❶ 基於角色訪問控制有哪些特點,現實應用舉例
RBAC的基本思想是:授權給用戶的訪問許可權,通常由用戶在一個組織中擔當的角色來確定。RBAC中許可被授權給角色,角色被授權給用戶,用戶不直接與許可關聯。RBAC對訪問許可權的授權由管理員統一管理,RBAC根據用戶在組織內所處的角色作出訪問授權與控制,授權規定是強加給用戶的,用戶不能自主地將訪問許可權傳給他人,這是一種非自主型集中式訪問控制方式。例如,在醫院里,醫生這個角色可以開處方,但他無權將開處方的權力傳給護士。
角色訪問控制(RBAC)引入了Role的概念,目的是為了隔離User(即動作主體,Subject)與Privilege(許可權,表示對Resource的一個操作,即Operation+Resource)。 Role作為一個用戶(User)與許可權(Privilege)的代理層,解耦了許可權和用戶的關系,所有的授權應該給予Role而不是直接給User或Group.Privilege是許可權顆粒,由Operation和Resource組成,表示對Resource的一個Operation.例如,對於新聞的刪除操作。Role-Privilege是many-to-many的關系,這就是許可權的核心。
基於角色的訪問控制方法(RBAC)的顯著的兩大特徵是:1.由於角色/許可權之間的變化比角色/用戶關系之間的變化相對要慢得多,減小了授權管理的復雜性,降低管理開銷。2.靈活地支持企業的安全策略,並對企業的變化有很大的伸縮性。
RBAC的關注點在於Role和User, Permission的關系。稱為User assignment(UA)和Permission assignment(PA)。關系的左右兩邊都是Many-to-Many關系。就是user可以有多個role,role可以包括多個user
在RBAC系統中,User實際上是在扮演角色(Role),可以用Actor來取代User,這個想法來自於Business Modeling With UML一書Actor-Role模式
例子:低級用戶只有向高級用戶寫入文件的權利,但是沒有從高級用戶那裡獲取文件的權利(一般的軍事系統都是這樣的),這樣就保證了信息的流向性,即從低級到高級,從而保證了信息的安全性。
❷ 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1)自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(ACL)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。
3)基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(Access Contro1 Matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(Access Control List,ACL)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(Capabilities List)是以用戶為中心建立訪問許可權表。與ACL相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將SSO分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展,「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具,可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現對這些應用的SSO服務。
2)Web單點登入
由於Web技術體系架構便捷,對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案。
3)傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。
❸ 什麼事訪問控制訪問控制包括哪幾個要素
訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。
訪問控制包括伺服器、目錄、文件等。訪問控制是給出一套方法,將系統中的所有功能標識出來,組織起來,託管起來,將所有的數據組織起來標識出來託管起來, 然後提供一個簡單的唯一的介面,這個介面的一端是應用系統一端是許可權引擎。
(3)基於應用內容的訪問控制擴展閱讀
實現機制:訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和復雜的行為,實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應,制止非授權用戶的非授權行為;還要保證敏感信息的交叉感染。
