訪問控制概述

訪問控制是對資源對象的訪問授權(quán)控制的方法以及運行機制

訪問控制又叫訪問者，又稱為主體，他可以是我們的用戶，也可以是系統(tǒng)的進程或者應(yīng)用程序，資源對象又稱為客體，他是被訪問的對象，可以是文件應(yīng)用服務(wù)或者數(shù)據(jù)，另外兩個關(guān)鍵字授權(quán)和控制

它指的是訪問者可以對資源對象進行訪問的方式，是讀、寫、刪除或者是有其他的這種權(quán)力，不同的用戶群體權(quán)力是不一樣的

就對訪問者是否允許用戶訪問的資源對象做出決策，本來是只可以讀的用戶，你搞一個可以寫的文件，這個肯定是有問題的，我們做出的決策可以是拒絕訪問，或者是允許、禁止操作，根據(jù)我們相應(yīng)的權(quán)限來對我們訪問的過程進行控制

訪問控制的目標(biāo)有兩個，第一個防止非法的用戶進入系統(tǒng)，通過認(rèn)證進入我們的系統(tǒng)，第二個阻止合法用戶對系統(tǒng)資源非法的訪問，以及禁止合法用戶的越權(quán)訪問，你本來只能讀的，你就不能寫，這就是訪問控制的目標(biāo)

實現(xiàn)訪問控制目標(biāo)

首先要對用戶進行身份認(rèn)證，然后根據(jù)不同的用戶授予不同的訪問權(quán)限。第二個就是授權(quán)，從而保護系統(tǒng)的資源，同時還可以進行系統(tǒng)的安全審計和監(jiān)控檢測，檢測用戶對系統(tǒng)的攻擊企圖，我們的審計一般是事后的，我們來做分析，所以實際的應(yīng)用當(dāng)中一般是訪問控制，他會與認(rèn)證、授權(quán)、審計機制相互去協(xié)同使用，這是訪問控制跟其他安全機制的一個關(guān)系，前置有一個認(rèn)證，后置有一個審計，中間是訪問控制，這三個是經(jīng)常聯(lián)合起來用的

訪問控制參考模型

主體比如說是我，文件就是客體，中間有訪問控制數(shù)據(jù)庫、參考監(jiān)視器、審計庫這三個東西來控制我們訪問的，參考監(jiān)視器，具體能不能訪問是在這里去執(zhí)行和決策的，相當(dāng)于它就是一個判斷機制，根據(jù)我們的訪問控制數(shù)據(jù)庫去判斷能不能訪問，訪問控制數(shù)據(jù)庫它里面存的是一些訪問控制的策略，比如說，我能訪問這個文件嗎，是能讀還是能寫，審計庫主要是存儲我們操作的信息，比如說訪問成功或者失敗、連續(xù)失敗，比如說我在訪問這個文件，可能需要密碼，我嘗試了一萬遍，都沒有成功，最后我們審計庫里面是不是會有記錄，證明我可能是攻擊者，我在攻擊這個文件，我想去獲得越權(quán)的訪問，但是沒成功，所以審計庫記錄下這些信息可以供我們管理員來進行安全的防護、安全的加固

常見訪問控制模型

常見的訪問控制模型有這幾種，重點理解的是標(biāo)黃的這幾種，其中重點是自主訪問控制、強制訪問控制和基于角色的訪問控制模型，他們常被用于操作系統(tǒng)、數(shù)據(jù)庫等等這些資源的訪問

基于屬性的訪問控制模型，比如張三是個男人，這個就是屬性，像女廁所肯定只有女人能進，男人進不了

基于行為的訪問控制模型，常見的上網(wǎng)管理，它可以對我們的用戶一些行為進行控制，比如你要瀏覽非法的網(wǎng)站，他給你阻止了，干違法的操作把你阻止了，比如說典型的上網(wǎng)行為管理、電子支付等等

基于時間的訪問控制，我們寫acl的時候，可以寫time range，時間范圍，比如，我上班的時候不能聊QQ，不能下迅雷，不能看在線的視頻，但是你下下來就可以隨便看

