Ⅰ 局域网最常用的介质访问控制方式是哪两种各有什么特点
局域网最常用的介质访问控制方式及特点如下: 令牌是一种特殊的帧,用于控制网络结点的发送权,只有持有令牌的结点才能发送数据。1.令牌总线访问控制(Token-Bus)令牌总线的优点在于它的确定性、可调整性及较好的吞吐能力,适用于对数据传输实时性要求较高或通讯负荷较重的应用环境中,如生产过程控制领域。它的缺点在于它的复杂性和时间开销较大,结点可能要等待多次无效的令牌传送后才能获得令牌。2.令牌环访问控制(Token-Ring) 令牌环的主要优点在于其访问方式具有可调整性和确定性,且每个结点具有同等的介质访问权。同时,还提供优先权服务,具有很强的适用性。它的主要缺点是环维护复杂,实现较困难。
Ⅱ 试论述计算机与外设访问控制的方法有多少种各有什么优缺点
主机与外设之间数据传送的控制方式有以下四种:
无条件传送 查询式传送 中断方式传送
直接存储器存取(DMA, Direct Memory Access)
6.3.1 无条件传送方式
适用于总是处于准备好状态的外设 以下外设可采用无条件传送方式:
开关
发光器件(如发光二极管、7段数码管、灯泡等) 继电器 步进电机
优点:软件及接口硬件简单
缺点:只适用于简单外设,适应范围较窄
6.3.2 查询方式传送
适用于外设并不总是准备好,而且对传送速率、传送效率要求不高的场合。 CPU在与外设交换数据前必须询问外设状态——“你准备好没有?” 对外设的要求:应提供设备状态信息 对接口的要求:需要提供状态端口 优点:软件比较简单
缺点:CPU效率低,数据传送的实时性差, 速度较慢
6.3.3 中断方式传送
CPU无需循环查询外设状态,而是外部设备在需要进行数据传送时才中断CPU正
在进行的工作,让CPU来为其服务。即CPU在没有外设请求时可以去做更重要的事情,有请求时才去传输数据,从而大大提高了CPU的利用率。 优点:CPU效率高,实时性好,速度快。 缺点:程序编制较为复杂。
6.3.4 DMA传输
前面三种I/O方式都需要CPU作为中介: 外设 CPU 内存 两个含义: 1)软件:外设与内存之间的数据传送是通过CPU执行程序来完成的(PIO方式);
2)硬件:I/O接口和存储器的读写控制信号、地址信号都是由CPU发出的(总线由CPU控制)。
缺点:程序的执行速度限定了传送的最大速度(约为几十KB/秒)—解决:DMA
传输 DMA传输:
外设 内存
外设直接与存储器进行数据交换 ,CPU不再担当数据传输的中介者; 总线由DMA控制器(DMAC)进行控制(CPU要放弃总线控制权),内存
/外设的地址和读写控制信号均由DMAC提供。
优点:数据传输由DMA硬件来控制,数据直接在内存和外设之间交换,可以达到
很高的传输速率(可达几MB/秒)
Ⅲ 试论述计算机与外设访问控制方法有多少种,各有什么优缺点
网络中常用的数据交换技术可分为两大类:线路交换和存储转发交换,其中存储转发交换交换技术又可分为报文交换和分组交换。 1. 线路交换是适用于公用电话网。 2.交换方式是适用于数据报,虚电路。
Ⅳ 自主访问控制(DAC)与强制访问控制(MAC)的原理是什么,区别在哪里各有什么优缺点
双系统或多系统有什么优缺点,求祥解。XjU9es
Ⅳ 访问控制技术手段有哪些并比较优缺点
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。 网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。
目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。
属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。
服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
Ⅵ 自主访问控制存在哪些主要的安全性问题
从“震网”、“火焰”病毒的大规模爆发,到索尼在线被黑、CSDN数据泄露等信息安全事件的层出不穷,每一次大规模病毒、黑客攻击行为的出现,都会对用户信息系统造成严重的危害,引起了安全行业的集体反思。作为信息系统的重要组成部分,操作系统承担着连接底层硬件和上层业务应用的重任,在诸多安全事件中首当其冲,面临着巨大的安全压力。而操作系统本身在安全防护上的脆弱性,特别是系统内自主访问控制机制存在的安全隐患,使用户在面对病毒、木马及黑客攻击时显得力不从心,最终导致安全事件密集爆发的信息安全“危局”。
