访问控制术语和访问控制语言所应满足的基本要求

访问控制术语

Access(访问)

实施(Performing)一个动作(Action)

Access control(访问控制)

通过策略(policy)或策略集(policy set)控制访问

Action(动作)

绑定资源的操作

Advice(建议)

策略或策略集中的一小片信息,这些信息由PDP(策略决策点)提供给PEP(策略执行点)。

Applicable policy(匹配的策略)

(governs)匹配一个决策请求的访问决议的策略集合和策略集集合

Attribute(特征)

主体(Subject)、资源(Resource)、动作(Action)或环境(Environment)的特征,这些特征可能被断言或目标引用。

Authorization decision

匹配的策略的评估结果,由策略决策点返回给策略执行点。一个结果为”Permit”,“Deny”,“Indeterminate”或“NotApplicable”,和(可选的)一个义务和建议集的函数。

Bag(袋)

一个无序的允许有重复元素存在的集合

Conjunctive sequence(逻辑与连接序列)

一个由逻辑’AND’操作链接的断言序列

Context(决策请求响应上下文)

表示一个决策请求和授权决策响应

Context handler

将原始请求格式转化为标准XACML决策请求的系统实体,协调策略信息点将特性值添加到请求上下文,并将XACML授权决策响应转化为原始响应格式。

Decision(决策)

一个规则(Rule),策略(policy)或策略集(policy set)的评估结果。

Decision request(决策请求)

由策略执行点向策略决策点发起的授权决策请求。

Disjunctive sequence(逻辑或链接序列)

一个由逻辑“OR”操作链接的断言序列

Effect(结果)

一个匹配的规则(Rule)的预期结果(“Permit”或“Deny”)

Environment(环境)

一个与授权决策相关的特性集,这个特性集独立于具体的主体(subject),资源(resource)或动作(action)

Identifier equality(标识相等)

标识判等操作

Issuer(发行人)

一个描述策略源的特性集合

Named attribute(命名特性)

一个由特性名和特性类型以及特性持有者标识(特性持有者可以是主体、资源、动作或环境)和特性发行者标识决定的具体的特性实例。

Obligation(义务)

一个由规则,策略或策略集指定的应有策略执行点连同授权决策一起执行的操作

Policy

一个规则集,一个规则合并算法和(可选的)义务或建议集。可能是一个策略集组合

Policy administration point(PAP)策略管理点

创建策略和策略集的系统实体

Policy-combining algorithm(策略合并算法)

合并来自多个策略的决策和义务集的过程

Policy decision point(PDP)策略决策点

评估匹配的策略并成仙授权决策的系统实体。

Policy enforcement point(PEP)策略执行点

通过发起决策请求和执行授权决策而实施访问控制的系统实体。

Policy information point(PIP)策略信息点

表现为一个特性集的来源的系统实体

Policy set(策略集)

一个策略或策略集集合,一个策略合并算法和(可选的)一个义务或建议集。可能是其它策略集的组合

Predicate(断言)

一个可辨真假的语句

Resource

数据,服务或系统组件

Rule(规则)

一个目标,一个结果,一个条件和(可选的)一个义务或建议集。一个策略组件

Rule-combining algorithm(规则组合算法)

合并来自多个规则的决策的过程

Subject(主体)

一个行动者,它的属性(attributes)可以被断言引用

Target(目标)

定义在规则,策略或策略集上的条件,通过评估资源,主体和动作来鉴别一个请求是否匹配该规则,策略或策略集

访问控制语言所应满足的基本要求

为了表达信息系统安全策略,策略语言所应满足的基本要求:

l 提供一个合并多个独立的规则和策略集为一个策略集的方法,以将该策略集应用于具体决策请求

l 提供一个可以灵活的定义合并规则和策略的过程的方法

l 提供一个可以处理多个主体,不同能力的主体的行动的方法

l 提供一个基于主体和资源的特性进行授权决策的方法

l 提供一个处理多值属性(attributes)的方法

l 提供一个基于资源的内容信息进行授权决策的方法

l 提供一个作用于主体,资源和环境的属性上的逻辑的和数学的操作集

l 提供一个处理分部署策略组件集,抽象策略组件的定位,获取和验证的方法

l 提供一个可以基于主体,资源和动作的属性值快速识别给定的策略是否可以应用给定的动作的方法

l 提供一个可以将策略作者和应用环境隔离的抽象层

l 提供一个指定一组动作必须被联合执行的方法

访问控制术语和访问控制语言所应满足的基本要求,布布扣,bubuko.com

时间: 2024-10-08 09:47:48

访问控制术语和访问控制语言所应满足的基本要求的相关文章

创建标准访问控制列表;扩展访问控制列表

实验一.创建标准访问控制列表 实验目标 实现拒绝PC 1(IP地址:192.168.1.1)对PC 3(ip:192.168.2.1)的访问 实验环境 实验步骤 在路由器上配置ip地址 结果验证 实验二.配置标准命名访问控制列表 实验目标 实现拒绝PC 1(IP地址:192.168.1.1)对PC 3(ip:192.168.2.1)的访问 实验环境 实验步骤 保存实验一的配置,对路由器进行标准命名的配置 结果验证 实验三.创建扩展访问控制列表 实验目标 实现拒绝PC 1(IP地址:192.168

