，表示了该主体能不能访问那个客体；而具有什么样的能力，表示能对那个客体进行一些什么样的访问。它也是一种基于行的自主访问控制策略。张三File1OwnRWFile3OwnRW李四File1RFile2OwnRWFile3WFile4R王五File1RWFile3RFile4OwnRW3.访问能力表访问控制列表（AccessControlList，ACL）与访问能力表正好相反，是从客体出发描述控制信息，可以用来对某一资源指定任意一个用户的访问权限。File1张三OwnRW李四RFile2李四OwnRW王五RFile3张三OwnRW李四W王五RWFile4李四R王五OwnRW4.访问控制列表基本思想是：资源的所有者可以对资源的访问进行控制，任意规定谁可以访问其资源，自主地直接或间接地将权限传给（分发给）主体。01优点：应用灵活与可扩展性，经常被用于商业系统。02缺点：权限传递很容易造成漏洞，安全级别比较低，不太适合网络环境，主要用于单个主机上。033.1.2（1）自主访问控制3.1.2（2）强制访问控制下读（ReadDown）上读（ReadUp）下写（WriteDown）上写（WriteUp）基本思想：不允许单个用户确定访问权限，只有系统管理员才可以确定用户或用户组的访问权限。MAC主要用于多层次安全级别的系统（如军事系统）中。3.1.3基于角色的访问控制策略基于角色的访问控制（Role-BaseAccessControl，RBAC）比针对个体的授权管理，在可操作性和可管理性方面都要强得多。01数据包过滤技术；02网络地址转换技术；03代理技术.3.2网络的逻辑隔离01地址过滤技术02服务过滤技术03状态检测过滤技术04内容过滤技术3.2.1数据包过滤数据包及其结构（1）源地址（SourceAddress）和目的地址（DestinationAddress）（2）标识符（3）标志F（Flag)（4）片偏移量FO（FragmentOffset)（5）源端口（SourcePort）和