湖南大学
硕士学位论文
访问控制技术研究及应用姓名:尹绍锋
申请学位级别:硕士
专业:软件工程
指导教师:杨贯中;杨志新
20081001
T f?硕I:学位论文
摘要
访问控制技术是构成信息安全体系不可缺少的重要组成部分。随着信息化进程的深化,尤其是网络应用的迅速増加,信息系统的用户规模在不断膨胀。传统的访问控制技术采用人工方式实现对访问控制体系运行期的维护。当访问控制体系变得庞大时,这种维护方式错误率会增高、维护变得困难、运行成本也随着增长起来。本文希望构建ー种能够适用于大用户数信息系统的访问控制体系,使之运行期的维护工作变得简化。
本文一方面对现有访问控制技术,尤其对基于角色访问控制技术,进行了学习、研究。熟悉掌握了该领域中的各种概念,对比了各种技术在用户管理上的实现模式,分析这些模式对大用户量管理的支持。同时,对访问控制体系的维护管理,尤其是运行期的用户管理与用户授权管理这两项工作进行了研究。从多个角度分析运行期期的维护逻辑与业务逻辑之间的关系,发现在多数.管理信息系统中,用户的权限与业务体系中的信息有着一定的依存关系,提出可以依靠业务系统的信息来驱动访问控制体系的权限分配的思想。基于此,作者提出了一种自适应的访问控制技术,在ー些应用范围内,该技术能够自动适应业务部分的变化,完成用户授权的控制,从而简化访问控制机制运行期的维护管理。通过对基于角色访问控制模型的开放性及可扩展性的分析,以基于角色访问控制模型为基础,构建出自适应访问控制模型。并从技术实现与开发成本等角度分析讨论了该访问控制技术的可行性。
最后,将自适应的访问控制技术在ー个高校人事管理系统中进行了应用。该应用以人事业务为基础,对自适应模块进行了实现,使该系统具备了对用户及其权限进行自维护的能力,解决了人工管理可能存在的问题。通过实际应用,一方面,通过实例验证了自适应访问控制技术实现的可行性,同时也明确了访问控制体系下ー步的研究方向。
关键词:信息安全;访问控制;维护;自适应
Abstract
Access control technology takes a vital part in the safety of information system. With the popularization of the information system and especially the rapid increase or internet application, the size of users m access control system needed to be supervised is increasing fast. So to administrate the large number of users by the traditional pure man-managed way is more and more difficult. And this research is intended to find an
&适应》问拧制技术的研究り/、V:用
access control system which can be used by the information system with large number of users.
The author first made a careful and deeply study of the existing access control systems. During the process, some certain kinds of representative access control technologies were consulted by the author to analyze the principles of achieving access control technology. The author mastered the orientation and effect of these definitions in access control system. The author believed that the rule of authority had lot to do with its applying situation, and this rule could be existed the applying situation of access control, fhe author found that there was a relationship of leading and concluding between the authority of users and statistic information in the operation system. So the author came up with the intellectualized access control technology based on these researches, which aimed to construct an intellectualized control model by introducing an intellectualized model in the role-based access control system. And this Auto-adapt Access Control technology and its possibility were discussed froe the angle of technology achievement and cost.
At last, a set of Auto-adapt Access Control system was applied in the personnel management in an university. This was based on the personnel operation, and achieved the Auto-adapt model, to make the system can correctly assign the management of the users and their authority. And it solved the countless problems which were caused by man-managed administration. By the application of this system, the possibility, merits and demerits of the intellectualized access control system has been proved preliminarily on one hand, and it established the basis for the further research on the other hand.
