专业信息安全工程师网站|培训机构|服务商(2019信息安全工程师学习QQ群:327677606,客服QQ:270019001)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 综合知识 >> 文章内容
自主访问控制-信息安全工程师知识点
来源:信管网  2019年01月28日  【信管网:信息安全工程师专业网站所有评论

信息安全工程师知识点:自主访问控制

自主访问控制(Discretionary Access Control,DAC)是最常用的一类访问控制机制,是用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。在很多机构中,用户在没有系统管理员介入的情况下,需要具有设定其他用户访问其所控制资源的能力。这使得控制具有任意性。在这种环境下,用户对信息的访问能力是动态的,在短期内会有快速的变化。自主访问控制经常通过访问控制列表实现,访问控制列表难于集中进行访问控制和访问权利的管理。自主访问控制包捂身份型(Identity-Based)访问控制和用户指定型(User-Directed) 访问控制。

自主访问控制,又称为任意访问控制,根据用户的身份及允许访问权限决定其访问操作,只要用户身份被确认后,即可模据访问控制表上赋予该用户的权限进行限制性用户访问。使用这种控制方法,用户或应用可任意在系统中规定谁可以访问他的的资源,这样,用户或用户进程就可有选择地与其他用户共享资源。自主访问控制是一种对单独用户执行访问控制的过程和措施。

需要自主访闻控制保护的客体的数量取决于系统环境,几乎所有的系统在自主访问控制机制中都包括对文件、目录、IPC以及设备的访问控制。

为了实现完备的自主访问控制机制,系统要将访问控制矩阵相应的信息以某种形式保存在系统中。目前在操作系统中实现的自主访问控制机制是基于矩阵的行或列表达访问控制信息。

基于行的自主访问控制机制在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同又可分成以下三种形式:访问能力表、前缀表、口令。在基于口令机制的自主存取控制机制中,每个客体都相应地有一个口令。主体在对客体进行访问前,必须向操作系统提供该客体的口令。如果正确,它就可以访问该客体。

基于列的自主访问控制机制,在每个客体都附加一个可访问它的主体的明细表,它有两种形式,即保护位和访问控制表。

由于DAC对用户提供灵活和易行的数据访问方式,能够适用于许多的系统环境,所以DAC被大量采用,尤其在商业和工业环境的应用上。然而, DAC提供的安全保护容易被非法用户绕过而获得访问。例如,若某用户A有权访问文件F ,而用户B无权访问F,则一旦A获取F后再传送给B,则B也可访问F,其原因是在自主访问控制策略中,用户在获得文件的访问权后,并没有限制对该文件信息的操作,即并没有控制数据信息的分发。所以DAC提供的安全性还相对较低,不能够对系统资源提供充分的保护,不能抵御特洛伊木马的攻击。




分享到: 新浪微博 腾讯朋友 收藏本页
发表评论  查看完整评论  

相关内容

推荐文章
合作网站内容