為了便於討論這一問題,我們以文件的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源(文件或是資料庫),可能的行為有讀、寫和管理。為方便起見,我們用Read或是R表示讀操作,Write或是W表示寫操作,Own或是O表示管理操作。
❹ 如何在應用系統中實現數據許可權的控制功能
基於RBAC模型的許可權管理系統的設計和實現 0 引言 管理信息系統是一個復雜的人機交互系統,其中每個具體環節都可能受到安全威脅。構建強健的許可權管理系統,保證管理信息系統的安全性是十分重要的。許可權管理系統是管理信息系統中可代碼重用性最高的模塊之一。任何多用戶的系統都不可避免的涉及到相同的許可權需求,都需要解決實體鑒別、數據保密性、數據完整性、防抵賴和訪問控制等安全服務(據ISO7498-2)。例如,訪問控制服務要求系統根據操作者已經設定的操作許可權,控制操作者可以訪問哪些資源,以及確定對資源如何進行操作。 目前,許可權管理系統也是重復開發率最高的模塊之一。在企業中,不同的應用系統都擁有一套獨立的許可權管理系統。每套許可權管理系統只滿足自身系統的許可權管理需要,無論在數據存儲、許可權訪問和許可權控制機制等方面都可能不一樣,這種不一致性存在如下弊端: a.系統管理員需要維護多套許可權管理系統,重復勞動。 b.用戶管理、組織機構等數據重復維護,數據一致性、完整性得不到保證。 c.由於許可權管理系統的設計不同,概念解釋不同,採用的技術有差異,許可權管理系統之間的集成存在問題,實現單點登錄難度十分大,也給企業構建企業門戶帶來困難。 採用統一的安全管理設計思想,規范化設計和先進的技術架構體系,構建一個通用的、完善的、安全的、易於管理的、有良好的可移植性和擴展性的許可權管理系統,使得許可權管理系統真正成為許可權控制的核心,在維護系統安全方面發揮重要的作用,是十分必要的。 本文介紹一種基於角色的訪問控制RBAC(Role-Based policies Access Control)模型的許可權管理系統的設計和實現,系統採用基於J2EE架構技術實現。並以討論了應用系統如何進行許可權的訪問和控制。 1 採用J2EE架構設計 採用J2EE企業平台架構構建許可權管理系統。J2EE架構集成了先進的軟體體系架構思想,具有採用多層分布式應用模型、基於組件並能重用組件、統一完全模型和靈活的事務處理控制等特點。 系統邏輯上分為四層:客戶層、Web層、業務層和資源層。 a. 客戶層主要負責人機交互。可以使系統管理員通過Web瀏覽器訪問,也可以提供不同業務系統的API、Web Service調用。 b. Web層封裝了用來提供通過Web訪問本系統的客戶端的表示層邏輯的服務。 c. 業務層提供業務服務,包括業務數據和業務邏輯,集中了系統業務處理。主要的業務管理模塊包括組織機構管理、用戶管理、資源管理、許可權管理和訪問控制幾個部分。 d. 資源層主要負責數據的存儲、組織和管理等。資源層提供了兩種實現方式:大型關系型資料庫(如ORACLE)和LDAP(Light Directory Access Protocol,輕量級目錄訪問協議)目錄伺服器(如微軟的活動目錄)。 2 RBAC模型 訪問控制是針對越權使用資源的防禦措施。基本目標是為了限制訪問主體(用戶、進程、服務等)對訪問客體(文件、系統等)的訪問許可權,從而使計算機系統在合法范圍內使用;決定用戶能做什麼,也決定代表一定用戶利益的程序能做什麼[1]。 企業環境中的訪問控制策略一般有三種:自主型訪問控制方法、強制型訪問控制方法和基於角色的訪問控制方法(RBAC)。其中,自主式太弱,強制式太強,二者工作量大,不便於管理[1]。基於角色的訪問控制方法是目前公認的解決大型企業的統一資源訪問控制的有效方法。其顯著的兩大特徵是:1.減小授權管理的復雜性,降低管理開銷;2.靈活地支持企業的安全策略,並對企業的變化有很大的伸縮性。 NIST(The National Institute of Standards and Technology,美國國家標准與技術研究院)標准RBAC模型由4個部件模型組成,這4個部件模型分別是基本模型RBAC0(Core RBAC)、角色分級模型RBAC1(Hierarchal RBAC)、角色限制模型RBAC2(Constraint RBAC)和統一模型RBAC3(Combines RBAC)[1]。 a. RBAC0定義了能構成一個RBAC控制系統的最小的元素集合。在RBAC之中,包含用戶users(USERS)、角色roles(ROLES)、目標objects(OBS)、操作operations(OPS)、許可權permissions(PRMS)五個基本數據元素,許可權被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的許可權。會話sessions是用戶與激活的角色集合之間的映射。RBAC0與傳統訪問控制的差別在於增加一層間接性帶來了靈活性,RBAC1、RBAC2、RBAC3都是先後在RBAC0上的擴展。 