摘 要: 本文介绍了自主访问控制的概念,具体分析了两种实现机制,基于行的实现机制和基于列的实现机制,总结了自主访问控制的特点,最后列出了自主访问控制的局限性。 关键词: 自主访问控制 实现机制 特点 局限性 1.自主访问控制的概念 自主访问控制(Discretionary Access Control,DAC)是由客体资源的属主对自己的客体资源进行管理,由属主自己决定是否将自己的客体资源访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。 2. DAC的实现机制 在DAC中,把访问规则存储在访问控制矩阵中。访问控制矩阵是实现DAC策略的基本数据结构,矩阵的每一行代表一个主体,每一列代表一个客体,某个主体对某个客体的访问权限由矩阵中的每个元素表示。通过检查这个访问控制矩阵可以了解用户对任何客体的访问请求,如果矩阵中主体和客体的交叉点上有访问类型,那么访问就被允许,否则就被拒绝。 2.1基于行的DAC 这种机制是把每个主体对所在行上的有关客体(即非空矩阵元素所对应的那些客体)的访问控制信息以表的形式附加给主体,根据表中的内容不同又分为不同的具体实现机制。 2.1.1权限表机制 权限表中存放着主体可以访问的每个客体的权限(如读、写、执行等),主体只能按赋予的权限访问客体。程序中可以包含权限,权限也可以存储在数据文件中,为了防止权利信息被非法修改,可以采用硬件、软件和加密措施。因为允许主体把自己的权利转给其他进程,或从其他进程收回访问权,权限表机制是动态的,所以对一个程序而言,最好把该程序所需要访问的客体限制在最小范围内。 2.1.2口令机制 每个客体都有一个相应的口令。当主体对一个客体发出访问请求时,必须把该客体的口令提供给系统。口令不像权利那样是动态的,由于大多数实现自主访问控制的系统利用口令机制时仅允许把一个口令分配给每个客体或每个客体的每种访问模式。 2.1.3前缀表 前缀表中包含主体可访问的每个客体的名字及主体对它的访问权限。当某个主体要访问某个客体时,访问控制机制将检查该主体的前缀中是否具有它所请求的访问权。前缀表机制的实现存在以下困难:主体的前缀表可能很大,增加了系统管理的困难;只能由系统管理员进行修改,管理复杂;撤销与删除困难,系统难以决定谁对某一客体具有访问权。 2.2基于列的DAC 所谓基于列的自主访问控制是指把每个客体被所在列上的有关主体访问的控制信息以表的形式附加给该客体,然后依次进行访问控制。它有两种实现形式:保护位方式和访问控制表(ACL)方式。 2.2.1保护位机制 保护位对所有主体、主体组及该客体的拥有者指定了一个访问权限的集合,UNIX采用了这种机制。在保护位中包含主体组的名字和拥有者的名字。 2.2.2访问控制表(ACL)机制 任何一个特定的主体是否可对某一个客体进行访问都可以由访问控制表决定。它表示访问控制矩阵的方法是把一个主体明细表附加在客体上。对该客体的访问权和主体的身份都存在于该表中的每一项。目前,访问控制表(ACL)机制是实现自主访问控制策略的最好方法。 3.DAC的特点 自主访问控制是访问控制中最常见的一种方法,允许资源的所有者自主地在系统中决定可存取其资源客体的主体,即主体有自主的决定权,一个主体可以有选择地与其他主体共享资源,故此模型灵活性很高。但是由于这种自主性,自主访问控制是一种比较宽松的访问控制方式,一个主体的访问权限具有传递性。在自主访问控制中,信息总是可以从一个主体流向另一个主体,即使对于高机密的信息也是如此,因此自主访问控制的安全级别较低。另外,由于同一个用户对不同的客体资源有不同的存取权限,不同的用户对同一客体资源有不同的存取权限,用户、权限、客体资源之间的授权管理非常复杂。 4.DAC的局限性 自主访问控制将赋予或取消访问权限的一部分权利留给用户个人,系统管理者难以确定哪些用户对客体资源拥有访问权限,这样不利于全局访问控制的统一。 在许多系统关系中,用户对它所能访问的客体资源并不具有所有权,系统本身才是系统中资源的真正所有者。 在系统中,一般都希望实现访问控制与授权机制的结果与系统内部的规章制度一致,并且由管理部门统一实施访问控制,不允许用户自主地处理,显然自主访问控制已不能适应这些需求。 参考文献: [1]张鹏.浅谈计算机访问控制技术[J].科技信息(学术版),2008. [2]范九伦,等.访问控制技术研究进展[J].小型微型计算机系统,2004. [3]窦燕.身份认证与访问控制系统的研究与实现[D].北京大学,2004. [4]李晓林.信息系统中基于角色的访问控制[J].微机发展,2004. [5]汪厚详.基于角色的访问控制研究[J].计算机应用研究,2005.