Key words: Information Security;Access Control;Maintenance;Auto-adapt
T程硕丨:学位论文
插图索引
图 1.1 RB-RBAC图 (4)
图2.1访问控制矩阵图 ...................................... :.. (7)
图2.2 RBAC96模型四个子模型之间的关系图 (9)
图2.3 RBAC96模型中RBAC3模型图 (10)
图2.4 RBAC97模型图 (11)
图3.1自适应访问控制模型图 (16)
图3.2用户自适应管理模块图 (16)
图3.3授权自适应管理模块图 (17)
图3.4岗位与系统身份图 (18)
图3.5访问控制体系维护示意图 (19)
图3.6维护成本时间关系图 (21)
图3.7自适应访问控制系统框架图 (22)
图3.8基于人事业务的自适应访问控制管理流程示意图 (23)
图3.9用户行为管理图 (23)
图4.1人事管理信息系统业务功能模块简图 (26)
图4.2系统用户继承关系图 (26)
图4.3自适应访问控制子系統体系结构图 (29)
图4.4人事管理信息系统体系结构图 (29)
图4.5角色、许可管理类图 (32)
图4.6用户管理类图 (34)
图4.7用户角色与菜单示意图 (38)
图4.8输入界面生成序列图 (38)
图4.9用户登录序列图 (39)
图4.10访问控制许可管理界面图 (40)
图4.11身份管理界面图 (40)
图4.12粒度管理界面图 (41)
ill
f i适应访问柠制技术的研究リ应用
附表索引
表4.1许可表 (31)
表4.2 #色表 (32)
表4.3用户表 (33)
表4.4职员基本信息表 (33)
表4.5身份描ki表 (35)
表4.6粒度描述表 (37)
T g硕I:学位论文
湖南大学
学位论文原创性声明
本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特別加以标注引用的内容外,本论文不包含任何其它个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的規定,同意学校保留井向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
本学位论文属于
1、保密□,在_年解密后适用本授权书。
2、不保密口。
(请在以上相应方框内打“十’)
円期::^8:年/ム月/ n
円期:ルパ/Wi,日
T程硕丨.?学位论文
第1章绪论
1.1研究背景
信息化不仅在科技、经济、社会等各个领域中强有力的支持者现代化建设进程,而且在人类物质文明和精神文件的整体上引导着世界发展m。在信息化建设飞速发展的同时,信息化安全中的访问控制技术,随着信息系统规模的快速增长,也面临着严峻的考验,这些问题主要体现在人工维护存在处理速度慢、管理成本高、风险高,以及相关的信息管理人员缺乏。
现在的计算机系統得用户量随着网络应用推广在迅速增长[2],其规模已经轻易突破千计,而且十万、百万用户量的系统也变得普遍起来,在这种用户量情况下,单靠人工来管理,完成用户的注册、维护以及用户的授权管理,简直是不可能的事情。譬如说有些网站论坛,拥有上百万的用户量,而且为了改善用户体验,会根据用户的发帖情况,动态的为用户改变在论坛的权限,如有的用户能够发起投票,有的用户能够下载资源。要实现这些个性的用户体验,那么就要対数百万的用户发帖的情况进行统计,按照各种规则进行积分计算,根据用户的ー些行为设定用户的状态,假设处理ー个用户需要一分钟时间,那么ー个管理员需要不间断的处理差不多两年。因此,人工的处理速度是限制信息系统拓展的一个瓶颈,要管理更加大量的用户,访问控制体系在用户维护和授权管理上,应该以计算机为主,人工管理为辅,将大量的工作交由计算机完成。
管理信息系统是现实业务体系的ー个虚拟再现,在这个虚拟体系中,用户可以通过扮演系统设定的角色,行使一定的权力。如人事管理信息系统中,有的用户可以进行职エ的新增、エ资的变动。可以想象,一旦人员授权出了问题,那么有可能职エ的エ资信息会被随意的篡改,単位的人员数据会发生混乱,这些会直接影响单位的运作。就目前的实际人事管理情况来看,大的单位会设置ー个髙层的人事管理机构,如人力资源部,对应的,每个ニ级单位会设置人事干事岗位,人力资源处负责宏观的人事管理,人事干事负责具体的人事实施。这种分级的管理模式,正是因为人工存在的管理能力和掌握信息能力的限制而必须采取的ー种办法,因为ー个人能够处理的事情是有限的,能够掌握的信息也是有限的,当人的管理达到极限了,就只能进行工作的分解,将ー项工作分解个不同的入来完成。
如果信息系统也按照上述方式来实现管理的话,势必存在安全风险增加、运行成本提高的问题。首先,这种做法需要设置更多的信息安全员,那么发生错误的几率会随着人员的增加而增加,导致潜在的风险上升;而且信息安全员的培养与管理是需要成本的[3],一下要新增几十个信息安全员,对于一些传统的事业单位
&适应访问拎制技术的研究り应用
来说,是ー个很难解决的问题。
国家信息中心副主任、中国信息协会常务副会长胡小明在其《三大障碍制约我国信息化进程》一文中指出:我国信息化建设还面临专业人才严重不足的问题⑷。据调查显示,从2005年至今,中国IT支出以18.5%的年复合增长率高速增长,中国IT市场将迎來又ー个“黄金年代”,在信息化发展势头带动下,我国信息化管理人才缺乏已经成为制约信息化发展“最短的那块木板”,而企业对信息化的需求持续快速增长,也刺激了IT管理咨询业的发展。业内人士认为,现在越来越多的企业开始寻找IT管理人才,在网上企业需求中,这ー职位也是居高不下。目前企业面临的竞争円益激烈,要求有更快的反应速度和应对变化调整的快速协调能力,而企业IT信息管理系统在公司生存和发展整个过程中相当于公司的大脑和神经中枢,它们的作用自然不可忽略。在一次企业信息化的问卷调查中,80%的企业都将“缺乏人才”列为信息化的主要困难[5]。全国有2600万家企业,假设需要实施信息化系統的企业有600万家,我们可以看出IT管理人才是ー个很大的需求。
访问控制管理是信息系统中的ー个重要组成部分,是管理信息系统必不可少的组成部分。同时,信息化技术的不断普及,管理信息系统设计的业务领域R益广泛,这就需要更加多的人来參与使用,于是,管理信息系统的用户群体也越来越大,ー个普通的系统可能就有几千用户,而ー些大型的公共应用,用户量更是以百万计。相对于管理信息系统中的其他与业务相关的功能,访问控制的管理更加抽象,更加难以被非专业人士理解、使用。