b. RBAC1引入角色間的繼承關系,角色間的繼承關系可分為一般繼承關系和受限繼承關系。一般繼承關系僅要求角色繼承關系是一個絕對偏序關系,允許角色間的多繼承。而受限繼承關系則進一步要求角色繼承關系是一個樹結構。 c. RBAC2模型中添加了責任分離關系。RBAC2的約束規定了許可權被賦予角色時,或角色被賦予用戶時,以及當用戶在某一時刻激活一個角色時所應遵循的強制性規則。責任分離包括靜態責任分離和動態責任分離。約束與用戶-角色-許可權關系一起決定了RBAC2模型中用戶的訪問許可。 d. RBAC3包含了RBAC1和RBAC2,既提供了角色間的繼承關系,又提供了責任分離關系。 3核心對象模型設計 根據RBAC模型的許可權設計思想,建立許可權管理系統的核心對象模型。 對象模型中包含的基本元素主要有:用戶(Users)、用戶組(Group)、角色(Role)、目標(Objects)、訪問模式(Access Mode)、操作(Operator)。主要的關系有:分配角色許可權PA(Permission Assignment)、分配用戶角色UA(Users Assignmen描述如下: a .控制對象:是系統所要保護的資源(Resource),可以被訪問的對象。資源的定義需要注意以下兩個問題: 1.資源具有層次關系和包含關系。例如,網頁是資源,網頁上的按鈕、文本框等對象也是資源,是網頁節點的子節點,如可以訪問按鈕,則必須能夠訪問頁面。 2.這里提及的資源概念是指資源的類別(Resource Class),不是某個特定資源的實例(Resource Instance)。資源的類別和資源的實例的區分,以及資源的粒度的細分,有利於確定許可權管理系統和應用系統之間的管理邊界,許可權管理系統需要對於資源的類別進行許可權管理,而應用系統需要對特定資源的實例進行許可權管理。兩者的區分主要是基於以下兩點考慮: 一方面,資源實例的許可權常具有資源的相關性。即根據資源實例和訪問資源的主體之間的關聯關系,才可能進行資源的實例許可權判斷。 例如,在管理信息系統中,需要按照營業區域劃分不同部門的客戶,A區和B區都具有修改客戶資料這一受控的資源,這里「客戶檔案資料」是屬於資源的類別的范疇。如果規定A區只能修改A區管理的客戶資料,就必須要區分出資料的歸屬,這里的資源是屬於資源實例的范疇。客戶檔案(資源)本身應該有其使用者的信息(客戶資料可能就含有營業區域這一屬性),才能區分特定資源的實例操作,可以修改屬於自己管轄的信息內容。 另一方面,資源的實例許可權常具有相當大的業務邏輯相關性。對不同的業務邏輯,常常意味著完全不同的許可權判定原則和策略。 b.許可權:對受保護的資源操作的訪問許可(Access Permission),是綁定在特定的資源實例上的。對應地,訪問策略(Access Strategy)和資源類別相關,不同的資源類別可能採用不同的訪問模式(Access Mode)。例如,頁面具有能打開、不能打開的訪問模式,按鈕具有可用、不可用的訪問模式,文本編輯框具有可編輯、不可編輯的訪問模式。同一資源的訪問策略可能存在排斥和包含關系。例如,某個數據集的可修改訪問模式就包含了可查詢訪問模式。 c.用戶:是許可權的擁有者或主體。用戶和許可權實現分離,通過授權管理進行綁定。 d.用戶組:一組用戶的集合。在業務邏輯的判斷中,可以實現基於個人身份或組的身份進行判斷。系統弱化了用戶組的概念,主要實現用戶(個人的身份)的方式。 e.角色:許可權分配的單位與載體。角色通過繼承關系支持分級的許可權實現。例如,科長角色同時具有科長角色、科內不同業務人員角色。 f.操作:完成資源的類別和訪問策略之間的綁定。 g.分配角色許可權PA:實現操作和角色之間的關聯關系映射。 h.分配用戶角色UA:實現用戶和角色之間的關聯關系映射。 該對象模型最終將訪問控制模型轉化為訪問矩陣形式。訪問矩陣中的行對應於用戶,列對應於操作,每個矩陣元素規定了相應的角色,對應於相應的目標被准予的訪問許可、實施行為。按訪問矩陣中的行看,是訪問能力表CL(Access Capabilities)的內容;按訪問矩陣中的列看,是訪問控製表ACL(Access Control Lists)的內容。 4 許可權訪問機制 許可權管理系統端:提供集中管理許可權的服務,負責提供用戶的鑒別、用戶信息、組織結構信息,以及許可權關系表的計算。 系統根據用戶,角色、操作、訪問策略和控制對象之間的關聯關系,同時考慮許可權的正負向授予,計算出用戶的最小許可權。在業務邏輯層採用Session Bean實現此服務,也可以發布成Web Service。採用代理Proxy模式,集中控制來自應用系統的所要訪問的許可權計算服務,並返回許可權關系表,即二元組{ObjectId,OperatorId}。 應用系統端:可以通過訪問能力表CL和訪問控製表ACL兩種可選的訪問方式訪問許可權管理系統。 以基於J2EE框架的應用系統為例,說明訪問過程: a.