文档介绍:第五章授权与访问控制技术本章重点授权和访问控制策略的概念访问控制策略的主要类型在不同类型策略下有代表性的访问控制模型访问控制技术的实施机制特权管理基础设施PMI作者:,需要给已通过认证的用户授予相应的操作权限,这个过程被称为授权(Authorization)在信息系统中,可授予的权限包括读/写文件、运行程序和网络访问等,实施和管理这些权限的技术称为授权技术。目前主要有两种授权技术即访问控制技术和PMI技术。一般的访问控制系统至少包括以下实体和概念:主体(Subject)是指发出访问操作、存取操作的主动方,造成了信息的流动和系统状态的改变,主体通常包括用户、进程和设备。客体(Object)是指被访问的对象,一般可以是被调用的程序、进程、要存取的数据、信息、要访问的文件、系统设备、网络设备等资源。授权(Authorization):一套规则,规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们,主客体的关系是相对的访问控制策略(Policy)是在系统安全较高层次上对访问控制和相关授权的描述访问控制的目的是为了限制访问主体对访问客体的访问权限,能访问系统的何种资源以及如何使用这些资源。、、、是否可查询、是否可删除、,需要将以上两类属性关联起来。属性关联方法不但要考虑对授权决策的支持,还要考虑是否能减少存储的数据、加快操作的处理速度及是否支持一些安全性质的验证等因素,一个好的访问控制模型往往能令人满意的解决这些问题5..(一般是创建资源的用户),可以允许对一个客体实施多个策略,因此有必要建立关于这些策略之间如何协调的规则,解决所谓的策略交互问题。,这里,扩展性主要指所扩展的功能能够由已有的系统部件自动实施,、客体状态主、客体状态包括它们所处的地点、当前时间和当前受访状态等