訪問控制模型-DAC自主訪問控制

自主訪問控制(Discretionary Access Control，DAC)指客體的所有者按照自己的安全策略授予系統(tǒng)中的其他用戶對其的訪問權(quán)，他實現(xiàn)方式有兩大類，基于行的訪問控制和基于列的自主訪問控制

自主訪問控制是最常用的一種對網(wǎng)絡(luò)資源進行訪問約束的機制，其好處是用戶自己根據(jù)其安全需求，自行設(shè)置訪問控制權(quán)限，訪問機制簡單、靈活。但這種機制的實施依賴于用戶的安全意識和技能，不能滿足高安全等級的安全要求。例如，網(wǎng)絡(luò)用戶由于操作不當(dāng)，將敏感的文件用電子郵件發(fā)送到外部網(wǎng)則造成泄密事件。所以在一些高安全場景不太適用

訪問控制模型-MAC強制訪問控制

強制訪問控制(MAC)是指根據(jù)主體和客體的安全屬性，以強制方式控制主體對客體的訪問。安全操作系統(tǒng)中的每個進程、每個文件等客體都被賦予了相應(yīng)的安全級別和范疇，當(dāng)一個進程訪問一個文件時，系統(tǒng)調(diào)用強制訪問控制機制，當(dāng)且僅當(dāng)進程的安全級別不小于客體的安全級別，并且進程的范疇包含文件的范疇時，進程才能訪問客體，否則就拒絕。

我們現(xiàn)在常用的一些操作系統(tǒng)，他底層都是有用強制訪問控制的

與自主訪問控制相比較，強制訪問控制更加嚴(yán)格，用戶使用自主訪問控制雖然能夠防止其他用戶非法入侵自己的網(wǎng)絡(luò)資源，但對于用戶的意外事件或誤操作則無效，因此，自主訪問控制不能適應(yīng)高安全等級需求。在政府部門、軍事和金融等領(lǐng)域，常利用強制訪問控制機制，將系統(tǒng)中的資源劃分安全等級和不同類別，然后進行安全管理。

訪問控制模型-RBAC基于角色的訪問控制

基于角色的訪問控制(RBAC)是目前國際上流行的先進的安全訪問控制方法。它通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供角色分配規(guī)則。RBAC包括用戶(U)、角色?、會話(S)和權(quán)限§四個基本要素。

不同的角色，他的權(quán)限是不一樣的，你也可以理解成不同的分組，他的權(quán)限也不一樣，像我們windows里面，他其實有很多用戶組，administrator超級管理員、user、power、back-up 備份，這些就是用戶組，其它對應(yīng)的就是角色

角色簡單理解就是用戶組，我們通過用戶組來集中的授權(quán)，我們權(quán)限管理就會簡單很多，比如我這個系統(tǒng)里面有1千個用戶，我要實現(xiàn)1千個用戶的一個授權(quán)管理，對1千個用戶進行操作是不是很麻煩，但是我如果把1千個用戶劃分成不同的角色，一個是管理員，一個是訪客，或者三個，還有一個是內(nèi)部工作人員，相當(dāng)于只是對三個角色的權(quán)限進行劃分，整個操作就簡單很多，這是基于角色的訪問控制，應(yīng)用非常廣泛

訪問控制模型-ABAC基于屬性的訪問控制

基于屬性的訪問控制(ABAC)：訪問控制方法是根據(jù)主體的屬性、客體的屬性、環(huán)境的條件以及訪問控制策略對主體的請求操作進行授權(quán)許可或拒絕。

比如說有些電影要求我們滿18歲才能看，這個電影是涉及到暴力血腥，這里面我們對主體屬性的要求是你要大于等于18歲，客體屬性就是暴力血腥這一類的，如果小于18歲，肯定拒絕，這個是基于屬性的訪問控制，相對而言，他會比較靈活，可以根據(jù)我們主客體的屬性去自定義，第一個是自主訪問控制，第二個是強訪問控制，第三個基于決策的訪問控制