网络安全9-访问控制技术.ppt

网络安全 刘敏贤副教授西南科技大学计算机科学与技术学院 第9章访问控制技术 本章的主要内容是对入网访问控制 物理隔离 自主访问控制和强制访问控制等技术的实现原理进行了详细的论述 并介绍了一些新型访问控制技术 第9章访问控制技术 9 1访问控制技术概述9 2入网认证9 3物理隔离措施9 4自主访问控制9 5强制访问控制9 6新型访问控制技术 第9章访问控制技术 要保证计算机系统实体的安全 必须对计算机系统的访问进行控制访问控制的基本任务防止非法用户即未授权用户进入系统合法用户即授权用户对系统资源的非法使用 第9章第1节 问题提出 例1 学校的教务管理系统全校师生都可以使用 但是只有老师可以输入考试成绩 只有学生可以对教学质量进行评价 例2 作为QQ用户 执行同样的登录操作 为什么QQ服务器可以识别出有的用户花了钱晋升为QQ会员 有的用户开通了各种钻 更多的只是普通的QQ用户呢 例3 论坛规定 发贴或跟贴必须要先注册并登录 而且只有管理员可以删贴 甚至封贴 访问控制的最基本概念 主体 subject 一个提出请求或要求的实体 是动作的发起者 不一定是动作的执行者 有时也称为用户或访问者 如被授权使用计算机的人 主体含义广泛 可以是用户 用户组 计算机终端 外设卡 手持终端设备 一个数据文件甚至是应用服务程序或进程 客体 object 接受其他实体访问的被动实体 凡是可以被操作的信息 资源 对象都可以作为客体 通常包括文件和文件系统 磁盘和磁带卷标 远程终端 信息管理系统的事务处理及其应用 数据库中的数据 应用资源等 访问控制的最基本概念 访问 access 使信息在主体和客体之间流动的一种交互方式 对文件客体来说 典型的访问就是读 写 执行和所有 其中所有权指谁能改变文件的访问权 访问控制策略 accesscontrolpolicy 主体对客体的访问规则集 这个规则集直接定义了主体对客体的作用行为和客体对主体的条件约束 体现了一种授权行为 也就是客体对主体的权限允许 这种允许不能超越规则集 访问控制指主体依据某些控制策略或者权限对客体或其资源进行的不同的授权访问 可以限制访问主体 或称为发起者 是一个主动的实体 如用户 进程 服务等 对访问客体 需要保护的资源 的访问权限 从而使计算机系统在合法范围内使用 访问控制三要素 主体 客体 访问控制策略 访问控制的最基本概念 访问控制系统要素之间的行为关系参见下图 访问控制的最基本概念 访问控制过程 访问控制由两个重要过程组成1 通过认证来检验主体的合法身份 2 通过授权 Authorization 来限制用户对资源的访问级别 在认证和授权后 访问控制机制将根据预先设定的规则对用户访问的资源进行控制 只有规则允许的资源才能访问 访问控制过程 这种控制通过监控器进行 每一次用户对系统内目标进行访问时 都由这个监控器来进行调节控制过程 用户对系统进行访问时 监控器便依据访问控制策略 以确定准备进行访问的用户是否确实得到了进行此项访问的许可 访问控制过程 严格区分身份认证和访问控制很重要 原因 正确建立用户的身份是认证服务的责任 而访问控制则假定在通过监控器实施访问控制前 用户的身份就已经得到了验证 因而 访问控制的有效性取决于用户的正确识别 同时也取决于监控器正确的控制 访问控制技术概述 访问控制是从计算机系统的处理能力方面对信息提供保护它按照事先确定的规则决定主体对客体的访问是否合法当一主体试图非法使用一个未经授权的资源时 访问控制机制将拒绝这一企图 并将这一事件报告给审计跟踪系统审计跟踪系统将给出报警 并记入日志档案 9 1访问控制技术概述 网络的访问主要采用基于争用和定时两种方法基于争用的方法意味着网上所有站点按先来先服务原则争用带宽对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用访问控制要对访问的申请 批准和撤消的全过程进行有效的控制 第9章第1节 9 1访问控制技术概述 访问控制的内容包括用户身份的识别和认证对访问的控制授权 确定访问权限 实施访问权限附加控制除了对直接的访问进行控制外 还应对信息的流动和推理攻击施加控制审计跟踪对用户使用何种系统资源 使用的时间 执行的操作等问题进行完整的记录 以备非法事件发生后能进行有效的追查 第9章第1节 9 1访问控制技术概述 访问控制的类型自主访问控制 DAC 用户可以按自己的意愿对系统参数做适当的修改 可以决定哪个用户可以访问系统资源强制访问控制 MAC 用户和资源都是一个固定的安全属性 