點擊查看：軟件水平考試《網(wǎng)絡(luò)規(guī)劃設(shè)計師》學(xué)習(xí)筆記匯總

　　訪問控制技術(shù)(P658-670)

　　1、訪問控制技術(shù)概述

　　(1)訪問控制的基本模型

　　訪問控制包括三個要素：主體、客體、控制策略。

　　訪問控制包括認證、控制策略實現(xiàn)和審計三方面的內(nèi)容。

　　(2)訪問控制的實現(xiàn)技術(shù)

　　A、訪問控制矩陣(ACM)

　　是通過矩陣形式表示訪問控制規(guī)則和授權(quán)用戶權(quán)限的方法

　　訪問矩陣是以主體為行索引，以客體為列索引的矩陣，矩陣中的每一個元素表示一組訪問方式，是若干訪問方式的集合。

　　B、訪問控制表(ACLs)

　　實際上是按列保存訪問矩陣。訪問控制表提供了針對客體的方便的查詢方法。但是用它來查詢一個主體對所有客體的所有訪問權(quán)限是很困難的。

　　C、能力表

　　對應(yīng)于訪問控制表，這種實現(xiàn)技術(shù)實際上是按行保存訪問矩陣。能力表實現(xiàn)的訪問控制系統(tǒng)可以很方便地查詢某一個主體的所有訪問權(quán)限，但查詢對某一個客體具有訪問權(quán)限的主體信息是很困難的。

　　D、授權(quán)關(guān)系表

　　是即不對應(yīng)于行也不對應(yīng)于列的實現(xiàn)技術(shù)，只對應(yīng)訪問矩陣中每一個非空元素的實現(xiàn)技術(shù)。

　　如果授權(quán)關(guān)系表按主體排序，查詢時就可以得到能力表的效率;如果按客體排序，查詢時就可得到訪問控制表的效率。

　　(3)訪問控制表介紹

　　A、ACL的作用

　　可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;

　　提供對通信流量的控制手段;

　　是提供網(wǎng)絡(luò)安全訪問的基本手段;

　　可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。

　　B、ACL的執(zhí)行過程

　　一個端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進行檢查。

　　數(shù)據(jù)包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一條件判斷語句進行比較。

　　如果匹配，則不管是第一條還是最后一條語句，數(shù)據(jù)都會立即發(fā)送到目的接口。

　　如果甩有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。

　　注意，ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進行控制。

　　C、ACL的分類

　　分為標(biāo)準(zhǔn)ACL和擴展ACL。

　　主要區(qū)別：標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址;擴展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。

　　D、ACL的配置

　　在全局配置模式下，使用下列命令創(chuàng)建ACL：

　　Router(config)# access-list access-list-number {permit|deny} {test-conditions}

　　在接口配置模式下，使用access-group命令A(yù)CL應(yīng)用到某一接口上：

　　Router(config-if)# {protocol} access-group access-list-number {in|out}

　　E、標(biāo)準(zhǔn)ACL舉例。

　　注意P662到663頁內(nèi)容即可。

　　(4)訪問控制的模型發(fā)展

　　2、傳統(tǒng)訪問控制技術(shù)

　　(1)自主型訪問控制(DAC)

　　Discretionary Access Control

　　自主訪問控制是一種最為普遍的訪問控制手段，用戶可以按自己的意愿對系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他們的文件，亦即一個用戶可以有選擇地與其它用戶共享他的文件。用戶有自主的決定權(quán)。

　　自主訪問控制一個安全的操作系統(tǒng)需要具備訪問控制機制。它基于對主體及主體所屬的主體組的識別，來限制對客體的訪問，還要校驗主體對客體的訪問請求是否符合存取控制規(guī)定來決定對客體訪問的執(zhí)行與否。這里所謂的自主訪問控制是指主體可以自主地(也可能是單位方式)將訪問權(quán)，或訪問權(quán)的某個子集授予其它主體。

　　將數(shù)字信號轉(zhuǎn)換為模擬信號。

　　(2)強制型訪問控制(MAC)

　　Mandatory Access Control .

　　強制訪問控制允許加載新的訪問控制模塊，并借此實施新的安全策略，其中一部分為一個很小的系統(tǒng)子集提供保護并加強特定的服務(wù)，其他的則對所有的主體和客體提供全面的標(biāo)簽式安全保護。定義中有關(guān)強制的部分源于如下事實，控制的實現(xiàn)由管理員和系統(tǒng)作出，而不像自主訪問控制 (DAC, FreeBSD 中的標(biāo)準(zhǔn)文件以及 System V IPC 權(quán)限) 那樣是按照用戶意愿進行的。

　　強制訪問控制是系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制，它也提供了客體(數(shù)據(jù)對象)在主體(數(shù)據(jù)庫用戶)之間共享的控制，但強制訪問控制機制是通過對主體和客體的安全級別進行比較來確定授予還是拒絕用戶對資源的訪問，從而防止對信息的非法和越權(quán)訪問，保證信息的保密性。與自主訪問控制不同的是，強制訪問控制由安全管理員管理，由安全管理員根據(jù)一定的規(guī)則來設(shè)置，普通數(shù)據(jù)庫用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?自主訪問控制盡管也作為系統(tǒng)安全策略的一部分，但主要由客體的擁有者管理。

　　3、基于角色的訪問控制技術(shù)(RBAC)