在信息化的建设过程中,培养、建设ー支专业的信息管理队伍固然是ー个根本性的解决方案。但培养人才周期长,投入大,而信息化建设又不能因为人员的不到位而延误。因此,在进行信息化建设的过程中,尽量降低系统的使用门槛,増加系统的自动化程度,降低对使用人员的专业技术要求,也是加速信息化建设的一个有效方案。
1.2国内外研究现状
1.2.1访问控制技术研究状况
访问控制概念是20世纪70年代提出的,该技术用于有效地防止非法用户访问系统资源和合法用户非法使用资源[6]。美国国防部在1983年公布的计算机系统安全性的标准Department of Defense Trusted Computer System Evaluation Criteria (“橘皮书’’)中[7],明确提出了访问控制在计算机安全系统中的重要作用[8】。在商业、金融和国防等领域的网络应用中,能否保证网络具有足够的安全性是第一位的问题。为此,国际标准化组织ISO在其网络安全体系的设计标准(IS07498-2)中,定义了五大安全服务功能[9】:身份认证服务、访问控制服务、数据保密服务、数据
自主访问控制综述 摘要:访问控制是安全操作系统必备的功能之一,它的作用主要是决定谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。而自主访问控制(Discretionary Access Control, DAC)则是最早的访问控制策略之一,至今已发展出多种改进的访问控制策略。本文首先从一般访问控制技术入手,介绍访问控制的基本要素和模型,以及自主访问控制的主要过程;然后介绍了包括传统DAC 策略在内的多种自主访问控制策略;接下来列举了四种自主访问控制的实现技术和他们的优劣之处;最后对自主访问控制的现状进行总结并简略介绍其发展趋势。 1自主访问控制基本概念 访问控制是指控制系统中主体(例如进程)对客体(例如文件目录等)的访问(例如读、写和执行等)。自主访问控制中主体对客体的访问权限是由客体的属主决定的,也就是说系统允许主体(客体的拥有者)可以按照自己的意愿去制定谁以何种访问模式去访问该客体。 1.1访问控制基本要素 访问控制由最基本的三要素组成: ●主体(Subject):可以对其他实体施加动作的主动实体,如用户、进程、 I/O设备等。 ●客体(Object):接受其他实体访问的被动实体,如文件、共享内存、管 道等。 ●控制策略(Control Strategy):主体对客体的操作行为集和约束条件集, 如访问矩阵、访问控制表等。 1.2访问控制基本模型 自从1969年,B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象,经过多年的扩充和改造,现在已有多种访问控制模型及其变种。本文介绍的是访问控制研究中的两个基本理论模型:一是引用监控器,这是安全操作系统的基本模型,进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系;二是访问矩阵,这是访问控制技术最基本的抽象模型。
马红红 信息安全2011级2班 一.访问控制技术 计算机系统的活动主要是在主体(进程、用户)和客体(资源、数据)之间进行的。计算机安全的核心问题是确保主体对客体的访问的合法性,即通过对数据、程序读出、写入、修改、删除和执行等的管理,确保主体对客体的访问是授权的,并拒绝非授权的访问,以保证信息的机密性、完整性和可用性。访问控制是对进入系统的控制,通常作为对资源访问处理的一部分,它的作用是对需要访问系统及其数据的人进行识别,并检查其合法身份。 1.访问控制主要有两种不同的类型:自由访问控制和强制访问控制 1)自主访问控制(又称任选访问控制) 自主访问控制是应用得很广泛的访问控制方法,用这种方法,资源的所有者(也往往是创建者)可任意规定谁可以访问他们的资源。这样,用户或用户进程就可有选择的与其他用户共享资源,它是一种对单个用户执行访问控制的过程和措施。 ①方法(是基于矩阵的行或列来表达访问控制信息) a.基于行的自主访问控制:是在每个主体上都附加一个该主体可访问的客体的明细表。按照表内信息的不同,可分为3种形式。权利表(权能表),根据该表可决定用户是否可以对客体进行访问,以及可以进行何种访问;前缀表,包括受保护的客体名和主体对它的访问权;口令,主体对客体进行访问前,必须向操作系统提供该客体的口令。 b.基于列的自主访问控制:是对每个客体附加一份可访问它的主体的明细表,有两种形式。保护位,它不能完备的表达访问控制矩阵,但可对所有主体、主体组以及该客体的拥有者指明一个访问模式集合,拥有者是唯一能够改变客体保护位的主体;访问控制表,每个客体都有一张访问控制表(ACL)记录该客体可被哪些主体访问以及访问的形式。主体访问控制表可以决定任何一个特定的主体是否可对某一客体进行访问,它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的,表中的每一项包括主体的身份和对该客体的访问权。 ②类型 a.等级型:可将对修改客体访问控制表的能力的控制组织成等级型的。优点是可通过选择值得信任的人担任各级领导,使得可用最可信的方式对客体实施控制,缺点是会同时有多个主体有能力修改它的访问控制表。 b.有主型:是对客体设置一个拥有者,它是唯一有权访问客体访问控制表的主体。拥有者对其拥有的客体具有全部控制权,但无权将客体的控制权分配给其它主体。 c.自由型:一个客体的生成者可对任何一个主体分配对它拥有的客体的访问控制表的修改权,还可使其对其它主体具有分配这种权利的能力。 2) 强制访问控制(MAC) 在强制访问控制中,系统给主体和客体分配了不同的安全属性,用户不能改变自身或任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员可确定用户和用户组的访问权限。系统通过比较客体和主体的安全属性来决定主体是否可访问客体。此外,强制访问控制不允许一个进程生成共享文件,从而防止进程通过共享文件将信息从一个进程传送到另一个进程。MAC可通过使用敏感标号对所有用户和资源强制执行安全策略,即实现强制访问控制。MAC可抵御特洛依木马和用户滥用职权等攻击,当敏感数据需在多种环境下受到保护时,就需要使用MAC。强制访问控制是比自主访问控制功能更强的访问控制机制,但是这种机制也给合法用户带来许多不便。例如,在用户共享数据方面不灵活且受到限制。因此,一般在保护敏感信息时使用MAC,需对用户提供灵活的保护且更多的考虑共享信息时,使用MAC。 2.基于角色的访问控制(RBAC)
