Ⅰ 區域網最常用的介質訪問控制方式是哪兩種各有什麼特點
區域網最常用的介質訪問控制方式及特點如下: 令牌是一種特殊的幀,用於控制網路結點的發送權,只有持有令牌的結點才能發送數據。1.令牌匯流排訪問控制(Token-Bus)令牌匯流排的優點在於它的確定性、可調整性及較好的吞吐能力,適用於對數據傳輸實時性要求較高或通訊負荷較重的應用環境中,如生產過程式控制制領域。它的缺點在於它的復雜性和時間開銷較大,結點可能要等待多次無效的令牌傳送後才能獲得令牌。2.令牌環訪問控制(Token-Ring) 令牌環的主要優點在於其訪問方式具有可調整性和確定性,且每個結點具有同等的介質訪問權。同時,還提供優先權服務,具有很強的適用性。它的主要缺點是環維護復雜,實現較困難。
Ⅱ 試論述計算機與外設訪問控制的方法有多少種各有什麼優缺點
主機與外設之間數據傳送的控制方式有以下四種:
無條件傳送 查詢式傳送 中斷方式傳送
直接存儲器存取(DMA, Direct Memory Access)
6.3.1 無條件傳送方式
適用於總是處於准備好狀態的外設 以下外設可採用無條件傳送方式:
開關
發光器件(如發光二極體、7段數碼管、燈泡等) 繼電器 步進電機
優點:軟體及介面硬體簡單
缺點:只適用於簡單外設,適應范圍較窄
6.3.2 查詢方式傳送
適用於外設並不總是准備好,而且對傳送速率、傳送效率要求不高的場合。 CPU在與外設交換數據前必須詢問外設狀態——「你准備好沒有?」 對外設的要求:應提供設備狀態信息 對介面的要求:需要提供狀態埠 優點:軟體比較簡單
缺點:CPU效率低,數據傳送的實時性差, 速度較慢
6.3.3 中斷方式傳送
CPU無需循環查詢外設狀態,而是外部設備在需要進行數據傳送時才中斷CPU正
在進行的工作,讓CPU來為其服務。即CPU在沒有外設請求時可以去做更重要的事情,有請求時才去傳輸數據,從而大大提高了CPU的利用率。 優點:CPU效率高,實時性好,速度快。 缺點:程序編制較為復雜。
6.3.4 DMA傳輸
前面三種I/O方式都需要CPU作為中介: 外設 CPU 內存 兩個含義: 1)軟體:外設與內存之間的數據傳送是通過CPU執行程序來完成的(PIO方式);
2)硬體:I/O介面和存儲器的讀寫控制信號、地址信號都是由CPU發出的(匯流排由CPU控制)。
缺點:程序的執行速度限定了傳送的最大速度(約為幾十KB/秒)—解決:DMA
傳輸 DMA傳輸:
外設 內存
外設直接與存儲器進行數據交換 ,CPU不再擔當數據傳輸的中介者; 匯流排由DMA控制器(DMAC)進行控制(CPU要放棄匯流排控制權),內存
/外設的地址和讀寫控制信號均由DMAC提供。
優點:數據傳輸由DMA硬體來控制,數據直接在內存和外設之間交換,可以達到
很高的傳輸速率(可達幾MB/秒)
Ⅲ 試論述計算機與外設訪問控制方法有多少種,各有什麼優缺點
網路中常用的數據交換技術可分為兩大類:線路交換和存儲轉發交換,其中存儲轉發交換交換技術又可分為報文交換和分組交換。 1. 線路交換是適用於公用電話網。 2.交換方式是適用於數據報,虛電路。
Ⅳ 自主訪問控制(DAC)與強制訪問控制(MAC)的原理是什麼,區別在哪裡各有什麼優缺點
雙系統或多系統有什麼優缺點,求祥解。XjU9es
Ⅳ 訪問控制技術手段有哪些並比較優缺點
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
Ⅵ 自主訪問控制存在哪些主要的安全性問題
從「震網」、「火焰」病毒的大規模爆發,到索尼在線被黑、CSDN數據泄露等信息安全事件的層出不窮,每一次大規模病毒、黑客攻擊行為的出現,都會對用戶信息系統造成嚴重的危害,引起了安全行業的集體反思。作為信息系統的重要組成部分,操作系統承擔著連接底層硬體和上層業務應用的重任,在諸多安全事件中首當其沖,面臨著巨大的安全壓力。而操作系統本身在安全防護上的脆弱性,特別是系統內自主訪問控制機制存在的安全隱患,使用戶在面對病毒、木馬及黑客攻擊時顯得力不從心,最終導致安全事件密集爆發的信息安全「危局」。
掀開自主訪問控制的面紗
