《计算机网络安全技术讲义1》由会员分享,可在线阅读,更多相关《计算机网络安全技术讲义1(48页珍藏版)》请在金锄头文库上搜索。
1、第5章 访问控制技术,本章学习目标,访问控制的三个要素、7种策略、内容、模型 访问控制的安全策略与安全级别 安全审计的类型、与实施有关的问题 日志的审计 Windows NT操作系统中的访问控制与安全审计,5.1 访问控制概述,访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制,从而确保只有合法用户的合法访问才能给予批准,而且相应的访问只能执行授权的操作。 访问控制是计算机网络系统安全防范和保护的重要手段,是保证网络安全最重要的核心策略之一,也是计算机网络安全理论基础重要组成部分。,5.1.1 访问控制的
2、定义,访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素,即主体、客体和控制策略。 主体S(Subject)是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。主体可以是某个用户,也可以是用户启动的进程、服务和设备。 客体O(Object)是接受其他实体访问的被动实体。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中,客体可以是信息、文件、记录等的集合体,也可以是网路上的硬件设施,无线通信中的终端,甚至一个客体可以包含另外一个客体。,控制策略,控制策略A(Attribution)是主体对客体的访
3、问规则集,即属性集合。访问策略实际上体现了一种授权行为,也就是客体对主体的权限允许。 访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机网络系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。为达到上述目的,访问控制需要完成以下两个任务: 识别和确认访问系统的用户。 决定该用户可以对某一系统资源进行何种类型的访问,7种访问控制策略,入网访问控制。 网络的权限控制。 目录级安全控制。 属性安全控制。 网络服务器安全控制。 网络监测和锁定控制。 网络端口和节点的安全控制。,5.1.2 访问控制矩阵,访问控制系统三个要素之间的行为关系可以用一个访问控制矩阵
4、来表示。对于任意一个siS,ojO,都存在相应的一个aijA,且aij=P(si,oj),其中P是访问权限的函数。aij代表si可以对oj执行什么样的操作。访问控制矩阵如下:,其中,Si(i=0,1,m)是主体对所有客体的权限集合,Oj(j=0,1,n)是客体对所有主体的访问权限集合,5.1.3 访问控制的内容,访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。所以,访问控制包括认证、控制策略实现和审计三个方面的内容。 认证:包括主体对客体的识别认证和客体对主体检验认证。 控制策略的具体实现:如何设定规则集合从而确保正常用户对信息资
5、源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。 安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。审计类似于飞机上的“黑匣子”,它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。,5.2 访问控制模型,自主访问控制模型 强制访问控制模型 基于角色的访问控制模型 其他访问控制模型 基于任务的访问控制模型 基于对象的访问控制模型,5.2.1 自主访问控制模型,自主访问控制模型(Discretionary Access Control
6、Model,DAC Model)是根据自主访问控制策略建立的一种模型,它基于对主体或主体所属的主体组的识别来限制对客体的访问,也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。 自主访问控制又称为任意访问控制,一个主体的访问权限具有传递性。 为了实现完整的自主访问系统,DAC模型一般采用访问控制表来表达访问控制信息。 访问控制表(Access Control List,ACL)是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明细表,来表示各个主体对这个客体的访问权限。明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。对系统中一个需要保护的
7、客体oj附加的访问控制表的结构如图所示。,对于客体oj,主体s0只有读(r)的权限;主体s1只有写(w)的权限;主体s2只有执行(e)的权限;主体sx具有读(r)、写(w)和执行(e)的权限。 但是,在一个很大的系统中,可能会有非常多的主体和客体,这就导致访问控制表非常长,占用很多的存储空间,而且访问时效率下降。使用组(group)或者通配符可以有效地缩短表的长度。 用户可以根据部门结构或者工作性质被分为有限的几类。同一类用户使用的资源基本上是相同的。因此,可以把一类用户作为一个组,分配一个组名,简称“GN”,访问时可以按照组名判断。通配符“*”可以代替任何组名或者主体标识符。这时,访问控制表
8、中的主体标识为:主体标识=IDGN。 其中,ID是主体标识符,GN是主体所在组的组名。,带有组和通配符的访问控制表示例,上图的第二列表示,属于TEACH组的所有主体都对客体oj具有读和写的权限;但是只有TEACH组中的主体Cai才额外具有执行的权限(第一列);无论是哪一组中的Li都可以读客体oj(第三列);最后一个表项(第四列)说明所有其他的主体,无论属于哪个组,都不具备对oj有任何访问权限。,5.2.2 强制访问控制模型,自主访问控制的最大特点是自主,即资源的拥有者对资源的访问策略具有决策权,因此是一种限制比较弱的访问控制策略。这种方式给用户带来灵活性的同时,也带来了安全隐患。 和DAC模型