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。 权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。 属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属
湖南大学 硕士学位论文 访问控制技术研究及应用姓名:尹绍锋 申请学位级别:硕士 专业:软件工程 指导教师:杨贯中;杨志新 20081001
T f?硕I:学位论文 摘要 访问控制技术是构成信息安全体系不可缺少的重要组成部分。随着信息化进程的深化,尤其是网络应用的迅速増加,信息系统的用户规模在不断膨胀。传统的访问控制技术采用人工方式实现对访问控制体系运行期的维护。当访问控制体系变得庞大时,这种维护方式错误率会增高、维护变得困难、运行成本也随着增长起来。本文希望构建ー种能够适用于大用户数信息系统的访问控制体系,使之运行期的维护工作变得简化。 本文一方面对现有访问控制技术,尤其对基于角色访问控制技术,进行了学习、研究。熟悉掌握了该领域中的各种概念,对比了各种技术在用户管理上的实现模式,分析这些模式对大用户量管理的支持。同时,对访问控制体系的维护管理,尤其是运行期的用户管理与用户授权管理这两项工作进行了研究。从多个角度分析运行期期的维护逻辑与业务逻辑之间的关系,发现在多数.管理信息系统中,用户的权限与业务体系中的信息有着一定的依存关系,提出可以依靠业务系统的信息来驱动访问控制体系的权限分配的思想。基于此,作者提出了一种自适应的访问控制技术,在ー些应用范围内,该技术能够自动适应业务部分的变化,完成用户授权的控制,从而简化访问控制机制运行期的维护管理。通过对基于角色访问控制模型的开放性及可扩展性的分析,以基于角色访问控制模型为基础,构建出自适应访问控制模型。并从技术实现与开发成本等角度分析讨论了该访问控制技术的可行性。 最后,将自适应的访问控制技术在ー个高校人事管理系统中进行了应用。该应用以人事业务为基础,对自适应模块进行了实现,使该系统具备了对用户及其权限进行自维护的能力,解决了人工管理可能存在的问题。通过实际应用,一方面,通过实例验证了自适应访问控制技术实现的可行性,同时也明确了访问控制体系下ー步的研究方向。 关键词:信息安全;访问控制;维护;自适应 Abstract Access control technology takes a vital part in the safety of information system. With the popularization of the information system and especially the rapid increase or internet application, the size of users m access control system needed to be supervised is increasing fast. So to administrate the large number of users by the traditional pure man-managed way is more and more difficult. And this research is intended to find an
访问控制 在计算机系统中,认证、访问控制和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线,访问控制是鉴别用户的合法身份后,控制用户对数据信息的访问。访问控制是在身份认证的基础上,依据授权对提出请求的资源访问请求加以控制。访问控制是一种安全手段,既能够控制用户和其他系统和资源进行通信和交互,也能保证系统和资源未经授权的访问,并为成功认证的用户授权不同的访问等级。 访问控制包含的范围很广,它涵盖了几种不同的机制,因为访问控制是防范计算机系统和资源被未授权访问的第一道防线,具有重要地位。提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。一旦用户登录之后需要访问文件时,文件应该有一个包含能够访问它的用户和组的列表。不在这个表上的用户,访问将会遭到拒绝。用户的访问权限主要基于其身份和访问等级,访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。 访问控制模型是一种从访问控制的角度出发,描述安全系统并建立安全模型的方法。主要描述了主体访问客体的一种框架,通过访问控制技术和安全机制来实现模型的规则和目标。可信计算机系统评估准则(TCSEC)提出了访问控制在计算机安全系统中的重要作用,TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类:自主访问控制(Discretionary
Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)。近几年基于角色的访问控制(Role-based Access Control,RBAC)技术正得到广泛的研究与应用。 访问控制模型分类 自主访问控制 自主访问控制(DAC),又称任意访问控制,是根据自主访问控制策略建立的一种模型。允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。某些用户还可以自主地把自己拥有的客体的访问权限授予其他用户。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源,主题控制权限的通常由特权用户或特权用户(管理员)组实现。
