站内搜索

自主访问控制和强制访问控制最通俗易懂的解释

  提到访问控制,总是被那些高大上的名词,比如自主访问控制,强制访问控制,BLP模型还有一堆看不懂的名词所困扰。当你去问那些业界的人时,也经常会被他们的解释弄得晕头转向。本文想要告诉你,访问控制其实没有想象中的那么难学。

访问控制的构成

有人的地方才有江湖,要实现访问控制,自然是有主体,客体,还有一定的策略或者叫机制。

主体: 访问的发起者。
客体: 可供访问的各种软硬件资源。
策略: 定义了主体对于客体的访问权限。
访问控制的目标: 依据授权,对提出的资源访问请求进行控制,防止未授权的访问。

未授权的访问主要包括:未经授权的使用,泄露,销毁信息以及颁发指令等等。

如此说来,现实生活中我们经常接触到访问控制,比如:有一些会议室锁门,防止外人闯入,取走宝贵的资料。再比如,学校的图书馆,寝室等等需要用校园卡刷卡进入,只有拥有校园卡的人才可以进入图书馆。

所以策略就体现在其中了,比如我们猜测图书馆对于策略的规定是只有学生,严格意义上是只有持有校园卡的学生才能进入图书馆,这就是一种策略。而且这种策略是强制访问控制(这个稍后提到),不是说你想带着自己的家人进来就进来的(当然也可以用身份证登记啥的)。

自主访问控制

Linux中有一部分就是自主访问控制,比如你自己的工作目录,你可以设置others的权限,让它们读或是写或是执行这些文件。

自主访问控制是一种最为普遍的访问控制手段,特点就是根据主体的身份和授权来决定访问模式。

那么问题就出在这里,比如你将你的秘密告诉了你的某个闺蜜或是哥们,然后叮嘱她或他千万不要说出去,结果她或他偏偏就说出去了2333。这就体现出自主访问控制的不安全了,因为这种策略是根据主体的身份和授权来决定访问模式的,我想告诉别人就告诉别人,你也管不着我。

具体应用的时候还有一些缺点,如:

用户数量众多,管理的数据量很大,由于DAC控制的粒度是单个用户,访问控制的策略会很庞大,为什么说会很庞大呢?试想每个用户都要对自己的文件进行一定的权限管理,那么这个访问控制矩阵大概就是用户数乘以文件数那么大,存储这个矩阵所耗费的资源也会很大。
当组织内部的人员发生变化或者是工作职能放生变化的时候,访问控制策略的修改变得异常困难。

强制访问控制

既然你自己管不好,那么就让我来帮你管,这就是强制访问控制,具体到比如图书馆对于进入人员的管理就是强制访问控制,考试的时候监考人员对于考生的管理也是一种强制访问控制。

MAC是系统对所有的主体及其所控制的客体指定敏感标记,这些标记是等级分类和非等级分类别的组合,是实时强制访问控制的依据,MAC通过安全标签来实现信息的单项流通。

如何理解MAC中的强制?

所谓强制就是安全属性由系统管理员人为设置,或者由操作系统自动地按照严格的安全规则与策略进行设置。用户是不能自己修改的,比如考试的时候是不能由我来决定是否将试卷给别人看的。

Copyright © XiakeShu.com 版权所有 | 备案号:浙ICP备11004787号-12