首先採用基於表單的驗證,利用Servlet方式集中處理登錄請求[2]。考慮到需要鑒別的實體是用戶,採用基於ACL訪問方式。用戶登錄時調用許可權管理系統的用戶鑒別服務,如果驗證成功,調用許可權計算服務,並返回許可權關系表,以HashMap的方式存放到登錄用戶的全局Session中;如果沒有全局的Session或者過期,則被導向到登錄頁面,重新獲取許可權。 b.直接URL資源採用基於CL訪問方式進行的訪問控制。如果用戶直接輸入URL地址訪問頁面,有兩種方法控制訪問:1.通過許可權標簽讀取CL進行控制;2.採取Filter模式,進行許可權控制,如果沒有許可權,則重定向到登錄頁面。 5 許可權控制機制 許可權所要控制的資源類別是根據應用系統的需要而定義的,具有的語義和控制規則也是應用系統提供的,對於許可權管理系統來說是透明的,許可權將不同應用系統的資源和操作統一對待。應用系統調用許可權管理系統所獲得的許可權關系表,也是需要應用系統來解釋的。按此設計,許可權管理系統的通用性較強,許可權的控制機制則由應用系統負責處理。 由於應用系統的許可權控制與特定的技術環境有關,以基於J2EE架構的應用系統為例來說明,系統主要的展示組件是JSP頁面,採用標記庫和許可權控制組件共同來實現。 a. 許可權標識:利用標簽來標識不同級別資源,頁面許可權標簽將標識頁面對象。 b. 許可權注冊:遍歷JSP頁面上的許可權控制標簽,讀取JSP的控制許可權。通過許可權注冊組件將JSP頁面上的許可權控制對象以及規則注冊到許可權管理信息系統中。 c. 許可權控制:應用系統用戶登錄系統時,從許可權管理系統獲得許可權關系表之後,一方面,許可權標簽控制頁面展示;另一方面,利用許可權控制組件在業務邏輯中進行相應的許可權控制,尤其是和業務邏輯緊密聯系的控制對象實例的許可權控制。 6 許可權存儲機制 許可權管理系統採用了兩種可選的存儲機制:LDAP(Lightweight Directory Access Protocol)目錄服務資料庫和關系型資料庫。存儲用戶信息、組織結構、角色、操作、訪問模式等信息。 其中,目錄服務系統基於LDAP標准,具有廣泛的數據整合和共享能力。元目錄(Meta-Directory)功能允許快速、簡潔的與企業現存基礎結構進行集成,解決基於傳統RDBMS等用戶資料庫與LDAP用戶資料庫的同步問題。 7 結語 本文論述了一種基於RBAC模型的許可權管理系統的實現技術方案。該許可權管理系統已成功應用於系統的設計和開發實踐,與應用系統具有很好的集成。實踐表明,採用基於RBAC模型的許可權具有以下優勢:許可權分配直觀、容易理解,便於使用;擴展性好,支持崗位、許可權多變的需求;分級許可權適合分層的組織結構形式;重用性強。
❺ 有ip隱藏怎麼破解
1.使用擴展訪問列表
擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型,也可以阻止DoS攻擊。Show IP access-list命令能夠顯示每個擴展訪問列表的匹配數據包,根據數據包的類型,用戶就可以確定DoS攻擊的種類。如果網路中出現了大量建立TCP連接的請求,這表明網路受到了SYN Flood攻擊,這時用戶就可以改變訪問列表的配置,阻止DoS攻擊。
2.使用QoS
使用服務質量優化(QoS)特徵,如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定製隊列(CQ)等,都可以有效阻止DoS攻擊。需要注意的是,不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如,WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效,這是因為Ping Flood通常會在WFQ中表現為一個單獨的傳輸隊列,而SYN Flood攻擊中的每一個數據包都會表現為一個單獨的數據流。此外,人們可以利用CAR來限制ICMP數據包流量的速度,防止Smurf攻擊,也可以用來限制SYN數據包的流量速度,防止SYN Flood攻擊。使用QoS防止DoS攻擊,需要用戶弄清楚QoS以及DoS攻擊的原理,這樣才能針對DoS攻擊的不同類型採取相應的防範措施。
3.使用單一地址逆向轉發
逆向轉發(RPF)是路由器的一個輸入功能,該功能用來檢查路由器介面所接收的每一個數據包。如果路由器接收到一個源IP地址為10.10.10.1的數據包,但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息,路由器就會丟棄該數據包,因此逆向轉發能夠阻止Smurf攻擊和其他基於IP地址偽裝的攻擊。 使用RPF功能需要將路由器設為快速轉發模式(CEF switching),並且不能將啟用RPF功能的介面配置為CEF交換。RPF在防止IP地址欺騙方面比訪問列表具有優勢,首先它能動態地接受動態和靜態路由表中的變化;第二RPF所需要的操作維護較少;第三RPF作為一個反欺騙的工具,對路由器本身產生的性能沖擊,要比使用訪問列表小得多。
