Access Control

Access Control 接入控制。接入控制屬於安全方面的功能,用以阻止或控制 用户（或系統）系統進行通信和交互。接入控制對計算機系統、網絡、Web服務器、附加網以及其他各種系統和設備的接入進行管理。接入控制保護系統免受非法接入,並在大數情況下為已由身份認 證系統確認的用户或系統確定適當級別的權限。

接入控制從試圖識別並確認用户的登錄過程開始。用户提供一些具有惟一性的證明材料，例如密碼等，但也可以使用指紋、話音或眼球掃描設備。 更為常見的控制接入方法是使用智能卡，它可以顯示用户隨若干可回憶起的登錄信息一起輸入的惟一訪問密碼。

登錄過程是黑客入侵系統時最易得手的階段。 一些脆弱的密碼很容易被惡怠用户猜中。密碼應該含有大寫和小寫字符的組合(例如“Qp&yTx”>。 然而，這種密碼易於忘記，所以“首字母縮寫詞密碼”便顯得有用。例如，從“ My birthday is on the 4th of July”（“我的生日是7月4 日”）可以派生出複雜的密碼“Mbiot40J"。

網絡管理員通常可以實行工作站限制和時間限制（取決於操作系統），從而阻止用户在一天之中的特定時間訪問特定系統。例如，網絡管理員可以阻止用户登錄到除其辦公室中某台計算機之外的所有計算機，或者阻止用户在下班後登錄到任何計算機。這可以防止用户使用無人監管的系統或在非工作時間工作。這樣做的理由是防止用户下載客户數據庫並將它帶出辦公室之類的非法行為。

在登錄過程中，被訪問的系統可能會執行下列操作之一：

·運行自己的身份驗證程序.將用户提供的信息和存儲在自身安全數據庫中的信息迸行對比。

·將身份驗證交給負責處理所有網絡身份驗證的安全服務器。

後一種方法最為安全，因為此時用於存儲用户ID和密碼的服務器應該位於安全的物理位置，並受到專業的管理。而前一種方法的安全性較差，因為此時的安令信息由計算機本身保存，一旦有人獲得了該系統的物理訪問權限，則可能遭到入侵。

用户經過身份驗證後，他對系統資源的訪問將由安全系統控制。Windows NT/Windows 2000中的安全系統就是一個良好的範例：

·所有資源(文件夾、文件、打印機等）都被視作對象

·每個對象都有自己的安全描述符，該描述符 僅保存與自身有關的安全信息，例如哪些用户可以訪問自己 ^[1]  ，以及允許用户進行何種類型的訪問等。

·當用户要訪問一個對象時，Windows NT的安全系統會檢查該對象的安全描述符所定義的ACL (接入控制表),如果ACL中含有該用户項.系統會允許他訪問該對象。

大多數由網絡連接起來的系統都使用單一的登陸功能，即用户只需登陸一次就可以訪問網絡上任何位置的資源。一旦用户通過了安全系統的身份認證， 就會授與他或她專門的訪問令牌：這種令牌可以向絡中的其他系統證實用户的身份。在Windows NT/Windows 2000中.這種接入令牌含有用户的 SID (安全ID)、用户所在組的ID以及其他安全信信息。如果用户想訪問服務器上的資源，則服務器上的安全系統會鑑定該用户的接入令牌以確定他的訪問權限。