自主访问控制（DAC）与强制访问控制（MAC）的原理是什么？有什么区别?
自主访问控制（DAC）与强制访问控制（MAC）的原理是什么？有什么区别?
09-02-14 &
是复制的。学习下自主访问控制（DAC）是一个接入控制服务，它执行基于系统实体身份和它们的到系统资源的接入授权。这包括在文件，文件夹和共享资源中设置许可。强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策。强制访问控制（MAC）的主要特征是对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。用户的程序不能改变他自己及任何其它客体的敏感标记，从而系统可以防止特洛伊木马的攻击。强制访问控制一般与自主访问控制结合使用，并且实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制性访问限制检查后，才能访问某个客体。用户可以利用自主访问控制来防范其它用户对自己客体的攻击，由于用户不能直接改变强制访问控制属性，所以强制访问控制提供了一个不可逾越的、更强的安全保护层以防止其它用户偶然或故意地滥用自主访问控制。强制访问策略将每个用户及文件赋于一个访问级别，如，最高秘密级（Top Secret），秘密级（Secret），机密级（Confidential）及无级别级（Unclassified）。其级别为T&S&C&U，系统根据主体和客体的敏感标记来决定访问模式。访问模式包括：下读（read down）：用户级别大于文件级别的读操作；上写（Write up）：用户级别小于文件级别的写操作；下写（Write down）：用户级别等于文件级别的写操作；上读（read up）：用户级别小于文件级别的读操作；图8.1 Bell-Lapadula安全模型依据Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的保密性。见图8.1。即不允许低信任级别的用户读高敏感度的信息，也不允许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通。依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。见图8.2。在实际应用中，完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。图8.2 Biba安全模型MAC通常用于多级安全军事系统。强制访问控制对专用的或简单的系统是有效的，但对通用、大型系统并不那么有效。一般强制访问控制采用以下几种方法：（1）限制访问控制。一个持洛伊木马可以攻破任何形式的自主访问控制，由于自主控制方式允许用户程序来修改他拥有文件的存取控制表，因而为非法者带来可乘之机。MAC可以不提供这一方便，在这类系统中，用户要修改存取控制表的唯一途径是请求一个特权系统调用。该调用的功能是依据用户终端输入的信息，而不是靠另一个程序提供的信息来修改存取控制信息。（2）过程控制在通常的计算机系统中，只要系统允许用户自己编程，就没办法杜绝特洛伊木马。但可以对其过程采取某些措施，这种方法称为过程控制。例如，警告用户不要运行系统目录以外的任何程序。提醒用户注意，如果偶然调用一个其它目录的文件时，不要做任何动作，等等。需要说明的一点是，这些限制取决于用户本身执行与否。（3）系统限制要对系统的功能实施一些限制。比如，限制共享文件，但共享文件是计算机系统的优点，所以是不可能加以完全限制的。再者，就是限制用户编程。不过这种做法只适用于某些专用系统。在大型的，通用系统中，编程能力是不可能去除的。
请登录后再发表评论!
英文原义：Media Access Control 中文释义：介质访问控制子层协议 它定义了数据包怎样在介质上进行传输。在共享同一个带宽的链路中，对连接介质的访问是“先来先服务”的。物理寻址在此处被定义，逻辑拓扑（信号通过物理拓扑的路径）也在此处被定义。线路控制、出错通知（不纠正）、帧的传递顺序和可选择的流量控制也在这一子层实现。 注解：该协议位于OSI七层协议中数据链路层的下半部分，主要负责控制与连接物理层的物理介质。在发送数据的时候，MAC协议可以事先判断是否可以发送数据，如果可以发送将给数据加上一些控制信息，最终将数据以及控制信息以规定的格式发送到物理层；在接收数据的时候，MAC协议首先判断输入的信息并是否发生传输错误，如果没有错误，则去掉控制信息发送至LLC层。 应 用：不管是在传统的有线局域网（LAN）中还是在目前流行的无线局域网（WLAN）中，MAC协议都被广泛地应用。在传统局域网中，各种传输介质的物理层对应到相应的MAC层，目前普遍使用的网络采用的是IEEE 802.3的MAC层标准，采用CSMA/CD访问控制方式；而在无线局域网中，MAC所对应的标准为IEEE 802.11，其工作方式采用DCF（分布控制）和PCF（中心控制）。 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ MAC（Media Access Control, 介质访问控制）MAC地址是烧录在Network Interface Card(网卡,NIC)里的.MAC地址,也叫硬件地址,是由48比特长(6字节),16进制的数字组成.0-23位是由厂家自己分配.24-47位,叫做组织唯一标志符(oganizationally unique ，是识别LAN（局域网）节点的标识。