為了增強信息系統安全、可靠運行的能力,操作系統內置了一些防護措施,例如身份鑒別、訪問控制、入侵防範等。其中,訪問控制是計算機安全防護體系中的重要環節,包含主體、客體、控制策略三個要素。其中,主體是指可以對其他實體施加動作的主動實體,例如用戶、進程等;客體包括數據、文件、程序等,是接受其他實體訪問的被動實體;控制策略則定義了主體與客體相互作用的途徑。簡而言之,訪問控制是一種通過控制策略授予、約束主體訪問客體行為的安全機制。
訪問控制分為三種模型,即自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色的訪問控制(RBAC)。其中,自主訪問控制在C2級操作系統中應用廣泛,是根據自主訪問控制策略建立的一種模型,允許合法用戶以用戶或用戶組的身份訪問策略規定的客體,同時阻止非授權用戶訪問客體,某些用戶還可以自主地把自己所擁有的客體的訪問許可權授予其他用戶。
自主訪問控制的實現方式包括目錄式訪問控制模式、訪問控製表(ACL)、訪問控制矩陣、面向過程的訪問控制等,其中,訪問控製表是自主訪問控制機制通常採用的一種方式。訪問控製表是存放在計算機中的一張表,本質上是帶有訪問許可權的矩陣,其訪問許可權包括讀文件、寫文件、執行文件等等。在自主訪問控制機制下,每個客體都有一個特定的安全屬性,同時訪問控製表也授予或禁止主體對客體的訪問許可權。在實際工作中,安全管理員通過維護訪問控製表,控制用戶對文件、數據等IT系統資源的訪問行為,來達到安全防控的目的。
從安全性上看,現有操作系統中基於訪問控製表的自主訪問控制存在著明顯的缺陷:一方面,超級用戶(root/Administrator)權力過度集中,可以隨意修客體的訪問控製表,只要擁有超級管理員許可權就可以對伺服器所有的資源進行任意操作;另一方面,客體的屬主可以自主地將許可權轉授給別的主體,一旦把某個客體的ACL修改權轉授出去以後,擁有者便很難對自己的客體實施控制了。因此,在現有的這種訪問控制模型下,操作系統存在很多安全風險。
自主訪問控制下的安全風險
按照訪問許可機制的不同,自主訪問控制又分為三個類型,即自由型、等級型和宿主型。其中,在自由型自主訪問控制機制中,不同主體之間可以自由轉讓客體訪問控製表的修改許可權,意味著任何主體都有可能對某一客體進行操作,系統安全性很難得到保障;在等級型自主訪問控制機制中,用戶可以將擁有修改客體訪問控製表許可權的主體組織成等級型結構,例如按照等級將不同的主體排列成樹型結構,高等級主體自動獲得低等級客體的控制許可權。這種方案的優點是可以選擇值得信任的人擔任各級領導,從而實現對客體的分級控制,缺點是同時有多個主體有能力修改某一客體的訪問許可權。
從市場應用情況看,等級型自主訪問控制是使用范圍最為廣泛的安全機制,現有C2級大型商用伺服器操作系統(如AIX、HP-UX、Solaris、Windows Server、LinuxServer等)中的訪問控制機制均為等級型自主訪問控制,涉及金融、能源、軍工等國家命脈行業。在這些系統中,位於樹型結構頂端的超級用戶擁有無上的許可權,可以對其他用戶擁有的資源進行任意修改和訪問。許可權的高度集中,客觀上放大了系統的安全風險。針對等級型自主訪問控制,攻擊者可以通過暴力破解、系統漏洞利用、木馬攻擊等多種方式竊取管理員許可權,進而實現對目標系統的完全控制。事實證明確實如此,無論是曾經肆虐全國的「灰鴿子」木馬,還是震驚全球的「震網」、「火焰」等病毒,都將獲得管理許可權作為一種重要手段,在此基礎上成功入侵系統並實施破壞行為。
完善自主訪問控制機制
為了提升信息系統的安全防護能力,我國頒布了《信息安全等級保護管理辦法》,並制定了一系列國家標准,為用戶開展信息安全等級保護工作提供指導意義。其中,《GB/T 20272-2006信息安全技術-操作系統安全技術要求》是專門針對操作系統安全防護的國家標准,該標准在「自主訪問控制」部分提出了明確的要求:「客體的擁有者應是唯一有權修改客體訪問許可權的主體,擁有者對其擁有的客體應具有全部控制權,但是,不充許客體擁有者把該客體的控制權分配給其他主體。」
從技術要求的細節上看,滿足等級保護標準的自主訪問控制機制實質上是宿主型自主訪問控制。在這種機制下,用戶需要對客體設置一個擁有者,並使其成為唯一有權訪問該客體訪問控製表的主體,確保了受保護客體訪問控製表控制權的唯一性,有效規避由於系統管理員信息泄露而給系統帶來的巨大危害,同時也限制了病毒對系統的破壞行為,幫助用戶提升防病毒、防黑客攻擊的能力。
