Access Control
Access Control
Access Control 接入控制。接入控制屬於安全方面的功能,用以阻止或控制 用戶(或系統)系統進行通信和交互。接入控制對計算機系統、網路、Web伺服器、附加網以及其他各種系統和設備的接入進行管理。接入控制保護系統免受非法接入,並在大數情況下為已由身份認 證系統確認的用戶或系統確定適當級別的許可權。
目錄
接入控制從試圖識別並確認用戶的登錄過程開始。用戶提供一些具有唯一性的證明材料,例如密碼等,但也可以使用指紋、話音或眼球掃描設備。更為常見的控制接入方法是使用智能卡,它可以顯示用戶隨若干可回憶起的登錄信息一起輸入的惟一訪問密碼。
登錄過程是黑客入侵系統時最易得手的階段。一些脆弱的密碼很容易被惡怠用戶猜中。密碼應該含有大寫和小寫字元的組合(例如“Qp&yTx”>。然而,這種密碼易於忘記,所以“首字母縮寫詞密碼”便顯得有用。例如,從“ My birthday is on the 4th of July”(“我的生口是7月4 日”)可以派生出複雜的密碼“Mbiot40J"。
網路管理員通常可以實行工作站限制和時間限制(取決於操作系統),從而阻止用戶在一天之中的特定時間訪問特定系統。例如,網路管理員可以阻止用戶登錄到除其辦公室中某台計算機之外的所有計算機,或者阻止用戶在下班后登錄到任何計算機。這可以防止用戶使用無人監管的系統或在非工作時間工作。這樣做的理由是防止用戶下載客戶資料庫並將它帶出辦公室之類的非法行為。
在登錄過程中,被訪問的系統可能會執行下列操作之一:
·運行自己的身份驗證程序。將用戶提供的信息和存儲在自身安全資料庫中的信息進行對比。
·將身份驗證交給負責處理所有網路身份驗證的安全伺服器。
后一種方法最為安全,因為此時用於存儲用戶ID和密碼的伺服器應該位於安全的物理位置,並受到專業的管理。而前一種方法的安全性較差,因為此時的安全信息由計算機本身保存,一旦有人獲得了該系統的物理訪問許可權,則可能遭到入侵。
用戶經過身份驗證后,他對系統資源的訪問將由安全系統控制。Windows NT/Windows 2000中的安全系統就是一個良好的範例:
·所有資源(文件夾、文件、印表機等)都被視作對象
·每個對象都有自己的安全描述符,該描述符 僅保存與自身有關的安全信息,例如哪些用戶可以訪問自己,以及允許用戶進行何種類型的訪問等。
·當用戶要訪問一個對象時,Windows NT的安全系統會檢查該對象的安全描述符所定義的ACL (接入控制表),如果ACL中含有該用戶項。系統會允許他訪問該對象。
大多數由網路連接起來的系統都使用單一的登陸功能,即用戶只需登陸一次就可以訪問網路上任何位置的資源。一旦用戶通過了安全系統的身份認證,就會授與他或她專門的訪問令牌:這種令牌可以向絡中的其他系統證實用戶的身份。在Windows NT/Windows 2000中。這種接入令牌含有用戶的 SID (安全ID)、用戶所在組的ID以及其他安全信信息。如果用戶想訪問伺服器上的資源,則伺服器上的安全系統會鑒定該用戶的接入令牌以確定他的訪問許可權。