网络安全第九章

第九章访问控制技术9.1入网认证9.2访问控制技术概述99.3自主访问控制9.4物理隔离措施9.5新型访问控制技术9.6强制访问控制访问控制技术概述•要保证计算机系统实体的安全，必须对计算机系统的访问进行控制。•访问控制的基本任务（广义）–防止非法用户（即未授权用户）进入系统–合法用户（即授权用户）对系统资源的非法使用9.1访问控制技术概述•访问控制是从计算机系统的处理能力方面对信息提供保护•它按照事先确定的规则决定主体（用户）对客体（资源）的访问是否合法•当一主体试图非法使用一个未经授权的资源时，访问控制机制将拒绝这一企图，并将这一事件报告给审计跟踪系统•审计跟踪系统将给出报警，并记入日志档案9.1访问控制技术概述•网络的访问主要采用基于争用和定时两种方法•基于争用的方法意味着网上所有站点按先来先服务原则争用带宽•访问控制要对访问的申请、批准和撤消的全过程进行有效的控制9.1访问控制技术概述•访问控制的内容包括–用户身份的识别和认证–对访问的控制•授权、确定访问权限、实施访问权限•附加控制–除了对直接的访问进行控制外，还应对信息的流动和推理攻击施加控制–审计跟踪•对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录，以备非法事件发生后能进行有效的追查9.1访问控制技术概述•访问控制的类型–自主访问控制（DAC）•用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源–强制访问控制（MAC）•用户和资源都是一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个资源•由于强制访问控制的安全属性是固定的，因此用户或用户程序不能修改安全属性–其他访问控制•基于角色的访问控制•……9.1入网认证•入网认证即入网访问控制。它为网络访问提供了第一层访问控制•入网认证控制哪些用户能够登录到服务器并获得网络资源，也控制准许用户入网的时间和准许他们在哪台工作站入网•入网认证实质上就是对用户的身份进行证实9.2入网认证•身份认证（Authentication）–身份认证过程指的是当用户试图访问资源的时候，系统确定用户的身份是否真实的过程–认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据9.2入网认证•身份认证的依据–用户所知道的•密码（口令）–用户所拥有的•智能卡–用户的特征•生物学上的属性–根据特定地点（或特定时间）–通过信任的第三方•Kerberos,IKE9.2依据举例优点缺点用户所知道的密码最简单，系统开销最小最不安全用户所拥有的身份证、智能卡认证系统复杂用户的特征指纹、签名安全性高算法和实现复杂入网认证•身份认证的评价标准–可行性–认证强度–认证粒度–认证数据正确–不同协议间的适应性9.2入网认证•身份认证的评价标准–可行性•从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余的交互认证过程，提供一次性认证•另外所有用户可访问的资源应该提供友好的界面给用户访问9.2入网认证•身份认证的评价标准–认证强度•认证强度取决于采用的算法的复杂度以及密钥的长度•采用更复杂的算法，更长的密钥，将能提高系统的认证强度，提高系统的安全性9.2入网认证•身份认证的评价标准–认证粒度•身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容，以及控制的粒度也是认证系统的重要标志•有些认证系统仅限于判断用户是否具有合法身份，有些则按权限等级划分成几个密级，严格控制用户按照自己所属的密级访问9.2入网认证•身份认证的评价标准–认证数据正确•消息的接受者能够验证消息的合法性、真实性和完整性•消息的发送者对所发的消息不可抵赖•除了合法的消息发送者外，任何其他人不能伪造合法的消息•当通信双方（或多方）发生争执时，有公正权威的第3方解决纠纷9.2入网认证•身份认证的评价标准–不同协议间的适应性•认证系统应该对所有协议的应用进行有效的身份识别•除了HTTP以外，安全Email访问（包括认证SMTP、POP或者IMAP）也应该包含在认证系统中9.2入网认证•口令认证–口令认证也称通行字认证，是一种根据已知事物验证身份的方法（用户所知道的）•口令的选择原则–易记–难以被别人猜中或发现–抗分析能力强•需要考虑的方面–选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护9.2入网认证•口令认证的一般过程–用户名的识别与验证•确定是否存在该用户的信息–用户口令的识别与验证•确定用户输入的口令是否正确–用户帐号的缺省限制检查•确定该用户帐号是否可用，以及能够进行哪些操作、访问哪些资源等用户的权限9.2入网认证安全性要求口令认证方案无无口令低合法用户公用口令中每个用户一个单独的口令高要求一次一密，或口令分散*系统中不存储口令的原文9.2入网认证•认证方式–单向认证–双向认证（防止被窜改）9.2物理隔离措施•物理隔离–物理隔离技术是一种将内外网络从物理上断开，但保持逻辑连接的网络安全技术–任何时候内外网络都不存在连通的物理连接，同时原有的传输协议必须被中断–逻辑连接指能进行适度的数据交换9.3物理隔离措施•1999年12月29日国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条规定：•“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须进行物理隔离”9.3物理隔离措施•网络物理隔离方案–客户端的物理隔离–集线器级的物理隔离–服务器端的物理隔离9.3物理隔离措施•网络物理隔离方案–客户端的物理隔离9.3物理隔离措施•网络物理隔离方案–客户端的物理隔离•网络安全隔离卡用户硬盘9.3物理隔离措施•网络物理隔离方案–集线器级的物理隔离集9.3物理隔离措施•网络物理隔离方案–集线器级的物理隔离•物理隔离网闸9.3举例：物理隔离网闸（集线器级）•原理器•应用出处：物理隔离措施•网络物理隔离方案–服务器端的物理隔离采用：单硬盘物理隔离卡或双硬盘物理隔离卡9.3物理隔离措施•物理隔离的优点–安全级别高，保障强–易于在现有涉密网上安装•物理隔离的未尽之处–资源消耗大–缺乏管理•认证、访问控制、审计、取证–妨碍应用9.3自主访问控制•概念–主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序/进程）。