11.25 配置防盗链11.26 访问控制Directory11.27 访问控制FilesMatch

11.25 配置防盗链vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf检查与加载配置文件测试在浏览打开图片站点提示错误这时候在第三方站点(ask.apelearn.com)发布超链接,将第三方站点加入白名单就可以访问了点击超链接就可以打开网站图片了再模拟成111.com就状态码变成200注意referer不能随便写一定要写成http://11.26 访问控制Directory这种访问控制是用目录来做的vim /usr/local/apac

安胜操作系统安全机制【自主访问控制、强制访问控制、多级安全等实验】

一.实验目的 1.    熟悉安胜安全操作系统的运行环境 2.    熟悉安胜安全操作系统基本安全机制的工作原理 二.实验内容 1.参考用户手册,熟悉常用的安全管理命令 2.自己设计测试案例,以展现以下安全机制的工作原理: (1)自主访问控制机制 (2)强制访问控制机制 (3)基于角色访问控制 (4)可信路径机制 (5)审计机制(可选) 三.实验过程.结果 (1)自主访问控制机制 创建三个用户: useradd user1 useradd user2 useradd user3 在user1下创

配置防盗链、访问控制Directory、访问控制FilesMatch

配置防盗链 我的网站遇到最多的是两类盗链,一是图片盗链,二是文件盗链.曾经有一个访问量极大的网站盗链我网站的图片,一天竟然消耗了数G的流量.同时,我站放的不少几十兆的大型软件也常遭到文件盗链,大量消耗我站资源. 1.新增内容 [[email protected] local]# vi /usr/local/apache2.4/conf/extra/httpd-vhosts.conf <VirtualHost *:80> DocumentRoot "/data/wwwroot/111.

LAMP(6)静态元素过期时间、配置防盗链、访问控制Directory、访问控制FilesMatch

                              静态元素过期时间 静态元素:(图片.js.css) 平时我们在浏览器访问网站的时候,如果里面有这些静态元素,浏览器会帮我们把它们缓存下来,再次访问的时候访问的速度就会快. 缓存下来的静态元素到底缓存多久?这个是可以在服务器配置文件中定义的.(定义静态元素过期时间) 304 状态码表示该文件已经缓存到用户电脑. 定义静态元素的失效日期: 步骤:(针对111.com这台虚拟主机操作) 1.编辑配置文件,添加配置内容; 增加配置 <IfMod

配置防盗链、访问控制– Directory及访问控制 – FilesMatch

一.配置防盗链 配置文件增加如下内容<Directory /data/wwwroot/11.com>SetEnvIfNoCase Referer "http://www.11.com" local_refSetEnvIfNoCase Referer "http://11.com" local_refSetEnvIfNoCase Referer "^$" local_ref<filesmatch ".(txt|doc|m

apache配置防盗链、访问控制directory、访问控制FilesMatch

一:配置防盗链 打开虚拟主机配置文件#vim /usr/local/apache2/conf/extra/httpd-vhosts.conf添加以下内容SetEnvIfNoCase Referer "^http://.*\.abc\.com" local_ref SetEnvIfNoCase Referer ".*.aminglinux.com" local_ref SetEnvIfNoCase Referer "^$" local_ref #没

ACL访问控制列表——扩展访问控制列表(实操!!!)

实验环境 一台Linux系统做服务器 两台pc机Linux:192.168.100.100win10:192.168.1.2win10-2:192.168.2.2 实验需求 允许win10访问Linux的web服务 禁止win10访问Linux的其他服务 允许win10访问win10-2主机 实验拓扑图 1,打开Linux服务器,安装http和vsftp两个服务 [[email protected] ~]# yum install vsftpd -y ##安装vsftp服务 [[email pr

ACL访问控制列表——命名访问控制列表(实操!!!)

命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略 实验环境 一台二层交换机 一台三层交换机 四台pc机 实验需求 允许vlan10中pc2可以访问pc1 拒绝vlan10中其他访问pc1 允许其他网段中的主机访问pc1 实验拓扑图 1,配置sw二层交换机 sw#conf t ##全局模式 sw(config)#vlan 10,20 ##创建vlan10,20 sw(config-v