访问控制技术

访问控制策略可分为自主访问控制，强制访问控制和基于角色的访问控制。

访问控制策略可分为自主访问控制，强制访问控制和基于角色的访问控制。 （1）自主访问控制自由访问控制是一种访问控制类型，允许主体专门限制访问控制。它允许主体为访问资源的用户设置访问控制权限。每次用户访问资源时，都会检查用户对资源的访问权限。只有经过身份验证的用户才能访问该资源。在20世纪70年代，随着分时系统的出现，自主访问控制DAC也在不断涌现。 DAC是一种控制策略，根据主体的身份和授权，根据访问者的身份和授权限制访问。所谓的自治意味着已经授予某些访问权限的主体（用户）可以自己决定是否将访问控制权的某个子集授予其他主体或者回收他从其他主体授予的子女的访问权限。科目。 DAC将访问规则存储在访问控制矩阵中，通过访问控制矩阵可以清楚地理解DAC。矩阵的行表示主体，列表示对象，矩阵的每个元素表示主体对对象的访问授权。用户检查访问控制矩阵对任何对象的访问请求。如果访问类型记录在用户和矩阵中的对象的交集处，则允许访问，否则拒绝访问。 DAC的优势在于其自主性为用户提供了极大的灵活性，使其适用于许多系统和应用程序。但由于这种自主性，在DAC中，信息总是可以从一个实体流向另一个实体，即使对于高度机密的信息也是如此，因此如果不控制自主访问控制，则会产生严重的安全风险。例如，用户A可以将其对象0的访问权限传递给用户B，这样对0没有访问权限的B也可以访问0.结果是安全漏洞很容易发生，因此安全级别很高。独立访问控制。降低。 另外，由于同一用户对不同对象具有不同的访问权限，不同的用户对同一对象具有不同的访问权限，用户，权限和对象之间的授权管理复杂。 （2）强制访问控制强制访问控制是一种访问控制类型，它不允许主体根据主体和对象的安全级别干扰主体是否可以访问对象。它基于信息敏感的访问控制，如安全标识和信息分类。它通过比较资源的敏感性和受试者的水平来确定是否允许访问。系统预先为所有主体和对象分配不同的安全级别，最高秘密级别（TopSecret），秘密级别（机密）和未分类级别（未分类），并且级别的顺序是TS＆gt; S＆gt; C＆gt; U 。在实现访问控制时，系统首先比较主体和对象的安全级别，然后确定访问主体是否可以访问该对象。最典型的例子是Belland Lapadula提出的BLP模型。 （3）基于角色的访问控制（Role_BasedAccessControl）RBAC由国家标准化技术研究所（NIST）Ferraiolo等人提出。在20世纪90年代，由于其独特的优势，已引起学术界和工业界的广泛关注。成为研究计算机和数据库安全性的热点。 RBAC的基本思想是引入用户和访问权限之间的角色概念，链接用户和角色，并通过角色授权控制用户对系统资源的访问角色，角色是访问权限的集合。用户分配不同的角色。获取该角色的访问权限。用户可以拥有多个角色，一个角色可以授予多个用户，两个角色可以包含多个权限，一个角色可以包含多个角色。 用户具有通过角色的权限，它不与权限直接关联，并且通过活动角色实现操作访问对象的权限。在RBAC模型系统中，每个用户在进入系统时获得会话，并且用户会话可以激活的角色是所有用户角色的子集。对于此用户，所有激活角色中包含的访问权限在一个会话中可用。角色之间也可能存在继承关系，也就是说，优势角色可以继承较低级别角色的部分或全部权限，从而形成角色层次结构。在组织中，为各种工作职能定义了不同的角色，并根据职责和资格分配了他们的角色。这使得更改用户角色分配变得非常容易，在将新应用程序功能添加到系统时为角色添加新权限。此外，可以撤消用户的角色，也可以从角色中撤消某些原始权限。自主访问控制和强制访问控制与主题和访问权限直接相关，并且主要授予用户。大规模应用系统的访问用户通常基于基于角色的访问控制RBAC的概念来引入角色。权限和角色的类别众多，庞大且动态，使权限管理负担巨大且容易出错。通过为app开发用户分配适当的角色以授予用户权限，实现了用户和访问权限的逻辑分离。这种授权管理比单独授权更具可操作性和可管理性。适用于大型多用户管理信息系统的授权管理。