9、不同的是,强制访问控制模型(Mandatory Access Control Model,MAC Model)是一种多级访问控制策略,它的主要特点是系统对主体和客体实行强制访问控制:系统事先给所有的主体和客体指定不同的安全级别,比如绝密级、机密级、秘密级和无密级。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定主体能否访问该客体。所以,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。,在强制访问控制模型中,将安全级别进行排序,如按照从高到低排列,规定高级别可以单向访问低级别,也可以规定低级别可以单向访问高级别。这种访问可以是读,也可以是写或修改。主体对客体的访问主
10、要有4种方式: 向下读(rd,read down)。主体安全级别高于客体信息资源的安全级别时允许查阅的读操作。 向上读(ru,read up)。主体安全级别低于客体信息资源的安全级别时允许的读操作。 向下写(wd,write down)。主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作。 向上写(wu,write up)。主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。,由于MAC通过将安全级别进行排序实现了信息的单向流通,因此它一直被军方采用。MAC模型中最主要的三种模型为:Lattice模型、Bell LaPadula模型(BLP Model)和Biba模
11、型(Biba Model)。在这些模型中,信息的完整性和保密性是分别考虑的,因而对读、写的方向进行了反向规定。 保障信息完整性策略。为了保障信息的完整性,低级别的主体可以读高级别客体的信息(不保密),但低级别的主体不能写高级别的客体(保障信息完整),因此采用的是上读/下写策略。 保障信息机密性策略。与保障完整性策略相反,为了保障信息的保密性,低级别的主体不可以读高级别的信息(保密),但低级别的主体可以写高级别的客体(完整性可能破坏),因此采用的是下读/上写策略。,5.2.3 基于角色的访问控制模型,在上述两种访问控制模型中,用户的权限可以变更,但必须在系统管理员的授权下才能进行。然而在具体实现
12、时,往往不能满足实际需求。主要问题在于: 同一用户在不同的场合需要以不同的权限访问系统,而变更权限必须经系统管理员授权修改,因此很不方便。 当用户量大量增加时,系统管理将变得复杂、工作量急剧增加,容易出错。 不容易实现系统的层次化分权管理,尤其是当同一用户在不同场合处在不同的权限层次时,系统管理很难实现。除非同一用户以多个用户名注册。 但是如果企业的组织结构或是系统的安全需求出于变化的过程中时,那么就需要进行大量繁琐的授权变动,系统管理员的工作将变得非常繁重,更主要的是容易发生错误造成一些意想不到的安全漏洞。,角色的概念,在基于角色的访问控制模型中,角色(role)定义为与一个特定活动相关联的
13、一组动作和责任。系统中的主体担任角色,完成角色规定的责任,具有角色拥有的权限。一个主体可以同时担任多个角色,它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限。最小权限指主体在能够完成所有必需的访问工作基础上的最小权限。,基于角色的访问控制原理,基于角色的访问控制就是通过定义角色的权限,为系统中的主体分配角色来实现访问控制的,如图所示。 用户先经认证后获得一个角色,该角色被分派了一定的权限,用户以特定角色访问系统资源,访问控制机制检查角色的权限,并决定是否允许访问。,5.2.4 其他访问控制模型,1、基于任务的访问控制模型(Task ba
14、sed Access Control Model,TBAC Model)。 TBAC是从应用和企业层角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。其访问控制策略及其内部组件关系一般由系统管理员直接配置,支持最小特权原则和最小泄漏原则,在执行任务时只给用户分配所需的权限,未执行任务或任务终止后用户不再拥有所分配的权限;而且在执行任务过程中,当某一权限不再使用时,将自动收回该权限。,2基于对象的访问控制模型,基于对象的访问控制模型(Object Based Access Control Model,OBAC Mod
15、el)。 OBAC模型从受控对象的角度出发,将主体的访问权限直接与受控对象相关联,一方面定义对象的访问控制表,增、删、修改访问控制项易于操作;另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从而减少了主体的权限管理,减轻了由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。,5.3 访问控制的安全策略 与安全级别,访问控制的安全策略有以下两种实现方式:基于身份的安全策略和基于规则的安全策略。 这两种安全策略建立的基础都是授权行为。就其形式而言,基于身份的安全策略等同于DAC安全策略,基于规则的
16、安全策略等同于MAC安全策略。,5.3.1 安全策略,实施原则:访问控制安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的关系展开。 最小特权原则。是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权主体的危险。也就是说,为了达到一定目的,主体必须执行一定操作,但他只能做他所被允许做的,其他除外。 最小泄漏原则。是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。 多级安全策略。是指主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)、秘密(S)、机密(C)、限制(RS)和无级别(U)5级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比它高的主体才能够访问。,基于身份的安全策略,基于身份的安全策略是过滤对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略,主要有两种基本的实现方法,分别为能力表和访问控制表。 基于个人的策略