第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。 1. 身份认证的概念 认证(Authentication)是指对主客体身份进行确认的过程。 身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。从鉴别对象上,分为消息认证和用户身份认证两种。 (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证, 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态
短信密码和动态口令牌(卡)两种方式,口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法) 认证模式。其身份认证系统主要有两种认证模式:基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。 表5-1 证书的类型与作用 注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面: (1)管理和维护客户的证书和证书作废表 (CRL)。 (2)维护整个认证过程的安全。 (3)提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成
访问控制模型研究综述 沈海波1,2,洪帆1 (1.华中科技大学计算机学院,湖北武汉430074; 2.湖北教育学院计算机科学系,湖北武汉430205) 摘要:访问控制是一种重要的信息安全技术。为了提高效益和增强竞争力,许多现代企业采用了此技术来保障其信息管理系统的安全。对传统的访问控制模型、基于角色的访问控制模型、基于任务和工作流的访问控制模型、基于任务和角色的访问控制模型等几种主流模型进行了比较详尽地论述和比较,并简介了有望成为下一代访问控制模型的UCON模型。 关键词:角色;任务;访问控制;工作流 中图法分类号:TP309 文献标识码: A 文章编号:1001-3695(2005)06-0009-03 Su rvey of Resea rch on Access Con tr ol M odel S HE N Hai-bo1,2,HONG Fa n1 (1.C ollege of Computer,H uazhong Univer sity of Science&Technology,W uhan H ubei430074,China;2.Dept.of C omputer Science,H ubei College of Education,Wuhan H ubei430205,China) Abst ract:Access control is an im port ant inform a tion s ecurity t echnolog y.T o enha nce benefit s and increa se com petitive pow er,m a ny m odern enterprises hav e used this t echnology t o secure their inform ation m ana ge s yst em s.In t his paper,s ev eral m a in acces s cont rol m odels,such as tra dit iona l access control m odels,role-bas ed acces s cont rol m odels,ta sk-ba sed acces s control m odels,t as k-role-based access cont rol m odels,a nd s o on,are discus sed a nd com pa red in deta il.In addit ion,we introduce a new m odel called U CON,w hich m ay be a prom ising m odel for the nex t generation of a ccess control. Key words:Role;Ta sk;Access Cont rol;Workflow 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法。它是针对越权使用系统资源的防御措施,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证系统资源受控地、合法地使用。访问控制的目的在于限制系统内用户的行为和操作,包括用户能做什么和系统程序根据用户的行为应该做什么两个方面。 访问控制的核心是授权策略。授权策略是用于确定一个主体是否能对客体拥有访问能力的一套规则。在统一的授权策略下,得到授权的用户就是合法用户,否则就是非法用户。访问控制模型定义了主体、客体、访问是如何表示和操作的,它决定了授权策略的表达能力和灵活性。 若以授权策略来划分,访问控制模型可分为:传统的访问控制模型、基于角色的访问控制(RBAC)模型、基于任务和工作流的访问控制(TBAC)模型、基于任务和角色的访问控制(T-RBAC)模型等。 1 传统的访问控制模型 传统的访问控制一般被分为两类[1]:自主访问控制DAC (Discret iona ry Acces s Control)和强制访问控制MAC(Mandat ory Acces s C ontrol)。 自主访问控制DAC是在确认主体身份以及它们所属组的基础上对访问进行限制的一种方法。自主访问的含义是指访问许可的主体能够向其他主体转让访问权。在基于DAC的系统中,主体的拥有者负责设置访问权限。而作为许多操作系统的副作用,一个或多个特权用户也可以改变主体的控制权限。自主访问控制的一个最大问题是主体的权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。访问控制表(ACL)是DAC中常用的一种安全机制,系统安全管理员通过维护AC L来控制用户访问有关数据。ACL的优点在于它的表述直观、易于理解,而且比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。但当用户数量多、管理数据量大时,AC L就会很庞大。当组织内的人员发生变化、工作职能发生变化时,AC L的维护就变得非常困难。另外,对分布式网络系统,DAC不利于实现统一的全局访问控制。 