计算机网络信息安全理论与实践教程 第7章

第7章访问控制技术的原理与应用,7.1 访问控制目标7.2 访问控制系统模型7.3 访问授权和模型7.4 访问控制类型 7.5 访问控制策略的设计与组成 7.6 访问控制管理过程和内容 7.7 访问控制案例分析 7.8 本章小结本章思考与练习,7.1 访问控制目标,访问控制的目标有两个，一是防止非法用户进入系统，二是阻止合法用户对系统资源的非法使用，即禁止合法用户的越权访问。要实现访问控制的目标，首先要对网络的用户进行有效的身份认证，然后根据不同的用户授予不同的访问权限，进而保护系统资源。同时还可以进行系统的安全审计和监控，检测用户对系统的攻击企图。简而言之，访问控制可通过采取两条措施来实现，即：* 识别和鉴定访问系统的用户的真实身份，防止非法访问。 * 确定用户对系统资源的访问类型，授权用户访问操作。,目前，访问控制的主要类型有：* 物理访问控制：主要针对物理环境或设备实体而设置的安全措施，一般包括门禁系统、警卫、个人证件、门锁、物理安全区域划分。* 网络访问控制：主要针对网络资源而采取的访问安全措施，一般包括网络接入控制、网络通信连接控制、网络区域划分、网络路由控制、网络节点认证。* 操作系统访问控制：针对计算机资源而采取的访问安全措施，例如文件读/写访问控制、进程访问控制、内存访问控制等。,* 数据库访问控制：针对数据库资源而采取的访问安全措施，例如数据库表创建。* 应用系统访问控制：针对应用系统资源而采取的访问安全措施，例如业务系统进入、业务执行操作、业务系统信息读取等。,7.2 访问控制系统模型,访问控制机制由一组安全机制构成，可以抽象为一个简单的模型，其组成要素主要有：主体、参照监视器(Reference Monitor)、客体、访问控制数据库、审计库，如图7-1所示。* 主体(subject)：是引起信息在客体之间流动的一种实体。通常，这些实体是指人、进程或设备等，一般是代表用户执行操作的进程。如编辑一个文件时，编辑进程是存取文件的主体，而文件是客体。,图7-1 访问控制模型示意图,* 客体(object)：是系统中被动的主体行为承担者。对一个客体的访问隐含着对其包含信息的访问。客体的实体类型有：记录、程序块、页面、段、文件、目录、目录树和程序，还有位、字节、字、字段、处理器、视频显示器、键盘、时钟、打印机和网络节点等。* 参照监视器(reference monitor)：监督主体和客体之间授权访问关系的部件，是访问控制执行单元和决策单元。参照监视器的关键需求是控制从主体到客体的每一次存取，并将重要的安全事件存入审计文件之中。,* 访问控制数据库：记录主体访问客体权限及其访问方式的信息，数据库可以动态变化和修改，它随着主体和客体的产生或删除及其权限的修改而改变。* 审计库：存储主体访问客体的操作信息，包括访问成功信息、访问失败信息以及访问操作信息。,7.3 访问授权和模型,访问是主体对客体实施操作的能力，访问控制是指以某种方式限制或授予这种能力。授权是指主体经过系统鉴别后，系统根据主体的类型分配访问权限。例如，在操作系统中，用户对文件的访问权限有读、写和执行。如图7-2所示，Linux普通用户spring可以读取文件/etc/passwd的内容，但无法执行。访问控制与授权密不可分，通过授权，可以实现有效控制。,图7-2 用户对文件的访问权限,一般情况下，访问控制可以用一个三元组来表示，即(S，O，A)，其中，S表示主体集合，O表示客体集合，A表示属性集合。,7.4 访问控制类型,7.4.1 自主访问控制自主访问控制(Discretionary Access Control，简称DAC)是指客体的所有者按照自己的安全策略授予系统中的其他用户对它的访问权。目前，自主访问控制的实现方法有两大类，即基于行的自主访问控制和基于列的自主访问控制。,1基于行的自主访问控制基于行的自主访问控制方法在每个主体上都附加一个该主体可访问的客体的明细表。根据表中信息的不同，又可将表分成三种形式，即能力表(capabilities list)、前缀表(profiles)和口令(password)。(1) 能力表。能力表是访问客体的钥匙，它决定用户是否能够对客体进行访问以及具有何种访问模式(读、写、执行)。拥有一定能力的主体可以按照给定的模式访问客体。,(2) 前缀表。前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时，自主访问控制机制检查主体的前缀是否具有它所请求的访问权。