西安邮电大学通信与信息工程学院信息安全概论课件第六章 访问控制.pptVIP

第六章 访问控制;第六章 访问控制技术;6.1 访问控制的模型;访问控制的模式;主体（Subject）;客体（Object）;控制策略;三个要素之间的行为关系 ;访问控制关系示意图 ;用户标识（UID：User Identification）： 一个用来鉴别用户身份的字符串。 每个用户有且只能有唯一的一个用户标识。 用户注册进入系统必须提供用户标识 系统审查来确信当前用户是对应用户标识的那个用户。;多级安全信息系统;两种安全类别;访问控制内容;访问控制模型;访问控制模型;6.1.1 自主访问控制模型;自主访问控制模型的实现： 首先要对用户的身份进行鉴别 然后就可以按照访问控制列表所赋予用户的权限，允许和限制用户使用客体的资源 主体控制权限的修改通常由特权用户（管理员）或是特权用户组实现。;自主访问控制模型的特点;6.1.2 强制访问控制模型;MAC对访问主体和受控对象标识两个安全标记： 一个是具有偏序关系的安全等级标记 一个是非等级分类标记。 主体和客体在分属不同的安全类别时，用SC表示它们构成的一个偏序关系， 比如：TS绝密级比密级S高，当 主体S的安全类别为TS 客体O的安全类别为S时 用偏序关系可以表述为SC(S)≥SC(O)。;主体对客体的访问;MAC和DAC;6.1.3 基于角色的访问控制模型;角色和组的主要区别在于： 用户属于组是相对固定的。 用户能被指派到哪些角色则受时间、地点、事件等诸多因素影响。 角色比组的抽象级别要高。 ;基于角色的访问控制模型RBAC;RBAC 从控制主体的角度出发 根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系 这点与传统的MAC和DAC将权限直接授予用户的方式不同； 通过给用户分配合适的角色，让用户与访问权限相联系。;基于角色的访问控制模型;基于角色的访问控制模型;基于角色的访问控制模型;上述几个访问控制模型的缺点;6.2 访问控制策略 ;6.2.1 安全策略; 安全策略的实施原则 ;安全策略的具体含义和实现 ;1989年12月国际标准化组织（ISO）颁布了该标准的第二部分，即ISO 7498-2，并首次确定了开放系统互连（OSI） 参考模型的信息安全体系结构。 按照ISO 7498-2中OSI安全体系结构中的定义，访问控制的安全策略有以下两种实现方式： 基于身份的安全策略，等同于DAC安全策略 基于规则的安全策略，等同于MAC安全策略。;6.2.2 基于身份的安全策略 ;基于个人的策略 ;基于组的策略 ;6.2.3基于规则的安全策略;6.3 访问控制的实现 ;6.3.1 访问控制的实现机制;6.3.2 访问控制表;6.3.4 访问控制能力列表;6.3.3 访问控制矩阵;6.3.5 访问控制安全标签列表;6.3.6 访问控制实现的具体类别;接入访问控制;资源访问控制;网络端口和节点的访问控制;6.4 安全级别与访问控制 ;计算机系统的安全级别介绍 ;计算机系统的安全级别介绍 ;计算机系统的安全级别介绍 ;计算机系统的安全级别介绍 ;6.5 访问控制与授权 ;6.5.1 授权行为;6.5.2 信任模型;信任模型;层次信任模型 ;层次信任模型;对等信任模型;网状信任模型;6.5.3 信任管理系统;6.6 PKI与PMI的关系;6.6.1 授权管理 ;PKI与PMI的关系;PKI与PMI的关系（续）;PKI与PMI的关系;6.6.2 属性证书;公钥证书与属性证书;公钥证书与属性证书;X.509 属性证书格式 ;6.6.3 PMI结构模型;PMI结构模型组成 ;PMI结构模型组成;本章小结