访问控制技术

防火墙技术原理

1、访问控制及访问控制列表

一、访问控制定义

1、访问控制：安全保障机制的核心内容，是实现数据保密性和完整性的主要手段。访

问控制是为了限制访问主体（或成为发起者，是一个主动的实体：如用户、进程、服务等），对访问客体（需要保护的资源的）访问权限。从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。

2、访问控制重要过程：

－通过鉴别（authentication）来检验主体的合法身份

－通过授权（authorization）来限制用户对资源的访问级别

二、与其它安全服务关系模型

三、访问控制原理

四、访问控制分类

1、传统访问控制

－自主访问控制DAC（Discretionary Access Control）

－强制访问控制MAC（Mandatory Access Control）

2、新型访问控制

－基于角色的访问控制RBAC（Role-Based Access Control）

－基于任务的访问控制TBAC（Task-Based Access Control）

…….

五、自主访问控制技术（DAC）

1、控制思想：自主访问控制机制允许对象的属主针对该对象的保护策略。

2、实现方式：通常DAC通过授权列表（或访问控制列表）来限定那些主体针对那些客

体可以执行什么操作

3、适用范围：通常用于商用，主流的操作系统Windows，防火墙。

六、强制访问控制MAC

1、控制思想：每个主体都有既定的安全属性，每个客体也都有既定安全属性，主体对

客体是否能执行特定的操作取决于两者安全属性之间的关系

2、实现方式：所有主体（用户、进程）和客体（文件、数据）都被分配了安全标签，

安全标签标识一个安全等级

－主体被分配一个安全等，客体也被分配一个安全等级

－访问控制执行时对主体和客体的安全级别进行比较

3、适用范围：强制访问控制进行了很强的等级划分，经常用于军事用途。

七、基于角色的访问控制RBAC

1、控制思想：在用户（user）和访问许可权(permission)之间引入角色(Role)的概念，用

户与特定一个或多个角色相联系，角色与一个或多个访问许可权限相联系；角色是一个或多个用户可执行的操作的集合，他体现了RBAC的基本思想，即授权给用户的访问权限，由用在一个组织中担当的角色来决定

八、基于角色的访问控制RBAC

九、访问控制模型BLP

十、访问控制模型Biba

十一、访问控制应用类型

1、网络访问控制

2、主机、操作访问控制

3、应用程序访问控制

十二、网络访问控制

十三、主机操作系统访问控制

十四、应用程序访问控制

十五、访问控制的实现（1）

十六、访问控制的实现（2）

十七、结束。