『壹』 計算機信息安全中 訪問控制矩陣的行、列分別代表什麼
按訪問控制矩陣行建立的是 訪問許可權表 ,按列建立的是 訪問控製表 。
『貳』 訪問能力表和訪問控製表的比較
訪問能力表是以用戶為中心建立訪問許可權表
訪問控製表是以文件為中心建立的訪問許可權表
『叄』 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1)自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(ACL)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。
3)基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(Access Contro1 Matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(Access Control List,ACL)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(Capabilities List)是以用戶為中心建立訪問許可權表。與ACL相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將SSO分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展,「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具,可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現對這些應用的SSO服務。
2)Web單點登入
由於Web技術體系架構便捷,對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案。
3)傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。
『肆』 以主體(如:用戶)為中心建立的訪問許可權表,被稱為:( )
A訪問控制能力表
『伍』 安卓系統的自主訪問控制和強制訪問控制是怎麼操作的
自主訪問控制
自主訪問的含義是有訪問許可的主體能夠直接或間接地向其他主體轉讓訪問權。自主訪問控制是在確認主體身份以及(或)它們所屬的組的基礎上,控制主體的活動,實施用戶許可權管理、訪問屬性(讀、寫、執行)管理等,是一種最為普遍的訪問控制手段。自主訪問控制的主體可以按自己的意願決定哪些用戶可以訪問他們的資源,亦即主體有自主的決定權,一個主體可以有選擇地與其它主體共享他的資源。
基於訪問控制矩陣的訪問控製表(ACL)是DAC中通常採用一種的安全機制。ACL是帶有訪問許可權的矩陣,這些訪問權是授予主體訪問某一客體的。安全管理員通過維護ACL控制用戶訪問企業數據。對每一個受保護的資源,ACL對應一個個人用戶列表或由個人用戶構成的組列表,表中規定了相應的訪問模式。當用戶數量多、管理數據量大時,由於訪問控制的粒度是單個用
戶,ACL會很龐大。當組織內的人員發生能變化(升遷、換崗、招聘、離職)、工作職能發生變化(新增業務)時,ACL的修改變得異常困難。採用ACL機制管理授權處於一個較低級的層次,管理復雜、代價高以至易於出錯。
DAC的主要特徵體現在主體可以自主地把自己所擁有客體的訪問許可權授予其它主體或者從其它主體收回所授予的許可權,訪問通常基於訪問控製表(ACL)。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。DAC的缺點是信息在移動過程中其訪問許可權關系會被改變。如用戶A可將其對目標O的訪問許可權傳遞給用戶B,從而使不具備對O訪問許可權的B可訪問O。
強制訪問控制
