點(diǎn)擊查看：軟件水平考試《網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師》學(xué)習(xí)筆記匯總

　　訪問(wèn)控制技術(shù)(P658-670)

　　1、訪問(wèn)控制技術(shù)概述

　　(1)訪問(wèn)控制的基本模型

　　訪問(wèn)控制包括三個(gè)要素：主體、客體、控制策略。

　　訪問(wèn)控制包括認(rèn)證、控制策略實(shí)現(xiàn)和審計(jì)三方面的內(nèi)容。

　　(2)訪問(wèn)控制的實(shí)現(xiàn)技術(shù)

　　A、訪問(wèn)控制矩陣(ACM)

　　是通過(guò)矩陣形式表示訪問(wèn)控制規(guī)則和授權(quán)用戶權(quán)限的方法

　　訪問(wèn)矩陣是以主體為行索引，以客體為列索引的矩陣，矩陣中的每一個(gè)元素表示一組訪問(wèn)方式，是若干訪問(wèn)方式的集合。

　　B、訪問(wèn)控制表(ACLs)

　　實(shí)際上是按列保存訪問(wèn)矩陣。訪問(wèn)控制表提供了針對(duì)客體的方便的查詢方法。但是用它來(lái)查詢一個(gè)主體對(duì)所有客體的所有訪問(wèn)權(quán)限是很困難的。

　　C、能力表

　　對(duì)應(yīng)于訪問(wèn)控制表，這種實(shí)現(xiàn)技術(shù)實(shí)際上是按行保存訪問(wèn)矩陣。能力表實(shí)現(xiàn)的訪問(wèn)控制系統(tǒng)可以很方便地查詢某一個(gè)主體的所有訪問(wèn)權(quán)限，但查詢對(duì)某一個(gè)客體具有訪問(wèn)權(quán)限的主體信息是很困難的。

　　D、授權(quán)關(guān)系表

　　是即不對(duì)應(yīng)于行也不對(duì)應(yīng)于列的實(shí)現(xiàn)技術(shù)，只對(duì)應(yīng)訪問(wèn)矩陣中每一個(gè)非空元素的實(shí)現(xiàn)技術(shù)。

　　如果授權(quán)關(guān)系表按主體排序，查詢時(shí)就可以得到能力表的效率;如果按客體排序，查詢時(shí)就可得到訪問(wèn)控制表的效率。

　　(3)訪問(wèn)控制表介紹

　　A、ACL的作用

　　可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;

　　提供對(duì)通信流量的控制手段;

　　是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段;

　　可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。

　　B、ACL的執(zhí)行過(guò)程

　　一個(gè)端口執(zhí)行哪條ACL，這需要按照列表中的條件語(yǔ)句執(zhí)行順序來(lái)判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就將被忽略，不再進(jìn)行檢查。

　　數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)，它才被交給ACL中的下一條件判斷語(yǔ)句進(jìn)行比較。

　　如果匹配，則不管是第一條還是最后一條語(yǔ)句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。

　　如果甩有的ACL判斷語(yǔ)句都檢測(cè)完畢，仍沒(méi)有匹配的語(yǔ)句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。

　　注意，ACL不能對(duì)本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。

　　C、ACL的分類

　　分為標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。

　　主要區(qū)別：標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址;擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。

　　D、ACL的配置

　　在全局配置模式下，使用下列命令創(chuàng)建ACL：

　　Router(config)# access-list access-list-number {permit|deny} {test-conditions}

　　在接口配置模式下，使用access-group命令A(yù)CL應(yīng)用到某一接口上：

　　Router(config-if)# {protocol} access-group access-list-number {in|out}

　　E、標(biāo)準(zhǔn)ACL舉例。

　　注意P662到663頁(yè)內(nèi)容即可。

　　(4)訪問(wèn)控制的模型發(fā)展

　　2、傳統(tǒng)訪問(wèn)控制技術(shù)

　　(1)自主型訪問(wèn)控制(DAC)

　　Discretionary Access Control

　　自主訪問(wèn)控制是一種最為普遍的訪問(wèn)控制手段，用戶可以按自己的意愿對(duì)系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問(wèn)他們的文件，亦即一個(gè)用戶可以有選擇地與其它用戶共享他的文件。用戶有自主的決定權(quán)。

　　自主訪問(wèn)控制一個(gè)安全的操作系統(tǒng)需要具備訪問(wèn)控制機(jī)制。它基于對(duì)主體及主體所屬的主體組的識(shí)別，來(lái)限制對(duì)客體的訪問(wèn)，還要校驗(yàn)主體對(duì)客體的訪問(wèn)請(qǐng)求是否符合存取控制規(guī)定來(lái)決定對(duì)客體訪問(wèn)的執(zhí)行與否。這里所謂的自主訪問(wèn)控制是指主體可以自主地(也可能是單位方式)將訪問(wèn)權(quán)，或訪問(wèn)權(quán)的某個(gè)子集授予其它主體。

　　將數(shù)字信號(hào)轉(zhuǎn)換為模擬信號(hào)。

　　(2)強(qiáng)制型訪問(wèn)控制(MAC)

　　Mandatory Access Control .

