點(diǎn)擊查看：軟件水平考試《網(wǎng)絡(luò)規(guī)劃設(shè)計師》學(xué)習(xí)筆記匯總

　　訪問控制技術(shù)(P658-670)

　　1、訪問控制技術(shù)概述

　　(1)訪問控制的基本模型

　　訪問控制包括三個要素：主體、客體、控制策略。

　　訪問控制包括認(rèn)證、控制策略實(shí)現(xiàn)和審計三方面的內(nèi)容。

　　(2)訪問控制的實(shí)現(xiàn)技術(shù)

　　A、訪問控制矩陣(ACM)

　　是通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法

　　訪問矩陣是以主體為行索引，以客體為列索引的矩陣，矩陣中的每一個元素表示一組訪問方式，是若干訪問方式的集合。

　　B、訪問控制表(ACLs)

　　實(shí)際上是按列保存訪問矩陣。訪問控制表提供了針對客體的方便的查詢方法。但是用它來查詢一個主體對所有客體的所有訪問權(quán)限是很困難的。

　　C、能力表

　　對應(yīng)于訪問控制表，這種實(shí)現(xiàn)技術(shù)實(shí)際上是按行保存訪問矩陣。能力表實(shí)現(xiàn)的訪問控制系統(tǒng)可以很方便地查詢某一個主體的所有訪問權(quán)限，但查詢對某一個客體具有訪問權(quán)限的主體信息是很困難的。

　　D、授權(quán)關(guān)系表

　　是即不對應(yīng)于行也不對應(yīng)于列的實(shí)現(xiàn)技術(shù)，只對應(yīng)訪問矩陣中每一個非空元素的實(shí)現(xiàn)技術(shù)。

　　如果授權(quán)關(guān)系表按主體排序，查詢時就可以得到能力表的效率;如果按客體排序，查詢時就可得到訪問控制表的效率。

　　(3)訪問控制表介紹

　　A、ACL的作用

　　可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;

　　提供對通信流量的控制手段;

　　是提供網(wǎng)絡(luò)安全訪問的基本手段;

　　可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。

　　B、ACL的執(zhí)行過程

　　一個端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。

　　數(shù)據(jù)包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一條件判斷語句進(jìn)行比較。

　　如果匹配，則不管是第一條還是最后一條語句，數(shù)據(jù)都會立即發(fā)送到目的接口。

　　如果甩有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。

　　注意，ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。

　　C、ACL的分類

　　分為標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。

　　主要區(qū)別：標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址;擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。

　　D、ACL的配置

　　在全局配置模式下，使用下列命令創(chuàng)建ACL：

　　Router(config)# access-list access-list-number {permit|deny} {test-conditions}

　　在接口配置模式下，使用access-group命令A(yù)CL應(yīng)用到某一接口上：

　　Router(config-if)# {protocol} access-group access-list-number {in|out}

　　E、標(biāo)準(zhǔn)ACL舉例。

　　注意P662到663頁內(nèi)容即可。

　　(4)訪問控制的模型發(fā)展

　　2、傳統(tǒng)訪問控制技術(shù)

　　(1)自主型訪問控制(DAC)

　　Discretionary Access Control

　　自主訪問控制是一種最為普遍的訪問控制手段，用戶可以按自己的意愿對系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他們的文件，亦即一個用戶可以有選擇地與其它用戶共享他的文件。用戶有自主的決定權(quán)。

　　自主訪問控制一個安全的操作系統(tǒng)需要具備訪問控制機(jī)制。它基于對主體及主體所屬的主體組的識別，來限制對客體的訪問，還要校驗(yàn)主體對客體的訪問請求是否符合存取控制規(guī)定來決定對客體訪問的執(zhí)行與否。這里所謂的自主訪問控制是指主體可以自主地(也可能是單位方式)將訪問權(quán)，或訪問權(quán)的某個子集授予其它主體。

　　將數(shù)字信號轉(zhuǎn)換為模擬信號。

　　(2)強(qiáng)制型訪問控制(MAC)

　　Mandatory Access Control .

　　強(qiáng)制訪問控制允許加載新的訪問控制模塊，并借此實(shí)施新的安全策略，其中一部分為一個很小的系統(tǒng)子集提供保護(hù)并加強(qiáng)特定的服務(wù)，其他的則對所有的主體和客體提供全面的標(biāo)簽式安全保護(hù)。定義中有關(guān)強(qiáng)制的部分源于如下事實(shí)，控制的實(shí)現(xiàn)由管理員和系統(tǒng)作出，而不像自主訪問控制 (DAC, FreeBSD 中的標(biāo)準(zhǔn)文件以及 System V IPC 權(quán)限) 那樣是按照用戶意愿進(jìn)行的。

　　強(qiáng)制訪問控制是系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問控制，它也提供了客體(數(shù)據(jù)對象)在主體(數(shù)據(jù)庫用戶)之間共享的控制，但強(qiáng)制訪問控制機(jī)制是通過對主體和客體的安全級別進(jìn)行比較來確定授予還是拒絕用戶對資源的訪問，從而防止對信息的非法和越權(quán)訪問，保證信息的保密性。與自主訪問控制不同的是，強(qiáng)制訪問控制由安全管理員管理，由安全管理員根據(jù)一定的規(guī)則來設(shè)置，普通數(shù)據(jù)庫用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?自主訪問控制盡管也作為系統(tǒng)安全策略的一部分，但主要由客體的擁有者管理。

　　3、基于角色的訪問控制技術(shù)(RBAC)