自主访问控制研究
10/29
相关内容
-
计算机网络基础知识
计算机是迄今为止人类历史上最伟大.最卓越的技术发明之一.人类因发明了电子计算机而开辟了智力和能力延伸的新纪元.人类近代特别重视研究信息和利用信息,是从20世纪40年代研究通信技术开始的.电子计算机的诞生,为信息的采集.存储.分类以及适合于各 ... -
中小学心理管理系统
中小学心理管理系统 一.前言 学校开展有效的心理健康教育工作是一个综合的系统工程,而非单个心理辅导教师的咨询或辅导活动.解决实际问题的心理辅导软件应该在科学的心理测量基础上,包含多层次管理.全员参与.可以互动交流和动态更新的综合管理系统. ... -
网络通信安全管理员(中级)-13-信息安全等级保护体系
网络通信安全管理员-中级 信息系统安全等级保护 讲师:谢诚 通信行业职业技能鉴定中心培训教程 2012年2月 等级保护基本概念 对国家秘密信息.法人和其他组织及公民的 专有信息以及公开信息和存储.传输.处理这些信息的信息系统分等级实行安全保 ... -
xcv内蒙古广电网络整改方案
内蒙古广电网络 整改方案 北京远景助力科技有限公司 2010年5月12日 北京远景助力科技有限公司 地址:北京市海淀区苏州街3号紫金长河4-162 内蒙办事处地址:呼和浩特市荣胜大厦B座5室0471-2524048/49/50 网址:www ... -
有关数据信息安全保密技术探究
科技应用 有关数据信息安全保密技术探究 田星原 邹欣云 文 芳 胡吉舟 云南金隆伟业科技有限公司,云南 昆明 650032 摘要:在信息技术快速推广及应用的趋势下,网络应用越来越普遍,信息化社会呈现出越来越广阔的前景,社会中很多方面的网络信 ... -
网络安全知识题库中学组C
江苏省青少年网络信息安全知识竞赛试题 (中学组C) 参赛须知: 一.答题方法:本卷共100题,每题有ABCD四个答案,其中只有一个正确答案,请在答题卡上将你认为正确的选项涂黑.答题卡不得涂改,复印无效.试卷满分100分,每题1分. 二.参赛 ... -
住建部20**年-20**年建筑业信息化发展纲要
住建部2011-2015建筑业信息化发展纲要 深入贯彻落实科学发展观,坚持自主创新.重点跨越.支撑发展.引领未来的方针,高度重视信息化对建筑业发展的推动作用,通过统筹规划.政策导向,进一步加强建筑企业信息化建设. 1 各省.自治区住房和城乡 ... -
铁路信息化总体规划
铁路信息化总体规划 1前言 信息化是当今世界经济社会发展的必然趋势,已经成为推动人类社会高速发展的强大动力,成为各个国家实现现代化的重大发展战略.党的十六大报告提出"信息化是我国加快实现工业化和现代化的必然选择".大力推 ... -
校园网的规划与设计论文
目录 前言·····················································4 第一部分 校园网的需求分析·······························4 1.1什么是校园网····· ... -
医院财务管理系统设计与实施--模板
**学院 硕士论文中期检查报告 课题名称:**医院财务管理系统的设计与实施 姓 名:** 学 号:** 专 业: IT项目管理与产业信息化 学院指导教师:*** 企业指导老师:*** 指导老师单位:*** 论文起止时间:2014年9月至20 ...