第五章 访问控制技术.ppt

第5章访问控制技术 本章学习目标 访问控制的三个要素 7种策略 内容 模型访问控制的安全策略与安全级别安全审计的类型 与实施有关的问题日志的审计 5 1访问控制概述 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制 确保只有合法用户的合法访问才能给予批准 而且相应的访问只能执行授权的操作访问控制是计算机网络系统安全防范和保护的重要手段 是保证网络安全最重要的核心策略之一 也是计算机网络安全理论基础重要组成部分 5 1 1访问控制的定义 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问 访问控制包括三个要素 即主体 客体和控制策略 5 1 1访问控制的定义 主体S是指一个提出请求或要求的实体 是动作的发起者 主体可以是某个用户 也可以是用户启动的进程 服务和设备 客体O是接受其他实体访问的被动实体 客体可以被操作的信息 资源 对象 在信息社会中 客体可以是信息 文件 记录等的集合体 也可以是网路上的硬件设施 无线通信中的终端 控制策略 控制策略A是主体对客体的访问规则集 访问策略实际上体现了一种授权行为 也就是客体对主体的权限允许 访问控制的目的是为了限制访问主体对访问客体的访问权限 从而使计算机网络系统在合法范围内使用 它决定用户能做什么 访问控制需要完成以下两个任务 识别和确认访问系统的用户 决定该用户可以对某一系统资源进行何种类型的访问 7种访问控制策略 入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 5 1 3访问控制的内容 访问控制的实现首先要考虑对合法用户进行验证 然后是对控制策略的选用与管理 最后要对非法用户或是越权操作进行管理 所以 访问控制包括认证 控制策略实现和审计三个方面的内容 认证 包括主体对客体的识别认证和客体对主体检验认证 控制策略的具体实现 如何设定规则集合从而确保正常用户对信息资源的合法使用 既要防止非法用户 也要考虑敏感资源的泄漏 对于合法用户而言 更不能越权行使控制策略所赋予其权利以外的功能 安全审计 使系统自动记录网络中的 正常 操作 非正常 操作以及使用时间 敏感信息等 审计类似于飞机上的 黑匣子 它为系统进行事故原因查询 定位 事故发生前的预测 报警以及为事故发生后的实时处理提供详细可靠的依据或支持 5 2访问控制模型 自主访问控制模型强制访问控制模型基于角色的访问控制模型其他访问控制模型基于任务的访问控制模型基于对象的访问控制模型 5 2 1自主访问控制模型 自主访问控制模型 DiscretionaryAccessControlModel DACModel 是根据自主访问控制策略建立的一种模型 它基于对主体或主体所属的主体组的识别来限制对客体的访问 也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源 自主访问控制又称为任意访问控制 一个主体的访问权限具有传递性 为了实现完整的自主访问系统 DAC模型一般采用访问控制表来表达访问控制信息 访问控制表 AccessControlList ACL 是基于访问控制矩阵中列的自主访问控制 它在一个客体上附加一个主体明细表 来表示各个主体对这个客体的访问权限 明细表中的每一项都包括主体的身份和主体对这个客体的访问权限 对系统中一个需要保护的客体oj附加的访问控制表的结构如图所示 对于客体oj 主体s0只有读 r 的权限 主体s1只有写 w 的权限 主体s2只有执行 e 的权限 主体sx具有读 r 写 w 和执行 e 的权限 但是 在一个很大的系统中 可能会有非常多的主体和客体 这就导致访问控制表非常长 占用很多的存储空间 而且访问时效率下降 使用组 group 或者通配符可以有效地缩短表的长度 用户可以根据部门结构或者工作性质被分为有限的几类 同一类用户使用的资源基本上是相同的 因此 可以把一类用户作为一个组 分配一个组名 简称 GN 访问时可以按照组名判断 通配符 可以代替任何组名或者主体标识符 这时 访问控制表中的主体标识为 主体标识 ID GN 其中 