為了實現完備的自主訪問控制系統,由訪問控制矩陣提供的信息必須以某種形式存放在系統中。訪問矩陣中的每行表示一個主體,每一列則表示一個受保護的客體,而矩陣中的元素,則表示主體可以對客體的訪問模式。目前,在系統中訪問控制矩陣本身,都不是完整地存儲起來,因為矩陣中的許多元素常常為空。空元素將會造成存儲空間的浪費,而且查找某個元素會耗費很多時間。實際上常常是基於矩陣的行或列來表達訪問控制信息。
強制訪問控制是「強加」給訪問主體的,即系統強制主體服從訪問控制政策。強制訪問控制(MAC)的主要特徵是對所有主體及其所控制的客體(例如:進程、文件、段、設備)實施強制訪問控制。
為這些主體及客體指定敏感標記,這些標記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據。系統通過比較主體和客體的敏感標記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標記,從而系統可以防止特洛伊木馬的攻擊。
Top Secret),秘密級(Secret),機密級(Confidential)及無級別級(Unclassified)。其級別為T>S>C>U,系統根據主體和客體的敏感標記來決定訪問模式。訪問模式包括:
read down):用戶級別大於文件級別的讀操作;
Write up):用戶級別小於文件級別的寫操作;
Write down):用戶級別等於文件級別的寫操作;
read up):用戶級別小於文件級別的讀操作;
自主訪問控制不能抵禦「特洛伊木馬」攻擊,而強制訪問控制能夠有效的防禦「特洛伊木馬」攻擊。MAC最主要的優勢是它阻止特洛伊木馬的能力 一個特洛伊木馬是在一個執行某些合法功能的程序中隱藏的代碼,它利用運行此程序的主體的許可權違反安全策略 通過偽裝成有用的程序在進程中泄露信息 一個特洛伊木馬能夠以兩種方式泄露信息: 直接與非直接泄露 前者, 特洛伊木馬以這樣一種方式工作, 使信息的安全標示不正確並泄露給非授權用戶; 後者特洛伊木馬通過以下方式非直接地泄露信息: 在返回給一個主體的合法信息中編制 例如: 可能表面上某些提問需要回答, 而實際上用戶回答的內容被傳送給特洛伊木馬。
『陸』 簡述訪問控制列表的作用和組成
雖然SS7技術可以應用在廣泛的潛在領域,但是目前只在幾個專屬領域得到了應用:電話網、基於運營商的應用及其基礎設施,還有基於大企業的應用及其基礎設施。下表列出了一些SS7的應用。
應用領域 SS7適用性 應用實例
增強業務 最適用於網路(基於中心交換系統)的應用;企業應用適用性較差。 ·聲訊台
·唯一號碼/電話跟隨業務
·無線預付費平台
VoIP網關 很適用於網路(運營級)應用 ·VoIP到PSTN的網間連接(呼叫控制)
無線網路 很適用 ·移動性應用(如支持GSM MAP)
·用於MSC的呼叫控制:建立、拆線等。
業務控制點 很適用 ·無線網中的VLR/HLR伺服器
高級智能網/智能網 絕對必要 ·LNP(本地號碼可攜帶)
·800號路由尋找
·增強智能網業務
呼叫中心 中等適用 ·大容量呼叫中心
SS7交換和網關 適用 ·SS7微型STP
·SS7/MF網關
·通過數據網傳輸SS7
TOP↑
1.增強業務
增強業務的范圍很廣,包括:聲訊、傳真消息,單一號碼/電話跟隨業務,以及運營商為用戶提供的預付費業務等。增強業務在各運營商中得到廣泛應用的主要原因是能為他們帶來重要的收入來源,並使得運營商更有自己的特色。增強業務一般由和中心交換局相連的平台提供。這些平台可以是配置成業務點的系統提供,也可以作為智能外設提供,兩種情況下都是使用SS7作為在中心交換局和業務點或外設之間的呼叫控制協議。
圖6所示為一個運營級的聲訊平台,這是個面向公眾的開放結構增強業務平台。系統由多台計算機(或叫節點)組成,節點間通過乙太網相連接以提供冗餘功能,這是一個很規范、具有很高可靠性的系統。在這一例子中,兩個SS7節點用於為應用提供信令,而其它幾個媒體節點用於提供和PSTN間的通道連接和呼叫處理功能,包括所有和用戶的音頻或聲音對話,以及信息播放。每個媒體節點一般使用有一定數量的線路和DSP資源的板卡,比如NMS AG系列4E1板,用於幾百甚至幾千個同時發生的混合媒體(聲音、傳真等)呼叫。利用容錯磁碟伺服器作存貯介質,向媒體節點提供語音郵件消息檢索功能。