强制访问控制MAC是一种强加给访问主体(即系统强制主体服从访问控制策略)的一种访问方式,它利用上读/下写来保证数据的完整性,利用下读/上写来保证数据的保密性。MAC主要用于多层次安全级别的军事系统中,它通过梯度安全标签实现信息的单向流通,可以有效地阻止特洛伊木马的泄露;其缺陷主要在于实现工作量较大,管理不便,不够灵活,而且它过重强调保密性,对系统连续工作能力、授权的可管理性方面考虑不足。 2基于角色的访问控制模型RBAC 为了克服标准矩阵模型中将访问权直接分配给主体,引起管理困难的缺陷,在访问控制中引进了聚合体(Agg rega tion)概念,如组、角色等。在RBAC(Role-Ba sed Access C ontrol)模型[2]中,就引进了“角色”概念。所谓角色,就是一个或一群用户在组织内可执行的操作的集合。角色意味着用户在组织内的责 ? 9 ? 第6期沈海波等:访问控制模型研究综述 收稿日期:2004-04-17;修返日期:2004-06-28
防止网络入侵攻击的主要技术措施 在网络环境下,由于种种原因,网络被入侵和攻击是难免的,可谓是防不胜防,但是,通过加强管理和采用必要的技术手段可以减少入侵和攻击行为,避免可能因入侵和攻击而造成的各种损失。网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。 防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。 1.访问控制技术 访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。 (1)网络登录控制 网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。 网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。 网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。 (2)网络使用权限控制 当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。 网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类,一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。 (3)目录级安全控制 用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。
访问控制技术手段
精品文档 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时 收集于网络,如有侵权请联系管理员删除
网络访问控制技术综述 摘要:随着科学的不断进步,计算机技术在各个行业中的运用更加普遍。在计算机技术运用过程中信息安全问题越发重要,网络访问控制技术是保证信息安全的常用方式。本文介绍了研究网络访问控制技术的意义,主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。 关键字:信息安全网络访问控制技术 0.引言 近年来,计算机网络技术在全球范围内应用愈加广泛。计算机网络技术正在深入地渗透到社会的各个领域,并深刻地影响着整个社会。当今社会生活中,随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。在商业、金融和国防等领域的网络应用中,安全问题必须有效得到解决,否则会影响整个网络的发展。一般而言信息安全探讨的课题包括了:入侵检测(Intrusion Deteetion)、加密(Encryption)、认证(Authentieation)、访问控制(Aeeess Control)以及审核(Auditing)等等。作为五大服务之一的访问控制服务,在网络安全体系的结构中具有不可替代的作用。所谓访问控制(Access Control),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。网络访问控制技术是通过对访问主体的身份进行限制,对访问的对象进行保护,并且通过技术限制,禁止访问对象受到入侵和破坏。 1.研究访问控制技术的意义 全球互联网的建立以及信息技术飞快的发展,正式宣告了信息时代的到来。信息网络依然成为信息时代信息传播的神经中枢,网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空,而且还包括看不见、摸不着的网络空间。随着现代社会中交流的加强以及网络技术的发展,各个领域和部门间的协作日益增多。资源共享和信息互访的过程逐越来越多,人们对信息资源的安全问题也越发担忧。因此,如何保证网络中信息资源的安全共享与互相操作,已日益成为人们关注的重要问题。信息要获得更大范围的传播才会更能体现出它的价值,而更多更高效的利用信息是信息时代的主要特征,谁掌握的信息资源更多,
Kerbsphere主机访问管理平台软件 技术白皮书 V1.0 文档信息
目录 第一章主机访问管理存在的问题 (2) 第二章Kerbsphere解决方案分析 (3) 2.1 Kerbsphere方案设计 (3) 2.2 管理流程 (5) 2.3 Kerbsphere拓扑逻辑 (5) 第三章Kerbsphere主机系统功能架构和管理功能模块 (7) 3.1 系统技术架构 (7) 3.2 系统功能模块 (8) 第四章Kerbsphere优点分析 (9) 4.1 清晰明了的主机设备清单和详细情况 (9) 4.2明确、易于管理的特权使用人和主机访问帐号的对应关系 (10) 4.3 全面、完善的访问记录 (10) 4.4 可以很快跟踪到特权使用的申请和审批记录 (11) 4.5 可靠、符合审计要求的密码管理功能 (11) 第五章Kerbsphere监控模块功能 (12) 第六章总结 (13)
