惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Recent Announcements
Recent Announcements
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
量子位
博客园 - 司徒正美
Security Archives - TechRepublic
Security Archives - TechRepublic
P
Palo Alto Networks Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Cyberwarzone
Cyberwarzone
小众软件
小众软件
T
Threatpost
Latest news
Latest news
J
Java Code Geeks
博客园 - Franky
博客园 - 三生石上(FineUI控件)
Project Zero
Project Zero
P
Privacy & Cybersecurity Law Blog
T
Tenable Blog
L
Lohrmann on Cybersecurity
大猫的无限游戏
大猫的无限游戏
WordPress大学
WordPress大学
Apple Machine Learning Research
Apple Machine Learning Research
Scott Helme
Scott Helme
Simon Willison's Weblog
Simon Willison's Weblog
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Privacy International News Feed
人人都是产品经理
人人都是产品经理
S
Schneier on Security
T
The Blog of Author Tim Ferriss
V
V2EX
有赞技术团队
有赞技术团队
Y
Y Combinator Blog
罗磊的独立博客
IT之家
IT之家
雷峰网
雷峰网
H
Help Net Security
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tor Project blog
C
Cybersecurity and Infrastructure Security Agency CISA
I
InfoQ
GbyAI
GbyAI
博客园 - 叶小钗
PCI Perspectives
PCI Perspectives
The GitHub Blog
The GitHub Blog
Martin Fowler
Martin Fowler
H
Heimdal Security Blog
Spread Privacy
Spread Privacy
博客园_首页
A
About on SuperTechFans
T
Tailwind CSS Blog
The Register - Security
The Register - Security

博客园 - hgdfr

Django1.5内置的用户认证系统介绍(之五)在admin后台管理用户 --by hillfree Django1.5内置的用户认证系统介绍(之四)Authentication in Web requests --by hillfree Django1.5内置的用户认证系统介绍(之三)权限与授权--by hillfree Django1.5内置的用户认证系统介绍(之二)使用User对象--by hillfree Django1.5内置的用户认证系统介绍(之一)--by hillfree Django REST Framework Tutorial 5:关系与超链接API(中文版教程)by hillfree Django REST Framework Tutorial 4:认证与权限(中文版教程)by hillfree Django REST Framework Tutorial 3:基于类的Views(中文版教程)by hillfree Django1.5+Python3.3下groundwork的使用 Django1.5中设置静态目录的简要说明 参照《鲜活的数据:数据可视化指南》第2章:抓取网页数据(历史天气记录)的Python程序 Python3.3中如何产生伪随机数 《鲜活的数据:数据可视化指南》第2章 收集数据 Python3.3源码 CSCW领域的“老”词和“新”词 FOAF简介和朋友圈子 Class Library类型的工程难道不能用app.config? 配置文件中的DataDirectory在那里设置? 自己写的类需要重写ToString(), HashCode(), Equal()吗? 注释中如果出现尖括号怎么办?“<” - hgdfr - 博客园
Access Control Issues 有关访问控制
hgdfr · 2004-11-04 · via 博客园 - hgdfr
 

文章来自Google的搜索(2001~2004),由于是进行概要式的了解,所以没有详细记录每一篇文章,可以看作一个专题的学习笔记。   主要是对Security,主要是Access Control部分做一般性的了解,主要是想对Authorization做一些探索。

首先对Security安全做一些了解。

(1) 从概念上讲,Security is multi-dimension concepts. 安全是一个多维的概念;

(2) 从外延上看,Security has many aspects: 主要用Authentication验证、Access Control访问控制、Audit trail审计性、Confidentiality保密性、Integrity完整性、Availability可用性、Nonrepudiation不可抵赖等等。

对于我们关注的Access Control,主要是对现有的几种方法做了比较,如图所示。

 

DAC (Discretionary Access Control) Model


所有的主体Subject和客体Object都在系统中列举出来,并且给予每个主客体以明确的授权。基于所有权的、客体的拥有者Owner可以任意将该客体的访问权限授予其他主体。

Shortages:

比如:一个Object被授权给另一个用户后,对该Object的Copy的权限就无法控制的。

MAC (Mandatory Access Control) Model

基于管理的、所有的主体和客体都会根据实现定义的敏感级别(predefined sensitivity levels)进行分类(classified)。MAC的一个重要目的就是要保证信息的机密性和完整性。

通过级别控制信息流的方向,所谓的Bell-LaPadula restrictions: no read-up and no write-down或Chinese Wall policy.
所谓no read-up就是说:低级别的Subject不能从高级别的Object中读取信息。
所谓no write-down就是说:高级别的Subject不能向低级别的Object中写入信息。
以上两点约束都是方式信息流从高级别流向低级别。从而保证加密性Confidentiality。 

Unlike DAC, MAC models provide more robust protection mechanisms for data, and deal with more specific security requirements. MAC要比DAC更强大一些,但是缺乏灵活性,完整的实施也比较繁琐。

Shortages:

Difficult task to enforce MAC;
Lack adequate flexibility.

RBAC (Role-based Access Control) Model

 明显的好处Well-recognized advantages:
(1)    Directly support arbitrary, organization-specific security policies.
(2)    Policy-neutral by using role hierarchies and constraints.
(3)    Simplifies the administration  

SOD: Separation of duties.责任分离
Least Privilege Principle:最小授权原则
Policy-neural: 策略独立

面向Workflow的基于任务的授权

DTAC:Dynamically Typed Access Control model (task-based Security)

其他的见图。