计算机应用的访问控制策略主要分为3个阶段或者说是3种模型:
- DAC(Discretionary Access Control)-自主访问控制
说白了就是一个用户(主体)可以将他所拥有的东西(客体)任意控制(创建、修改、删除),而且可以将这种控制权利赋予其他的用户。
适用的范围:操作系统的文件管理;还有很多RPG游戏的设计,我的宝物我可以随便使用。
不适用的范围:比如电信的业务受理系统,如果营业员是他受理的业务对象的拥有者那就麻烦了,正常的应该是他只有录入和提交前修改的权利,受理提交以后他就只有查看的权利的;对于一些保密性高的系统这种方式就不适用了,有很多风险存在,如误操作、管理不当的非法访问、木马病毒等。
- MAC(Mandatory Access Control)-强制访问控制
考虑到DAC的保密性不佳,产生了MAC。通过对主体和客体进行分级来控制访问权限。当要访问客体的主体的级别高于或等于客体的级别的时候才具有权限。
适用范围:机要部门的文件保密制度,比如山东省人民防空办公室保密制度。
不适用的范围:保密性要求不是很高同时对个体的操作的控制比较复杂,访问控制不是简单的通过分级能够解决的,比如企业信息管理系统,网站系统等。
- RBAC(Role-Based Access Control)-基于角色访问控制
现在最流行的,也是推荐采用的。它的控制是基于角色的。至于RBAC的介绍太多了,我就不详述了。
列一些名词解释吧:
用户(User)见名知义
角色(Role)可以理解成岗位。
权限(Permission)见名知义
指派(Assignment)指派包含两个方面,用户指派和许可指派。用户指派表示的是,将用户指派给特定的角色。许可
指派表示的是为角色指派计算机资源的访问和操作许可。
会话(session)会话表示的是用户和角色之间的关系。用户每次必须通过建立会话来激活角色,得到相应的访问权
限。
角色和角色等级(Role Hierarchies)对角色实现一定的分级、分组和复合,以便于权限指派。
限制(Constraints)模型中的职责分离关系(Separation of Duty),用于控制冲突(Conflict)。静态职责分离(Static SD)指定角色的互斥关系,用于用户指派阶段。避免同一用户拥有互斥的角色。实现简单,角色互斥语义关系清楚,便于管理不够灵活,不能处理某些实际情况。动态职责分离(Dynamic SD)指定角色的互斥关系,用于角色激活阶段。允许同一用户拥有某些互斥的角色,但是不允许该用户同时激活互斥的角色。更灵活,直接与会话挂钩,适应实际管理需要,实现复杂,不易管理。
参考文章:
Rosen《RBAC 模型初探 》
分享到:
- 2006-12-12 17:13
- 浏览 2134
- 评论(0)
- 论坛回复 / 浏览 (0 / 2904)
- 查看更多
相关推荐
(3)、配置各种类型的访问控制列表,比如基本访问控制列表,高级访问控制列表,基于接口的访问控制列表,基于以太网MAC地址的访问控制列表……并完成删除控制列表的操作。 (4)、完成时间段的控制访问列表配置,访问...
关于在Saas模式下软件的访问控制的设计,基于RBAC下进行改进
访问控制列表ACL在校园网中的应用初探.doc
基于访问列表控制的Cisco路由器安全策略初探.pdf
计算机网络安全初探论文全文...访问控制策略是网络安全防范和保护的主要策略,我们必须对接入网路的权限加以控制,并规定每个用户的接入权限。它的主要任务是保证网络资源不被非法使用和访问,它也是维护网络系统安全、
随着商业环境的变化发展,营销方式也发生了巨大的变化,例如营销数据的获取,过去传统的市场调研通常采用问卷、用户走访的形式,在每个网站、每个页面以及每个广告都记录下每一次用户访问的信息,用户来自哪里,是单次访问...
计算机网络安全漏洞及防范措施初探 论文摘要:随着信息化步伐的不断加快,计算机网络给人们带来了很大的便捷, 但是与此同时也给人们带来了很大的隐患。计算机网络安全已经受到了人们的高度重视 ,人们也已经对其...
全书共分30章,主要内容包括初探C#及其开发环境,认识C#代码结构,C#程序设计基础,选择结构控制,循环结构控制,字符及字符串,数组、集合与哈希表,面向对象程序设计,Windows窗体设计,Windows应用程序常用控件...
全书共分30章,主要内容包括初探C#及其开发环境,认识C#代码结构,C#程序设计基础,选择结构控制,循环结构控制,字符及字符串,数组、集合与哈希表,面向对象程序设计,Windows窗体设计,Windows应用程序常用控件...
Queue存储服务与应用程序问通信、云上的关系数据库:SQL Azure、云上的访问控制技术:AppFabric Access Control、云服务的集散中心:AppFabric Service Bus、Windows Azure与其他平台的互操作性、云计算与Windows ...
1.3 servlet代码初探 1.4 servlet相对于“传统”cgi的优点 1.5 jsp的作用 第1部分 servlet技术 第2章 服务器的安装和配置 2.1 下载和安装java软件开发工具包 2.2 为桌面计算机下载服务器 2.3 服务器的...
全书共分30章,主要内容包括初探C#及其开发环境,认识C#代码结构,C#程序设计基础,选择结构控制,循环结构控制,字符及字符串,数组、集合与哈希表,面向对象程序设计,Windows窗体设计,Windows应用程序常用控件,...
然后由于访问控制机制的复杂性,导致这种检测的功效并不十分明显。 (3)错误修正检测。大多攻击会利用操作系统的这些错误来破解系统进入权限,所以需 要开发出补丁程序来修正这些错误。若是补丁程序没有得到及时的...
数据挖掘技术初探.caj 数据挖掘技术及其在地学中的应用.caj 数据挖掘技术及其在电力系统中的应用.caj 数据挖掘技术及其在电力系统中的应用1.caj 数据挖掘技术及其在营销中的应用.caj 数据挖掘技术及其实现.caj 数据...
数据挖掘技术初探.caj 数据挖掘技术及其在地学中的应用.caj 数据挖掘技术及其在电力系统中的应用.caj 数据挖掘技术及其在电力系统中的应用1.caj 数据挖掘技术及其在营销中的应用.caj 数据挖掘技术及其实现.caj 数据...
数据挖掘技术初探.caj 数据挖掘技术及其在地学中的应用.caj 数据挖掘技术及其在电力系统中的应用.caj 数据挖掘技术及其在电力系统中的应用1.caj 数据挖掘技术及其在营销中的应用.caj 数据挖掘技术及其实现.caj 数据...
视频播放控制 一个简单的变换 一个复杂一点的变换 从摄像机读入数据 写入AVI视频文件 小结 练习 第3章 初探OpenCV OpenCV的基本数据类型 CvMat矩阵结构 IplImage数据结构 矩阵和图像操作 绘图 数据存储 集成性能基元...