第4章-访问控制与VPN技术.

1《计算机网络安全》课程讲义清华大学出版社2第四章访问控制与VPN技术3本章内容访问控制的概念、模型访问控制中AAA组件虚拟专用网（VPN）技术4学习目标了解访问控制技术的概念和特点掌握访问控制分类掌握AAA技术理解VPN的定义及其类型掌握VPN的各种隧道协议54.1访问控制技术访问控制技术的基本概念访问控制（AccessControl）是针对越权使用资源的防御措施，即判断使用者是否有权限使用、或更改某一项资源，并且防止非授权的使用者滥用资源。访问控制通常包含以下三方面含义：一是机密性控制，保证数据资源不被非法读出；二是完整性控制，保证数据资源不被非法增加、改写、删除和生成；三是有效性控制，保证资源不被非法访问主体使用和破坏。64.1访问控制技术访问控制技术的基本概念访问控制系统一般包括：（1）主体：发出访问操作、存取要求的主动方，通常指用户或用户的某个进程。（2）客体：被调用的程序或欲存取的数据访问。（3）安全访问政策：一套规则，用以确定一个主体是否对客体拥有访问能力。74.1访问控制技术访问控制模型访问控制功能组件包括了下列四个部分：1）发起者；2）访问控制实施功能AEF；3）访问控制决策功能ADF；4）目标（Target）。84.1访问控制技术访问控制组件的分布AEF所提供的功能可以独立成一个功能组件，称为AEFComponent，简称为AEC；同样的，ADF所提供的功能也可独立成一个功能组件，称为ADFComponent，简称为ADC。AEC及ADC可以有不同的组合方式。94.1访问控制技术访问控制组件的分布ADF能由一个或多个ADF组件实现，且AEF能由一个或多个AEF组件实现。如图所示为访问控制组件间的关系的示例。这里描述的关系只适用于单个发起者和单个目标，其他示例可能包括使用多于一个ADC和AEC。104.1访问控制技术访问控制活动（1）建立访问控制策略的表示（2）建立访问控制信息ACI的表示（3）给发起者和目标分配ACI（4）绑定ACI到发起者、目标和访问请求（5）使ADI对ADF可用（6）修改ACI（7）撤销ADI（8）ACI转发114.1访问控制技术访问控制与其它安全措施的关系（1）身份认证身份认证与访问控制尽管有某些共性和联系，但服务却是不相同的。身份认证是判断访问者是否具有其声称的身份的处理过程。访问控制是信息安全保密防范的第二道防线，它是身份认证成功的基础上，取得用户身份，根据身份信息和授权数据库决定是否能够访问某个资源。在某些系统中用于身份认证的验证设施与ADF搭配在一起。在分布式系统中，不需要搭配这些功能，并且可使用分离的发起者ACI，因此身份仅被简单地当作发起者绑定ACI的一部分。124.1访问控制技术访问控制与其它安全措施的关系（2）数据完整性数据完整性服务能用于确保在访问控制组件内或组件之间输入和输出的完整性。（3）数据机密性在一些安全策略控制下，可要求数据机密性服务以便对访问控制组件或访问控制组件之间的某些输入和某些输出实现机密性，例如，防止收集敏感信息。134.1访问控制技术访问控制与其它安全措施的关系（4）安全审计安全审计技术是一种事后追查手段。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”——用户的身份。ACI可用来审计一个特定发起者的访问请求。需要收集若干审计线索，以便能够准确地识别哪个发起者执行了哪些访问请求。144.1访问控制技术访问控制颗粒和容度访问控制策略可在不同的颗粒级别上定义目标。每一个颗粒级别有它自己逻辑上的分离策略，并可使用不同AEF与ADF组件。通过规定一种策略，容度可用来对一个目标集实施访问控制，只有在对包含这些目标的一个目标被允许访问时，该策略才允许访问这些目标。容度也应用在包含于大组里的发起者子组。在一个元素被包含在另一个元素之中的情况下，在试图访问经密封的元素之前，有必要给发起者赋予“通过”该密封元素的访问权力。154.2访问控制的分类强制访问控制（MAC）指系统强制主体服从事先制定的访问控制策略，在八十年代得到普遍应用，主要用于多层次安全级别的军事应用中。在MAC系统中，所有主体和客观都被分配了安全标签以标识一个安全等级。当主体访问客体时，调用强制访问控制机制，根据主体的安全等级和访问方式，比较主体的安全等级和客体的安全等级，从而确定是否允许主体对客体的访问。164.2访问控制的分类自主访问控制（DAC）在确认主体身份及所属的组的基础上，对访问进行限定的一种控制策略。在这种方式下，主体可以按照自己的意愿精确指定系统中的其他对其客体的访问权。其实现理论基础是访问控制矩阵，将系统的安全状态描述为一个矩阵，矩阵的行表示系统中的主体，列表示系统中的客体，每个元素表示主体对客体所拥有的访问权限。174.2访问控制的分类自主访问控制（DAC）为提高效率，系统不保存整个矩阵，在具体实现时是基于矩阵的行或列来实现访问控制策略。目前，主要有两种实现方式:（1）基于行（主体）的DAC实现通过在每个主体上都附加一个该主体可以访问的客体的明细表来表现，根据表中信息的不同可分为以下三种形式：①权能表②前缀表③口令（2）基于列（客体）的DAC实现通过对每个客体附加一个可访问它的明细表来表示，有以下两种形式：①保护位②访问控制列表ACL184.2访问控制的分类基于角色的访问控制（RBAC）RBAC模型通过引入“角色”的概念，将访问控制中的主体对象和对应权限解耦。RBAC是目前公认的解决大型企业的统一资源访问控制的有效访问方法，其具备的两个特征是：①由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，从而减小授权管理的复杂性，降低管理开销。②可以灵活地支持企业的安全策略，并对企业变化有很大的伸缩性。194.2访问控制的分类基于角色的访问控制（RBAC）（1）RBAC的相关概念①角色（Role）：指一个组织或任务中的工作或位置，代表了一种资格、权利和责任。