–客体（Object）：规定需要保护的资源，又称作目标（target)。（通常指用户或进程所访问的文件）•自主访问控制–由客体自主地来确定各个主体对它的直接访问权限（又称访问模式）–在自主访问控制下，用户可以按自己的意愿对系统的参数做适当的修改，以决定哪个用户可以访问他们的文件9.4自主访问控制•自主访问控制–DiscretionaryAccessControl,简称DAC–自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的•自主–是指对其它具有授予某种访问权力的主体能够自主地（可能是间接的）将访问权的某个子集授予其它主体9.4自主访问控制•访问控制矩阵客体主体用户资源9.4自主访问控制•DAC的实现方法–基于行的DAC•权力表（CapabilitiesList）•前缀表（Profiles）•口令（Password）–基于列的DAC•保护位（ProtectionBits）•访问控制表（AccessControlList，ACL）9.4自主访问控制•举例一：访问能力表（AccessCapabilitiesList）–基于访问控制矩阵行的自主访问控制。–为每个主体（用户）建立一张访问能力表，用于表示主体是否可以访问客体，以及用什么方式访问客体。9.4File1o,r,wFile2rFile3r,w文件名File2o,eFile3r客体(文件)File1File2File3o:Ownerr:Readw:Writee:Excute举例：权限用户A用户B访问能力表9.4自主访问控制•举例二：访问控制表（AccessControlList）–每个客体都有一张ACL，用于说明可以访问该客体的主体及其访问权限。File1File2File3File4客体目录User1o,r,wUser2rUser3r,wACL表User1eUser2o,eUser3rUser4eUser2rUser3ro:Ownerr:Readw:Writee:Excute•问题：–主体、客体数量大，影响访问效率。•解决：–引入用户组，用户可以属于多个组。–主体标识=主体.组名–如Liu.INFO表示INFO组的liu用户。–*.INFO表示INFO组中的所有用户。–*.*表示所有用户。•liu.INFO.rw表示对INFO组的用户liu具有rw权限。•*.INFO.rw表示对INFO组的所有用户具有rw权限。•*.*.rw表示对所有用户具有rw权限。Liu.INFO.r*.INFO.e*.*.rwojLinux(自主访问控制)•设备和目录同样看作文件。•三种权限：–R:read–W:write–X:excute•权限表示：–字母表示：rwx，不具有相应权限用-占位–8进制数表示：111，不具有相应权限相应位记09.4•四类用户：–root：超级用户，god–所有者–所属组–其他用户•文件属性：•drwxr-x--x2lucywork1024Jun2522:53text–安全属性：drwxr-x--x–所有者，所属组：lucy.work•安全属性后9个字母规定了对所有者、所属组、其他用户的权限（各3位）。lucy.work.rwx*.work.rx*.*.xtext自主访问控制•DAC的访问类型–等级型（数型结构）：满足等级关系的用户可以修改ACL–有主型（Owner）：客体的创建者可以修改客体的ACL–自由型（Laissez-faire）：客体创建者除了可以修改客体的ACL，还可以指定其他可以修改客体ACL的主体。9.4自主访问控制•DAC的优点–方便、实用–可由用户自由定制–可扩展性强•缺点–管理分散、用户关系不清–权限易被滥用9.4强制访问控制•强制访问控制–MandatoryAccessControl，简称MAC–用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个文件–安全属性是强制性的，它是由安全管理员或操作系统根据限定的规则分配的，用户或用户的程序不能修改安全属性9.5强制访问控制•强制访问控制–如果系统认为具有某一安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使该用户具有访问文件的能力–强制访问控制是比自主访问控制更强的一种访问控制机制，它可以通过无法回避的访问限制来防止某些对系统的非法入侵–强制访问控制可以防止一个进程生成共享文件，从而防止一个进程通过共享文件把信息从一个进程传送给另一个进程9.5强制访问控制•举例：–为所有主体和客体指定安全级别，比如绝密级、机密级、秘密级、无秘级。–不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。9.5强制访问控制•Bell-LaPadual模型（保障信息机密性策略）–简单安全规则•主体只能读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读–星规则•主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写–目的•保证信息的单向流动9.5进程(Subject)Secret安全级别进程(Subject)Public安全级别文件(Object)Public安全级别文件(Object)Secret安全级别向下读向下写向上写向上读同级写同级读同级写同级读强制访问控制•Biba模型（保障信息完整性策略）–简单完整规则•主体只能向下写，而不能向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体–完整性制约规则（星规则）•仅当主体的完整级不高于客体完