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM（一种闪存芯片，通常可以通过程序擦写），它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。 也就是说，在网络底层的物理传输过程中，是通过物理地址来识别主机的，它一般也是全球唯一的。比如，著名的以太网卡，其物理地址是48bit（比特位）的整数，如：44-45-53-54-00-00,以机器可读的方式存入主机接口中。以太网地址管理机构（IEEE）将以太网地址，也就是48比特的不同组合，分为若干独立的连续地址组，生产以太网网卡的厂家就购买其中一组，具体生产时，逐个将唯一地址赋予以太网卡。 形象的说，MAC地址就如同我们身份证上的身份证号码，具有全球唯一性。 如何获取本机的MAC？ 对于数量不多的几台机器，我们可以这样获取MAC地址：在Windows 98/Me中，依次单击“开始”→“运行” →输入“winipcfg”→回车。即可看到MAC地址。 在Windows 2000/XP中，依次单击“开始”→“运行”→输入“CMD”→回车→输入“ipconfig /all”→回车。即可看到MAC地址。 修改网卡MAC地址的方法 其实更改网卡MAC地址的功能不论98、2000还是XP，都已经提供了，只是平时大家都没有注意到而以。下面我就说说怎么更改。很简单哦。。。 好了，现在先来看看WIN2000。在桌面上网上邻居图标上点右键，选&属性&，在出来的&网络和拨号连接&窗口中一般有两个图标，一个是&新建连接&图标，一个是&我的连接&图标。如果你的机器上有两个网卡的话，那就有三个图标了。如果你只有一个网卡，那就在&我的连接&图标上点右键，选&属性&，会出来一个&我的连接 属性&的窗口。在图口上部有一个&连接时使用：&的标识，下面就是你机器上的网卡型号了。在下面有一个&配置&按钮，点击该按钮后就进入了网卡的属性对话框了，这个对话框中有五个属性页，点击第二项&高级&页，在&属性&标识下有两项：一个是&Link Speed/Duplex Mode&,这是设置网卡工作速率的，我们需要改的是下面一个&Network Address&,点击该项，在对话框右边的&值&标识下有两个单选项，默认得是&不存在& ，我们只要选中上面一个单选项，然后在右边的框中输入你想改的网卡MAC地址，点&确定&，等待一会儿，网卡地址就改好了，你甚至不用停用网卡！ 另外，你也可以在&设置管理器&中，打开网卡的属性页来修改，效果一样。WINXP的修改方法跟WIN2000一样。 在98下面修改和WIN2000、XP下差不多。在&网上邻居&图标上点右键，选择&属性&，出来一个&网络&对话框，在&配置&框中，双击你要修改的网卡，出来一个网卡属性对话框。在&高级&选项中，也是点击&属性&标识下的&Network Address&项，在右边的两个单选项中选择上面一个，再在框中输入你要修改的网卡MAC地址，点&确定&后，系统会提示你重新启动。重新启动后，你的网卡地址就告修改成功！！ 如果你想把网卡的MAC地址恢复原样，只要再次把&Network Address&项右边的单选项选择为下面一个&没有显示&再重新启动即可。在WIN2000、XP下面是选择&不存在&，当然也不用重新启动了。 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 消息鉴别码 消息鉴别码(Message Authentication Code)也叫 密码校验和（cryptographic checksum） 鉴别函数的一种. 消息鉴别码实现鉴别的原理是,用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性.使用一个密钥生成一个固定大小的小数据块,即MAC，并将其加入到消息中,然后传输.接收方利用与发送方共享的密钥进行鉴别认证等. MAC:最高容许浓度 maximum allowable concentration， 工作地点、在一个工作日内、任何时间有毒化学物质均不应超过的浓度 编辑本段强制访问控制 Mandatory Access Control . 强制访问控制允许加载新的访问控制模块，并借此实施新的安全策略，其中一部分为一个很小的系统子集提供保护并加强特定的服务，其他的则对所有的主体和客体提供全面的标签式安全保护。定义中有关强制的部分源于如下事实，控制的实现由管理员和系统作出， 而不像自主访问控制 (DAC, FreeBSD 中的标准文件以及 System V IPC 权限) 那样是按照用户意愿进行的。 强制访问控制是系统独立于用户行为强制执行访问控制，它也提供了客体（数据对象）在主体（数据库用户）之间共享的控制，但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对资源的访问，从而防止对信息的非法和越权访问，保证信息的保密性。与自主访问控制不同的是，强制访问控制由安全管理员管理，由安全管理员根据一定的规则来设置，普通数据库用户不能改变他们的安全级别或对象的安全属性；自主访问控制尽管也作为系统安全策略的一部分，但主要由客体的拥有者管理 MAC 有时也用来称呼不知道名字的男子。在科学术语中它指的是空气最大浓度。Military Airlift Command的缩写也是MAC.
