搜索
网络安全刘敏贤副教授西南科技大学计算机科学与技术学院第9章访问控制技术本章的主要内容是对入网访问控制、物理隔离、自主访问控制和强制访问控制等技术的实现原理进行了详细的论述,并介绍了一些新型访问控制技术。第9章访问控制技术9.1访问控制技术概述9.2入网认证9.3物理隔离措施9.4自主访问控制9.5强制访问控制9.6新型访问控制技术第9章访问控制技术要保证计算机系统实体的安全,必须对计算机系统的访问进行控制访问控制的基本任务防止非法用户即未授权用户进入系统合法用户即授权用户对系统资源的非法使用第9章第1节问题提出例1:学校的教务管理系统全校师生都可以使用,但是只有老师可以输入考试成绩,只有学生可以对教学质量进行评价。。。例2:作为QQ用户,执行同样的登录操作,为什么QQ服务器可以识别出有的用户花了钱晋升为QQ会员,有的用户开通了各种钻,更多的只是普通的QQ用户呢?例3:论坛规定,发贴或跟贴必须要先注册并登录,而且只有管理员可以删贴,甚至封贴。访问控制的最基本概念主体(subject)一个提出请求或要求的实体,是动作的发起者(不一定是动作的执行者),有时也称为用户或访问者(如被授权使用计算机的人);主体含义广泛,可以是用户、用户组、计算机终端、外设卡、手持终端设备、一个数据文件甚至是应用服务程序或进程。客体(object)接受其他实体访问的被动实体,凡是可以被操作的信息、资源、对象都可以作为客体;通常包括文件和文件系统、磁盘和磁带卷标、远程终端、信息管理系统的事务处理及其应用、数据库中的数据、应用资源等。访问控制的最基本概念访问(access)使信息在主体和客体之间流动的一种交互方式。对文件客体来说,典型的访问就是读、写、执行和所有;其中所有权指谁能改变文件的访问权。访问控制策略(accesscontrolpolicy)主体对客体的访问规则集,这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束。体现了一种授权行为,也就是客体对主体的权限允许,这种允许不能超越规则集。访问控制指主体依据某些控制策略或者权限对客体或其资源进行的不同的授权访问。可以限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用。访问控制三要素:主体、客体、访问控制策略。访问控制的最基本概念访问控制系统要素之间的行为关系参见下图:访问控制的最基本概念访问控制过程访问控制由两个重要过程组成1、通过认证来检验主体的合法身份;2、通过授权(Authorization)来限制用户对资源的访问级别。在认证和授权后,访问控制机制将根据预先设定的规则对用户访问的资源进行控制,只有规则允许的资源才能访问。访问控制过程这种控制通过监控器进行,每一次用户对系统内目标进行访问时,都由这个监控器来进行调节控制过程:用户对系统进行访问时,监控器便依据访问控制策略,以确定准备进行访问的用户是否确实得到了进行此项访问的许可。访问控制过程严格区分身份认证和访问控制很重要!原因:正确建立用户的身份是认证服务的责任,而访问控制则假定在通过监控器实施访问控制前,用户的身份就已经得到了验证;因而,访问控制的有效性取决于用户的正确识别,同时也取决于监控器正确的控制。访问控制技术概述访问控制是从计算机系统的处理能力方面对信息提供保护它按照事先确定的规则决定主体对客体的访问是否合法当一主体试图非法使用一个未经授权的资源时,访问控制机制将拒绝这一企图,并将这一事件报告给审计跟踪系统审计跟踪系统将给出报警,并记入日志档案9.1访问控制技术概述网络的访问主要采用基于争用和定时两种方法基于争用的方法意味着网上所有站点按先来先服务原则争用带宽对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用访问控制要对访问的申请、批准和撤消的全过程进行有效的控制第9章第1节9.1访问控制技术概述访问控制的内容包括用户身份的识别和认证对访问的控制授权、确定访问权限、实施访问权限附加控制除了对直接的访问进行控制外,还应对信息的流动和推理攻击施加控制审计跟踪对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录,以备非法事件发生后能进行有效的追查第9章第1节9.1访问控制技术概述访问控制的类型自主访问控制(DAC)用户可以按自己的意愿对系统参数做适当的修改,可以决定哪个用户可以访问系统资源强制访问控制(MAC)用户和资源都是一个固定的安全属性,系统利用安全属性来决定一个用户是否可以访问某个资源由于强制访问控制的安全属性是固定的,因此用户或用户程序不能修改安全属性基于角色的访问控制第9章第1节9.2入网认证入网认证即入网访问控制。它为网络访问提供了第一层访问控制入网认证控制哪些用户能够登录到服务器并获得网络资源,也控制准许用户入网的时间和准许他们在哪台工作站入网入网认证实质上就是对用户的身份进行认证第9章第2节9.2入网认证身份认证身份认证过程指的是当用户试图访问资源的时候,系统确定用户的身份是否真实的过程认证对所有需要安全的服务来说是至关重要的,因为认证是访问控制执行的前提,是判断用户是否有权访问信息的先决条件,同时也为日后追究责任提供不可抵赖的证据第9章第2节身份认证的概念身份认证的作用身份认证与鉴别是信息安全中的第一道防线,是保证计算机网络系统安全的重要措施之一,对信息系统的安全有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一性。