第六章访问控制技术 2.强制访问控制MAC及其发展 MAC最早出现在 Multics系统中,在1983美国国防 部的 TESEO中被用作为B级安全系统的主要评价标准之 MAC的基本思想是:每个主体都有既定的安全属 性,每个客体也都有既定安全属性,主体对客体是否能 执行特定的操作取决于两者安全属性之间的关系 通常所说的MAC主要是指 TESEC中的MAC,它主 要用来描述美国军用计算机系统环境下的多级安全策略。 在多级安全策略中,安全属性用二元组(安全级,类别 集合)表示,安全级表示机密程度,类别集合表示部门 或组织的集合。 :返回本章首页
第六章 访问控制技术 2.强制访问控制MAC及其发展 MAC最早出现在Multics系统中,在1983美国国防 部的TESEC中被用作为B级安全系统的主要评价标准之 一。MAC的基本思想是:每个主体都有既定的安全属 性,每个客体也都有既定安全属性,主体对客体是否能 执行特定的操作取决于两者安全属性之间的关系。 通常所说的MAC主要是指TESEC中的MAC,它主 要用来描述美国军用计算机系统环境下的多级安全策略。 在多级安全策略中,安全属性用二元组(安全级,类别 集合)表示,安全级表示机密程度,类别集合表示部门 或组织的集合。 返回本章首页
第六章访问控制技术 般的MAC都要求主体对客体的访问满足 BLP( Bell and lapadula)安全模型的两个基本 特性: (1)简单安全性:仅当主体的安全级不低于客 体安全及且主体的类别集合包含客体的类别集合 时,才允许该主体读该客体。 (2)*特性:仅当主体的安全级不高于客体安 全级且客体的类别集合包含主体的类别集合时, 才允许该主体写该客体。 :返回本章首页
第六章 访问控制技术 一般的MAC都要求主体对客体的访问满足 BLP(Bell and LaPadula)安全模型的两个基本 特性: (1)简单安全性:仅当主体的安全级不低于客 体安全及且主体的类别集合包含客体的类别集合 时,才允许该主体读该客体。 (2)*–特性:仅当主体的安全级不高于客体安 全级且客体的类别集合包含主体的类别集合时, 才允许该主体写该客体。 返回本章首页
第六章访问控制技术 为了增强传统MAC的完整性控制,美国 SecureComputing公司提出了TE(Type Enforcement)控制技术,TE技术在 Secure computing公司开发的安全操作系统 LOCK6中得到了应用 Chinese wal模型是 Brewer和NaSh开发的用 于商业领域的访问控制模型,该模型主要用于保 护客户信息不被随意泄漏和篡改。它是应用在多 边安全系统中的安全模型,也即多个组织间的访 问控制系统中,以及可能存在利益冲突的组线忠分
第六章 访问控制技术 为了增强传统MAC的完整性控制,美国 SecureComputing 公 司 提 出 了 TE(Type Enforcement) 控 制 技 术 , TE 技 术 在 SecureComputing 公司开发的安全操作系统 LOCK6中得到了应用。 Chinese Wall模型是Brewer和Nash开发的用 于商业领域的访问控制模型,该模型主要用于保 护客户信息不被随意泄漏和篡改。它是应用在多 边安全系统中的安全模型,也即多个组织间的访 问控制系统中,以及可能存在利益冲突的组织中 返回本章首页
第六章访问控制技术 613新型访问控制技术 基于角色的访问控制RBAC RBAC(Role- Based access control)的概念早 在20世纪70年代就已经提出,但在相当长的一段时 间内没有得到人们的关注。进入90年代后,随着安 全需求的发展加之 R.S. Sandhu等人的倡导和推动 RBAC又引起了人们极大的关注,目前美国很多学 者和研究机构都在从事这方面的研究,如NIST (National Institute of Standard Technology A Geroge Manson大学的LIsT( Laboratory of Information Security Technololy)等。 :返回本章首页
第六章 访问控制技术 6.1.3 新型访问控制技术 1.基于角色的访问控制RBAC RBAC(Role-Based Access Control)的概念早 在20世纪70年代就已经提出,但在相当长的一段时 间内没有得到人们的关注。进入90年代后,随着安 全需求的发展加之R.S.Sandhu等人的倡导和推动, RBAC又引起了人们极大的关注,目前美国很多学 者和研究机构都在从事这方面的研究,如NIST (National Institute of Standard Technology)和 Geroge Manson 大 学 的 LIST(Laboratory of Information Security Technololy)等。 返回本章首页
第六章访问控制技术 自1995年开始,美国计算机协会ACM每年都召 开RBAC的专题研讨会来促进RBAC的研究,图6-4 给出了RBAC的结构示意图。在RBAC中,在用户 (user)和访问许可权( permIssion)之间引入了角 色(role)的概念,用户与特定的一个或多个角色 相联系,角色与一个或多个访问许可权相联系 这里所谓的角色就是一个或是多个用户可执行 的操作的集合,它体现了RBAC的基本思想,即授 权给用户的访问权限,通常由用户在一个组织中担 当的角色来确定。 :返回本章首页
第六章 访问控制技术 自1995年开始,美国计算机协会ACM每年都召 开RBAC的专题研讨会来促进RBAC的研究,图6-4 给出了RBAC的结构示意图。在RBAC中,在用户 (user)和访问许可权(permission)之间引入了角 色(role)的概念,用户与特定的一个或多个角色 相联系,角色与一个或多个访问许可权相联系。 这里所谓的角色就是一个或是多个用户可执行 的操作的集合,它体现了RBAC的基本思想,即授 权给用户的访问权限,通常由用户在一个组织中担 当的角色来确定。 返回本章首页