基于网络安全的访问控制理论知识

作者:课课家教育更新于： 2019-02-27 15:41:33

      访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是信息系统安全的核心问题，访问控制理论是网络空间安全学科所特有的的理论基础。今天，我们就在网络安全这方面来讲讲访问控制的理论知识。

      访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问，它的本质是允许授权者执行某种操作获得某种资源，不允许非授权者执行某种操作获得某种资源。使用访问控制可以防止非法的主体进入受保护的网络资源，防止合法的用户对受保护的网络资源进行非授权的访问以及可以允许合法用户访问受保护的网络资源。

　　访问控制的类型

　　访问控制可分为自主访问控制和强制访问控制两大类以及基于对象的访问控制模型、基于任务的访问控制模型、基于角色的访问控制模型这三大模型。

　　1.自主访问控制(DAC)

　　DAC 主要是通过对一个受限制的访问对象的控制来实现资源保护的，它通常是用于用户访问系统中的文件。

　　在这种类型的访问控制中文件的所有者可以控制其它的用户是否可以访问这个文件，通常应用于UNIX系统。这种机制可结合访问控制列表(ACL)允许将权限分配给同所有者在同一组的其它用户。这种访问控制不适用于有很多用户的中型或大型组织。

　　它的缺点是不够灵活，并且是可自由分配的没有一个中央控制。

　　2.强制访问控制(MAC)

　　强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策。

　　任何一个用户都不可能去操作一个没有通过管理员授权的对象。这种机制去除了DAC中由用户来自由分配的特点，而采用集中控制的方法。

　　这种机制的缺点是不太灵活，访问权限要分配给没有用户这就意味着当用户更换机构时管理员有大量的工作要做。

　　3.基于对象的访问控制模型

　　基于对象的访问控制(OBAC Model：Object-based Access Control Model)：DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理。当用户数量多、处理的信息数据量巨大时，用户权限的管理任务将变得十分繁重且难以维护，这就降低了系统的安全性和可靠性。

　　4.基于任务的访问控制模型

　　基于任务的访问控制模型(TBAC)是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务(活动)的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。

　　TBAC模型由工作流、授权结构体、受托人集、许可集四部分组成。

　　5.基于角色的访问控制模型(RBAC)

　　RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中，用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司)，这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的。

　　RBAC功能分为核心RBAC、可继承RBAC、静态的职责分离、动态的职责分离这四个部分。

　　访问控制是信息安全领域的一种共性关键技术，许多信息安全领域都要应用访问控制技术。例如，信息系统中的身份认证是最基本的访问控制，密码技术也可以看成是访问控制。

      访问控制理论包括各种访问控制模型与授权理论。例如，矩阵模型、BLP模型、BIBA模型、中国墙模型、基于角色的模型(RBAC)、属性加密等等。其中属性加密是密码技术与访闰控制结合的新型访问控制。

    在信息安全工程师这一门课程中，我们会发现它有许多的理论基础来支撑网络空间的安全，访问控制理论就是这许多种里其中的一种，它是一种网络空间安全学科所特有的理论基础。好了，关于访问控制理论的知识我们就说到这里了。更多的学习课程小伙伴们可以到课课家教育进行学习。