②用户（User）：一个可以独立访问计算机系统中的数据或数据表示的其他资源的主体。③权限（Permission）：表示对系统中的客体进行特定模式的访问操作，这与实现的机制密切相关。204.2访问控制的分类基于角色的访问控制（RBAC）RBAC模型可以分为4种类型，分别是基本模型RBAC0（CoreRBAC）、角色分级模型RBAC1（HierarchalRBAC）、角色限制模型RBAC2（ConstraintRBAC）和统一模型RBAC3（CombinesRBAC）。RBAC基本模型包含了RBAC标准最基本的内容214.2访问控制的分类基于任务的访问控制（TBAC）所谓任务,就是用户要进行的一个个操作的统称。任务是一个动态的概念，每项任务包括其内容、状态、执行结果、生命周期等。TBAC从任务角度进行授权控制，在任务执行前授予权限，在任务完成后收回权限。TBAC中，访问权限是与任务绑定在一起的，权限的生命周期随着任务的执行被激活，并且对象的权限随着执行任务的上下文环境发生变化，当任务完成后权限的生命周期也就结束了，因此它属于一种主动安全模型。224.2访问控制的分类基于任务的访问控制（TBAC）TBAC的一些相关概念如下所示。①授权步：是指在一个工作流程中对处理对象的一次处理过程。它是访问控制所能控制的最小单元。②授权结构体：是由一个或多个授权步组成的结构体。它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。③任务：是工作流程中的一个逻辑单元。它是一个可区分的动作，可能与多个用户相关，也可能包括几个子任务。④依赖：是指授权步之间或授权结构体之间的相互关系，包括顺序依赖、失败依赖、分权依赖和代理依赖。依赖反映了基于任务的访问控制的原则。234.2访问控制的分类其它访问控制方式（1）基于角色-任务的访问控制模型（2）基于规则策略的访问控制模型（3）面向服务的访问控制模型（4）基于状态的访问控制模型（5）基于行为的访问控制模型244.3AAA技术AAA技术概述AAA包含三个方面的内容：认证（Authentication）、授权（Authorization）、审计（Accounting），现在人们常常将它们称作为“3A”。AAA已成为网络安全策略研究的重要部分，其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行审计。AAA的工作相当简单。AAA设置在路由器或者PIX或者任何其他这样的设备上，这些设备都需要AAA对接入设备本身或者与设备相连的网络的用户进行限制。254.3AAA技术认证认证用于识别用户，在允许远程登录访问网络资源之前对其身份进行识别。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么该用户认证通过，如果不符合，则拒绝提供网络连接。如设立授权参数的话，就必须依据授权参数进行访问和使用。264.3AAA技术授权授权是用户或设备被给予对网络资源受控制的访问权限的过程。授权让网络管理员控制谁能够在网络中做些什么。它也可以通过PPP服务连接的用户赋予指定的IP地址，要求用户使用特定类型的服务进行连接，或者配置callback之类的高级特性。当启动AAA授权时，网络接入服务器使用从用户配置文件检索到的信息来配置用户的会话，这些信息要么位于本地用户数据库，要么位于安全服务器上。完成这个工作之后，如果用户设置文件的信息允许的话，用户就会被授予访问特定服务器的权限。274.3AAA技术审计审计是AAA的最后一个组件。审计是网络接入服务器用来报告认证的和/或授权的用户及设备所做行为进行统计的过程，AAA服务器通过远程用户拨号认证系统或者终端访问控制器访问控制系统进行统计。审计负责进一步的工作并记录被认证和/或者被授权的用户的行为。另外，审计也可以用来跟踪接入设备状态和终端访问控制器访问控制系统或远程用户拨号认证系统通信。审计信息以统计记录的形式在接入设备和终端访问控制器访问控制系统或远程用户拨号认证系统服务器之间进行交换。每个统计记录包含统计属性-值对，并储存在终端访问控制器访问控制系统或远程用户拨号认证系统服务器上。284.4VPN概述AAA协议目前最常用的AAA协议包含RADIUS和TACACS+两种。众多厂商都支持AAA协议，如微软内置的Internet身份认证服务，可以支持RADIUS，CISCOACS可支持RADIUS和TACACS+协议。（1）远程鉴权拨入用户服务（RADIUS）（2）终端访问控制器访问控制系统（TACACS+）294.4VPN概述VPN基本概念虚拟专用网（VirtualPrivateNetwork，VPN）是指利用密码技术和访问控制技术在公共网络中建立的专用通信网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成，虚拟专用网络对用户端透明，用户好像使用一条专用线路进行通信。304.4VPN概述VPN的技术要求（1）安全保障（2）服务质量（QoS）保证（3）可扩展性和灵活性（4）可管理性从VPN的技术相对于传统专用网具有明显的优势，体现在：（1）可以降低成本（2）可扩展性强（3）提供安全保证314.4VPN概述VPN类型（1）远程访问虚拟网（AccessVPN）该类型的VPN主要用来处理可移动用户、远程交换和小部门远程访问企业本部的连通性。当出差人员需要和企业或相关部门联系时，便可以利用本地相应的软件接入Internet，通过Internet和企业网络中相关的VPN网关建立一条安全通道。用户使用这条可以提供不同级别的加密和完整性保护的通道，可以传输不同级别保护的信息。如果用户所在地没有这些软件，只要ISP的接入设备可以提供VPN服务的话，用户也可以拨入ISP，由