请登录后再发表评论!无线网络,解决方案是什么？
无线网络,解决方案是什么？
共 245 次关注&&&&
一、 企业网络建设的特点　　企业信息化的基础是企业网，企业都在致力于建设一个高速、安全、可靠、可扩充的网络系统，以实现企业内信息的高度共享、传递，大大提高工作效率;为了实现对外信息的交流，还需要建立出口通道，实现与Internet互联，可以方便地进行资料查询。企业所需要的信息化服务要求较高，其网络应具有以下特点：　　· 作为一个基于企业Intranet的信息管理和应用的网络系统，提供相应的各种服务　　· 网络上各种软、硬件资源能得到共享，并能快速、稳定地传输各种信息，提供有效的网络信息管理手段　　· 采用开放式、标准化的系统结构，以利于功能扩充和技术升级　　· 能够与外界进行广域网的连接，提供、享用各种信息服务　　· 具有完善的网络安全机制。　　· 能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计算机系统的信息。二、方案设计　　1)无线网络组网　　使用无线组网的技术，通过安装AP和PCMCIA无线网卡或USB无线网卡，就可以在公司内部架构起无线局域网，使得办公区、会议室、会客室、展示厅及休息区都可以移动上网，为移动办公创造了条件。　　2)业务方案说明　　· 用户隔离　　由于无线用户的流动性和不确定性，需要对用户之间互访的进行隔离，首先必须要求AP具有二层隔离功能。但是，仅仅AP具有二层隔离功能，只能保证连接在同一个AP下的两个无线用户之间的隔离，而连接在不同AP下的用户之间却可以通过上一级交换机进行通讯，因此仅AP实现隔离不能从根本上解决用户之间隔离的问题。为此，必须在连接AP的上一级交换机上为交换机的每个端口配置VLAN，以保证连接在不同AP下的用户之间的隔离，同时在Ocamar AC上的也应设置为用户隔离状态，这样就可以从根本上利用不同的网络设备实现用户之间的访问隔离。　　· 认证方式　　用户认证采用WEB DHCP方式，即用户打开IE浏览器，输入一个URL，这时Ocamar AC将用户的浏览器重定向到认证页面，要求用户在认证页面提供用户名和密码，当用户成功认证后，AC将用户浏览器重新带回刚才所键入的URL。基于WEB方式的认证，用户电脑设置简单，用户无须安装任何客户端软件，仅仅需要将用户网卡设为自动获得IP地址，Ocamar AC会自动为用户分配正确的IP;即使用户将无线网卡设置了固定的IP地址，也可利用AC中的即插即用功能。认证通过后，为了提高安全性，Ocamar AC对MAC地址、IP地址以及用户名三者实施了绑定策略。　　· 用户权限和网络访问控制　　根据业务模式和对用户权限管理的需要，需要对用户访问本地网络的权限进行控制。比如，公司员工允许通过WLAN访问本地网络资源，诸如文件服务器、打印服务器、MIS、视频服务等，同时允许访问INTERNET;对于来访人员，根据其不同身份级别，对其能否访问本地网络资源加以控制。根据这些需求，Ocamar AC有两个Internet的出口，用于让某些不允许访问本地网络资源的用户直接访问INTERNET。Ocamar AC的一个端口(出口2)和企业收敛交换机相连，用于提供给某些用户(比如访客)上网出口，因为这些用户不允许访问企业内部网络。而Ocamar AC的另一个端口(出口1)接企业内部局域网，这样，企业内部员工可以通过这条路由访问本地网络资源以及访问INTERNET，从而实现用户权限的控制和本地网络资源的控制。　　此外，根据实际的业务需要，可增加MAC地址绑定方式，只有指定的MAC地址，并通过对应的用户名和密码进行认证，才能合法接入网络；或采用MAC地址验证方式，可根据不同的MAC地址为无线用户分配不同网段的IP地址，实现基于不同用户的业务策略和访问控制；也可根据Ocamar AC上不同的网口，对应交换机的VLAN分配不同网段的IP地址，实现基于不同区域的业务策略和访问控制。　　