系统利用安全属性来决定一个用户是否可以访问某个资源由于强制访问控制的安全属性是固定的 因此用户或用户程序不能修改安全属性基于角色的访问控制 第9章第1节 9 2入网认证 入网认证即入网访问控制 它为网络访问提供了第一层访问控制入网认证控制哪些用户能够登录到服务器并获得网络资源 也控制准许用户入网的时间和准许他们在哪台工作站入网入网认证实质上就是对用户的身份进行认证 第9章第2节 9 2入网认证 身份认证身份认证过程指的是当用户试图访问资源的时候 系统确定用户的身份是否真实的过程认证对所有需要安全的服务来说是至关重要的 因为认证是访问控制执行的前提 是判断用户是否有权访问信息的先决条件 同时也为日后追究责任提供不可抵赖的证据 第9章第2节 身份认证的概念 身份认证的作用身份认证与鉴别是信息安全中的第一道防线 是保证计算机网络系统安全的重要措施之一 对信息系统的安全有着重要的意义 身份认证可以确保用户身份的真实 合法和唯一性 认证是对用户身份和认证信息的生成 存储 同步 验证和维护的整个过程的管理 作用 可以防止非法人员进入系统 防止非法人员通过各种违法操作获取不正当利益 非法访问受控信息 恶意破坏系统数据的完整性的情况的发生 严防 病从口入 关口 9 2入网认证 身份认证的依据用户所知道的密码用户所拥有的智能卡用户的特征生物学上的属性根据特定地点 或特定时间 通过信任的第三方Kerberos IKE 第9章第2节 身份认证技术方法 目前 计算机及网络系统中常用的身份认证方式主要有以下几种 1 用户名及密码方式用户名及密码方式是最简单也是最常用的身份认证方法 由用户自己设定 只有用户本人知道 只要能够正确输入密码 计算机就认为操作者就是合法用户 2 智能卡认证智能卡是一种内置集成的电路芯片 芯片中存有与用户身份相关的数据 智能卡由专门的厂商通过专门的设备生产 是不可复制的硬件 智能卡由合法用户随身携带 登录时必须将智能卡插入专用的读卡器读取其中的信息 以验证用户的身份 身份认证技术方法 目前 计算机及网络系统中常用的身份认证方式主要有以下几种 3 动态令牌认证动态口令技术是一种让用户密码按照时间或使用次数不断变化 每个密码只能使用一次的技术 它采用一种动态令牌的专用硬件 内置电源 密码生成芯片和显示屏 密码生成芯片运行专门的密码算法 根据当前时间或使用次数生成当前密码并显示 用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机 即可实现身份认证 采用一次一密的方法 例 工行 建行 见备注 身份认证技术方法 目前 计算机及网络系统中常用的身份认证方式主要有以下几种 4 USBKey认证基于USBKey的身份认证方式是近几年发展起来的一种方便 安全的身份认证技术 它采用软硬件相结合 一次一密的强双因子认证模式 很好地解决了安全性与易用性之间的矛盾 USBKey内置单片机或智能卡芯片 可以存储用户的密钥或数字证书 利用USBKey内置的密码算法实现对用户身份的认证 基于USBKey身份认证系统主要有两种应用模式 一是基于冲击 响应的认证模式 二是基于PKI体系的认证模式 例 工行 建行 见备注 身份认证技术方法 目前 计算机及网络系统中常用的身份认证方式主要有以下几种 5 生物识别技术生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术 生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式 生物特征分为身体特征和行为特征两类 身体特征包括 指纹 掌型 视网膜 虹膜 人体气味 脸型 手的血管和DNA等 行为特征包括 签名 语音 行走步态等 目前采用的有 指纹识别技术 视网膜识别技术 声音识别技术 身份认证技术方法 目前 计算机及网络系统中常用的身份认证方式主要有以下几种 6 CA认证CA CertificationAuthority 是认证机构的国际通称 它是对数字证书的申请者发放 管理 取消数字证书的机构 CA的作用 是检查证书持有者身份的合法性 并签发证书 用数学方法在证书上签字 以防证书被伪造或篡改 网络身份证的发放 管理和认证就是一个复杂的过程 也就是CA认证 CA职能管理和维护客户的证书和证书作废表维护自身的安全提供安全审计的依据 9 2入网认证 身份认证的评价标准可行性认证强度认证粒度认证数据正确不同协议间的适应性 第9章第2节 9 2入网认证 身份认证的评价标准可行性从用户的观点看 认证方法应该提高用户访问应用的效率 减少多余的交互认证过程 