那兩個SS7節點是以冗餘方式配置的,共享相同的信令點編碼,為所有的媒體節點提供呼叫控制。圖中所示的所有SS7鏈路採用單信令點編碼冗餘方式備份,即使其中一個 SS7節點出現故障,信令系統仍能繼續為呼入提供不中斷的語音信箱訪問。
這個信息系統的升級擴容非常方便,只要增加媒體節點就可以輕易擴大系統容量。由於很少會出現兩個信令點同時崩潰的可能,使得這種結構具有很高的可靠性。
圖6 增強業務系統運營級結構例子
TOP↑
2.VoIP網關
由於通過IP網傳送話音市場的迅速增長,我們有必要對許多設備供應商都在推出的VoIP網關作一個介紹。VoIP網關用於連接電話網(就是基於電路的PSTN)和基於數據包的IP網,使得呼叫能通過IP網路無縫地連接到PSTN電話。最初,網關只支持比較少的呼叫,一般只支持單個的T1或E1,最多隻能支持幾百個話音電路。這種早期的網關一般使用ISDN協議或隨路信令協議連接到PSTN。然而隨著基於IP話音應用的迅速成長,並被各運營商所採用,網關容量逐漸得到了擴大,能夠支持多達數千個呼叫。網關規模的擴大和運營級網關的要求,使得SS7成為連接IP網關和PSTN必須採用的信令協議。
圖7 SS7支持的VoIP網關
IP網關一般連接到PSTN的中心局交換機,並用ISUP信令來提供呼叫控制。在很多情況下,任何PSTN的呼叫功能很明顯都要跨越網路來實現,比如主叫號碼信息顯示,主叫號碼要從PSTN經網關進入IP網,再經網關送達另一端的PSTN用戶。
1) VoIP標準的進展
VoIP團體對SS7的興趣持續升溫,主要原因是:要讓基於包的VoIP網路接入到到處存在的電話業務,就必須連接到基於電路交換的PSTN,而PSTN網是用SS7作為信令機制的,所以VoIP網關只能支持SS7,別無選擇。
VoIP的標准在持續發展,有一個明顯的趨勢是網關中的媒體(話音、傳真等)和信令分離處理(請看圖8)。另外,雖然提議了各種各樣的信令方式,但到目前為止,似乎SS7或它的變種在形成VoIP標准時起到了比較重要的作用。現在正急待解決的兩個關鍵問題是:通過IP網傳送SS7,以及連接PSTN電路和包網路。
圖8 VoIP網路中的媒體、信令網關分解圖
2) 通過IP網傳遞SS7
就是兩個PSTN網路之間通過IP網路連接起來,PSTN網路間的SS7信令信息通過IP網透明地傳送到對方。這樣做的目的是:不管呼叫是通過基於電路的PSTN還是通過VoIP網路,都能向用戶提供相同的隨時隨地的接入和業務功能集。另外,通過IP網傳遞SS7所需要的基礎傳輸設備成本明顯要比傳送傳統SS7所需要的基礎傳輸設備低得多。(參考圖9)
3) 連接PSTN電路和包交換網
當VoIP網路需要處理或者產生象在PSTN和VoIP間建立呼叫連接那樣的SS7信息時,決定如何去處理這些SS7信令信息就是這個問題包含的內容。這個問題的一個例子是:源自於PSTN的一個呼叫要到達VoIP網內的一個設備,這時,兩個網路固然使用不同的信令,但不管使用哪個網路用戶仍能訪問到同樣的功能和業務,就和以前訪問純PSTN業務一樣。
在以上這兩個問題領域,NMS公司都積極參與到各標准化和工業化組織中,並在其中處於領導者的地位,包括IETF和IN Forum的相關工作組。
圖9 IP網上的SS7
TOP↑
3.無線網路應用
除了空中介面,在無線系統的設計中支持無線用戶的移動性是主要的挑戰。無線系統對信令的要求明顯要比實現類似功能的地上有線系統要苛刻得多。結果使得無線網路必須組合更先進更全面的信令控制系統。即使移動單元在它的歸屬網路中,系統也要隨時跟蹤它的位置,因為呼入、認證和傳遞功能需要知道它當前所處的位置。系統運營商提供給用戶的移動等級有越來越復雜的趨勢,這就要求在系統間必須應用復雜的信令才足以支持漫遊、登記和路由尋找等功能。這就是無線系統普遍選擇SS7作為信令協議的原因。
圖10 SS7支持的無線漫遊
SS7也廣泛用作無線網和PSTN的介面信令,以及在不斷增加的無線網路子系統之間。在GSM系統中,SS7還被用作基站控制中心(BSC)和移動交換中心(MSC)之間的信令。
