-电子商务5-访问控制.pptx

5-访问控制访问控制主讲：祝凌曦单位：北京交通大学办公室：土建楼321邮箱：ZHULINGXI139.COM今天，你今天，你移动支付了吗移动支付了吗？5-访问访问控制控制1 1、访问控制（访问控制（Access ControlAccess Control）概念：概念：访问控制是指控制对一台计算机或一个网络中的某个访问控制是指控制对一台计算机或一个网络中的某个资源的访问，是针对越权使用资源的防御措施。资源的访问，是针对越权使用资源的防御措施。访问控制规定了主体对客体访问的限制，并在身份识访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控别的基础上，根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统，能访问系统的制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。何种资源以及如何使用这些资源。访问控制所要控制的行为主要有读取数据、运行可执访问控制所要控制的行为主要有读取数据、运行可执行文件、发起网络连接等。行文件、发起网络连接等。5-访问访问控制控制1 1、访问控制（访问控制（Access ControlAccess Control）概念：概念：主主体体（SubjectSubject）：主主体体是是指指主主动动的的实实体体，是是访访问问的的发发起起者者，它它造造成成了了信信息息的的流流动动和和系系统统状状态态的的改改变变，主主体体通通常常包包括括人人、进程和设备。进程和设备。客客体体（ObjectObject）：客客体体是是指指包包含含或或接接受受信信息息的的被被动动实实体体，客客体体在在信信息息流流动动中中的的地地位位是是被被动动的的，是是处处于于主主体体的的作作用用之之下下，对对客客体体的的访访问问意意味味着着对对其其中中所所包包含含信信息息的的访访问问。客客体体通通常常包包括文件、设备、信号量和网络节点等。括文件、设备、信号量和网络节点等。访访问问（AccessAccess）：是是使使信信息息在在主主体体和和客客体体之之间间流流动动的的一一种种交交互方式。包括读取数据、更改数据、运行程序、发起连接等。互方式。包括读取数据、更改数据、运行程序、发起连接等。5-访问访问控制控制2 2、目标及任务、目标及任务防止对任何资源（如计算资源、通信资源或信息资防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。源）进行未授权的访问。就是要根据一定的原则对合法用户的访问权限进行就是要根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的控制，以决定他可以访问哪些资源以及以什么样的方式访问这些资源。方式访问这些资源。5-访问访问控制控制3、访问控制模型、访问控制模型DAC模型MAC模型RBAC模型5-访问访问控制控制3、访问控制模型、访问控制模型DAC模型Discretionary Access Control（DAC）自主访问控制模型 自主访问控制模型是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。5-访问访问控制控制3、访问控制模型、访问控制模型DAC模型特点自主访问控制模型的特点是授权的实施主体（可以授权的主体、管理授权的客体、授权组）自主负责赋予和回收其他主体对客体资源的访问权限。DAC模型一般采用访问控制矩阵和访问控制列表来存放不同主体的访问控制信息，从而达到对主体访问权限限制的目的。5-访问访问控制控制3、访问控制模型、访问控制模型MAC模型Mandatory Access Control（MAC）强制访问控制在MAC这种模型里，管理员管理访问控制。管理员制定策略，用户不能改变它。策略定义了哪个主体能访问哪个对象。这种访问控制模型可以增加安全级别，因为它基于策略，任何没有被显式授权的操作都不能执行5-访问访问控制控制3、访问控制模型、访问控制模型强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级，秘密级，机密级及无级别级。其级别为依次降低，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括：下读：用户级别大于文件级别的读操作；上写：用户级别小于文件级别的写操作；下写：用户级别等于文件级别的写操作；上读：用户级别小于文件级别的读操作；5-访问访问控制控制3、访问控制模型、访问控制模型RBAC模型ole Based Access Control(RBAC)基于角色的访问控制管理员定义一系列角色（roles）并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访问它。这样就把管理员从定义每个用户的许可权限的繁冗工作中解放出来5-访问访问控制控制3、访问控制模型、访问控制模型RBAC模型RBAC模型是20世纪90年代研究出来的一种模型，从本质上讲，这种模型是对前面描述的访问矩阵模型的扩展。这种模型的基本概念是把许可权（Permission）与角色（Role）联系在一起，用户通过充当合适角色的成员而获得该角色的许可权