　　基于角色的訪問控制(Role-Based Access Control)引入了Role的概念，目的是為了隔離User(即動作主體，Subject)與Privilege(權(quán)限，表示對Resource的一個操作，即Operation+Resource)。

　　Role作為一個用戶(User)與權(quán)限(Privilege)的代理層，解耦了權(quán)限和用戶的關(guān)系，所有的授權(quán)應(yīng)該給予Role而不是直接給User或Group。Privilege是權(quán)限顆粒，由Operation和Resource組成，表示對Resource的一個Operation。例如，對于新聞的刪除操作。Role-Privilege是many-to-many的關(guān)系，這就是權(quán)限的核心。

　　基于角色的訪問控制方法(RBAC)的顯著的兩大特征是：

　　1.由于角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多，減小了授權(quán)管理的復(fù)雜性，降低管理開銷。

　　2.靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

　　RBAC基本概念：

　　RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who、What、How的問題。在RBAC模型中，who、what、how構(gòu)成了訪問權(quán)限三元組，也就是“Who對What(Which)進(jìn)行How的操作”。

　　Who：權(quán)限的擁用者或主體(如Principal、User、Group、Role、Actor等等)。

　　What：權(quán)限針對的對象或資源(Resource、Class)。

　　How：具體的權(quán)限(Privilege,正向授權(quán)與負(fù)向授權(quán))。

　　Operator：操作。表明對What的How操作。也就是Privilege+Resource

　　Role：角色，一定數(shù)量的權(quán)限的集合。權(quán)限分配的單位與載體，目的是隔離User與Privilege的邏輯關(guān)系。

　　Group：用戶組，權(quán)限分配的單位與載體。權(quán)限不考慮分配給特定的用戶而給組。組可以包括組(以實(shí)現(xiàn)權(quán)限的繼承)，也可以包含用戶，組內(nèi)用戶繼承組的權(quán)限。User與Group是多對多的關(guān)系。Group可以層次化，以滿足不同層級權(quán)限控制的要求。

　　RBAC的關(guān)注點(diǎn)在于Role和User, Permission的關(guān)系。稱為User assignment(UA)和Permission assignment(PA)。關(guān)系的左右兩邊都是Many-to-Many關(guān)系。就是user可以有多個role，role可以包括多個user。

　　凡是用過RDBMS都知道，n:m 的關(guān)系需要一個中間表來保存兩個表的關(guān)系。這UA和PA就相當(dāng)于中間表。事實(shí)上，整個RBAC都是基于關(guān)系模型。

　　Session在RBAC中是比較隱晦的一個元素。標(biāo)準(zhǔn)上說：每個Session是一個映射，一個用戶到多個role的映射。當(dāng)一個用戶激活他所有角色的一個子集的時候，建立一個session。每個Session和單個的user關(guān)聯(lián)，并且每個User可以關(guān)聯(lián)到一或多個Session.

　　在RBAC系統(tǒng)中，User實(shí)際上是在扮演角色(Role)，可以用Actor來取代User，這個想法來自于Business Modeling With UML一書Actor-Role模式�？紤]到多人可以有相同權(quán)限，RBAC引入了Group的概念。Group同樣也看作是Actor。而User的概念就具象到一個人。

　　這里的Group和GBAC(Group-Based Access Control)中的Group(組)不同。GBAC多用于操作系統(tǒng)中。其中的Group直接和權(quán)限相關(guān)聯(lián)，實(shí)際上RBAC也借鑒了一些GBAC的概念。

　　Group和User都和組織機(jī)構(gòu)有關(guān)，但不是組織機(jī)構(gòu)。二者在概念上是不同的。組織機(jī)構(gòu)是物理存在的公司結(jié)構(gòu)的抽象模型，包括部門，人，職位等等，而權(quán)限模型是對抽象概念描述。組織結(jié)構(gòu)一般用Martin fowler的Party或責(zé)任模式來建模。

　　Party模式中的Person和User的關(guān)系，是每個Person可以對應(yīng)到一個User，但可能不是所有的User都有對應(yīng)的Person。Party中的部門Department或組織Organization，都可以對應(yīng)到Group。反之Group未必對應(yīng)一個實(shí)際的機(jī)構(gòu)。例如，可以有副經(jīng)理這個Group，這是多人有相同職責(zé)。

　　引入Group這個概念，除了用來解決多人相同角色問題外，還用以解決組織機(jī)構(gòu)的另一種授權(quán)問題：例如，A部門的新聞我希望所有的A部門的人都能看。有了這樣一個A部門對應(yīng)的Group，就可直接授權(quán)給這個Group。

　　4、基于任務(wù)的訪問控制模型(TBAC)

　　是從應(yīng)用和企業(yè)層角度來解決安全問題，以面向任務(wù)的任務(wù)的角度來建立安全模型和實(shí)現(xiàn)安全機(jī)制，在任務(wù)處理的過程 提供動態(tài)實(shí)時的安全管理。

　　TBAC模型由工作流、授權(quán)結(jié)構(gòu)體、受托人和許可集4部分組成。

　　5、基于對象的訪問控制模型(OBAC)

　　控制策略和控制規(guī)則 是OBAC訪問控制系統(tǒng)的核心所在。

　　相關(guān)推薦：

　　2018年軟考報名時間※2018軟考考試安排(全年)

　　考試吧特別策劃：2018年計算機(jī)軟考報考指南專題

　　軟考各科目模擬試題及答案※各科目復(fù)習(xí)指導(dǎo)匯總

　　軟考報考條件※軟考報名方法※考試大綱※科目

　　歷年軟考真題及答案匯總※軟件水平考試簡介