如圖10所示,每個系統管理它自己的HLR(歸屬位置登記器)和VLR(拜訪位置登記器)資料庫。一個用戶的全部資料由其歸屬系統的單個HLR管理,外來拜訪的用戶資料由系統的VLR管理。當一個用戶旅行到達另外一個服務區並想發出一個呼叫時,被訪系統先會作一個確認登記(當移動單元第一次開機),確認該用戶為異地拜訪用戶,並用SS7和該用戶的歸屬系統進行對話,在它的VLR為這個拜訪移動單元作臨時登記。同時,歸屬系統修改它的HLR對應這個用戶的資料,使得呼叫這個用戶時把呼叫轉移到該被訪系統。
還有別的SS7在無線基礎設施應用的重要例子,如圖11所示,說明了在BSC和MSC間用T1/E1傳遞的SS7 是如何支持IS-634的,IS-634是MSC到共用800M無線通信基站的介面協議。
圖11 800M系統中SS7橋接BS和MSC
TOP↑
4.業務控制點/VLR/HLR應用
業務控制點是決定呼叫如何處理的智能網要素,它利用TCAP協議提供傳輸和必要的(低級)應用程序指示。對SCP的性能要求會隨著應用的不同有相當大的變化,有些SCP系統會有很大的規模,比如主運營商的800號轉換資料庫。有些會很小,並且使用在非常專業的應用,比如,在一個分布式無線網路中象無線辦公環境(在一個建築物內)那樣的VLR/HLR。但是,在每一種情況下,SCP都必須連接到SS7網路,並且通過網路提供資料庫和業務控製程序。對SCP的另一點重要要求是把業務編程或業務設計環境集中。
圖12畫出了一個SCP利用TCAP連接到智能網的概念模型。
圖12 業務控制點(SCP)
TOP↑
5.本地號碼可攜帶(LNP)
這里說的LNP是指無線網的移動號碼可攜帶(MNP),LNP是利用ISUP和TCAP實現的用戶在變更業務(業務攜帶)、變更業務提供商(業務提供商攜帶)、甚至變更地理位置(位置攜帶)時仍然保留原有的電話號碼。號碼可攜帶正被各種通信規范體系所接納,象美國的FCC(聯邦通信委員會)。
LNP功能通常由TCAP請求實現,源發點交換系統檢測一個用戶所撥的號碼,若號碼登記了攜帶轉移,交換系統就初始化一個和LNP資料庫(SCP)的TCAP事務,來對號碼進行翻譯。一旦翻譯完成,呼叫就和普通正常呼叫一樣由ISUP控制完成。有一點區別就是:現在的ISUP消息中包含有表明被叫號碼已經被翻譯的標志信息,以免在後來的呼叫處理中出現再次翻譯的請求。
TOP↑
6.呼叫中心應用
SS7可以用來為大型呼叫中心提高效率、提供新功能、減少通信費用。呼叫中心的呼出通常都使用前置撥號器,只有把呼叫接通後才接回到座席,每個座席要管理幾條呼出線路以提高座席的利用率。在設計和實現這樣的系統時,關鍵問題是要判斷呼叫什麼時候應答,因為傳統的電話系統中,沒有提供任何信令來指示應答和掛機。SS7信令能為呼叫中心提供應答和掛機指示,因此,使用SS7能為呼叫中心提高使用效率和降低運營費用。
在呼叫中心呼出應用中使用SS7的主要潛在好處包括:
·更快速的呼叫建立,能檢測應答和呼叫拆除。
·提供更多與呼叫有關的信息。
·由於提高了中繼的利用率,等於減少了中繼的使用數目,從而節省了通信費用。
·便於開發新業務。
SS7能通過提供智能路由尋找和快速ANI(自動號碼認證)功能為大型呼入呼叫中心提高效率。SS7也能為大型呼入呼叫中心/IVR應用減少通信費用,這種應用的呼入是通過分布式的IVR系統分發到呼叫中心的。在這種應用中,位於遠端的IVR只有當呼叫中心有空閑的座席接電話時才會把電話接進來,而不是所有呼叫一進來就馬上接入呼叫中心,這樣會由於呼叫在排隊而產生額外的長途電話費用。
和其它應用一樣,系統設計人員在決定是否增加一個呼叫中心的SS7容量時,既要考慮到增加SS7容量可以提高效率和降低每個呼叫中心所需的費用,從而節省了總的運營成本,以要考慮到增加SS7鏈路也是要付出不少的費用的。
TOP↑
7.SS7交換機和網關
開放的、基於板卡的SS7解決方案,比如NMS公司的SS7系列產品,能夠提供高性能、低價格的方案,是方案提供商開發集中器和網關等復雜系統的理想平台。典型的應用有:SS7微型STP,SS7/MF轉換器和SS7/IP網關。
■ SS7微型STP
圖13所示,是一個微型STP,它把一組SS7 A型鏈路上的信令流集合到了一對SS7 A型鏈路上。這一應用的目的是要減少連接到運營商SS7網路的鏈路數量。增加連接到公共運營商SS7網路的鏈路相對比較昂貴,有時甚至是不允許的。這種方案對只有較小SS7流量的小型交換點特別實用。
