訪問控制機制是指對主體訪問客體的許可權或能力的限制,以及限制進入物理區域(出入控制)和限制使用計算機系統和計算機存儲數據的過程(存取控制)。
基本介紹
介紹,訪問控制策略,分類,實現方法,
介紹
訪問控制機制 (access control mechanisms)
訪問控制的目標就是防止對信息系統資源的非授權訪問防止非授權使用信息系統資源。
訪問控制策略
表示在一種安全區域中的安全要求。它是 訪問控制的判決控制所依據的規則。一個系統中可能有 多個組合的訪問控制策略,可分為三種:
Ø基於規則的訪問控制策略;
Ø基於身份的訪問控制策略;
Ø基於上述兩種策略的組合。
分類
基於訪問控制表的訪問控制機制
發起者的訪問控制信息是一個唯一的身份標識。目標的訪問控制信息是一個訪問控制表,該表示一組登記項,每個登記項都有兩個欄位,一個是身份標識,另一個是該標識對應的發起者的動作描述(允許或拒絕的動作)。
基於能力的訪問控制機制
發起者的訪問控制信息是它可以訪問的目標和對目標進行的操作。目標的訪問控制信息是唯一的身份標識。
基於標籤的訪問控制機制
發起者的訪問控制信息是一種安全許可證書,該證書 表示的內容很容易和其他安全標籤比較。目標的訪問 控制信息是其擁有的全部安全標籤。
基於上下文的訪問控制機制
訪問控制信息包括:
上下文控制表:由登記項組成的登記項序列。每個登 記項都有兩個欄位,即上下文描述和操作描述。
上下關聯信息,該信息從執行動作處的上下文獲得
實現方法
利用存放對等實體訪問權的方法控制信息庫
利用鑑別信息(如口令、證書等)
利用授權
利用安全標籤
利用試圖訪問的時間、路由或持續時間