4.使用TCP攔截
Cisco在IOS 11.3版以後,引入了TCP攔截功能,這項功能可以有效防止SYN Flood攻擊內部主機。 在TCP連接請求到達目標主機之前,TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監視兩種模式下工作。在攔截模式下,路由器攔截到達的TCP同步請求,並代表伺服器建立與客戶機的連接,如果連接成功,則代表客戶機建立與伺服器的連接,並將兩個連接進行透明合並。在整個連接期間,路由器會一直攔截和發送數據包。對於非法的連接請求,路由器提供更為嚴格的對於half-open的超時限制,以防止自身的資源被SYN攻擊耗盡。在監視模式下,路由器被動地觀察流經路由器的連接請求,如果連接超過了所配置的建立時間,路由器就會關閉此連接。在Cisco路由器上開啟TCP攔截功能需要兩個步驟:一是配置擴展訪問列表,以確定需要保護的IP地址;二是開啟TCP攔截。配置訪問列表是為了定義需要進行TCP攔截的源地址和目的地址,保護內部目標主機或網路。在配置時,用戶通常需要將源地址設為any,並且指定具體的目標網路或主機。如果不配置訪問列表,路由器將會允許所有的請求經過。
5.使用基於內容的訪問控制
基於內容的訪問控制(CBAC)是對Cisco傳統訪問列表的擴展,它基於應用層會話信息,智能化地過濾TCP和UDP數據包,防止DoS攻擊。CBAC通過設置超時時限值和會話門限值來決定會話的維持時間以及何時刪除半連接。對TCP而言,半連接是指一個沒有完成三階段握手過程的會話。對UDP而言,半連接是指路由器沒有檢測到返迴流量的會話
❻ 訪問控制根據應用環境不同可分為三種它不包括
訪問控制根據應用環境不同可分為三種,它不包括資料庫訪問控制,訪問控制根據應用環境不同只有主機、操作系統訪問控制、網路訪問控制、應用程序訪問控制三種。
訪問控制可分為自主訪問控制和強制訪問控制兩大類。
自主訪問控制,是指由用戶有權對自身所創建的訪問對象(文件、數據表等)進行訪問,並可將對這些對象的訪問權授予其他用戶和從授予許可權的用戶收回其訪問許可權。
強制訪問控制,是指由系統(通過專門設置的系統安全員)對用戶所創建的對象進行統一的強制性控制,按照規定的規則決定哪些用戶可以對哪些對象進行什麼樣操作系統類型的訪問,即使是創建者用戶,在創建一個對象後,也可能無權訪問該對象。
訪問控制在技術實現上,包括以下幾部分:
(1)接入訪問控制:接入訪問控制為網路訪問提供了第一層訪問控制,是網路訪問的最先屏障,它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。例如,ISP服務商實現的就是接入服務。
(2)資源訪問控制:是對客體整體資源信息的訪問控制管理。其中包括文件系統的訪問控制(文件目錄訪問控制和系統訪問控制)、文件屬性訪問控制、信息內容訪問控制。
(3)網路埠和節點的訪問控制:網路中的節點和埠往往加密傳輸數據,這些重要位置的管理必須防止黑客發動的攻擊。對於管理和修改數據,應該要求訪問者提供足以證明身份的驗證器(如智能卡) 。
以上內容參考網路-訪問控制
❼ 什麼是訪問控制機制
一、訪問控制機制 (access control mechanisms)
定義:訪問控制機制是指對主體訪問客體的許可權或能力的限制,以及限制進入物理區域(出入控制)和限制使用計算機系統和計算機存儲數據的過程(存取控制)。
訪問控制的目標就是防止對信息系統資源的非授權訪問防止非授權使用信息系統資源。
二、訪問控制機制的分類
基於訪問控製表的訪問控制機制
發起者的訪問控制信息是一個唯一的身份標識。目標的訪問控制信息是一個訪問控製表,該表示一組登記項,每個登記項都有兩個欄位,一個是身份標識,另一個是該標識對應的發起者的動作描述(允許或拒絕的動作)。
基於能力的訪問控制機制
發起者的訪問控制信息是它可以訪問的目標和對目標進行的操作。目標的訪問控制信息是唯一的身份標識。
基於標簽的訪問控制機制
發起者的訪問控制信息是一種安全許可證書,該證書 表示的內容很容易和其他安全標簽比較。目標的訪問 控制信息是其擁有的全部安全標簽。
基於上下文的訪問控制機制
訪問控制信息包括:
上下文控製表:由登記項組成的登記項序列。每個登 記項都有兩個欄位,即上下文描述和操作描述。
上下關聯信息,該信息從執行動作處的上下文獲得
三、訪問控制機制的實現方法
利用存放對等實體訪問權的方法控制信息庫
利用鑒別信息(如口令、證書等)
利用授權
利用安全標簽
利用試圖訪問的時間、路由或持續時間
參考網路:http://ke..com/link?url=50DSX--6aWt8NzHbatDz0Ww_DwFKgfxMl7hMzYJxqs5Hfk_
❽ 蘋果手機里的訪問限制是干什麼用的
訪問限制是用於限制系統的一些應用的,比如可以限制系統自帶的應用程序,限制訪問的內容,以及隱私等。
可以阻止或限制孩子設備上的特定應用和功能;還可以在您iPhone、iPad 或 iPod touch 上限制與兒童不宜內容、購買與下載項以及隱私有關的設置。