ID是主体标识符 GN是主体所在组的组名 带有组和通配符的访问控制表示例 上图的第二列表示 属于TEACH组的所有主体都对客体oj具有读和写的权限 但是只有TEACH组中的主体Cai才额外具有执行的权限 第一列 无论是哪一组中的Li都可以读客体oj 第三列 最后一个表项 第四列 说明所有其他的主体 无论属于哪个组 都不具备对oj有任何访问权限 5 2 2强制访问控制模型 自主访问控制的最大特点是自主 即资源的拥有者对资源的访问策略具有决策权 因此是一种限制比较弱的访问控制策略 这种方式给用户带来灵活性的同时 也带来了安全隐患 和DAC模型不同的是 强制访问控制模型 MandatoryAccessControlModel MACModel 是一种多级访问控制策略 它的主要特点是系统对主体和客体实行强制访问控制 系统事先给所有的主体和客体指定不同的安全级别 比如绝密级 机密级 秘密级和无密级 在实施访问控制时 系统先对主体和客体的安全级别进行比较 再决定主体能否访问该客体 所以 不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的 在强制访问控制模型中 将安全级别进行排序 如按照从高到低排列 规定高级别可以单向访问低级别 也可以规定低级别可以单向访问高级别 这种访问可以是读 也可以是写或修改 主体对客体的访问主要有4种方式 向下读 rd readdown 主体安全级别高于客体信息资源的安全级别时允许查阅的读操作 向上读 ru readup 主体安全级别低于客体信息资源的安全级别时允许的读操作 向下写 wd writedown 主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作 向上写 wu writeup 主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作 由于MAC通过将安全级别进行排序实现了信息的单向流通 因此它一直被军方采用 MAC模型中最主要的三种模型为 Lattice模型 BellLaPadula模型 BLPModel 和Biba模型 BibaModel 在这些模型中 信息的完整性和保密性是分别考虑的 因而对读 写的方向进行了反向规定 保障信息完整性策略 为了保障信息的完整性 低级别的主体可以读高级别客体的信息 不保密 但低级别的主体不能写高级别的客体 保障信息完整 因此采用的是上读 下写策略 保障信息机密性策略 与保障完整性策略相反 为了保障信息的保密性 低级别的主体不可以读高级别的信息 保密 但低级别的主体可以写高级别的客体 完整性可能破坏 因此采用的是下读 上写策略 5 2 3基于角色的访问控制模型 在上述两种访问控制模型中 用户的权限可以变更 但必须在系统管理员的授权下才能进行 然而在具体实现时 往往不能满足实际需求 主要问题在于 同一用户在不同的场合需要以不同的权限访问系统 而变更权限必须经系统管理员授权修改 因此很不方便 当用户量大量增加时 系统管理将变得复杂 工作量急剧增加 容易出错 不容易实现系统的层次化分权管理 尤其是当同一用户在不同场合处在不同的权限层次时 系统管理很难实现 除非同一用户以多个用户名注册 但是如果企业的组织结构或是系统的安全需求出于变化的过程中时 那么就需要进行大量繁琐的授权变动 系统管理员的工作将变得非常繁重 更主要的是容易发生错误造成一些意想不到的安全漏洞 角色的概念 在基于角色的访问控制模型中 角色 role 定义为与一个特定活动相关联的一组动作和责任 系统中的主体担任角色 完成角色规定的责任 具有角色拥有的权限 一个主体可以同时担任多个角色 它的权限就是多个角色权限的总和 基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限 最小权限指主体在能够完成所有必需的访问工作基础上的最小权限 基于角色的访问控制原理 基于角色的访问控制就是通过定义角色的权限 为系统中的主体分配角色来实现访问控制的 如图所示 用户先经认证后获得一个角色 该角色被分派了一定的权限 用户以特定角色访问系统资源 访问控制机制检查角色的权限 并决定是否允许访问 5 2 