计算机网络信息安全理论与实践教程-第7章

第7章访问控制技术的原理与应用第7章访问控制技术的原理与应用7.1访问控制目标7.2访问控制系统模型7.3访问授权和模型7.4访问控制类型7.5访问控制策略的设计与组成7.6访问控制管理过程和内容7.7访问控制案例分析7.8本章小结本章思考与练习第7章访问控制技术的原理与应用7.1访问控制目标访问控制的目标有两个，一是防止非法用户进入系统，二是阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。要实现访问控制的目标，首先要对网络的用户进行有效的身份认证，然后根据不同的用户授予不同的访问权限，进而保护系统资源。同时还可以进行系统的安全审计和监控，检测用户对系统的攻击企图。简而言之，访问控制可通过采取两条措施来实现，即：*识别和鉴定访问系统的用户的真实身份，防止非法访问。*确定用户对系统资源的访问类型，授权用户访问操作。第7章访问控制技术的原理与应用目前，访问控制的主要类型有：*物理访问控制：主要针对物理环境或设备实体而设置的安全措施，一般包括门禁系统、警卫、个人证件、门锁、物理安全区域划分。*网络访问控制：主要针对网络资源而采取的访问安全措施，一般包括网络接入控制、网络通信连接控制、网络区域划分、网络路由控制、网络节点认证。*操作系统访问控制：针对计算机资源而采取的访问安全措施，例如文件读/写访问控制、进程访问控制、内存访问控制等。第7章访问控制技术的原理与应用*数据库访问控制：针对数据库资源而采取的访问安全措施，例如数据库表创建。*应用系统访问控制：针对应用系统资源而采取的访问安全措施，例如业务系统进入、业务执行操作、业务系统信息读取等。第7章访问控制技术的原理与应用7.2访问控制系统模型访问控制机制由一组安全机制构成，可以抽象为一个简单的模型，其组成要素主要有：主体、参照监视器(ReferenceMonitor)、客体、访问控制数据库、审计库，如图7-1所示。*主体(subject)：是引起信息在客体之间流动的一种实体。通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编辑一个文件时，编辑进程是存取文件的主体，而文件是客体。第7章访问控制技术的原理与应用图7-1访问控制模型示意图客体参考监视器访问控制数据库审计库主体第7章访问控制技术的原理与应用*客体(object)：是系统中被动的主体行为承担者。对一个客体的访问隐含着对其包含信息的访问。客体的实体类型有：记录、程序块、页面、段、文件、目录、目录树和程序，还有位、字节、字、字段、处理器、视频显示器、键盘、时钟、打印机和网络节点等。*参照监视器(referencemonitor)：监督主体和客体之间授权访问关系的部件，是访问控制执行单元和决策单元。参照监视器的关键需求是控制从主体到客体的每一次存取，并将重要的安全事件存入审计文件之中。第7章访问控制技术的原理与应用*访问控制数据库：记录主体访问客体权限及其访问方式的信息，数据库可以动态变化和修改，它随着主体和客体的产生或删除及其权限的修改而改变。*审计库：存储主体访问客体的操作信息，包括访问成功信息、访问失败信息以及访问操作信息。第7章访问控制技术的原理与应用7.3访问授权和模型访问是主体对客体实施操作的能力，访问控制是指以某种方式限制或授予这种能力。授权是指主体经过系统鉴别后，系统根据主体的类型分配访问权限。例如，在操作系统中，用户对文件的访问权限有读、写和执行。如图7-2所示，Linux普通用户spring可以读取文件/etc/passwd的内容，但无法执行。访问控制与授权密不可分，通过授权，可以实现有效控制。第7章访问控制技术的原理与应用图7-2用户对文件的访问权限第7章访问控制技术的原理与应用一般情况下，访问控制可以用一个三元组来表示，即(S，O，A)，其中，S表示主体集合，O表示客体集合，A表示属性集合。第7章访问控制技术的原理与应用7.4访问控制类型7.4.1自主访问控制自主访问控制(DiscretionaryAccessControl，简称DAC)是指客体的所有者按照自己的安全策略授予系统中的其他用户对它的访问权。