(3) 口令。在基于口令机制的自主存取控制机制中，每个客体都相应地有一个口令。主体在对客体进行访问前，必须向操作系统提供该客体的口令。如果正确，它就可以访问该客体。,2基于列的自主访问控制基于列的自主访问控制机制则是在每个客体上都附加一个可访问它的主体的明细表，它有两种形式，即保护位(protection bits)和访问控制表(Access Control List，ACL)。(1) 保护位。这种方法对所有主体、主体组以及客体的拥有者指明一个访问模式集合，通常以比特位来表示访问权限。UNIX系统采用的就是这种访问控制方法。(2) 访问控制表。访问控制表简称ACL，它在每个客体上都附加一个主体明细表，表示访问控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。它的一般结构如图7-3所示。,图7-3 访问控制表ACL,对于客体file1，主体ID1对它只具有读(r)和运行(x)的权力，主体ID2对它只具有读权力，主体ID3只具有运行的权力，而主体 IDn 则对它同时具有读、写和运行的权力。自主访问控制是最常用的一种对网络资源进行访问约束的机制，其好处是用户自己可根据其安全需求，自行设置访问控制权限，访问机制简单、灵活。但这种机制的实施依赖于用户的安全意识和技能，不能满足高安全等级的安全要求。例如，网络用户由于操作不当，将敏感的文件用电子邮件发送到外部网，造成泄密安全事件。,7.4.2 强制访问控制强制访问控制(Mandatory Access Control，简称MAC)是指系统根据主体和客体的安全属性，以强制方式控制主体对客体的访问。例如，在强制访问控制机制下，安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全属性，当一个进程访问一个文件时，系统调用强制访问控制机制，当且仅当进程的安全属性蕴含客体的安全属性时，进程才能访问客体，否则就拒绝。与自主访问控制相比较，强制访问控制更加严格。用户使用自主访问控制虽然能够防止其他用户非法入侵自己的网络资源，但对于用户的意外事件或误操作则无效。因此，自主访问控制不能适应高安全等级需求。在政府部门、军事和金融等领域，常利用强制访问控制机制，将系统中的资源划分成不同的安全等级和类别，然后进行安全管理。,7.4.3 基于角色访问控制通俗地说，角色(role)就是系统中的岗位、职位或者分工。例如，在一个医院系统中，医生、护士、药剂师、门卫等都可以视为角色。所谓基于角色访问控制(RBAC)，就是指根据完成某些职责任务所需要的访问权限来进行授权和管理。RBAC由用户(U)、角色(R)、会话(S)和授权(P)四个基本要素组成。在一个系统中，可以有多个用户和多个角色，用户与角色的关系是多对多的关系。授权就是主体对客体的操作能力的赋予，这些操作能力有读、写、修改、执行等。通过授权，一个角色也可以拥有多个权限，而一个权限也可以赋予多个角色。,同时，一个用户可以扮演多个角色，一个角色也可以由多个用户承担。在一个采用RBAC作为授权存取控制的系统中，由系统管理员负责管理系统的角色集合和访问权限集合，并将这些权限赋予相应的角色，然后把角色映射给承担不同工作职责的用户，如图7-4所示。RBAC的功能相当强大、灵活，适用于许多类型的用户需求。,图7-4 基于角色访问控制示意图,目前，Netware、Windows NT、Windows 2000、Solaris等操作系统中都采用了类似的RBAC技术。图7-5是Windows 2000策略授权示意图。Windows 2000系统将操作权限分成多种类型，如关闭系统、备份文件、管理系统审核和安全日志等，然后系统把这些操作权限授予不同组(类似角色)，如备份操作员(Backup Operators)、管理员(Administrators)、审计员(Account Operators)等，当系统创建一个用户时，通过将用户指定到某个组来实现权限的授予。,图7-5 Windows 2000策略授权示意图,7.5 访问控制策略的设计与组成,7.5.1 访问控制策略访问控制策略用于规定用户访问资源的权限，防止资源损失或泄密，防止非法使用。设计访问控制策略时，应考虑下述问题：* 不同的网络应用安全需求，如内部用户访问还是外部用户；* 所有和应用相关的信息的确认，如通信端口号、IP地址等；* 网络信息传播和授权策略，如信息的安全级别和分类；,* 不同系统的访问控制和信息分类策略之间的一致性；* 关于保护与数据和服务有关的法规和合同的义务；* 访问权限的管理。