计算机网络访问控制技术

计算机网络访问控制技术

　　计算机网络访问控制技术【1】

　　摘 要：如今，网络安全问题迅速地突现出来，成为困扰和阻碍网络技术进一步普及和应用的绊脚石。

　　关键词：网络安全;访问控制

　　1 访问控制的安全意义

　　近年来，随着全球网络化热潮的迅速涌起，计算机网络正在日益广泛而深入地渗透到社会的各个领域，并深刻地改变着整个社会的行为和面貌。

　　尤其在商业、金融和国防等领域的网络应用中，能否保证网络具有足够的安全性是首先要考虑的问题。

　　安全问题若不能有效地得到解决，必然会严重到影响整个网络事业的发展。

　　2 访问控制技术的研究

　　根据授权策略的不同，目前在理论上主要有4种不同类型的访问控制技术：自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)和基于任务的访问控制(TBAC)。

　　2.1 自主访问控制和强制访问控制

　　①自主访问控制(Discretionary Access Control，DAC)DAC 的主要特征体现在主体可以自主地把自己所拥有的对客体的访问权限授予其他主体或者从其他主体收回所授予的权限，访问控制的粒度是单个用户。

　　DAC是在确认主体身份及所属的组的基础上，对访问进行限定的一种控制策略，访问控制策略保存在一个矩阵中，行为主体，列为客体。

　　为了提高效率，系统不保存整个矩阵，在具体实现时是基于矩阵的行或列来实现访问控制策略的。

　　目前以基于列客体的访问控制列表(Access Control List，ACL)采用的最多。

　　ACL的优点在于表述直观、易于理解，而且比较容易查出对一特定资源拥有访问权限的所有用户。

　　②强制访问控制(Mandatory Access Control，MAC)MAC是指系统强制主体服从事先制订的访问控制策略。

　　在MAC安全系统中，所有信息都有一个密级，例如：绝密级、机密级、秘密级、无密级;每个用户也都相应地有一签证。

　　例如要决定是否允许某用户读一个文件，那么就比较该用户的签证是否与该文件的密级相符。

　　安全策略要求，为了合法地得到某一信息，用户的安全级必须大于或等于该信息的安全级，并且该信息属于用户的信息访问类别。

　　可见，MAC通过梯度安全标签实现单向信息流通模式。

　　2.2 基于角色的访问控制

　　(Role-Based Access Co-ntrol，RBAC)RBAC主要研究将用户划分成与其在组织结构体系相一致的角色，以减少授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复杂安全策略的环境。

　　在应用级信息系统的设计中，采用RBAC具有以下优势：

　　(1)降低了管理的复杂度。

　　管理授权数据通常是系统管理员的一项繁重工作，而在RBAC中根据用户的能力与责任把用户与角色关联，一方面定义角色、添加与删除角色中的用户，易于操作;另一方面由于用户与权限不直接关联，可以通过改变角色的权限来改变该角色中所有用户的权限。

　　(2)能够方便地描述复杂的安全策略。

　　安全的整个领域既复杂又广泛，安全策略实质上表明系统在进行一般操作时，在安全范围内什么是允许的，什么是不允许的。

　　策略通常不作具体规定，即它只是提出什么是最重要的，而不确切地说明如何达到所希望的这些结果。

　　策略建立起安全技术规范的最高一级，不像ACL只支持低级的用户/权限关系。

　　RBAC支持角色/权限、角色/角色的关系，由于RBAC的访问控制是在更高的抽象级别上进行的，系统管理员可以通过定义角色、角色分层、角色约束来实现企业的安全策略，管理用户的行为。

　　(3)降低了管理中的错误。

　　系统管理员一旦完成了角色与角色间关系的定义，由于角色的职能具有一定的稳定性，而用户的职能变动频繁，所以系统管理员的主要工作就是添加与删除角色中的用户，与ACL相比较，操作简单方便，减少了出错的风险。

　　2.3 基于任务的访问控制

　　(Task-Based Access Co-ntrol，TBAC)TBAC是一种新型的访问控制和授权管理模式，它非常适合多点访问控制的分布式计算和信息处理活动以及决策制定系统。

　　TBAC采取面向任务，而不是传统的面向主体对象访问控制方法。

　　如果实现TBAC 思想，权限体系的生成就会更及时，而且这些权限是执行操作时所需的，这一点在包含事务和工作流的应用环境中尤其适用。

　　TBAC方法还将使自我管理的访问控制模型提升到更高程度，从而降低总体费用。

　　TBAC模型现在还处于一种高度抽象的概念层次，还没有具体化，离实用阶段还有一段距离。

　　但它有很广的潜在应用性，从对客户――服务器交互这样精细活动实施访问控制，到对跨部门和组织边界的分布式应用和工作流这样的粗单元实施访问控制都适用。

　　TBAC访问控制涉及到与一定应用逻辑一致的任务完成过程中不同点的授权，这一点在其他的主体对象访问控制方法中不能得到满足。

　　相比之下，在传统访问控制中，访问控制决策制定太简单了，本质上与高层应用程序语义和要求脱节。

　　TBAC从基于任务的角度来实现访问控制，能有效解决提前授权问题，是一种主动访问控制模型。

　　它给出了动态授权的概念。

　　所谓动态授权，就是将授权不仅同用户、角色联系，还同任务相关。

　　当任务即将执行时，才对用户授权;当任务执行完就撤销用户的权限。

　　这样就可以保证权限只有在用户需要时才得到，满足最小特权原则。

　　TBAC在完成任务的过程中，要监视权限的状态，按照进行中的任务状态确定权限是活动状态或非活动状态，因此它是积极参与访问控制管理的。

　　[参考文献]

　　[1]王玮.小议计算机网络系统的安全维护[J].现代经济信息，2010，5.

　　[2]王永刚.浅谈计算机网络系统安全[J].计算机光盘软件与应用，2010，5.

　　计算机网络访问控制技术的分析【2】

　　摘要：计算机网络的全球化趋势将会带来引来愈来愈严重的安全性问题，然而相应的访问控制技术也愈发重要。

　　主要介绍了访问控制技术的相关概念，分别对四种重要的计算网络访问控制技术进行介绍与分析：自主式访问控制技术、强制式访问控制技术、角色式访问控制技术与任务式访问控制技术。

　　关键词：计算机网络 访问控制 网络安全

　　1引言

　　近些年以来，伴随着全球范围之内计算网络化趋势的迅猛提升，计算机网络技术不断扩充进入到社会各行各业的具体环节，而且能够深刻地对整个世界进行改造[1]。

　　同时计算机网络的安全性问题也不断地爆发出来，已经成为计算机网络技术发展提升的瓶颈问题。

　　特别是在经济商业、财政金融与国防安全等领域的计算机网络实际应用中，相应的网络安全性问题显得格外的关键而重要。

　　2访问控制的理论概述

　　在计算机网络访问控制技术中通常包含了三个主要要素：

　　⑴访问控制主体。

　　其主要作为发送出计算机网络访问操作处理的主动方，一般为计算机用户或者用户进行的某个进程。

　　⑵访问控制客体。

　　其作为接受访问的对象，主要包含了计算机网络中的一部分活跃要素、信息数据、各种类型的网络操作服务与相应的网络执行设备。