目前，自主访问控制的实现方法有两大类，即基于行的自主访问控制和基于列的自主访问控制。第7章访问控制技术的原理与应用1．基于行的自主访问控制基于行的自主访问控制方法在每个主体上都附加一个该主体可访问的客体的明细表。根据表中信息的不同，又可将表分成三种形式，即能力表(capabilitieslist)、前缀表(profiles)和口令(password)。(1)能力表。能力表是访问客体的钥匙，它决定用户是否能够对客体进行访问以及具有何种访问模式(读、写、执行)。拥有一定能力的主体可以按照给定的模式访问客体。第7章访问控制技术的原理与应用(2)前缀表。前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时，自主访问控制机制检查主体的前缀是否具有它所请求的访问权。(3)口令。在基于口令机制的自主存取控制机制中，每个客体都相应地有一个口令。主体在对客体进行访问前，必须向操作系统提供该客体的口令。如果正确，它就可以访问该客体。第7章访问控制技术的原理与应用2．基于列的自主访问控制基于列的自主访问控制机制则是在每个客体上都附加一个可访问它的主体的明细表，它有两种形式，即保护位(protectionbits)和访问控制表(AccessControlList，ACL)。(1)保护位。这种方法对所有主体、主体组以及客体的拥有者指明一个访问模式集合，通常以比特位来表示访问权限。UNIX系统采用的就是这种访问控制方法。(2)访问控制表。访问控制表简称ACL，它在每个客体上都附加一个主体明细表，表示访问控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。它的一般结构如图7-3所示。第7章访问控制技术的原理与应用图7-3访问控制表ACL客体file1：ID1.rxID2.rID3.x…IDn.rwx第7章访问控制技术的原理与应用对于客体file1，主体ID1对它只具有读(r)和运行(x)的权力，主体ID2对它只具有读权力，主体ID3只具有运行的权力，而主体IDn则对它同时具有读、写和运行的权力。自主访问控制是最常用的一种对网络资源进行访问约束的机制，其好处是用户自己可根据其安全需求，自行设置访问控制权限，访问机制简单、灵活。但这种机制的实施依赖于用户的安全意识和技能，不能满足高安全等级的安全要求。例如，网络用户由于操作不当，将敏感的文件用电子邮件发送到外部网，造成泄密安全事件。第7章访问控制技术的原理与应用7.4.2强制访问控制强制访问控制(MandatoryAccessControl，简称MAC)是指系统根据主体和客体的安全属性，以强制方式控制主体对客体的访问。例如，在强制访问控制机制下，安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全属性，当一个进程访问一个文件时，系统调用强制访问控制机制，当且仅当进程的安全属性蕴含客体的安全属性时，进程才能访问客体，否则就拒绝。与自主访问控制相比较，强制访问控制更加严格。用户使用自主访问控制虽然能够防止其他用户非法入侵自己的网络资源，但对于用户的意外事件或误操作则无效。因此，自主访问控制不能适应高安全等级需求。在政府部门、军事和金融等领域，常利用强制访问控制机制，将系统中的资源划分成不同的安全等级和类别，然后进行安全管理。第7章访问控制技术的原理与应用7.4.3基于角色访问控制通俗地说，角色(role)就是系统中的岗位、职位或者分工。例如，在一个医院系统中，医生、护士、药剂师、门卫等都可以视为角色。所谓基于角色访问控制(RBAC)，就是指根据完成某些职责任务所需要的访问权限来进行授权和管理。RBAC由用户(U)、角色(R)、会话(S)和授权(P)四个基本要素组成。在一个系统中，可以有多个用户和多个角色，用户与角色的关系是多对多的关系。授权就是主体对客体的操作能力的赋予，这些操作能力有读、写、修改、执行等。