可以設置的訪問限制:
1. 防止購買 iTunes Store 與 App Store 項目;允許使用內建應用和功能;
2. 阻止訪問兒童不宜內容和具有分級限制的內容;限制 Siri 網頁搜索;限制訪問 Game Center;阻止網頁內容;
3. 允許更改隱私設置;允許更改其他設置和功能。
(8)基於應用內容的訪問控制擴展閱讀:
家長還可以通過訪問限制中的網站選項開啟自動過濾網站內容,以限制孩子在使用設備上的 Safari 瀏覽網頁時的內容,如:只允許訪問指定的網站和限製成人內容。
兩者之間,更推薦開啟限製成人內容。因為當選擇只允許指定的網站時,需要家長手動添加每個網站的信息,工作量較大。而當選擇限製成人內容時,系統會自動識別並限制訪問許多成人網站,並且家長依然可以自行在界面下方添加具體允許和限制的網站。
❾ 用路由器防止DoS拒絕服務瘋狂攻擊的方法
拒絕服務(DoS)攻擊是目前黑客廣泛使用的一種攻擊手段,它通過獨占網路資源、使其他主機不能進行正常訪問,從而導致宕機或網路癱瘓。
DoS攻擊主要分為Smurf、SYNFlood和Fraggle三種,在Smurf攻擊中,攻擊者使用ICMP數據包阻塞伺服器和其他網路資源;SYNFlood攻擊使用數量巨大的TCP半連接來佔用網路資源;Fraggle攻擊與Smurf攻擊原理類似,使用UDPecho請求而不是ICMPecho請求發起攻擊。
盡管網路安全專家都在著力開發阻止DoS攻擊的設備,但收效不大,因為DoS攻擊利用了TCP協議本身的弱點。正確配置路由器能夠有效防止DoS攻擊。以Cisco路由器為例,Cisco路由器中的IOS軟體具有許多防止DoS攻擊的特性,保護路由器自身和內部網路的安全。
使用擴展訪問列表
擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型,也可以阻止DoS攻擊。ShowIPaccess-list命令能夠顯示每個擴展訪問列表的匹配數據包,根據數據包的類型,用戶就可以確定DoS攻擊的種類。如果網路中出現了大量建立TCP連接的請求,這表明網路受到了SYNFlood攻擊,這時用戶就可以改變訪問列表的配置,阻止DoS攻擊。
使用QoS
使用服務質量優化(QoS)特徵,如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定製隊列(CQ)等,都可以有效阻止DoS攻擊。需要注意的是,不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如,WFQ對付PingFlood攻擊要比防止SYNFlood攻擊更有效,這是因為PingFlood通常會在WFQ中表現為一個單獨的傳輸隊列,而SYNFlood攻擊中的每一個數據包都會表現為一個單獨的數據流。此外,人們可以利用CAR來限制ICMP數據包流量的速度,防止Smurf攻擊,也可以用來限制SYN數據包的流量速度,防止SYNFlood攻擊。使用QoS防止DoS攻擊,需要用戶弄清楚QoS以及DoS攻擊的原理,這樣才能針對DoS攻擊的不同類型採取相應的'防範措施。
使用單一地址逆向轉發
逆向轉發(RPF)是路由器的一個輸入功能,該功能用來檢查路由器介面所接收的每一個數據包。如果路由器接收到一個源IP地址為10.10.10.1的數據包,但是CEF(CiscoExpressForwarding)路由表中沒有為該IP地址提供任何路由信息,路由器就會丟棄該數據包,因此逆向轉發能夠阻止Smurf攻擊和其他基於IP地址偽裝的攻擊。
使用RPF功能需要將路由器設為快速轉發模式(CEFswitching),並且不能將啟用RPF功能的介面配置為CEF交換。RPF在防止IP地址欺騙方面比訪問列表具有優勢,首先它能動態地接受動態和靜態路由表中的變化;第二RPF所需要的操作維護較少;第三RPF作為一個反欺騙的工具,對路由器本身產生的性能沖擊,要比使用訪問列表小得多。
使用TCP攔截
Cisco在IOS11.3版以後,引入了TCP攔截功能,這項功能可以有效防止SYNFlood攻擊內部主機。
在TCP連接請求到達目標主機之前,TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監視兩種模式下工作。在攔截模式下,路由器攔截到達的TCP同步請求,並代表伺服器建立與客戶機的連接,如果連接成功,則代表客戶機建立與伺服器的連接,並將兩個連接進行透明合並。在整個連接期間,路由器會一直攔截和發送數據包。對於非法的連接請求,路由器提供更為嚴格的對於half-open的超時限制,以防止自身的資源被SYN攻擊耗盡。在監視模式下,路由器被動地觀察流經路由器的連接請求,如果連接超過了所配置的建立時間,路由器就會關閉此連接。