4其他访问控制模型 1 基于任务的访问控制模型 TaskbasedAccessControlModel TBACModel TBAC是从应用和企业层角度来解决安全问题 以面向任务的观点 从任务 活动 的角度来建立安全模型和实现安全机制 在任务处理的过程中提供动态实时的安全管理 其访问控制策略及其内部组件关系一般由系统管理员直接配置 支持最小特权原则和最小泄漏原则 在执行任务时只给用户分配所需的权限 未执行任务或任务终止后用户不再拥有所分配的权限 而且在执行任务过程中 当某一权限不再使用时 将自动收回该权限 2 基于对象的访问控制模型 基于对象的访问控制模型 ObjectBasedAccessControlModel OBACModel OBAC模型从受控对象的角度出发 将主体的访问权限直接与受控对象相关联 一方面定义对象的访问控制表 增 删 修改访问控制项易于操作 另一方面 当受控对象的属性发生改变 或者受控对象发生继承和派生行为时 无须更新访问主体的权限 只需要修改受控对象的相应访问控制项即可 从而减少了主体的权限管理 减轻了由于信息资源的派生 演化和重组等带来的分配 设定角色权限等的工作量 5 3访问控制的安全策略与安全级别 访问控制的安全策略有以下两种实现方式 基于身份的安全策略和基于规则的安全策略 这两种安全策略建立的基础都是授权行为 就其形式而言 基于身份的安全策略等同于DAC安全策略 基于规则的安全策略等同于MAC安全策略 5 3 1安全策略 实施原则 访问控制安全策略的实施原则围绕主体 客体和安全控制规则集三者之间的关系展开 最小特权原则 是指主体执行操作时 按照主体所需权利的最小化原则分配给主体权力 最小特权原则的优点是最大限度地限制了主体实施授权行为 可以避免来自突发事件 错误和未授权主体的危险 也就是说 为了达到一定目的 主体必须执行一定操作 但他只能做他所被允许做的 其他除外 最小泄漏原则 是指主体执行任务时 按照主体所需要知道的信息最小化的原则分配给主体权力 多级安全策略 是指主体和客体间的数据流向和权限控制按照安全级别的绝密 TS 秘密 S 机密 C 限制 RS 和无级别 U 5级来划分 多级安全策略的优点是避免敏感信息的扩散 具有安全级别的信息资源 只有安全级别比它高的主体才能够访问 基于身份的安全策略 基于身份的安全策略是过滤对数据或资源的访问 只有能通过认证的那些主体才有可能正常使用客体的资源 基于身份的安全策略包括基于个人的策略和基于组的策略 主要有两种基本的实现方法 分别为能力表和访问控制表 基于个人的策略 基于个人的策略是指以用户个人为中心建立的一种策略 由一些列表组成 这些列表针对特定的客体 限定了哪些用户可以实现何种安全策略的操作行为 基于组的策略 基于组的策略是基于个人的策略的扩充 指一些用户被允许使用同样的访问控制规则访问同样的客体 基于规则的安全策略 基于规则的安全策略中的授权通常依赖于敏感性 在一个安全系统中 数据或资源应该标注安全标记 代表用户进行活动的进程可以得到与其原发者相应的安全标记 在实现上 由系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户进行访问 5 3 2安全级别 安全级别有两个含义 一个是主 客体系统资源的安全级别 分为有层次的安全级别和无层次的安全级别 另一个是访问控制系统实现的安全级别 这和 可信计算机系统评估标准 的安全级别是一样的 分为D C C1 C2 B B1 B2 B3 和A共4类7级 由低到高 5 4安全审计 计算机网络安全审计是通过一定的策略 利用记录和分析系统活动和用户活动的历史操作事件 按照顺序检查 审查和检验每个事件的环境及活动 其中系统活动包括操作系统和应用程序进程的活动 用户活动包括用户在操作系统中和应用程序中的活动 如用户使用何种资源 使用的时间 执行何种操作等方面 发现系统的漏洞并改进系统的性能和安全 审计是计算机网络安全的重要组成部分 5 4 1安全审计概述 安全审计的目标 对潜在的攻击者起到震慑和警告的作用 对于已经发生的系统破坏行为 提供有效的追究责任的证据 评估损失 提供有效的灾难恢复依据 为系统管理员提供有价值的系统使用日志 帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 安全审计的类型 有三种 系统级审计 应用级审计和用户级审计 系统级审计 系统级审计的内容主要包括登录 成功和失败 登录识别号 每次登录尝试的日期和时间 每次退出的日期和时间 所使用的设备 登录后运行的内容 如用户启动应用的尝试 无论成功或失败 典型的系统级日志还包括和安全无关的信息 如系统操作 费用记账和网络性能 应用级审计 系统级审计可能无法跟踪和记录应用中的事件 也可能无法提供应用和数据拥有者需要的足够的细节信息 通常 应用级审计的内容包括打开和关闭数据文件 读取 编辑和删除记录或字段的特定操作以及打印报告之类的用户活动 用户级审计 用户级审计的内容通常包括 用户直接启动的所有命令 用户所有的鉴别和认证尝试 用户所访问的文件和资源等方面 安全审计系统的基本结构 安全审计是通过对所关心的事件进行记录和分析来实现的 因此审计过程包括审计发生器 日志记录器 日志分析器和报告机制几部分 如图所示 5 4 2日志的审计 日志的内容 日志系统可根据安全要求的强度选择记录下列事件的部分或全部 审计功能的启动和关闭 使用身份验证机制 将客体引入主体的地址空间 删除客体 管理员 安全员 审计员和一般操作人员的操作 其他专门定义的可审计事件 通常 对于一个事件 日志应包括事件发生的日期和时间 引发事件的用户 地址 事件和源及目的的位置 事件类型 事件成败等 安全审计的记录机制 不同的系统可采用不同的机制记录日志 日志的记录可以由操作系统完成 也可以由应用系统或其他专用记录系统完成 但是 大部分情况都可用系统调用Syslog来记录日志 也可以用SNMP记录 Syslog由Syslog守护程序 Syslog规则集及Syslog系统调用三部分组成 日志分析 日志分析就是在日志中寻找模式 主要内容如下 潜在侵害分析 日志分析应能用一些规则去监控审计事件 并根据规则发现潜在的入侵 这种规则可以是由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合 或者其他规则 基于异常检测的轮廓 日志分析应确定用户正常行为的轮廓 当日志中的事件违反正常访问行为的轮廓 或超出正常轮廓一定的门限时 能指出将要发生的威胁 简单攻击探测 日志分析应对重大威胁事件的特征有明确的描述 当这些攻击现象出现时 能及时指出 复杂攻击探测 要求高的日志分析系统还应能检测到多步入侵序列 当攻击序列出现时 能预测其发生步骤 审计事件查阅 由于审计系统是追踪 恢复的直接依据 甚至是司法依据 因此其自身的安全性十分重要 审计系统的安全主要是查阅和存储的安全 审计事件的查阅应该受到严格的限制 不能篡改日志 通常通过以下不同的层次保证查阅的安全 审计查阅 审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能 有限审计查阅 审计系统只能提供对内容的读权限 因此应拒绝具有读以外权限的用户访问审计系统可选审计查阅 在有限审计查阅的基础上限制查阅的范围 审计事件存储 审计事件的存储也有安全要求 具体有如下几种情况 受保护的审计踪迹存储 即要求存储系统对日志事件具有保护功能 防止未授权的修改和删除 并具有检测修改 删除的能力 审计数据的可用性保证 在审计存储系统遭受意外时 能防止或检测审计记录的修改 在存储介质存满或存储失败时 能确保记录不被破坏 防止审计数据丢失 在审计踪迹超过预定的门限或记满时 应采取相应的措施防止数据丢失 这种措施可以是忽略可审计事件 只允许记录有特殊权限的事件 覆盖以前记录 停止工作等 5 4 3安全审计的实施 为了确保审计数据的可用性和正确性 审计数据需要受到保护 因为不正确的数据也是没用的 而且 如果不对日志数据进行及时审查 规划和实施得再好的审计也会失去价值 审计应该根据需要 经常由安全事件触发 定期审查 自动实时审查或两者兼而有之 系统管理人员和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计数据 其中包括系统内保存的和归档保存的数据 与实施有关的问题包括 保护审计数据 审查审计数据和用于审计分析的工具