本章引入行為的概念,通過本章對基於行為的訪問控制模型及其管理模型有了基本的了解,文章中還介紹了基於行為的多級安全訪問控制模型,為後續研究提供了理論基礎和方法。
無論何時何地,只要需要就可以通過某種裝置訪問到所需的資訊,複雜網路環境下多模式結構化文件的訪問方式示例如下:
資料中心dc1至資料中心dcn體現了雲儲存形式;
國家授時中心用於提供時間戳等時態狀態所需的標準時間;
員工a、員工b是兩個不同的角色,他們有部分相同的訪問許可權;
總經理c是員工a和員工b的上司,具有員工a和b的部分或全部訪問許可權;
安全專控終端包含密碼系統和gps定位功能模組用於應急指揮系統;
員工a和總經理c,在合作公司場所訪問結構化文件時屬於跨域角色與訪問;
本例主要體現主體角色,時態,環境等因素對訪問授權的影響,以實現細粒度級別的訪問,但未對主體與客體實施分級安全管理。
安全訪問控制模型,機制的實施依賴於作業系統,資料庫管理系統以及大型資訊系統的實現:
一些描述
複雜網路環境下的訪問控制需求歸納為以下三個方面:1、環境層次結構eh:偏序關係即≥。任意的ei,ej∈e,(ei,ej)∈eh當且僅當ei≥ej。
若(ei,ej)∈eh,則稱ei是ej的高階環境,ej是ei的低階環境;
若(ei,ej)∈eh且不存在ek,使ei≥ek,ek≥ej,則ei是ej的直接高階環境,記為ei>ej;
時態層次結構、行為層次結構類似。
2、l=(a1,a5,a8,a10)
行為依賴於路徑繼承的有效角色集合是以該行為為起點,在路徑上可達的所有其他行為的角色集合。(r1,r5,r8,r10)
行為的有效角色集合是以該行為為起點可達的所有其他行為的角色構成的集合。 (r1,r3,r5,r7,r8,r10)
3、abac模型
1、管理行為(ada):是一種特殊行為,滿足行為的所有屬性,但其環境狀態和時態狀態是受限的。用來對其他行為進行安全管理
ada可以表示為(ar,limt,lime),集合記為ada
2、abac管理模型
引入安全屬性
行為屬性對映函式f:spr→apr。主體提出訪問請求時,需要通過行為對映函式f實現主體屬性與行為屬性的對映。
1、使用者操作抽象為四種型別:
執行:主體可以執行相應客體,execute;
2、get-read,獲取可讀的許可權
若主體對客體具有read的操作許可權,且主體行為的讀安全級別高於或者等於客體的安全級別,主體行為的資訊範疇包含客體的資訊範疇,則主體可讀取客體內容。
3、get-write,獲取可寫的許可權
3、get-execute,獲取執行的許可權
若主體對客體具有execute的操作許可權,且主體行為的讀安全級別高於或者等於客體的安全級別,主體行為的資訊範疇包含客體的資訊範疇,則主體執行客體。
4、
技術點詳解 網際網路訪問控制
在網路頻寬有限的環境下,頻寬就變成一項很重要的資源,那麼對於乙個企業而言,有限的頻寬如果被一些非工作流量所佔據,而工作流量卻因為頻寬不夠受到影響,這無疑是一件很糟糕的事情。今天我們就來討論一下網際網路訪問控制。為何事情會發展到如此地步呢?在網際網路方興未艾的時候根本就沒人提要控制應用,提倡的都是自由...
思科網路安全技術實現 標準訪問控制列表
網路裝置結構圖 pc0配置 pc1配置 pc2配置 router0執行的操作 router en router conf t 全域性配置 enter configuration commands,one per line.end with cntl z.router config int g0 0 ...
ipv4 only網路環境下訪問ipv6站點
使用6plat.org openvpn 無需資金投入 進入ipv6網路 這裡我們主要使用的是6plat.org提供的 46模組 ipv4到ipv6 功能,需要配合openvpn這個軟體,支援windows,mac os,android,ios。原理是使用openvpn在你的電腦上建立乙個虛擬網絡卡,...