　　強(qiáng)制訪問(wèn)控制允許加載新的訪問(wèn)控制模塊，并借此實(shí)施新的安全策略，其中一部分為一個(gè)很小的系統(tǒng)子集提供保護(hù)并加強(qiáng)特定的服務(wù)，其他的則對(duì)所有的主體和客體提供全面的標(biāo)簽式安全保護(hù)。定義中有關(guān)強(qiáng)制的部分源于如下事實(shí)，控制的實(shí)現(xiàn)由管理員和系統(tǒng)作出，而不像自主訪問(wèn)控制 (DAC, FreeBSD 中的標(biāo)準(zhǔn)文件以及 System V IPC 權(quán)限) 那樣是按照用戶意愿進(jìn)行的。

　　強(qiáng)制訪問(wèn)控制是系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問(wèn)控制，它也提供了客體(數(shù)據(jù)對(duì)象)在主體(數(shù)據(jù)庫(kù)用戶)之間共享的控制，但強(qiáng)制訪問(wèn)控制機(jī)制是通過(guò)對(duì)主體和客體的安全級(jí)別進(jìn)行比較來(lái)確定授予還是拒絕用戶對(duì)資源的訪問(wèn)，從而防止對(duì)信息的非法和越權(quán)訪問(wèn)，保證信息的保密性。與自主訪問(wèn)控制不同的是，強(qiáng)制訪問(wèn)控制由安全管理員管理，由安全管理員根據(jù)一定的規(guī)則來(lái)設(shè)置，普通數(shù)據(jù)庫(kù)用戶不能改變他們的安全級(jí)別或?qū)ο蟮陌踩珜傩?自主訪問(wèn)控制盡管也作為系統(tǒng)安全策略的一部分，但主要由客體的擁有者管理。

　　3、基于角色的訪問(wèn)控制技術(shù)(RBAC)

　　基于角色的訪問(wèn)控制(Role-Based Access Control)引入了Role的概念，目的是為了隔離User(即動(dòng)作主體，Subject)與Privilege(權(quán)限，表示對(duì)Resource的一個(gè)操作，即Operation+Resource)。

　　Role作為一個(gè)用戶(User)與權(quán)限(Privilege)的代理層，解耦了權(quán)限和用戶的關(guān)系，所有的授權(quán)應(yīng)該給予Role而不是直接給User或Group。Privilege是權(quán)限顆粒，由Operation和Resource組成，表示對(duì)Resource的一個(gè)Operation。例如，對(duì)于新聞的刪除操作。Role-Privilege是many-to-many的關(guān)系，這就是權(quán)限的核心。

　　基于角色的訪問(wèn)控制方法(RBAC)的顯著的兩大特征是：

　　1.由于角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對(duì)要慢得多，減小了授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷。

　　2.靈活地支持企業(yè)的安全策略，并對(duì)企業(yè)的變化有很大的伸縮性。

　　RBAC基本概念：

　　RBAC認(rèn)為權(quán)限授權(quán)實(shí)際上是Who、What、How的問(wèn)題。在RBAC模型中，who、what、how構(gòu)成了訪問(wèn)權(quán)限三元組，也就是“Who對(duì)What(Which)進(jìn)行How的操作”。

　　Who：權(quán)限的擁用者或主體(如Principal、User、Group、Role、Actor等等)。

　　What：權(quán)限針對(duì)的對(duì)象或資源(Resource、Class)。

　　How：具體的權(quán)限(Privilege,正向授權(quán)與負(fù)向授權(quán))。

　　Operator：操作。表明對(duì)What的How操作。也就是Privilege+Resource

　　Role：角色，一定數(shù)量的權(quán)限的集合。權(quán)限分配的單位與載體，目的是隔離User與Privilege的邏輯關(guān)系。

　　Group：用戶組，權(quán)限分配的單位與載體。權(quán)限不考慮分配給特定的用戶而給組。組可以包括組(以實(shí)現(xiàn)權(quán)限的繼承)，也可以包含用戶，組內(nèi)用戶繼承組的權(quán)限。User與Group是多對(duì)多的關(guān)系。Group可以層次化，以滿足不同層級(jí)權(quán)限控制的要求。

