第六章访问控制技术 主体 访问 控制 客体 实施 功能 图6-2访问控制原理图 :返回本章首页
第六章 访问控制技术 图6-2 访问控制原理图 访问 控制 实施 功能 主体 客体 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 返回本章首页
第六章访问控制技术 在主体和客体之间加入的访问控制实施模块, 主要用来负责控制主体对客体的访问。其中,访 问控制决策功能块是访问控制实施功能中最主要 的部分,它根据访问控制信息作出是否允许主体 操作的决定,这里访问控制信息可以存放在数据 库、数据文件中,也可以选择其它存储方法,且 要视访问控制信息的多少及安全敏感度而定。其 原理如图6-3所示 :返回本章首页
第六章 访问控制技术 在主体和客体之间加入的访问控制实施模块, 主要用来负责控制主体对客体的访问。其中,访 问控制决策功能块是访问控制实施功能中最主要 的部分,它根据访问控制信息作出是否允许主体 操作的决定,这里访问控制信息可以存放在数据 库、数据文件中,也可以选择其它存储方法,且 要视访问控制信息的多少及安全敏感度而定。其 原理如图6-3所示。 返回本章首页
第六章访问控制技术 图6-3访问控制决策功能示意图 :返回本章首页
第六章 访问控制技术 图6-3 访问控制决策功能示意图 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 决 返回本章首页
第六章访问控制技术 612传统访问控制技术 1.自主访问控制DAC及其发展 DAC是目前计算机系统中实现最多的访问控制 机制,它是在确认主体身份以及(或)它们所属组 的基础上对访问进行限定的一种方法。传统的DAC 最早出现在上个世纪70年代初期的分时系统中,它 是多用户环境下最常用的一种访问控制技术,在目 前流行的Uniⅸx类操作系统中被普遍采用。其基本思 想是,允许某个主体显式地指定其他主体对该主体 所拥有的信息资源是否可以访问以及可执行的访问 类型。 :返回本章首页
第六章 访问控制技术 6.1.2 传统访问控制技术 1.自主访问控制DAC及其发展 DAC是目前计算机系统中实现最多的访问控制 机制,它是在确认主体身份以及(或)它们所属组 的基础上对访问进行限定的一种方法。传统的DAC 最早出现在上个世纪70年代初期的分时系统中,它 是多用户环境下最常用的一种访问控制技术,在目 前流行的Unix类操作系统中被普遍采用。其基本思 想是,允许某个主体显式地指定其他主体对该主体 所拥有的信息资源是否可以访问以及可执行的访问 类型。 返回本章首页
第六章访问控制技术 上个世纪70年代末, M.H. Harrison,W.LRuZ0, JD.Uma等对传统DAC做出扩充,提出了客体主人自 主管理该客体的访问和安全管理员限制访问权限随意扩 散相结合的半自主式的HRU访问控制模型,并设计了安 全管理员管理访问权限扩散的描述语言。到了1992年 Sandhu等人为了表示主体需要拥有的访问权限,将 HRU模型发展为TAM( Typed Access Matrⅸx)模型, 在客体和主体产生时就对访问权限的扩散做出了具体的 规定 随后,为了描述访问权限需要动态变化的系统安全 策略,TAM发展为ATAM( Augmented TAM)模型。 :返回本章首页
第六章 访问控制技术 上个世纪70年代末,M.H.Harrison,W.L.Ruzzo, J.D.Ullma等对传统DAC做出扩充,提出了客体主人自 主管理该客体的访问和安全管理员限制访问权限随意扩 散相结合的半自主式的HRU访问控制模型,并设计了安 全管理员管理访问权限扩散的描述语言。到了1992年, Sandhu等人为了表示主体需要拥有的访问权限,将 HRU模型发展为TAM(Typed Access Matrix)模型, 在客体和主体产生时就对访问权限的扩散做出了具体的 规定。 随后,为了描述访问权限需要动态变化的系统安全 策略,TAM发展为ATAM(AugmentedTAM)模型。 返回本章首页