　　基于角色的訪問控制(Role-Based Access Control)引入了Role的概念，目的是為了隔離User(即動作主體，Subject)與Privilege(權(quán)限，表示對Resource的一個操作，即Operation+Resource)。

　　Role作為一個用戶(User)與權(quán)限(Privilege)的代理層，解耦了權(quán)限和用戶的關(guān)系，所有的授權(quán)應(yīng)該給予Role而不是直接給User或Group。Privilege是權(quán)限顆粒，由Operation和Resource組成，表示對Resource的一個Operation。例如，對于新聞的刪除操作。Role-Privilege是many-to-many的關(guān)系，這就是權(quán)限的核心。

　　基于角色的訪問控制方法(RBAC)的顯著的兩大特征是：

　　1.由于角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多，減小了授權(quán)管理的復(fù)雜性，降低管理開銷。

　　2.靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

　　RBAC基本概念：

　　RBAC認為權(quán)限授權(quán)實際上是Who、What、How的問題。在RBAC模型中，who、what、how構(gòu)成了訪問權(quán)限三元組，也就是“Who對What(Which)進行How的操作”。

　　Who：權(quán)限的擁用者或主體(如Principal、User、Group、Role、Actor等等)。

　　What：權(quán)限針對的對象或資源(Resource、Class)。

　　How：具體的權(quán)限(Privilege,正向授權(quán)與負向授權(quán))。

　　Operator：操作。表明對What的How操作。也就是Privilege+Resource

　　Role：角色，一定數(shù)量的權(quán)限的集合。權(quán)限分配的單位與載體，目的是隔離User與Privilege的邏輯關(guān)系。

　　Group：用戶組，權(quán)限分配的單位與載體。權(quán)限不考慮分配給特定的用戶而給組。組可以包括組(以實現(xiàn)權(quán)限的繼承)，也可以包含用戶，組內(nèi)用戶繼承組的權(quán)限。User與Group是多對多的關(guān)系。Group可以層次化，以滿足不同層級權(quán)限控制的要求。

　　RBAC的關(guān)注點在于Role和User, Permission的關(guān)系。稱為User assignment(UA)和Permission assignment(PA)。關(guān)系的左右兩邊都是Many-to-Many關(guān)系。就是user可以有多個role，role可以包括多個user。

　　凡是用過RDBMS都知道，n:m 的關(guān)系需要一個中間表來保存兩個表的關(guān)系。這UA和PA就相當(dāng)于中間表。事實上，整個RBAC都是基于關(guān)系模型。

　　Session在RBAC中是比較隱晦的一個元素。標(biāo)準(zhǔn)上說：每個Session是一個映射，一個用戶到多個role的映射。當(dāng)一個用戶激活他所有角色的一個子集的時候，建立一個session。每個Session和單個的user關(guān)聯(lián)，并且每個User可以關(guān)聯(lián)到一或多個Session.

　　在RBAC系統(tǒng)中，User實際上是在扮演角色(Role)，可以用Actor來取代User，這個想法來自于Business Modeling With UML一書Actor-Role模式�？紤]到多人可以有相同權(quán)限，RBAC引入了Group的概念。Group同樣也看作是Actor。而User的概念就具象到一個人。

　　這里的Group和GBAC(Group-Based Access Control)中的Group(組)不同。GBAC多用于操作系統(tǒng)中。其中的Group直接和權(quán)限相關(guān)聯(lián)，實際上RBAC也借鑒了一些GBAC的概念。

　　Group和User都和組織機構(gòu)有關(guān)，但不是組織機構(gòu)。二者在概念上是不同的。組織機構(gòu)是物理存在的公司結(jié)構(gòu)的抽象模型，包括部門，人，職位等等，而權(quán)限模型是對抽象概念描述。組織結(jié)構(gòu)一般用Martin fowler的Party或責(zé)任模式來建模。

　　Party模式中的Person和User的關(guān)系，是每個Person可以對應(yīng)到一個User，但可能不是所有的User都有對應(yīng)的Person。Party中的部門Department或組織Organization，都可以對應(yīng)到Group。反之Group未必對應(yīng)一個實際的機構(gòu)。例如，可以有副經(jīng)理這個Group，這是多人有相同職責(zé)。

　　引入Group這個概念，除了用來解決多人相同角色問題外，還用以解決組織機構(gòu)的另一種授權(quán)問題：例如，A部門的新聞我希望所有的A部門的人都能看。有了這樣一個A部門對應(yīng)的Group，就可直接授權(quán)給這個Group。

　　4、基于任務(wù)的訪問控制模型(TBAC)

　　是從應(yīng)用和企業(yè)層角度來解決安全問題，以面向任務(wù)的任務(wù)的角度來建立安全模型和實現(xiàn)安全機制，在任務(wù)處理的過程 提供動態(tài)實時的安全管理。

　　TBAC模型由工作流、授權(quán)結(jié)構(gòu)體、受托人和許可集4部分組成。

　　5、基于對象的訪問控制模型(OBAC)

　　控制策略和控制規(guī)則 是OBAC訪問控制系統(tǒng)的核心所在。

　　相關(guān)推薦：

　　2018年軟考報名時間※2018軟考考試安排(全年)

　　考試吧特別策劃：2018年計算機軟考報考指南專題

　　軟考各科目模擬試題及答案※各科目復(fù)習(xí)指導(dǎo)匯總

　　軟考報考條件※軟考報名方法※考試大綱※科目

　　歷年軟考真題及答案匯總※軟件水平考試簡介