,一个访问控制策略必须指明禁止什么和允许什么，在说明访问控制规则时，应做到以下几点：* 区分必须执行的规则与可选的或有条件应执行的规则；* 所建立的规则应以“未经明确允许的都是禁止的”为前提，而不是以较弱的原则“未经明确禁止的都是允许的”为前提；* 信息标记的变化，包括由信息处理设备自动引起的或是由用户决定引起的；* 由信息系统和管理人员引起的用户许可的变化；* 规则在颁布之前需要管理人员的批准或其他形式的许可。,总而言之，一个访问控制策略由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成。在一个网络系统，访问控制策略有许多，具体包括机房访问控制策略、拨号服务器访问控制策略、路由器访问控制策略、交换机访问控制策略、防火墙访问控制策略、主机访问控制策略、数据库访问控制策略、客户端访问控制策略、网络服务访问控制策略等。,7.5.2 访问控制规则,1基于用户身份的访问控制规则基于用户身份的访问控制规则利用具体的用户身份来限制访问操作，通常以帐号名和口令表示用户。当用户输入的“帐号名和口令”都正确后，系统才允许用户访问。目前，操作系统或网络设备的控制都采用这种控制规则。,2基于角色的访问控制规则正如前面所说，基于角色的访问控制是根据用户完成某项任务所需要的权限进行控制的。3基于地址的访问控制规则基于地址的访问控制规则利用了访问者所在的物理位置或逻辑地址空间来限制访问操作。例如，重要的服务器和网络设备可以禁止远程访问，仅仅允许本地的访问，这样可以增加安全性。基于地址的访问控制规则有IP地址、域名地址以及物理位置。,4基于时间的访问控制规则基于时间的访问控制规则利用时间来约束访问操作。在一些系统中为了增加访问控制的适应性，增加了时间因素的控制。例如，下班时间不允许访问服务器。5基于异常事件的访问控制规则基于异常事件的访问控制规则利用异常事件来触发控制操作，以避免危害到系统的行为进一步升级。例如，当系统中的用户出现三次登录失败后，系统会在一段时间内冻结该帐户。,6基于服务数量的访问控制规则基于服务数量的访问控制规则利用系统所能承受的服务数量来实现控制。例如，为了防范拒绝服务攻击，网站在服务能力接近某个阀值时，暂时拒绝新的网络访问请求，而保证系统正常运行。,7.5.3 军事安全策略军事安全策略(Miliary Security Policy)是美国国防部为了保护计算机内的机密信息而提出一种限制策略。该策略规定，用户要合法读取某信息，当且仅当用户的安全级大于或等于该信息的安全级，并且用户的访问范畴包含该信息范畴时。为了实现军事安全策略，系统中的信息和用户都被分配了一个访问类，它由两部分组成：(1) 安全级，安全级对应诸如公开、秘密、机密和绝密等名称。(2) 范畴集：是指安全级的有效领域或信息所归属的领域，如人事处、财务处等。,安全级的顺序一般规定为公开秘密机密绝密。两个范畴集之间的关系是包含、被包含或无关。在一个访问类中，仅有单一的安全级，而范畴可以包含多个。下面给出一个系统访问类例子。* 文件F访问类：机密：人事处，财务处；* 用户A访问类：绝密：人事处；* 用户B访问类：绝密：人事处，财务处，科技处。,按照军事安全策略规定，用户B可以阅读文件F，因为用户B的级别高，涵盖了文件的范畴。而用户A的安全级虽然高，但不能读文件F，因为用户A缺少了“财务处”范畴。为了更加精确地描述军事安全策略，David Bell和Leonard LaPudula于1973年创立了模拟符合军事安全策略的计算机操作的模型，简称Bell-LaPudula模型。Bell-LaPudula模型如图7-6所示，它有两个特性。(1) 简单安全特性：主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别，主体的范畴集合包含客体的全部范畴，即主体只能向下读，不能向上读。,图7-6 Bell-LaPudula模型,(2) *- 特性：一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级，即客体的保密级别不小于主体的保密级别，客体的范畴集合包含主体的全部范畴，即主体只能向上写，不能向下写。第二个特性允许一个主体可以向一个高安全级的客体写入信息。