认证是对用户身份和认证信息的生成、存储、同步、验证和维护的整个过程的管理。作用:可以防止非法人员进入系统,防止非法人员通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生,严防“病从口入”关口。9.2入网认证身份认证的依据用户所知道的密码用户所拥有的智能卡用户的特征生物学上的属性根据特定地点(或特定时间)通过信任的第三方Kerberos,IKE第9章第2节身份认证技术方法目前,计算机及网络系统中常用的身份认证方式主要有以下几种:1.用户名及密码方式用户名及密码方式是最简单也是最常用的身份认证方法,由用户自己设定,只有用户本人知道。只要能够正确输入密码,计算机就认为操作者就是合法用户。2.智能卡认证智能卡是一种内置集成的电路芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。身份认证技术方法目前,计算机及网络系统中常用的身份认证方式主要有以下几种:3.动态令牌认证动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。采用一次一密的方法。例:工行、建行(见备注)身份认证技术方法目前,计算机及网络系统中常用的身份认证方式主要有以下几种:4.USBKey认证基于USBKey的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。基于USBKey身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。例:工行、建行(见备注)身份认证技术方法目前,计算机及网络系统中常用的身份认证方式主要有以下几种:5.生物识别技术生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前采用的有:指纹识别技术、视网膜识别技术、声音识别技术身份认证技术方法目前,计算机及网络系统中常用的身份认证方式主要有以下几种:6.CA认证CA(CertificationAuthority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用:是检查证书持有者身份的合法性,并签发证书(用数学方法在证书上签字),以防证书被伪造或篡改。网络身份证的发放、管理和认证就是一个复杂的过程,也就是CA认证。CA职能管理和维护客户的证书和证书作废表维护自身的安全提供安全审计的依据9.2入网认证身份认证的评价标准可行性认证强度认证粒度认证数据正确不同协议间的适应性第9章第2节9.2入网认证身份认证的评价标准可行性从用户的观点看,认证方法应该提高用户访问应用的效率,减少多余的交互认证过程,提供一次性认证另外所有用户可访问的资源应该提供友好的界面给用户访问第9章第2节9.2入网认证身份认证的评价标准认证强度认证强度取决于采用的算法的复杂度以及密钥的长度采用更复杂的算法,更长的密钥,将能提高系统的认证强度,提高系统的安全性第9章第2节9.2入网认证身份认证的评价标准认证粒度身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容,以及控制的粒度也是认证系统的重要标志有些认证系统仅限于判断用户是否具有合法身份,有些则按权限等级划分成几个密级,严格控制用户按照自己所属的密级访问第9章第2节9.2入网认证身份认证的评价标准认证数据正确消息的接受者能够验证消息的合法性、真实性和完整性消息的发送者对所发的消息不可抵赖除了合法的消息发送者外,任何其他人不能伪造合法的消息当通信双方(或多方)发生争执时,有公正权威的第3方解决纠纷第9章第2节9.2入网认证身份认证的评价标准不同协议间的适应性认证系统应该对所有协议的应用进行有效的身份识别除了HTTP以外,安全Email访问(包括认证SMTP、POP或者IMAP)也应该包含在认证系统中第9章第2节9.2入网认证口令认证的一般过程用户名的识别与验证确定是否存在该用户的信息用户口令的识别与验证确定用户输入的口令是否正确用户帐号的缺省限制检查确定该用户帐号是否可用,以及能够进行哪些操作、访问哪些资源等用户的权限第9章第2节9.2入网认证口令认证口令认证也称通行字认证,是一种根据已知事物验证身份的方法通行字的选择原则易记难以被别人猜中或发现抗分析能力强需要考虑的方面选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护第9章第2节2019/10/234口令认证技术安全口令为了防止攻击者猜测出口令,选择的安全口令应满足以下要求:(1)口令长度适中(2)不回送显示(3)记录和报告(4)自动断开连接(5)口令存储的安全性目前,口令的存储有以下两种方法:①明文存储;②散列(Hash)函数存储。9.2入网认证安全性要求口令认证方案无无口令低合法用户公用口令中每个用户一个单独的口令高要求一次一密,或口令分散*系统中不存储口令的原文第9章第2节9.2入网认证认证方式单向认证双向认证–询问认证–受理的用户可利用他所知道、而别人不太知道的一些信息向申请用户提问一系列不大相关的问题第9章第2节9.3物理隔离措施物理隔离物理隔离技术是一种将内外网络从物理上断开,但保持逻辑连接的网络安全技术任何时候内外网络都不存在连通的物理连接,同时原有的传输协议必须被中断逻辑连接指能进行适度的数据交换第9章第3节9.3物理隔离措施1999年12月29日国家保密局发布的《计算机信息系统国际联网保密管理