掀开自主访问控制的面纱
为了增强信息系统安全、可靠运行的能力,操作系统内置了一些防护措施,例如身份鉴别、访问控制、入侵防范等。其中,访问控制是计算机安全防护体系中的重要环节,包含主体、客体、控制策略三个要素。其中,主体是指可以对其他实体施加动作的主动实体,例如用户、进程等;客体包括数据、文件、程序等,是接受其他实体访问的被动实体;控制策略则定义了主体与客体相互作用的途径。简而言之,访问控制是一种通过控制策略授予、约束主体访问客体行为的安全机制。
访问控制分为三种模型,即自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。其中,自主访问控制在C2级操作系统中应用广泛,是根据自主访问控制策略建立的一种模型,允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体,某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。
自主访问控制的实现方式包括目录式访问控制模式、访问控制表(ACL)、访问控制矩阵、面向过程的访问控制等,其中,访问控制表是自主访问控制机制通常采用的一种方式。访问控制表是存放在计算机中的一张表,本质上是带有访问权限的矩阵,其访问权限包括读文件、写文件、执行文件等等。在自主访问控制机制下,每个客体都有一个特定的安全属性,同时访问控制表也授予或禁止主体对客体的访问权限。在实际工作中,安全管理员通过维护访问控制表,控制用户对文件、数据等IT系统资源的访问行为,来达到安全防控的目的。
从安全性上看,现有操作系统中基于访问控制表的自主访问控制存在着明显的缺陷:一方面,超级用户(root/Administrator)权力过度集中,可以随意修客体的访问控制表,只要拥有超级管理员权限就可以对服务器所有的资源进行任意操作;另一方面,客体的属主可以自主地将权限转授给别的主体,一旦把某个客体的ACL修改权转授出去以后,拥有者便很难对自己的客体实施控制了。因此,在现有的这种访问控制模型下,操作系统存在很多安全风险。
自主访问控制下的安全风险
按照访问许可机制的不同,自主访问控制又分为三个类型,即自由型、等级型和宿主型。其中,在自由型自主访问控制机制中,不同主体之间可以自由转让客体访问控制表的修改权限,意味着任何主体都有可能对某一客体进行操作,系统安全性很难得到保障;在等级型自主访问控制机制中,用户可以将拥有修改客体访问控制表权限的主体组织成等级型结构,例如按照等级将不同的主体排列成树型结构,高等级主体自动获得低等级客体的控制权限。这种方案的优点是可以选择值得信任的人担任各级领导,从而实现对客体的分级控制,缺点是同时有多个主体有能力修改某一客体的访问权限。
从市场应用情况看,等级型自主访问控制是使用范围最为广泛的安全机制,现有C2级大型商用服务器操作系统(如AIX、HP-UX、Solaris、Windows Server、LinuxServer等)中的访问控制机制均为等级型自主访问控制,涉及金融、能源、军工等国家命脉行业。在这些系统中,位于树型结构顶端的超级用户拥有无上的权限,可以对其他用户拥有的资源进行任意修改和访问。权限的高度集中,客观上放大了系统的安全风险。针对等级型自主访问控制,攻击者可以通过暴力破解、系统漏洞利用、木马攻击等多种方式窃取管理员权限,进而实现对目标系统的完全控制。事实证明确实如此,无论是曾经肆虐全国的“灰鸽子”木马,还是震惊全球的“震网”、“火焰”等病毒,都将获得管理权限作为一种重要手段,在此基础上成功入侵系统并实施破坏行为。
完善自主访问控制机制
为了提升信息系统的安全防护能力,我国颁布了《信息安全等级保护管理办法》,并制定了一系列国家标准,为用户开展信息安全等级保护工作提供指导意义。其中,《GB/T 20272-2006信息安全技术-操作系统安全技术要求》是专门针对操作系统安全防护的国家标准,该标准在“自主访问控制”部分提出了明确的要求:“客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不充许客体拥有者把该客体的控制权分配给其他主体。”
从技术要求的细节上看,满足等级保护标准的自主访问控制机制实质上是宿主型自主访问控制。在这种机制下,用户需要对客体设置一个拥有者,并使其成为唯一有权访问该客体访问控制表的主体,确保了受保护客体访问控制表控制权的唯一性,有效规避由于系统管理员信息泄露而给系统带来的巨大危害,同时也限制了病毒对系统的破坏行为,帮助用户提升防病毒、防黑客攻击的能力。