从信息安全的角度来说，没有理由拒绝向上写的方式，如采用追加写的方式允许主体把信息追加到它不能读的文件末尾。这种想法虽好，但是实现起来却相当困难。实际上，大多数实现的多级安全系统只是允许主体向和他安全级相等的客体写入信息。当然，为使主体既能读客体，又能写该客体，二者的安全级也必须相等。,7.6 访问控制管理过程和内容,7.6.1 访问控制管理过程访问控制的目的是保护系统的资产，防止非法用户进入系统及合法用户对系统资源的非法使用。要实现访问控制管理，一般需要五个步骤：第一步，明确访问控制管理的资产，例如网络系统的路由器、Web服务等；第二步，分析管理资产的安全需求，例如保密性要求、完整性要求、可用性要求等；,第三步，制定访问控制策略，确定访问控制规则以及用户权限分配；第四步，实现访问控制策略，建立用户访问身份认证系统，并根据用户的类型，授权用户访问资产；第五步，运行和维护访问控制系统，及时调整访问策略。,7.6.2 最小特权管理特权(privilege)是用户超越系统访问控制所拥有的权限。这种特权设置有利于系统的维护和配置，但不利于系统的安全性。例如，在普通UNIX操作系统中，超级用户的口令泄露，将会对系统造成极大的危害。因此，特权的管理应按最小化机制进行，防止特权误用。最小特权原理(Least Privilege Principle)是系统中每一个主体只能拥有完成任务所必要的权限集。最小特权管理的目的是系统不应赋予特权拥有者完成任务的额外权限，阻止特权乱用。为此，特权的分配原则是“按需使用(Need to Use)”，这条原则保证了系统不会将权限过多地分配给用户，从而可以限制特权造成的危害。,7.6.3 用户访问管理为了防止系统的非授权使用，对系统中的用户权限应进行有效的管理。例如BBS网站、各种论坛、FTP站点、电子邮件服务、ISP服务等都实施了用户管理。用户管理是网络安全管理的重要内容之一，其主要工作包括用户登记、用户权限分配、访问记录、权限使用监测、权限取消、撤销用户。用户登记通常又称注册，当用户在系统注册成功后，系统分配给用户惟一的标识号(ID)。同时，系统会授予用户一定的权限。例如BBS普通帐号只能有发表帖子的权限，而没有删除他人帖子的权限。系统为了防止用户滥用权限，对用户访问进行审计，并定期检查，以便及时阻止非法访问。,例如，黑客总是试图通过匿名FTP帐号窃取系统的口令信息，或者利用系统漏洞越权操作，以获取FTP站点的管理权。通过监测FTP访问日志，可以发现黑客的违规访问记录，这样管理员就可以取消黑客的访问权，阻断黑客的攻击。用户管理的一般流程如图7-7所示。,图7-7 用户管理的一般流程图,7.6.4 口令管理口令是当前大多数网络实施访问控制、进行身份鉴别的重要依据，因此，口令管理尤为重要，一般应遵守以下原则：* 口令应至少有8个字符以上，应选用大小写字母、数字、特殊字符的组合，禁止使用与帐号相同的口令。* 限制帐号登录次数，建议为三次。* 禁止共享帐号和口令。,* 口令文件应加密存放，且只有超级用户才能读取。* 禁止明文形式在网络上传递口令。* 口令应有时效机制，保证经常更改，至少两周改一次，并且禁止重用口令。* 对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。* 必须更换系统默认口令，避免使用默认口令。,7.7 访问控制案例分析,7.7.1 UNIX/Linux系统访问控制案例普通的UNIX/Linux等系统实现自主访问控制的基本方法是在每个文件上使用“9比特位模式”来标识访问控制权限信息，这些二进制位表示了“文件的拥有者，与文件拥有者同组的用户及其他用户”对文件所具有的访问权限和方式，如表7-1所示。,表7-1 9比 特 模 式,其中，r表示“读”权限，w表示“写”权限，x表示“执行”权限；owner表示此客体的拥有者对它的访问权限，group表示与owner同组用户对此客体的访问权限，other表示其他用户对此客体的访问权限。例如，在Red Hat Linux 系统中，重要文件只有root用户才能访问。,7.7.2 Windows 2000访问控制案例用户登录到系统时，WinLogon进程为用户创建访问令牌，包含用户及所属组的安全标识符(SID)，作为用户的身份标识。文件等客体则含有自主访问控制列表(DACL)，标明谁有权访问，还含有系统访问控制列表(SACL)，标明哪些主体的访问需要被记录。