一、访问控制技术的概念和特点
访问控制技术(AC)是针对越权使用资源的防御措施,即判断使用者是否有权限使用或更改某一项资源,并且防止未授权者滥用资源。
通常包含以下三方面含义:
1.机密性控制:保证数据资源不被非法读出
2.完整性控制:保证数据资源不被非法增删改
3.有效性控制:保证数据资源不被非法主体使用和破坏
一个AC系统一般包括主体(通常是用户或者用户进程)、客体(通常是被调用的程序或欲存取的数据访问)、安全访问策略。
二、访问控制分类
1.强制访问控制MAC:
系统强制主体服从事先制定的访问控制策略,在MAC系统中,所有的主体和客体都事先被分配了安全标签以标识一个安全等级,当主体访问客体时,调用强制访问控制机制,根据主题的安全等级与访问方式,比较主体的安全等级和客体的安全等级,从而确定是否允许主体对客体的访问。MAC一般使用在军方等具有明显等级观念且安全性要求高的领域。
2.自主访问控制DAC:
DAC是在确认主体身份及所属组的基础上,对访问进行限定的策略。在这种方式下,主体可按照自己的意愿精确指定系统中的其他主体对客体的访问权。
3.基于角色的访问控制RBAC
略
4.基于任务的访问控制TBAC
略
三、AAA技术
AAA包含三个方面:认证、授权、审计
AAA协议包含RADIUS和TACACS+两种,众多厂商都支持AAA协议。
四、VPN概述
VPN(虚拟专用网)是指利用密码技术和访问控制技术在公共网络中建立的专用通信网络,在VPN中,用户好像使用一条专用线路进行通信。
一个高效、成功的VPN必须满足如下要求:
1.安全保障
2.服务质量保证
3.可拓展性和灵活性
4.可管理性
VPN的类型
1.远程访问虚拟网 Access VPN
2.企业内部虚拟网 Intranet VPN
3.企业拓展虚拟网 Extranet VPN