通过授权，一个角色也可以拥有多个权限，而一个权限也可以赋予多个角色。第7章访问控制技术的原理与应用同时，一个用户可以扮演多个角色，一个角色也可以由多个用户承担。在一个采用RBAC作为授权存取控制的系统中，由系统管理员负责管理系统的角色集合和访问权限集合，并将这些权限赋予相应的角色，然后把角色映射给承担不同工作职责的用户，如图7-4所示。RBAC的功能相当强大、灵活，适用于许多类型的用户需求。第7章访问控制技术的原理与应用图7-4基于角色访问控制示意图用户标识属性证书角色1角色2…角色m策略文件…权限1权限2权限n第7章访问控制技术的原理与应用目前，Netware、WindowsNT、Windows2000、Solaris等操作系统中都采用了类似的RBAC技术。图7-5是Windows2000策略授权示意图。Windows2000系统将操作权限分成多种类型，如关闭系统、备份文件、管理系统审核和安全日志等，然后系统把这些操作权限授予不同组(类似角色)，如备份操作员(BackupOperators)、管理员(Administrators)、审计员(AccountOperators)等，当系统创建一个用户时，通过将用户指定到某个组来实现权限的授予。第7章访问控制技术的原理与应用图7-5Windows2000策略授权示意图第7章访问控制技术的原理与应用7.5访问控制策略的设计与组成7.5.1访问控制策略访问控制策略用于规定用户访问资源的权限，防止资源损失或泄密，防止非法使用。设计访问控制策略时，应考虑下述问题：*不同的网络应用安全需求，如内部用户访问还是外部用户；*所有和应用相关的信息的确认，如通信端口号、IP地址等；*网络信息传播和授权策略，如信息的安全级别和分类；第7章访问控制技术的原理与应用*不同系统的访问控制和信息分类策略之间的一致性；*关于保护与数据和服务有关的法规和合同的义务；*访问权限的管理。第7章访问控制技术的原理与应用一个访问控制策略必须指明禁止什么和允许什么，在说明访问控制规则时，应做到以下几点：*区分必须执行的规则与可选的或有条件应执行的规则；*所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提；*信息标记的变化，包括由信息处理设备自动引起的或是由用户决定引起的；*由信息系统和管理人员引起的用户许可的变化；*规则在颁布之前需要管理人员的批准或其他形式的许可。第7章访问控制技术的原理与应用总而言之，一个访问控制策略由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成。在一个网络系统，访问控制策略有许多，具体包括机房访问控制策略、拨号服务器访问控制策略、路由器访问控制策略、交换机访问控制策略、防火墙访问控制策略、主机访问控制策略、数据库访问控制策略、客户端访问控制策略、网络服务访问控制策略等。第7章访问控制技术的原理与应用7.5.2访问控制规则1．基于用户身份的访问控制规则基于用户身份的访问控制规则利用具体的用户身份来限制访问操作，通常以帐号名和口令表示用户。当用户输入的“帐号名和口令”都正确后，系统才允许用户访问。目前，操作系统或网络设备的控制都采用这种控制规则。第7章访问控制技术的原理与应用2．基于角色的访问控制规则正如前面所说，基于角色的访问控制是根据用户完成某项任务所需要的权限进行控制的。3．基于地址的访问控制规则基于地址的访问控制规则利用了访问者所在的物理位置或逻辑地址空间来限制访问操作。例如，重要的服务器和网络设备可以禁止远程访问，仅仅允许本地的访问，这样可以增加安全性。基于地址的访问控制规则有IP地址、域名地址以及物理位置。第7章访问控制技术的原理与应用4．基于时间的访问控制规则基于时间的访问控制规则利用时间来约束访问操作。在一些系统中为了增加访问控制的适应性，增加了时间因素的控制。例如，下班时间不允许访问服务器。5．基于异常事件的访问控制规则基于异常事件的访问控制规则利用异常事件来触发控制操作，以避免危害到系统的行为进一步升级。