在Cisco路由器上開啟TCP攔截功能需要兩個步驟:一是配置擴展訪問列表,以確定需要保護的IP地址;二是開啟TCP攔截。配置訪問列表是為了定義需要進行TCP攔截的源地址和目的地址,保護內部目標主機或網路。在配置時,用戶通常需要將源地址設為any,並且指定具體的目標網路或主機。如果不配置訪問列表,路由器將會允許所有的請求經過。
使用基於內容的訪問控制
基於內容的訪問控制(CBAC)是對Cisco傳統訪問列表的擴展,它基於應用層會話信息,智能化地過濾TCP和UDP數據包,防止DoS攻擊。
CBAC通過設置超時時限值和會話門限值來決定會話的維持時間以及何時刪除半連接。對TCP而言,半連接是指一個沒有完成三階段握手過程的會話。對UDP而言,半連接是指路由器沒有檢測到返迴流量的會話。
CBAC正是通過監視半連接的數量和產生的頻率來防止洪水攻擊。每當有不正常的半連接建立或者在短時間內出現大量半連接的時候,用戶可以判斷是遭受了洪水攻擊。CBAC每分鍾檢測一次已經存在的半連接數量和試圖建立連接的頻率,當已經存在的半連接數量超過了門限值,路由器就會刪除一些半連接,以保證新建立連接的需求,路由器持續刪除半連接,直到存在的半連接數量低於另一個門限值;同樣,當試圖建立連接的頻率超過門限值,路由器就會採取相同的措施,刪除一部分連接請求,並持續到請求連接的數量低於另一個門限值。通過這種連續不斷的監視和刪除,CBAC可以有效防止SYNFlood和Fraggle攻擊。
路由器是企業內部網路的第一道防護屏障,也是黑客攻擊的一個重要目標,如果路由器很容易被攻破,那麼企業內部網路的安全也就無從談起,因此在路由器上採取適當措施,防止各種DoS攻擊是非常必要的。用戶需要注意的是,以上介紹的幾種方法,對付不同類型的DoS攻擊的能力是不同的,對路由器CPU和內存資源的佔用也有很大差別,在實際環境中,用戶需要根據自身情況和路由器的性能來選擇使用適當的方式。
❿ 什麼是訪問控制
問題一:什麼是訪問控制機制???? 防火牆的訪問控制機制是限制應用程序和軟體在訪問網路時是否帶有數字簽名和根據應用程序規則來判定是否木馬或者病毒。
問題二:訪問控制的名詞解釋是什麼意思 按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網路准入控制系統的原理就是基於此技術之上。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。
訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是:給出一套方法,將系統中的所有功能標識出來,組織起來,託管起來,將所有的數據組織起來標識出來託管起來, 然後提供一個簡單的唯一的介面,這個介面的一端是應用系統一端是許可權引擎。許可權引擎所回答的只是:誰是否對某資源具有實施 某個動作(運動、計算)的許可權。返回的結果只有:有、沒有、許可權引擎異常了。
中文名
訪問控制
限 制
用戶對某些信息項的訪問
包 含
伺服器、目錄、文件等
功 能
防止非法的主體進入受保護
問題三:什麼事訪問控制?訪問控制包括哪幾個要素? 訪問控制是指主體依據某些控制策略或許可權對客體本身或是其資源進行的不同授權訪問。
訪問控制包括三個要素,即:主體、客體和控制策略。 主體:是可以對其它實體施加動作的主動實體,簡記為S。
客體:是接受其他實體訪問的被動實體, 簡記為O。
控制策略:是主體對客體的操作行為集和約束條件集, 簡記為KS。
問題四:什麼是訪問控製表 下面是對幾種訪問控制列表的簡要總結。 ●標准IP訪問控制列表 一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分,可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。 ●擴展IP訪問控制列表 擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項,包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。 ●命名的IP訪問控制列表 所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表,同樣包括標准和擴展兩種列表,定義過濾的語句與編號方式中相似。 ●標准IPX訪問控制列表 標准IPX訪問控制列表的編號范圍是800-899,它檢查IPX源網路號和目的網路號,同樣可以檢查源地址和目的地址的節點號部分。 ●擴展IPX訪問控制列表 擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上,增加了對IPX報頭中以下幾個宇段的檢查,它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。 ●命名的IPX訪問控制列表 與命名的IP訪問控制列表一樣,命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表,同樣有標准和擴展之分。