提供一次性认证另外所有用户可访问的资源应该提供友好的界面给用户访问 第9章第2节 9 2入网认证 身份认证的评价标准认证强度认证强度取决于采用的算法的复杂度以及密钥的长度采用更复杂的算法 更长的密钥 将能提高系统的认证强度 提高系统的安全性 第9章第2节 9 2入网认证 身份认证的评价标准认证粒度身份认证只决定是否允许用户进入服务应用 之后如何控制用户访问的内容 以及控制的粒度也是认证系统的重要标志有些认证系统仅限于判断用户是否具有合法身份 有些则按权限等级划分成几个密级 严格控制用户按照自己所属的密级访问 第9章第2节 9 2入网认证 身份认证的评价标准认证数据正确消息的接受者能够验证消息的合法性 真实性和完整性消息的发送者对所发的消息不可抵赖除了合法的消息发送者外 任何其他人不能伪造合法的消息当通信双方 或多方 发生争执时 有公正权威的第3方解决纠纷 第9章第2节 9 2入网认证 身份认证的评价标准不同协议间的适应性认证系统应该对所有协议的应用进行有效的身份识别除了HTTP以外 安全Email访问 包括认证SMTP POP或者IMAP 也应该包含在认证系统中 第9章第2节 9 2入网认证 口令认证的一般过程用户名的识别与验证确定是否存在该用户的信息用户口令的识别与验证确定用户输入的口令是否正确用户帐号的缺省限制检查确定该用户帐号是否可用 以及能够进行哪些操作 访问哪些资源等用户的权限 第9章第2节 9 2入网认证 口令认证口令认证也称通行字认证 是一种根据已知事物验证身份的方法通行字的选择原则易记难以被别人猜中或发现抗分析能力强需要考虑的方面选择方法 使用期限 字符长度 分配和管理以及在计算机系统内的保护 第9章第2节 2020 2 18 34 口令认证技术 安全口令 为了防止攻击者猜测出口令 选择的安全口令应满足以下要求 1 口令长度适中 2 不回送显示 3 记录和报告 4 自动断开连接 5 口令存储的安全性目前 口令的存储有以下两种方法 明文存储 散列 Hash 函数存储 9 2入网认证 系统中不存储口令的原文 第9章第2节 9 2入网认证 认证方式单向认证双向认证 询问认证受理的用户可利用他所知道 而别人不太知道的一些信息向申请用户提问一系列不大相关的问题 第9章第2节 9 3物理隔离措施 物理隔离物理隔离技术是一种将内外网络从物理上断开 但保持逻辑连接的网络安全技术任何时候内外网络都不存在连通的物理连接 同时原有的传输协议必须被中断逻辑连接指能进行适度的数据交换 第9章第3节 9 3物理隔离措施 1999年12月29日国家保密局发布的 计算机信息系统国际联网保密管理规定 中第二章第六条规定 涉及国家秘密的计算机信息系统 不得直接或间接地与国际互联网或其他公共信息网络相联接 必须进行物理隔离 第9章第3节 网络隔离概述 网络隔离 NetworkIsolation 技术是网络安全技术的一个大门类 随着近几年隔离技术的飞速发展 目前的隔离技术已比较完善 涵盖了几乎所有级别用户的网络隔离需求 网络隔离技术基础网络中的 隔离 一词与现实生活中的 隔离 存在某种认识上的区别 从传统意义来理解 隔离 使两个网络真正分开 但这样来谈网络安全是没有任何意义的 事实上 网络安全中的 隔离 后的两个网络并非完全没有联系 还是需要有正常的应用层数据交换的 目前可以采用的隔离方法主要有以下三类 物理隔离 通过一定软 硬件方法使得访问内 外网的设备 线路 存储均相对独立 网络隔离 利用协议转换进行网间的数据交换 安全隔离 利用专用设备实现仅在应用层进行数据交换 2 网络隔离技术的发展历程到目前为止 整个网络隔离技术的发展经历了以下五代 第一代隔离技术 完全的隔离第二代隔离技术 硬件卡隔离第三代隔离技术 网络协议隔离第四代隔离技术 空气开关网闸隔离第五代隔离技术 安全网闸隔离 物理隔离原理 物理隔离技术的指导思想与防火墙有很大的不同 防火墙的思路是在保障互连互通的前提下 尽可能安全 而物理隔离的思路是在保证必须安全的前提下 尽可能互连互通 虽然物理隔离技术存在多种隔离方式 但是它们的隔离原理却基本上一样 9 3物理隔离措施 网络物理隔离方案客户端的物理隔离集线器级的物理隔离服务器端的物理隔离主要物理隔离产品物理隔离卡物理隔离集线器物理隔离网闸 第9章第3节 9 3物理隔离措施 网络物理隔离方案客户端的物理隔离 第9章第3节 9 3物理隔离措施 网络安全隔离卡是以物理方式将一台PC虚拟为两个电脑 实现工作站的双重状态 第9章第3节 9 3物理隔离措施 网络物理隔离方案集线器级的物理隔离 第9章第3节 