密码学应用--访问控制流程总结

1.自主访问控制模型（DAC）

指的是 用户有权对自身创建的访问对象进行访问 ， 并可对访问权授予其他用户和收回权限。

比如说：Linux文件权限

getfacl FIlename  #  获取文件控制访问列表

setfacl -m u:username:7 Filename  #设置用户在文件或目录控制访问列表

setfacl -m g:groupname：7 Filename  # 设置组在文件或目录控制访问列表

setfacl -x u:username Filename  #删除某用户在某目录或文件的访问列表

setfacl -x g:groupname Filename   #删除某组在某目录或者文件的访问列表

setfacl -b Filename  #取消对该文件的所有ACL权限

特点：ACL是DAC中常用的一种安全机制，系统管理员通过维护ACL来控制用户访问有关数据。

缺点：主体的权限太大，无意间就泄露了信息

         不能防备特洛伊木马的攻击访问控制表

         当用户数量多、管理数据量大时，ACL就回很庞大。不易维护。

 

 

2.BLP模式

特点：低安全级不可以向高安全级读，高安全级别可以向低安全级读

          低安全级级可以向高安全写，高安全级别不可以向低安全级写

           两种特性是同事存在    同一范畴不可以读和写

  总的来说就是  ----上写下读

 密级：绝密、机密、秘密、公开

 范畴 ：军事、外交、商务...

 

3.Biba模式

特点：低安全级 可以向高安全级读 但是高安全不可以向低安全读

         高安全可以对低安全写   但是低安全不能对高安全 写

总的来说 ---  上读下写

 

4.Clark-Wilson模型

 该模型常用于---权限隔离

在商业应用中，最关心的系统数据的完整性以及对数据操作的完整性。

数据的完整性：如果数据满足给定的条件，则称数据处于一个一致性的状态，在每次操作前和操作后，数据都必须满足这个一致性条件。系统的一个事务处理就是一系列操作，是系统从一个一致性状态转移到另一个一致性状态。

数据操作的完整性：需要有人检查和验证事务处理是否被正确执行，一个事务需要两个或2个以上不同的人来执行，如果要使用一个事务处理来破坏数据，必须有2个不同的人员犯错，或者他们合谋担保该事务处理被正确实现

 

5. 基于角色的访问控制RBAC模型

系统内置多个角色，将权限与角色关联，用户必须成为某个角色才能获得权限。根据用户所担任的角色来决定用户在系统中的访问权限。

特点：1个用户只对应一个角色 ，不允许一对多 只允许一对一

如果必须要有多个权限 那就多开几个账号