用户进程访问客体对象时，通过WIN32子系统向核心请求访问服务，核心的安全参考监视器(SRM)将访问令牌与客体的DACL进行比较，决定是否拥有访问权限，同时检查客体的SACL，确定本次访问是否落在既定的审计范围内，是则送至审计子系统。整个过程可用图7-8表示。,图7-8 Windows 2000访问控制示意图,审计数据如图7-9所示，这是Windows 2000事件查看器中列出的部分登录事件，其中用户rde的一次登录失败。,图7-9 审计数据,7.7.3 IIS FTP访问控制案例IIS FTP服务器自身提供了三种访问限制技术手段， 即匿名访问控制、IP地址限制和FTP的目录安全性设置，下面分别论述。1匿名访问控制设置匿名访问控制设置如图7-10所示。,图7-10 匿名访问控制设置,2IP限制设置IP限制是指IIS FTP服务器根据客户机的IP地址信息来控制访问，其中，控制方式有授权访问和拒绝访问。IP限制设置如图7-11所示。,图7-11 IIS FTP的IP地址访问设置示意图,3FTP的目录安全性设置FTP用户仅有两种目录权限：读取和写入。“读取”权限对应于下载能力，而“写入”权限对应上传能力。FTP站点的目录权限对所有的FTP用户都有效，即如果某一个目录设置了“读取”权限，则任何FTP用户只有下载文件的能力，而没有上传文件的能力。FTP的目录安全性设置如图7-12所示。,图7-12 FTP目录安全性设置,7.7.4 网络访问控制案例网络访问控制是指通过一定的技术手段实现网络资源操作的限制，使得用户只能访问所规定的资源，如网络路由器、网络通信、网络服务等。下面举例说明网络访问控制实现。1网络通信连接控制网络通信连接控制常利用防火墙、路由器、网关等来实现，通常将这些设备放在两个不同的通信网络的连接处，使得所有的通信流都经过通信连接控制器，只有当通信流符合访问控制规则时，才允许通信正常进行。图7-13是网络通信连接访问控制配置图。,图7-13 网络通信连接访问控制配置示意图,2基于VLAN的网络隔离根据网络的功能和业务用途，可将网络划分为若干个小的子网(网段)，或者是外部网和内部网，以避免各网之间多余的信息交换。例如，通过VLAN技术，可以把处于不同物理位置的节点，按照业务需要组成不同的逻辑子网。采用VLAN技术，不仅可以防止广播风暴的产生，而且也可以提高交换式网络的整体性能和安全性。,7.7.5 Web访问控制案例Web服务是网络非常普遍的服务，已经应用在电子商务、政府、公司办公等多个领域。Web服务面向不同权限的访问者，为此，Web服务需要良好的访问控制机制。目前，Web服务访问控制的实现流程如图7-14所示。,图7-14 Web服务访问控制机制的实现流程,1基于限定IP地址、子网或域名的访问控制用这种方式保护的文档或整个目录，只有特定IP(Internet)地址、IP子网或域名的浏览器可以访问。以NCSA httpd的服务器为例，需要在access.conf中加一个类似于下文的目录控制段：,order mutual-failure deny from all allow from 159.226.5 . allow from ,根据配置信息，Web服务器将会拒绝除指定的主机(和)，以及子网(159.226.5)和域名(.)以外的所有主机的连接请求。针对每种Web服务器，有不同的具体配置方法，更详尽的信息需参照对应系统的帮助手册。一般来说，通过IP地址来限制，对于普通访问者是有效的，但对于高级的黑客则不然。有好几种办法能绕过IP地址限制。例如，黑客可以盗用具有访问权限的IP地址，使其可以访问Web服务器。或者黑客利用Proxy服务器访问Web服务器，再将浏览器设为使用proxy服务器，那么Web服务器将仅仅知道proxy的IP地址，而不是实际用户的IP。这意味着如果proxy在信任域之内，那么任何人都可以用那个proxy来访问Web服务。因此，除非用户确认对某个特定的proxy是信任的，否则不要把proxy的IP地址加到授权地址列表中。,2基于用户名/口令的访问控制Web服务通过授权控制Web资源访问。当用户要访问一个受保护的Web资源时，需要输入用户名和口令。下面以Apache Web服务为例，分析Web服务基于用户/口令访问控制的实现过程。假设某Apache Web服务器需要控制/usr/local/apache/htdocs/protect目录的页面访问，则Apache Web服务器的配置如下：,(1) 在Apache 的配置文件httpd.conf里加入以下内容：