微型STP連接多條從SSP來的鏈路,並把它們集中到一個連接STP的鏈路集之中,這一鏈路集有兩條鏈路。微型STP到每個SSP也有兩條鏈路組成的一個鏈路集。微型STP由完全相同配置的一對構成,以實現高可用性和高可靠性,兩個STP之間用交叉鏈路(C鏈路)相連接。另外,微型STP上的每個埠可以設置一個唯一的信令點編碼,以便移除SS7鏈路時不影響端點SSP。
微型STP 可以明顯節省運行小型中心局交換機的電話公司系統的費用。例如,利用NMS SS7產品實現的微型STP每埠的價格僅是普通STP每埠價格的一小部分。
圖13 微型STP和它的詳細配置
■ SS7/MF網關
如圖14所示,SS7/MF網關可以實現SS7信令到MF(多頻)信令的轉換,使現有MF信令交換機無須升級就能擁有SS7信令能力。混合了SS7和基於音頻信令的呼叫建立環境能為各種運營商經濟實用的SS7網路接入方案,採用這一方案的有蜂窩電話運營商、本地電話運營商、長途電話運營商和其它一些仍使用舊式交換機的電話運營商。
SS7/MF網關的應用包括:
·提供增強業務;
·延長現有交換設備的使用壽命,保護現有投資。(通常是沿用前端舊交換機以避免
龐大的升級費用);
·通過使用SS7信令增強系統性能,提高設備利用率;
·提供網路管理功能。
『柒』 關於ACCL和ACL的優缺點問題
訪問能力表ACCL:從主體出發,用鏈表形式表達矩陣一行的信息。
訪問控製表ACL:從客體出發,用鏈表形式表達某一列的信息。
ACCL:用戶間許可權傳遞簡單 許可權回收困難,用戶生成一個新的客體並對其授權、或刪除一個客體時都比較復雜 一般用於用戶數量大,動態性高的分布式系統
ACL:許可權回收容易 許可權傳遞困難,如訪問控制列表太大或者經常改變,維護訪問控制列表會成為一個問題 例如linux 操作系統
『捌』 防火牆 軟體 網路訪問控制
訪問控制是通過某種途徑顯式地准許或限制訪問能力及范圍的一種方法。通過限制對關鍵資源的訪問,防止非法用戶的侵入或因為合法用戶的不慎操作而造成的破壞,從而保證網路資源受控地、合法地使用,它是針對越權使用資源的防禦措施。 •訪問控制技術是建立在身份認證的基礎上的,簡單的描述,身份認證解決的是「你是誰,你是否真的是你所聲稱的身份」,而訪問控制技術解決的是「你能做什麼,你有什麼樣的許可權」這個問題。
常見的訪問控制的實現方法主要有以下四種:訪問控制矩陣、訪問能力表、訪問控製表和授權關系表。
防火牆是一種訪問控制技術,是位於兩個 (或多個 )網路間,實施網間訪問控制的一組組件的集合,它滿足以下條件: –• 內部和 外部之間 的所有 網路數據流必須經過防 火牆 –• 只有符 合安全政 策的數據流才能通過防 火牆 –• 防火牆 自身應對 滲透 (peneration)防禦 。
天融信公司的網路衛士(NetGuard)
是我國第一套自主版權的防火牆系統,可以為不同類型的Internet接入網路提供全方位的網路安全服務。目前在我國電信、電子、教育、科研等單位廣泛使用 •NetGuard功能: –包過濾防火牆 –應用代理 –網路地址轉換(NAT) –用戶身份鑒別 –虛擬專用網 –Web頁面保護 –用戶許可權控制 –安全審計 –攻擊檢測 –流量控制與計費 •該系統在增強傳統防火牆安全性的同時,還通過VPN架構,為企業網提供一整套從網路層到應用層的安全解決方案,包括訪問控制、身份驗證、授權控制、數據加密、數據完整性等安全服務 。
『玖』 常用的網路訪問控制方法都有什麼
常用的訪問控制方式有3種,分別是載波多路訪問/沖突檢測(CSMA/CD)、令牌環訪問控製法(Token Ring)和令牌匯流排訪問控製法(Toking Bus)。
分別適用於:
CSMA/CD訪問控制方式主要用於匯流排型和樹狀網路拓撲結構、基帶傳輸系統,適用於匯流排型區域網;
令牌環介質訪問控制方法是通過在環狀網上傳輸令牌的方式來實現對介質的訪問控制;
令牌匯流排訪問控製法主要用於匯流排型或樹狀網路結構中,目前微機局域中的主流介質訪問控制方式。