　　RBAC的關(guān)注點(diǎn)在于Role和User, Permission的關(guān)系。稱為User assignment(UA)和Permission assignment(PA)。關(guān)系的左右兩邊都是Many-to-Many關(guān)系。就是user可以有多個(gè)role，role可以包括多個(gè)user。

　　凡是用過(guò)RDBMS都知道，n:m 的關(guān)系需要一個(gè)中間表來(lái)保存兩個(gè)表的關(guān)系。這UA和PA就相當(dāng)于中間表。事實(shí)上，整個(gè)RBAC都是基于關(guān)系模型。

　　Session在RBAC中是比較隱晦的一個(gè)元素。標(biāo)準(zhǔn)上說(shuō)：每個(gè)Session是一個(gè)映射，一個(gè)用戶到多個(gè)role的映射。當(dāng)一個(gè)用戶激活他所有角色的一個(gè)子集的時(shí)候，建立一個(gè)session。每個(gè)Session和單個(gè)的user關(guān)聯(lián)，并且每個(gè)User可以關(guān)聯(lián)到一或多個(gè)Session.

　　在RBAC系統(tǒng)中，User實(shí)際上是在扮演角色(Role)，可以用Actor來(lái)取代User，這個(gè)想法來(lái)自于Business Modeling With UML一書(shū)Actor-Role模式�？紤]到多人可以有相同權(quán)限，RBAC引入了Group的概念。Group同樣也看作是Actor。而User的概念就具象到一個(gè)人。

　　這里的Group和GBAC(Group-Based Access Control)中的Group(組)不同。GBAC多用于操作系統(tǒng)中。其中的Group直接和權(quán)限相關(guān)聯(lián)，實(shí)際上RBAC也借鑒了一些GBAC的概念。

　　Group和User都和組織機(jī)構(gòu)有關(guān)，但不是組織機(jī)構(gòu)。二者在概念上是不同的。組織機(jī)構(gòu)是物理存在的公司結(jié)構(gòu)的抽象模型，包括部門，人，職位等等，而權(quán)限模型是對(duì)抽象概念描述。組織結(jié)構(gòu)一般用Martin fowler的Party或責(zé)任模式來(lái)建模。

　　Party模式中的Person和User的關(guān)系，是每個(gè)Person可以對(duì)應(yīng)到一個(gè)User，但可能不是所有的User都有對(duì)應(yīng)的Person。Party中的部門Department或組織Organization，都可以對(duì)應(yīng)到Group。反之Group未必對(duì)應(yīng)一個(gè)實(shí)際的機(jī)構(gòu)。例如，可以有副經(jīng)理這個(gè)Group，這是多人有相同職責(zé)。

　　引入Group這個(gè)概念，除了用來(lái)解決多人相同角色問(wèn)題外，還用以解決組織機(jī)構(gòu)的另一種授權(quán)問(wèn)題：例如，A部門的新聞我希望所有的A部門的人都能看。有了這樣一個(gè)A部門對(duì)應(yīng)的Group，就可直接授權(quán)給這個(gè)Group。

　　4、基于任務(wù)的訪問(wèn)控制模型(TBAC)

　　是從應(yīng)用和企業(yè)層角度來(lái)解決安全問(wèn)題，以面向任務(wù)的任務(wù)的角度來(lái)建立安全模型和實(shí)現(xiàn)安全機(jī)制，在任務(wù)處理的過(guò)程 提供動(dòng)態(tài)實(shí)時(shí)的安全管理。

　　TBAC模型由工作流、授權(quán)結(jié)構(gòu)體、受托人和許可集4部分組成。

　　5、基于對(duì)象的訪問(wèn)控制模型(OBAC)

　　控制策略和控制規(guī)則 是OBAC訪問(wèn)控制系統(tǒng)的核心所在。

　　相關(guān)推薦：

　　2018年軟考報(bào)名時(shí)間※2018軟考考試安排(全年)

　　考試吧特別策劃：2018年計(jì)算機(jī)軟考報(bào)考指南專題

　　軟考各科目模擬試題及答案※各科目復(fù)習(xí)指導(dǎo)匯總

　　軟考報(bào)考條件※軟考報(bào)名方法※考試大綱※科目

　　歷年軟考真題及答案匯總※軟件水平考試簡(jiǎn)介