《第4章.访问控制与防火墙》由会员分享,可在线阅读,更多相关《第4章.访问控制与防火墙(39页珍藏版)》请在金锄头文库上搜索。
1、第四章访问控制与防火墙聂旭云 电子科技大学24.14.1 访问控制访问控制 身份认证之后,就要为其提供服务,如何控制不 同用户拥有不同的服务呢?这就是访问控制。 在网络安全环境中,访问控制能够限制和控制通过通信链 路对主机系统和应用的访问。 为了达到这种控制,每个想获得访问的实体都必须经过鉴 别或身份验证,这样才能根据个体来制定访问权利。 访问控制服务用于防止未授权用户非法使用系统资源。34.1.14.1.1 访问控制概念访问控制概念 访问控制是通过某种途径显式地准许或限制访问能力及范 围的一种方法。通过限制对关键资源的访问,防止非法用 户的侵入或因为合法用户的不慎操作而造成的破坏,从而 保
2、证网络资源受控地、合法地使用,它是针对越权使用资 源的防御措施。 访问控制技术是建立在身份认证的基础上的 身份认证解决的是“你是谁,你是否真的是你所声称的 身份” 访问控制技术解决的是“你能做什么,你有什么样的权 限”这个问题。 访问控制原理: 系统资源的访问权限存放在授权数据库中; 通过一个参考监视器( Reference Monitor)监 视用户对系统资源访问的行为; 依据授权数据库 的规则 ,确定是否允许访问操作5一个安全系统的逻辑模型一个安全系统的逻辑模型授权数据库用 户目标资源审 计访问监视器认证访问控制64.1.24.1.2 访问控制概念访问控制概念访问控制系统一般包括以下几个实
3、体: 主体(subject):发出访问指令、存取要求的主动方,通常可以是用户或用户的某个进程等。 客体(object):被访问的对象,通常可以是被调用的程序、进程,要存取的数据、信息,要访 问的文件、系统或各种网络设备、设施等资源。 安全访问策略:一套规则,用以确定一个主体是 否对客体拥有访问能力。7访问控制概念原理访问控制概念原理 访问控制的目的: 限制主体对访问客体的访问权限,从而使计算机系统资 源能被在合法范围内使用; 决定用户能做什么,也决定代表一定用户利益的程序可以做什么。 访问控制机制可以限制对关键资源的访问,防止非 法用户进入系统及合法用户对系统资源的非法使用 。主流访问控制技术
4、 目前的主流访问控制技术有: 自主访问控制(DAC) 强制访问控制(MAC) 基于角色的访问控制(RBAC) 自主访问控制和强制访问控制,都是由主 体和访问权限直接发生关系,主要针对用 户个人授予权限。9访问控制实现方法访问控制实现方法较为常见的访问控制的实现方法主要有以下四种:访问控制矩阵、访问能力表、访问控制表和授 权关系表。10访问控制矩阵访问控制矩阵从数学角度看,访问控制可以很自然的表示成一个矩阵的形式:行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个 主体对某个客体的访问权限(比如读、写、执行、 修改、删除等)。11访问控制矩阵访问控制矩阵(续续)file1f
5、ile2file3file4account1account2Jackown r wown r winquiry creditMaryrown r wwrinquiry debitinquiry creditLilyr wrown r winquiry debit12访问控制矩阵访问控制矩阵(续续) 对账户的访问权限展示了访问可以被应用程序的抽 象操作所控制。 查询(inquiry)操作与读操作类似,它只检索数据而并不改动数据。 借(debit)操作和贷(credit)操作与写操作类似,要对原始数据进行改动,都会涉及读原先账户平衡信息、 改动并重写。实现这两种操作的应用程序需要有对账户 数据的读
6、、写权限,而用户并不允许直接对数据进行读 写,他们只能通过已经实现借、贷操作的应用程序来间 接操作数据。13访问能力表访问能力表 。为了减轻系统开销与浪费,我们可以从主体(行)出发, 表达矩阵某一行的信息,这就是访问能力表(capability)。也可以从客体(列)出发,表达矩阵某一列的信息,这便 成了访问控制表(access control list)。 能力(capability)是受一定机制保护的客体标志,标记了客体以及主体(访问者)对客体的访问权限。只有当一个主 体对某个客体拥有访问能力的时候,它才能访问这个客体。14访问能力表访问能力表(续续)用文件的访问能力表的表示方法前例进行表示
7、file1 own r wfile3file1ownr wfile2file3file4file1file4file2ownr wownr wrrwr wrJackMaryLily15访问能力表访问能力表(续续) 在访问能力表中,很容易获得一个主体所授权可以访问的客 体及其权限,但如果要求获得对某一特定客体有特定权限的 所有主体就比较困难。 在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务也应该能够控制可访问某一客体的主体集合,能 够授予或取消主体的访问权限,于是出现了以客体为出发点 的实现方式ACL(访问控制表), 现代的操作系统都大 体上采用基于ACL的方法。16访问控制表访
8、问控制表用文件的访问控制表的表示方法对前例进 行表示Mary ownr wwJack ownr wMarywLilyMaryrMaryrLilyr wLilyrJack ownr wownr wfile1file2file3file417访问控制表访问控制表(续续) ACL的优点:表述直观、易于理解,而且比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。 ACL的缺点: ACL需要对每个资源指定可以访问的用户或组以及相应的权限。访问控制的授权管理费力而繁琐,且容易出错 。 单纯使用ACL,不易实现最小权限原则及复杂的安全政策。18授权关系表授权关系表基于ACL和基于访问能力