第一章主机访问管理存在的问题 开放系统的主机特别是Unix、Linux已经逐渐成为金融、电信、交通、证券等各大行业的中坚业务支撑平台。但是由于系统本身设计的时候,操作系统本身对安全的考虑和现在需求、应用环境严重脱节,操作系统本身带的安全控制和审计功能已经严重不满足我们的保密和安全法律、法规的要求。为了加强主机的安全,一套有针对性地访问管理解决方案将会极大增强关键服务器的安全;简化和降低服务器管理成本;有效的提高系统的审计能力。 总结问题如图: 现阶段主要问题是: ?特权滥用和不充分的角色权限分离 ?高花费的服务器主机管理 ?操作系统弱点和漏洞 ?法律、法规服从的需要 ?缺乏个体的责任监控
数据安全保护技术综述 (访问控制技术 亿赛通科技发展有限公司梁金千 摘要 :数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地使用数据, 需要多种技术手段作为保障, 这些技术手段一般包括访问控制技术、加密技术、数据备份和恢复技术、系统还原技术等多种技术手段。本文侧重论述访问控制技术, 有关其它技术的探讨将发表在后续文章中。 关键词 :数据保护;安全模型;文件加密;访问控制;文档安全管理系统 数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据的保密性、可用性、可控性和完整性是数据安全技术的主要研究内容。数据保密性的理论基础是密码学, 而可用性、可控性和完整性是数据安全的重要保障, 没有后者提供技术保障, 再强的加密算法也难以保证数据的安全。与数据安全密切相关的技术主要有以下几种,每种相关但又有所不同。 1 访问控制:该技术主要用于控制用户可否进入系统以及进入系统的用户能够读写的数据集; 2 数据流控制:该技术和用户可访问数据集的分发有关,用于防止数据从授权范围扩散到非授权范围; 3 推理控制:该技术用于保护可统计的数据库,以防止查询者通过精心设计的查询序列推理出机密信息; 4 数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露; 5 数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可用性和完整性。
在上述技术中,访问控制技术占有重要的地位,其中 1 、 2 、 3均属于访问控制范畴。访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授权与审计等。其中安全模型是访问控制的理论基础, 其它技术则是实现安全模型 的技术保障。 1. 安全模型 信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问, 这些访问控制规则称为安全策略, 安全策略反应信息系统对安全的需求。安全模型是制定安全策略的依据, 安全模型是指用形式化的方法来准确地描述安全的重要方面(机密性、完整性和可用性及其与系统行为的关系。建立安全模型的主要目的是提高对成功实现关键安全需求的理解层次, 以及为机密性和完整性寻找安全策略, 安全模型是构建系统保护的重要依据, 同时也是建立和评估安全操作系统的重要依据。 自 20世纪 70年代起, Denning 、 Bell 、 Lapadula 等人对信息安全进行了大量的理论研究,特别是 1985年美国国防部颁布可信计算机评估标准《 TCSEC 》以来, 系统安全模型得到了广泛的研究, 并在各种系统中实现了多种安全模型。这些模型可以分为两大类:一种是信息流模型;另一种是访问控制模型。 信息流模型主要着眼于对客体之间信息传输过程的控制, 它是访问控制模型的一种变形。它不校验主体对客体的访问模式 , 而是试图控制从一个客体到另一个客体的信息流, 强迫其根据两个客体的安全属性决定访问操作是否进行。信息流模型和访问控制模型之间差别很小, 但访问控制模型不能帮助系统发现隐蔽通道 , 而信息流模型通过对信息流向的分析可以发现系统中存在的隐蔽通道并找到相应的防范对策。信息流模型是一种基于事件或踪迹的模型, 其焦点是系统用户可见的行为。虽然信息流模型在信息安全的理论分析方面有着优势, 但是迄今为止,信息流模型对具体的实现只能提供较少的帮助和指导。 访问控制模型是从访问控制的角度描述安全系统, 主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体, 以及为识别和
防火墙技术原理 1、访问控制及访问控制列表 一、访问控制定义 1、访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。访 问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),对访问客体(需要保护的资源的)访问权限。从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。 2、访问控制重要过程: -通过鉴别(authentication)来检验主体的合法身份 -通过授权(authorization)来限制用户对资源的访问级别 二、与其它安全服务关系模型 三、访问控制原理
四、访问控制分类 1、传统访问控制 -自主访问控制DAC(Discretionary Access Control) -强制访问控制MAC(Mandatory Access Control) 2、新型访问控制 -基于角色的访问控制RBAC(Role-Based Access Control) -基于任务的访问控制TBAC(Task-Based Access Control) ……. 五、自主访问控制技术(DAC) 1、控制思想:自主访问控制机制允许对象的属主针对该对象的保护策略。 2、实现方式:通常DAC通过授权列表(或访问控制列表)来限定那些主体针对那些客 体可以执行什么操作 3、适用范围:通常用于商用,主流的操作系统Windows,防火墙。 六、强制访问控制MAC 1、控制思想:每个主体都有既定的安全属性,每个客体也都有既定安全属性,主体对 客体是否能执行特定的操作取决于两者安全属性之间的关系 2、实现方式:所有主体(用户、进程)和客体(文件、数据)都被分配了安全标签, 安全标签标识一个安全等级 -主体被分配一个安全等,客体也被分配一个安全等级 -访问控制执行时对主体和客体的安全级别进行比较 3、适用范围:强制访问控制进行了很强的等级划分,经常用于军事用途。
