· 全国
收起
第一种自主访问控制(DAC)的特点是客体的创建者可以授予其他主体对客体的访问权限,十分灵活,实现方式有访问控制矩阵,访问控制列表,访问控制能力列表。访问控制矩阵是一个三元组,包括主体,客体和访问权限;访问控制列表是以文件为中心创建的,而访问控制能力列表则是基于用户为中心创建的。
第二种访问控制策略是强访问控制(MAC),这是一种基于安全级别的访问控制,每一个主体和客体都被授予了不同的安全级别,通过判断主客体之间的安全级别进行访问控制。
第三种策略是基于角色的访问控制(RBAC),与上面两种访问控制不同的是这种策略不直接对用户授予权限,而是给用户赋予不同的角色,每个角色有不同的权限。由于基于角色的访问控制可能带来角色爆炸的情况。
第四种访问控制,即基于属性的访问控制(ABAC),每个用户携带自己的属性,包括主体属性,资源属性和环境属性来访问客体,授权引擎根据这些属性进行访问控制。
自主访问控制(Discretionary Access Control DAC)特点:自主访问控制规定客体的创建者为其所有者,可以完全控制该客体,有权将客体的访问权授予别人,优点:灵活性高,被大量采用 缺点:信息总是可以从一个实体流向另一个实体,安全级别低 实现方式:
1.访问控制矩阵:三元组,包括主题,客体访问权限。
2.访问控制列表:以文件为中心建立权限表。 3.访问控制能力列表:以用户为中心建立权限表。
强访问控制(Mandatory Access Control MAC) 特点:每个用户及文件都有一定的安全级别,只有系统管理员可以确定用户和组的访问权限,通过比较主体和客体的安全级别来决定是否可以访问该文件。
基于角色的访问控制(Role-based Access Control҅ RBAC) 特点:将访问权限赋予一定的角色,用户通过扮演不同的角色获得角色所拥有的访问权限。缺点:在更加动态并且要求更细粒度的网络环境中,会带来“角色爆炸”的情况,产生很多不必要的角色。
基于属性的访问控制(Attribute-based Access Control ABAC) 特点: 用户在携带自身的属性值包括主体属性,资源属性,环境属性,然后向资源发送请求,授权引擎 会根据主体所携带的属性进行判断,然后会给出拒绝或者同意的结果给用户,然后就可以访问资源。