9、表的方法都有自身的不足与优 势,下面我们来看另一种方法授权关系表( authorization relations)。每一行(或称一个元组)表 示了主体和客体的一个权限关系,因此Jack访问file1的权 限关系需要3行。如果这张表按客体进行排序的话,我们就可以拥有访问能力表的优势,如果按主体进行排序的话,那 我们又拥有了访问控制表的好处。这种实现方式也特别适合 采用关系数据库。19授权关系表授权关系表用文件的授权关系表的表示方法对前例的一部分进行表示主体访问权限客体Jackownfile1Jackrfile1Jackwfile1Jackownfile3Jackrfile3Jackwfile3
10、204.1.24.1.2 自主访问控制自主访问控制 自主访问控制DAC(discretionary access control)是目 前计算机系统中实现最多的访问控制机制。 DAC是在确认主体身份及所属组的基础上,根据访问者的身 份和授权来决定访问模式,对访问进行限定的一种控制策略 。 所谓自主,是指具有授予某种访问权力的主体(用户)能够 自己决定是否将访问控制权限的某个子集授予其他的主体或 从其他主体那里收回他所授予的访问权限。 其基本思想是:允许某个主体显式地指定其他主体对该主体 所拥有的信息资源是否可以访问以及可执行的访问类型。 DAC将访问规则存储在访问控制矩阵中,通过访问控制矩阵
11、可以很清楚地了解DAC。21DACDAC的优缺点的优缺点 DAC的优点是其自主性为用户提供了极大的灵活性,从而使之适合于许多系统和应用。 由于这种自主性,在DAC中,信息总是可以从一个实体流向另一个实体,即使对于高度机密的信 息也是如此,因此自主访问控制的安全级别较低 。另外,由于同一用户对不同的客体有不同的存 取权限,不同的用户对同一客体有不同的存取权 限,用户、权限、客体间的授权管理复杂。22DACDAC的局限性的局限性 DAC将赋予或取消访问权限的一部分权力留给用户个人,管理员难以确定哪些用户对那些资源有访问权限,不利于 实现统一的全局访问控制。 在许多组织中,用户对他所能访问的资源并不
12、具有所有权,组织本身才是系统中资源的真正所有者。 各组织一般希望访问控制与授权机制的实现结果能与组织内部的规章制度相一致,并且由管理部门统一实施访问控 制,不允许用户自主地处理。显然DAC已不能适应这些需求。234.1.34.1.3 强制访问控制强制访问控制 强制访问控制MAC(mandatory access control)依据主体和客体的安全级别来决定主体是否有对客体 的访问权。 最典型的例子是Bell and LaPadula提出的BLP模型。 BLP模型以军事部门的安全控制作为其现实基础,恰当地体现了军事部门的安全策略,然后用到计算机的 安全设计中去。它侧重于信息的保密性。 BLP模
13、型已经成为许多系统或原型的实现的理论基础。24BLPBLP模型模型 在BLP模型中,所有的主体和客体都有一个安全标签,它只能由安全管理员赋值,普通用户不能改变。这个安全标签就 是安全级,客体的安全级表现了客体中所含信息的敏感程度 ,而主体的安全级别则反映了主体对敏感信息的可信程度。 在一般情况下,安全级是线性有序的。用标志主体或客体的安全标签,当主体访问客体时,需满足如下两条规则:(1)简单安全属性:如果主体s能够读客体o,则(s)(o)(2)保密安全属性:如果主体(s)能够写客体o,则 (s)(o)25BLPBLP模型模型(续续) BLP模型中,主体按照“向下读,向上写”的原则访问客体,即只
14、有当主体的密级不小于客体的密级并且主体的范围 包含客体的范围时,主体才能读取客体中的数据;只有当 主体的密级不大于客体的密级,并且主体的范围包括客体 的范围时,主体才能向客体中写数据。 BLP模型保证了客体的高度安全性,它的最大优点是:它使得系统中的信息流程为单向不可逆的,保证了信息流总 是低安全级别的实体流向高安全级别的实体,因此,MAC能有效地阻止特洛伊木马。26MAC Information FlowBell-LaPadula的例子28MACMAC策略的优缺点策略的优缺点 由于MAC策略是通过梯度安全标签实现信息的单向流通,从而很好地阻止特洛伊木马的泄漏,也因此而避免了在自主访 问控制中
15、的敏感信息泄漏的情况。 缺点是限制了高安全级别用户向非敏感客体写数据的合理要求,而且由高安全级别的主体拥有的数据永远不能被低安全 级别的主体访问,降低了系统的可用性。BLP模型的“向上写 ”的策略使得低安全级别的主体篡改敏感数据成为可能,破坏 了系统的数据完整性。另外强制访问控制MAC由于过于偏重保密性,造成实现工作量太大,管理不便,灵活性差。4.1.4 基于角色的策略 基于角色的访问控制 (role-based policies,RBAC) 基本思路:管理员创建角色,给角色分配权限,给角色分 配用户,角色所属的用户可以执行相应的权限2930RBAC的安全原则3条安全原则:最小权限:只把必须的
16、权限分配给角色责任分离(separation of duties)多个互斥的角色合作完成重要工作数据抽象: 可以定义抽象的权限,而不仅仅是OS中的读、写 、执行等31NIST RBAC参考模型 Proposed by NIST in 2000 基本RBAC(Core RBAC) 分级RBAC(Hierarchical RBAC) 静态责任分离(Static Separation of Duty Relations) 动态责任分离(Dynamic Separation of Duty relations)32基本基本 RBAC 包括五个基本数据元素:用户users(USERS)、角色roles( ROLES)、目标objects(OBS)、操作 operations(OPS)、许可权 permissions(PRMS)3