数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据的保密性、可用性、可控性和完整性是数据安全技术的主要研究内容。数据保密性的理论基础是密码学,而可用性、可控性和完整性是数据安全的重要保障,没有后者提供技术保障,再强的加密算法也难以保证数据的安全。与数据安全密切相关的技术主要有以下几种,每种相关但又有所不同。 1) 访问控制:该技术主要用于控制用户可否进入系统以及进入系统的用户能够读写 的数据集; 2) 数据流控制:该技术和用户可访问数据集的分发有关,用于防止数据从授权范围扩散到非授权范围; 3) 推理控制:该技术用于保护可统计的数据库,以防止查询者通过精心设计的查询序列推理出机密信息; 4) 数据加密:该技术用于保护机密信息在传输或存储时被非授权暴露; 5) 数据保护:该技术主要用于防止数据遭到意外或恶意的破坏,保证数据的可用性和完整性。 在上述技术中,访问控制技术占有重要的地位,其中1)、2)、3)均属于访问控制范畴。访问控制技术主要涉及安全模型、控制策略、控制策略的实现、授权与审计等。其中安全模型是访问控制的理论基础,其它技术是则实现安全模型的技术保障。本文侧重论述访问控制技术,有关数据保护技术的其它方面,将逐渐在其它文章中进行探讨。 1. 访问控制 信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问,这些访问控制规则称为安全策略,安全策略反应信息系统对安全的需求。安全模型是制定安全策略的依据,安全模型是指用形式化的方法来准确地描述安全的重要方面(机密性、完整性和可用性)及其与系统行为的关系。建立安全模型的主要目的是提高对成功实现关键安全需求的理解层次,以及为机密性和完整性寻找安全策略,安全模型是构建系统保护的重要依据,同时也是建立和评估安全操作系统的重要依据。 自20世纪70年代起,Denning、Bell、Lapadula等人对信息安全进行了大量的理 论研究,特别是1985年美国国防部颁布可信计算机评估标准《TCSEC》以来,系统安全 模型得到了广泛的研究,并在各种系统中实现了多种安全模型。这些模型可以分为两大类:一种是信息流模型;另一种是访问控制模型。 信息流模型主要着眼于对客体之间信息传输过程的控制,它是访问控制模型的一种变形。它不校验主体对客体的访问模式,而是试图控制从一个客体到另一个客体的信息流,强迫其 根据两个客体的安全属性决定访问操作是否进行。信息流模型和访问控制模型之间差别很小,
(1)Spring:Spring 框架是一个分层架构,由 7 个定义良好的模块组成。Spring 模块构建在核心容器之上,核心容器定义了创建、配置和管理 bean 的方式组成 Spring 框架的每个模块(或组件)都可以单独存在,或者与其他一个或多个模块联合实现。 每个模块的功能如下: 核心容器:核心容器提供 Spring 框架的基本功能。核心容器的主要组是BeanFactory,它是工厂模式的实现。BeanFactory 使用控制反转(IOC)模式将应用程序的配置和依赖性规范与实际的应用程序代码分开。 Spring 上下文:Spring 上下文是一个配置文件,向 Spring 框架提供上下文信息。Spring 上下文包括企业服务,例如 JNDI、EJB、电子邮件、国际化、校验和调度功能。 Spring AOP:通过配置管理特性,Spring AOP 模块直接将面向方面的编程功能集成到了Spring 框架中。所以,可以很容易地使 Spring 框架管理的任何对象支持 AOP。Spring AOP 模块为基于 Spring 的应用程序中的对象提供了事务管理服务。通过使用 Spring AOP,不用依赖 EJB 组件,就可以将声明性事务管理集成到应用程序中。 Spring DAO:JDBC DAO 抽象层提供了有意义的异常层次结构,可用该结构来管理异常处理和不同数据库供应商抛出的错误消息。异常层次结构简化了错误处理,并且极大地降低了需要编写的异常代码数量(例如打开和关闭连接)。Spring DAO 的面向 JDBC 的异常遵从通用的 DAO 异常层次结构。 Spring ORM:Spring 框架插入了若干个 ORM 框架,从而提供了 ORM 的对象关系工具,其中包括 JDO、Hibernate 和 iBatis SQL Map。所有这些都遵从 Spring 的通用事务和 DAO 异常层次结构。 Spring Web 模块:Web 上下文模块建立在应用程序上下文模块之上,为基于 Web 的应用 程序提供了上下文。所以,Spring 框架支持与 Jakarta Struts 的集成。Web 模块还简化了处理多部分请求以及将请求参数绑定到域对象的工作。 Spring MVC 框架:MVC 框架是一个全功能的构建 Web 应用程序的 MVC 实现。通过策略接口,MVC 框架变成为高度可配置的,MVC 容纳了大量视图技术,其中包括 JSPVelocity、Tiles、iText 和 POI。 Spring 框架的功能可以用在任何 J2EE 服务器中,大多数功能也适用于不受管理的环境。Spring 的核心要点是:支持不绑定到特定 J2EE 服务的可重用业务和数据访问对象。 (2)Spring Boot:Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配 置很多东西。因此就有了Spring Boot框架,它的作用很简单,就是帮我们自动配置。Spring Boot框架的核心就是自动配置,只要存在相应的jar包,Spring就帮我们自动配置。如果默认配置不能满足需求,我们还可以替换掉自动配置类,使用我们自己的配置。另外,Spring Boot还集成了嵌入式的Web服务器,系统监控等很多有用的功,让我们快速构建企业及应 用程序 (3)JSF(中文名:杰夫):是Jingdong Service Framework (京东服务框架)的缩写,JSF是SAF的演进(研发版本号:SAF210)完全自主研发的高性能服务框架;它据有如下的特性: 1.高效RPC调用,20线程场景下调用效率比SAF高30%以上; 2.高可用的注册中心,完备的容灾特性; 3.服务端口同时支持TCP与HTTP协议调用,支持跨语言调用,构造一个HTTP POST请求即可对接口进行测试; 4.支持msgpack、json等多种序列化格式,支持数据压缩; 5.提供黑白名单、负载均衡、provider动态分组、动态切换调用分组等服务治理功能; 6.提供对接口-方法的调用次数、平均耗时等在线监控报表功能;