信息安全技术——(四)授权与访问技术
技术 访问 授权 信息安全
2023-09-27 14:29:29 时间
文章目录
- 标识与认证技术后涉及到授权与访问技术
- 如一个家庭,个人日记不希望别人去看
- 系统中不同人的使用权限不同
1. 授权和访问控制策略的概念
1.1授权概念
- 为了使合法用户正常使用信息系统,需要给已通过认证的用户授权相应的操作权限,这个过程称为授权。可授权的权限包括读写文件、运行程序和网络访问等,实施和管理这些权限的技术称为授权技术
- 运行程序权限控制,qq不能发送已安装应用,防止误点,有病毒
1.2访问控制策略概念
- 访问控制是实施授权的基础,它控制资源只能按照所授予的权限访问
- 访问控制策略是在系统安全较高层次上对访问控制和相关授权的描述,它的表达模型常被称为访问控制模型,是一种访问控制方法高度抽象和独立于软硬件实现的概念模型
1.3访问控制矩阵(最常见的访问控制模型)
1.4主体属性
1.5客体属性
2. 访问控制策略的主要类型
2.1属性关联方法
- 属性关联方法不但要考虑对授权决策的支持,还要考虑是否能减少存储的数据、加快操作的处理速度及是否支持一些安全性质的验证等因素。
3.访问控制策略与模型
3.1常见访问控制策略模型
1.自主访问控制
- 在自主访问控制策略下,每个客体有且仅有一个属主,又客体属主决定该客体的保护策略,系统决定某主体是否能以某种方式访问某客体的依据是系统中是否存在相应属主的授权
- 自己在计算机中的操作是因为自己拥有计算机的主权,根据装系统输入用户名和密码,计算机已经授权了
3.2常见的自主访问控制模型
1.HRU模型(电脑采用的授权模型,不同账户对资源处理方式不同)
2.取予模型和动作实体模型
4.访问控制技术的实现机制
4.1强制访问控制
- 在强制访问控制策略下,每个实体均有相应的安全属性,它们是系统进行授权的基础。系统内的每一个主体有一个访问标签,标识对各类客体访问的许可级别,而系统内的客体也被绑定了一个敏感性标签,反应他的机密级别,系统通过比较主体、客体的标签决定是否授权及如何授权
4.2基于角色的访问控制
- 基于角色的访问控制整体过程
4.3基于属性的访问控制ABAC
- 基于属性的访问控制ABAC组成部分
5.PMI技术
5.1简介
5.2属性证书
相关文章
- 语音专题第四讲,语音识别之解码器技术简介|大牛讲堂
- 周志华KDD China技术峰会现场演讲:深度学习并不是在“模拟人脑”
- 黑客季昕华——从技术宅到创业英雄的五个故事
- 63SPOOLing假脱机技术
- 转:BIOS的恢复技术之Top Swap的原理应用
- Servlet第五篇【介绍会话技术、Cookie的API、详解、应用】
- 滴滴副总裁章文嵩离职,但继续担任滴滴技术委员会名誉主席
- 极客日报:小米电池技术新突破:“高硅补锂”;沃尔沃服务器遭黑客入侵 部分研发信息被盗;Rust 1.57正式发布
- CSDN开发者周刊第29期: 使用 Flutter 加速应用开发;美团弹性伸缩系统的技术演进与落地实践;用户的网络访问策略还能这么玩
- 外网如何访问 Service?- 每天5分钟玩转 Docker 容器技术(139)
- 通过 Service 访问 Pod - 每天5分钟玩转 Docker 容器技术(136)
- 安装 Docker Machine - 每天5分钟玩转 Docker 容器技术(45)
- 外部世界如何访问容器? - 每天5分钟玩转 Docker 容器技术(37)
- 3纳米制程 可能是终极技术
- 书生安全云发起安全技术挑战赛
- C#数据库访问技术之DATAREADER对象读取数据
- linux kernel内存碎片防治技术