目前,国内已经出现满足等级保护操作系统技术要求的安全产品,例如椒图科技推出的JHSE椒图主机安全环境系统(以下简称JHSE),就基于宿主型自主访问控制机制保障操作系统的安全。此外,JHSE还采用了强制访问控制模型,为访问主体和受保护的客体分配不同的安全级别属性,在实施访问控制的过程中,系统将对主体和客体的安全级别属性进行比较,之后再决定主体是否可以访问受保护的客体,从而实现了细粒度的安全访问控制机制。可以相信,随着安全技术的持续进步和用户安全意识的不断增强,操作系统将会在面对病毒、木马及黑客攻击时扭转不利局面,为整体信息系统的安全运行提供可靠支撑。
Ⅶ 目前局域网常用的介质访问控制研方法主要有哪些请分别简述它们的主要特点。
布线主要有:星型、总线型、环型、树型其介质控制主要有:1 CSMA/CD最早的CSMA方法起源于美国夏威夷大学的ALOHA广播分组网络,1980年美国DEC、Intel和Xerox公司联合宣布Ethernet网采用CSMA技术,并增加了检测碰撞功能,称之为CSMA/CD。这种 方式适用于总线型和树形拓扑结构,主要解决如何共享一条公用广播传输介质。其简单原理 是:在网络中,任何一个工作站在发送信息前,要侦听一下网络中有无其它工作站在发送信 号,如无则立即发送,如有,即信道被占用,此工作站要等一段时间再争取发送权。等待时 间可由二种方法确定,一种是某工作站检测到信道被占用后,继续检测,直到信道出现空闲 。另一种是检测到信道被占用后,等待一个随机时间进行检测,直到信道出现空闲后再发送 。 CSMA/CD要解决的另一主要问题是如何检测冲突。当网络处于空闲的某一瞬间,有两个或两 个以上工作站要同时发送信息,这时,同步发送的信号就会引起冲突,现由IEEE802.3标准确定的CSMA/CD检测冲突的方法是:当一个工作站开始占用信道进行发送信息时,再用碰撞 检测器继续对网络检测一段时间,即一边发送,一边监听,把发送的信息与监听的信息进行比较,如结果一致,则说明发送正常,抢占总线成功,可继续发送。如结果不一致,则说明 有冲突,应立即停止发送。等待一随机时间后,再重复上述过程进行发送。CSMA/CD控制方式的优点是:原理比较简单,技术上易实现,网络中各工作站处于平等地位 ,不需集中控制,不提供优先级控制。但在网络负载增大时,发送时间增长,发送效率急剧下降。 2 令牌环令牌环只适用于环形拓扑结构的局域网。其主要原理是:使用一个称之为“令牌”的控制标 志(令牌是一个二进制数的字节,它由“空闲”与“忙”两种编码标志来实现,既无目的地 址 ,也无源地址),当无信息在环上传送时,令牌处于“空闲”状态,它沿环从一个工作站到 另 一个工作站不停地进行传递。当某一工作站准备发送信息时,就必须等待,直到检测并捕获 到经过该站的令牌为止,然后,将令牌的控制标志从“空闲”状态改变为“忙”状态,并发送出一帧信息。其他的工作站随时检测经过本站的帧,当发送的帧目的地址与本站地址相符时,就接收该帧,待复制完毕再转发此帧,直到该帧沿环一周返回发送站,并收到接收站指向发送站的肯定应签信息时,才将发送的帧信息进行清除,并使令牌标志又处于“空闲”状 态,继续插入环中。当另一个新的工作站需要发送数据时,按前述过程,检测到令牌,修改状态,把信息装配成帧,进行新一轮的发送。令牌环控制方式的优点是它能提供优先权服务,有很强的实时性,在重负载环路中,“令牌 ”以循环方式工作,效率较高。其缺点是控制电路较复杂,令牌容易丢失。但IBM在1985年 已解决了实用问题,近年来采用令牌环方式的令牌环网实用性已大大增强。 3 令牌总线令牌总线主要用于总线形或树形网络结构中。它的访问控制方式类似于令牌环,但它是把总 线形或树形网络中的各个工作站按一定顺序如按接口地址大小排列形成一个逻辑环。只有令牌持有者才能控制总线,才有发送信息的权力。信息是双向传送,每个站都可检测到其它站 点发出的信息。在令牌传递时,都要加上目的地址,所以只有检测到并得到令牌的工作站, 才能发送信息,它不同于CSMA/CD方式,可在总线和树形结构中避免冲突。这种控制方式的优点是各工作站对介质的共享权力是均等的,可以设置优先级,也可以不设 ;有较好的吞吐能力,吞吐量随数据传输速率增高而加大,连网距离较CSMA/CD方式大。缺 点是控制电路较复杂、成本高,轻负载时,线路传输效率低。