· 无线网络设备管理　　为了便于网络管理员对整个无线网络进行有效的管理，Ocamar AC上内建了一个基于WEB的管理平台，提供对无线接入控制服务器(AC)和无线接入点(AP)的管理。对AC的管理包括对AC运行等参数的配置，各模块运行状况监控等；对无线接入点的管理包括扫描指定网段的所有AP，实时报告所有AP运行状态，发现非法AP立即报警，群组更改AP的设置，如ESSID等，以便对所有AP进行集中化的管理。　　· 用户管理　　用户管理是一个基于WEB方式的管理员界面，也可以是一个客户端程序，在其中可以添加新用户，添加新的用户组别，修改用户属性以及修改用户组的属性，另外，可以对每个用户是否允许使用VPN、是否需要进行MAC地址的验证等内容进行设置。　　Ocamar AC还可以记录用户上网日志，日志包括用户名、目的IP地址、访问时间、用户的主机IP地址、MAC地址、VLAN接入位置等信息。用户访问日志可以记录用户的整个网上活动过程，便于追查恶意用户的物理位置，实现网络的安全控制。网卡MAC地址是什么？如何查看和修改网卡的MAC地址
作者：佚名
字体：[ ] 来源：互联网 时间：10-16 10:27:59
MAC地址是用来定义网络设备位置的。主要用它来识别网络中用户的身份，一台电脑的IP地址可以动态变化，而Mac地址是固定不变的(不更换网卡的情况下)，下面为大家介绍下如何查看及修改网卡的MAC地址
　　MAC地址和IP地址的区别
　　MAC地址是用来定义网络设备位置的。在OSI模型中，第三层网络层负责 IP地址，第二层数据链路层则负责 MAC位址。因此一台电脑的IP地址可以动态变化，而Mac地址是固定不变的(不更换网卡的情况下)。
　　MAC地址有什么作用?
　　由于网卡的MAC地址具有全球唯一性，主要用它来识别网络中用户的身份。例如：
　　ADSL上网时，电信用它来记费，确认是你上的网;在校园网中，MAC地址也可以用来识别用户。
　　校园网的正式用户，其MAC地址会登记在服务器端，假如你是非法用户，服务器中就没有你的网卡MAC地址，这样当你试图连上网时，服务器就会立刻认出你、阻止你连上网络。
　　如何查看网卡的MAC地址?
　　下面是各种操作系统下查看MAC地址的方法：
　　Windows XP/Visat/7 下用ipconfig命令查看网卡MAC地址
　　Mac地址能修改吗?
　　手机无线网卡也有唯一的MAC地址
　　能。可以进行硬件修改和软件修改。
　　硬件修改就是使用网卡厂家提供的修改程序来烧录网卡的EEPROM，这样做风险很大、操作复杂。
　　非硬件修改：
　　Windows在安装过程中会自动从网卡中读入MAC地址并将其储存在注册表中。当数据在网络中传输时，从网卡发出的数据包中要求有一个源MAC地址，这个MAC地址是直接从注册表中读取的，而不是去检测网卡。因此只要修改了注册表中的MAC地址，就相当于&改了网卡(EEPROM中)的MAC地址&(当然，用专业的硬件检测工具还是可以查出网卡的真实MAC地址的)。那么，如何修改注册表中存储的网卡的MAC地址呢?可以手动修改也可以使用软件修改。
　　手动修改法。首先，打开设备管理器并找到网络适配器。
　　设备管理器里的网卡
　　以修改本地网卡MAC地址为例，鼠标右击，打开网卡属性框。
　　网卡属性
　　接着打开高级选项卡，找到网络地址选项，填入自定义的MAC地址，保存即可。
　　MAC地址默认是未预设的(not preset)
　　软件修改法。推荐使用Ryll MAC Editor。使用这个小软件可以快速修改MAC地址而且可以迅速恢复，免除后顾之忧。
大家感兴趣的内容
12345678910
最近更新的内容