目前,國內已經出現滿足等級保護操作系統技術要求的安全產品,例如椒圖科技推出的JHSE椒圖主機安全環境系統(以下簡稱JHSE),就基於宿主型自主訪問控制機制保障操作系統的安全。此外,JHSE還採用了強制訪問控制模型,為訪問主體和受保護的客體分配不同的安全級別屬性,在實施訪問控制的過程中,系統將對主體和客體的安全級別屬性進行比較,之後再決定主體是否可以訪問受保護的客體,從而實現了細粒度的安全訪問控制機制。可以相信,隨著安全技術的持續進步和用戶安全意識的不斷增強,操作系統將會在面對病毒、木馬及黑客攻擊時扭轉不利局面,為整體信息系統的安全運行提供可靠支撐。
Ⅶ 目前區域網常用的介質訪問控制研方法主要有哪些請分別簡述它們的主要特點。
布線主要有:星型、匯流排型、環型、樹型其介質控制主要有:1 CSMA/CD最早的CSMA方法起源於美國夏威夷大學的ALOHA廣播分組網路,1980年美國DEC、Intel和Xerox公司聯合宣布Ethernet網採用CSMA技術,並增加了檢測碰撞功能,稱之為CSMA/CD。這種 方式適用於匯流排型和樹形拓撲結構,主要解決如何共享一條公用廣播傳輸介質。其簡單原理 是:在網路中,任何一個工作站在發送信息前,要偵聽一下網路中有無其它工作站在發送信 號,如無則立即發送,如有,即信道被佔用,此工作站要等一段時間再爭取發送權。等待時 間可由二種方法確定,一種是某工作站檢測到信道被佔用後,繼續檢測,直到信道出現空閑 。另一種是檢測到信道被佔用後,等待一個隨機時間進行檢測,直到信道出現空閑後再發送 。 CSMA/CD要解決的另一主要問題是如何檢測沖突。當網路處於空閑的某一瞬間,有兩個或兩 個以上工作站要同時發送信息,這時,同步發送的信號就會引起沖突,現由IEEE802.3標准確定的CSMA/CD檢測沖突的方法是:當一個工作站開始佔用信道進行發送信息時,再用碰撞 檢測器繼續對網路檢測一段時間,即一邊發送,一邊監聽,把發送的信息與監聽的信息進行比較,如結果一致,則說明發送正常,搶占匯流排成功,可繼續發送。如結果不一致,則說明 有沖突,應立即停止發送。等待一隨機時間後,再重復上述過程進行發送。CSMA/CD控制方式的優點是:原理比較簡單,技術上易實現,網路中各工作站處於平等地位 ,不需集中控制,不提供優先順序控制。但在網路負載增大時,發送時間增長,發送效率急劇下降。 2 令牌環令牌環只適用於環形拓撲結構的區域網。其主要原理是:使用一個稱之為「令牌」的控制標 志(令牌是一個二進制數的位元組,它由「空閑」與「忙」兩種編碼標志來實現,既無目的地 址 ,也無源地址),當無信息在環上傳送時,令牌處於「空閑」狀態,它沿環從一個工作站到 另 一個工作站不停地進行傳遞。當某一工作站准備發送信息時,就必須等待,直到檢測並捕獲 到經過該站的令牌為止,然後,將令牌的控制標志從「空閑」狀態改變為「忙」狀態,並發送出一幀信息。其他的工作站隨時檢測經過本站的幀,當發送的幀目的地址與本站地址相符時,就接收該幀,待復制完畢再轉發此幀,直到該幀沿環一周返回發送站,並收到接收站指向發送站的肯定應簽信息時,才將發送的幀信息進行清除,並使令牌標志又處於「空閑」狀 態,繼續插入環中。當另一個新的工作站需要發送數據時,按前述過程,檢測到令牌,修改狀態,把信息裝配成幀,進行新一輪的發送。令牌環控制方式的優點是它能提供優先權服務,有很強的實時性,在重負載環路中,「令牌 」以循環方式工作,效率較高。其缺點是控制電路較復雜,令牌容易丟失。但IBM在1985年 已解決了實用問題,近年來採用令牌環方式的令牌環網實用性已大大增強。 3 令牌匯流排令牌匯流排主要用於匯流排形或樹形網路結構中。它的訪問控制方式類似於令牌環,但它是把總 線形或樹形網路中的各個工作站按一定順序如按介面地址大小排列形成一個邏輯環。只有令牌持有者才能控制匯流排,才有發送信息的權力。信息是雙向傳送,每個站都可檢測到其它站 點發出的信息。在令牌傳遞時,都要加上目的地址,所以只有檢測到並得到令牌的工作站, 才能發送信息,它不同於CSMA/CD方式,可在匯流排和樹形結構中避免沖突。這種控制方式的優點是各工作站對介質的共享權力是均等的,可以設置優先順序,也可以不設 ;有較好的吞吐能力,吞吐量隨數據傳輸速率增高而加大,連網距離較CSMA/CD方式大。缺 點是控制電路較復雜、成本高,輕負載時,線路傳輸效率低。