問題五:JAVA中什麼叫訪問控制 訪問修飾共有四種。
1、private 此修飾符修飾的方法或變數只有在本類中可以訪問
2、protected 此修飾符修飾的方法或變數只有在本類同包類及子類中可以訪問
3、public 此修飾符修飾的方法或變數在所有類中可以訪問
4、默認 此修飾符修飾的方法或變數在同包類中可以訪問
問題六:方法有那些訪問控制修飾符,分別是什麼作用 樓主的三個問題,我都有回答,
樓主問 :訪問控制修飾符 我沒見過, 一般都說訪問控制符 ,非訪問修飾符,也有叫非訪問耽制修飾符。
我不清除樓主的具體意思,就把 控制符和修飾符,都給你講了:
方法的訪問控制符同屬性一樣就是4個: 都是顧名思義,也就不詳細說明了。
public 公有的
protected 包有和子類 可以訪問 引用。
package-private ,這是默認的,什麼都不寫,就是 包私有。
private 私有,本類訪問。
至於,修飾符有:
static 都知道是靜態的
final 是最終的,就是不能修改了,
abstract 抽象的方法,就是聲明了,沒實現的方法, 沒有方法體的,只有方法名的。
native 本地方法,表示該方法不使用java編寫,是用 其他語言 如 c++等編寫的。
synchronized 修飾方法成為一個同步方法,用的不多,概念是這樣的。
問題七:java中的訪問控制有什麼用? 9.訪問控制 訪問控制有什麼用?
在
軟體公司里是這么用的,我們想像一種場景,在你的類中,你編了三個私有方法,馬克-to-win,別人當然都用不了,但在類外,你也是用不了的,你必須,
在類里再編一個公共方法,別人就能隨便用了!但是如果你的公共方法調用那三個私有方法的順序是132的話,全世界人民只能調用那個公共方法,按照132的
順序,來使用那三個私有方法,他想按照123的順序來調用那三個私有方法,都沒辦法。因為這個類的發布權在你手裡,全世界人民只會到你的網站去下載。如果
大家有需求建議說你把順序改成321,他們得經過你的同意,把這順序為321的公共方法,重新加入你的類中,重新在你自己的網站打包發布,所以保護了你的
知識產權馬克-to-win。
類和他的成員如何被訪問以及在什麼范圍內能被訪問,取決於它聲明的訪問指示符(access specifier)。
Java的訪問指示符分類1.public(公共的,全局的)2.private(私有的,局部的)3.protected(受保護的)4.默認訪問級別。
public:當一個類成員被public指示符修飾時,該成員可以被你的程序中的任何其他代碼訪問。
private :當一個類成員被指定為private時,該成員只能被它的類中的其他成員訪問。
main( )總是被public指示符修飾。它被在程序外面的代碼調用,也就是由Java運行系統調用。
默認訪問級別:如果不使用訪問指示符,該類成員的默認訪問設置為在它自己的包內為public,但是在它的包以外不能被存取。
本章源碼
class Test3 {
int a; default access訪問
public int b; public access
private int c; private access
methods to access c
void setc(int i) { set c's value
c = i;
}
int getc() { get c's value
return c;
}
}
public class Test {
public static void main(String args[]) {
Test3 ob = new Test3();
。。。。。。。。。。。。。。。。詳情網上找「馬克-to-win」,參考他的網站或他的網路空間:java第2章的內容
問題八:什麼是安全性和訪問控制測試 未經授權用戶能否訪問系統,測試安全性,兩方面,正確用戶能否正常登錄,不正確用戶能否登錄
訪問控制在我理解是不是有做一些攔截,看這些攔截有沒有起作用
問題九:簡述什麼是基於角色的訪問控制rbac 訪問是一種利用計算機資源去做某件事情的的能力,訪問控制是一種手段,通過它這種能力在某些情況下被允許或者受限制(通常是通過物理上和基於系統的控
制)。基於計算機的訪問控制不僅可規定是「誰」或某個操作有權使用特定系統資源,而且也能規定被允許的訪問類型。這些控制方式可在計算機系統或者外部設備
中實現。
就基於角色訪問控制而言,訪問決策是基於角色的,個體用戶是某個組織的一部分。用戶具有指派的角色(比如醫生、護士、出納、經理)。定義角色的過程應該基於對組織運轉的徹底分析,應該包括來自一個組織中更廣范圍用戶的輸入。
訪問權按角色名分組,資源的使用受限於授權給假定關聯角色的個體。例如,在一個醫院系統中,醫生角色可能包括進行診斷、開據處方、指示實驗室化驗等;而研究員的角色則被限制在收集用於研究的匿名臨床信息工作上。
控制訪問角色的運用可能是一種開發和加強企業特殊安全策略,進行安全管理過程流程化的有效手段。