身份访问控制的内容和技术

身份访问控制的内容和技术

一、访问控制的概念及任务

访问控制（Access Control）指针对越权使用资源的防御措施，即判断使用者是否有权限使用或更改某一项资源，并防止非授权使用者滥用资源。目的是限制访问主体对访问客体的访问权限。
访问控制包含三方面含义：一是机密性控制，保证数据资源不被非法读出；二是完整性控制，保证数据资源不被非法增加、改写、删除和生成；三是有效性控制，保证资源不被非法访问主体使用和破坏。主要任务是保证网络资源不被非法使用，也是保护网络系统和资源安全的重要手段。访问控制三个要素：
（1）主体S（Subject）.指提出访问资源具体请求方。
（2）客体O（Object）. 指被访问资源的实体。
（3）控制策略A（Attribution）。主体对客体的访问控制规则。

二、访问控制的功能和内容

访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制的内容包括三个方面：
(1)认证：包括主体对客体的识别认证和客体对主体检验认证
(2)控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。
(3)安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。

三、访问控制规则和管理

①访问控制的层次

可将访问控制分为2个层次:
1)物理访问控制包括标准的钥匙、门锁和设备标签等.
2)逻辑访问控制在数据、应用、系统和网络等层面实现。
对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。

②访问控制的模式

主要的访问控制模式有三种：
(1)自主访问控制（DAC）.在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。
(2)强制访问控制（MAC）
(3)基于角色的访问控制（RBAC）

③访问控制规则

(1)访问者
主体对客体访问可以基于身份,也可基于角色。即“访问者”可以是身份标识或角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。
(2) 资源保护
对资源保护包括两个层面:物理层和逻辑层。
(3) 访问控制规则
四要素:访问者(主体),资源(客体),访问请求和访问响应。

④单点登入的访问管理

根据登入的应用类型不同,可分为3种类型.
1）对桌面资源的统一访问管理
对桌面资源的访问管理，包括两个方面：
①登入Windows后统一访问应用资源。
②登入Windows后访问其他应用资源。
2）Web单点登入
由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现，如图6-8所示。
3）对传统C/S 结构应用的统一访问管理
在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键.采用Web客户端作为前台是企业最为常见的一种解决方案。