下面是由希賽小編整理的中級通信互聯網技術知識點精講之訪問控制技術與模型，希望能幫助學友們。具體內容如下：

       訪問控制技術

       訪問控制是指主體依據某些控制策略或權限對客體本身或是其資源進行的不同授權訪問。包括3個要素，即主體、客體和控制策略。

       主體：是指一個提出請求或要求的實體，是動作的發起者，但不一定是動作的執行者。主體可以是一個計算機資源（物理設備、數據文件、內存或進程）或一個合法用戶。

       客體：是接受其他實體訪問的被動實體。凡是可以被操作的信息、資源、對象都可以認為是客體。客體可以是數據、文件、記錄的集合體，甚至是網路上的硬件設備。

       控制策略：是主體對客體的操作行為集和約束條件集。即主體對客體的訪問規則集，定義了主體可以實施的作用行為和客體對主體的條件約束，體現了一種授權行為。

       訪問控制模型

       1985年美國軍方提出可信計算機系統評估準則（TCSEC)，其中描述了兩種訪問控制策略：自主訪問控制模型（DAC)和強制訪問控制模型（MAC)。1992年，Ferraiolo和Kuhn又提出了基于角色的訪問控制（RBAC),后來，又出現了基于任務和基于對象的訪問控制模型。

       1.自主訪問控制橫型

       自主訪問控制模型（DiscretionaryAccessControlModel,DACModel)是根據自主訪問控制策略建立的一種模型，允許合法用戶以用戶或用戶組的身份訪問策略規定的客體，同時阻止非授權用戶訪問客體，某些用戶還可以自主地把自己所擁有的客體的訪問權限授予其他用戶。Linux,UNIX,WindowsNT或是Server版本的操作系統都提供自主訪問控制的功能。

       在實現上，首先要對用戶的身份進行鑒別，然后可以按照訪問控制列表所陚予用戶的權限允許和限制用戶使用客體的資源。

       2.強制訪問控制橫型

       強制訪問控制模型（MandatoryAccessControlModel,MACModel)是一種比DAC更為嚴格的訪問控制策略。和DAC模型不同，MAC是一種多級訪問控制策略。

       MAC通過分級的安全標簽實現信息的單向流通，具體模型有：Bell-LaPadula模型和Biba模型。Bell-LaPadula模型具有只允許向下讀、向上寫的特點，可以有效地防止機密信息向下級泄露：Biba模型則具有不允許向下讀、向上寫的特點，可以有效地保護數據的完整性。

       3.基于角色的訪問控制模型

       基于角色的訪問控制模型（Role-basedAccessModel,RBACModel)的基本思想是將訪問許可權分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。

       RBAC從控制主體的角度出發，根據管理中相對穩定的職權和責任來劃分角色，將訪問權限與角色相聯系。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。

       角色可以看做是一組操作的集合，不同的角色具有不同的操作集，這呰操作集由系統管理員分配給角色。

       4.基于任務的訪問控制橫型

       上述幾個訪問控制模型都是從系統的角度出發去保護資源,沒有考慮執行的上下文環境，也不能記錄主體對客體權限的使用，限制使用時間。如果為了完成一個任務而頻繁變動角色，改變訪問對象，使用這些模型就非常不便。因此，引入工作流概念和基于任務的訪問控制模型（Task-basedAccessControlModel,TBACModel)。工作流是為完成某一目標而由多個相關的任務（活動）構成的業務流程。當數據在工作流中流動時，執行操作的用戶在改變，用戶的權限也在改變。

       TBAC從應用和企業層角度來解決安全問題，以面向任務的觀點，從任務（活動）的角度來建立安全模型和實現安全機制，在任務處理的過程中提供動態實時的安全管理。

       在TBAC中，對象的訪問權限控制隨著執行任務的上下文環境發生變化，不僅可以對不同工作流實行不同的訪問控制策略，而且還能對同一工作流的不同任務實例實行不同的訪問控制策略。從這個意義上說.TBAC是基于任務的，是一種基于實例（instance-based)的訪問控制模型。

       5.基于對象的訪問控制橫型

       當用戶數鋨多、處理的信息數據量巨大時，用戶權限的管理任務將變得十分繁重，應用DAC或MAC模型進行訪問控制顯然就不夠了。如果采用RBAC模型，安全管理員除了維護用戶和角色的關聯關系外，還需要將龐大的信息資源訪問權限陚予有限個角色。當信息資源的種類增加或減少，受控對象的厲性發生變化，安全管理員必須隨時更新所有角色的訪問權限，增加新的角色。而訪問控制需求變化往往是不可預知的，這樣，訪問控制管理的難度和工作量巨大。針對這種情況，引入了基于受控對象的訪問控制模型（Object-basedAccessControlModel,OBACModel)。

       OBAC模型針對數據差異變化和用戶需求變化，從受控對象的角度出發，將訪問主體的訪問權限直接與受控對象相關聯，定義了對象的訪問控制列表，增、刪、修改訪問控制項等，當受控對象的屬性發生改變，或者受控對象發生繼承和派生行為時，無需更新訪問主體的權限，只需要修改受控對象的相應訪問控制項即可，從而減少了訪問主體的權限管理，降低了授權數據管理的復染性。

       返回目錄：中級通信互聯網技術知識點精講之網絡安全技術匯總

       >>>>>點擊立即參加報名培訓

       相關推薦：

       中級通信工程師互聯網技術考試教材推薦

       中級通信工程師互聯網技術考試培訓視頻推薦

       中級通信工程師互聯網技術考試大綱