9 3物理隔离措施 网络物理隔离方案集线器级的物理隔离物理隔离网闸 第9章第3节 9 3物理隔离措施 网络物理隔离方案服务器端的物理隔离 第9章第3节 9 3物理隔离措施 物理隔离的优点安全级别高 保障强易于在现有涉密网上安装物理隔离的未尽之处资源消耗大缺乏管理认证 访问控制 审计 取证妨碍应用 第9章第3节 9 4自主访问控制 自主访问控制由客体自主地来确定各个主体对它的直接访问权限 又称访问模式 在自主访问控制下 用户可以按自己的意愿对系统的参数做适当的修改 以决定哪个用户可以访问他们的文件 第9章第4节 9 4自主访问控制 自主访问控制DiscretionaryAccessControl 简称DAC自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问 这种控制是自主的自主是指对其它具有授予某种访问权力的主体能够自主地 可能是间接的 将访问权的某个子集授予其它主体 第9章第4节 自主访问控制的实现机制 DAC一般采用以下三种机制来存放不同主体的访问控制权限 从而完成对主体访问权限的限制 1 访问控制矩阵2 访问控制列表3 访问控制能力列表 访问控制矩阵ACM 从概念上来说 访问控制可以通过使用和维护一个访问控制矩阵 AccessControlMatrix 来实现 访问控制矩阵是通过二维矩阵形式表示访问控制规则和授权用户权限的方法 包含三个元素 主体 客体和访问权限 访问控制矩阵的行对应于主体 列对应于客体 第i行第j列的元素是访问权限的集合 列出了允许主体si对客体oj进行访问的权限 9 4自主访问控制 访问控制矩阵 第9章第4节 访问控制矩阵 访问控制矩阵实例如下图所示 访问控制矩阵 访问控制的任务就是确保系统的操作是按照访问控制矩阵授权的访问来执行 优点 清晰地实现认证与访问控制的相互分离 缺点 在较大系统中 如果用户和资源都非常多 那么访问控制矩阵非常巨大 而且每个用户可能访问的资源有限 矩阵中许多格可能都为空 浪费存储空间 因此较少使用 简单的解决方法 将访问控制矩阵按行或按列进行划分 如果按行划分 得到访问控制能力表 如果按列划分 得到广泛应用的访问控制列表 9 4自主访问控制 DAC的实现方法基于行的DAC 访问控制列表 权力表 CapabilitiesList 前缀表 Profiles 口令 Password 基于列的DAC 访问控制能力列表 保护位 ProtectionBits 访问控制表 AccessControlList ACL 第9章第4节 访问控制列表ACL 访问控制列表 AccesscontrolList 是以文件为中心建立访问权限表 对于每个资源 访问控制列表中列出可能的用户和用户的访问权限 访问控制列表是基于访问控制矩阵中列的自主访问控制区 它在一个客体上附加一个主体明细表来表示各个主体对这个客体的访问权限 明细表中的每一项都包括主体的身份和主体对这个客体的访问权限 访问控制列表ACL 例如 前面访问控制矩阵实例对应的访问控制列表如下所示 acl Bob doc Bob 拥有 Alice 写 John 读 写 acl A Bob 读 写 Alice 拥有 acl John exe Bob 执行 Alice 执行 John 拥有 访问控制列表ACL 优点 实现简单 实用 大多数PC 服务器和主机都使用ACL作为访问控制的实现机制 适用情况 系统需要区分的用户相对较少 并且这些用户大都比较稳定 缺点 如访问控制列表太大或经常改变 那么维护访问控制列表就成为一个问题 访问控制能力列表ACCL 能力指访问请求者所拥有的一个有效标签 它授权标签的持有者可以按照何种访问方式访问特定的客体 访问控制能力列表以用户为中心建立访问权限表 是常用的基于行的自主访问控制 它为每个主体附加一个该主体能够访问的客体的明细表 访问控制能力列表ACCL 例如 前面访问控制矩阵实例对应的访问控制能力表如下所示 cap Bob Bob doc 拥有 A 读 写 John exe 执行 cap Alice Bob doc 写 A 拥有 John exe 执行 cap John Bob doc 读 写 John exe 拥有 访问控制能力列表ACCL 访问控制能力表在时间效率和空间效率上都优于访问控制矩阵 缺点 对于一个给定的客体 要确定所有有权访问它的主体 用户生成一个新的客体并对其授权 或删除一个客体时都比较复杂 9 4自主访问控制 DAC的访问类型 控制模式 等级型有主型 Owner 自由型 Laissez faire 第9章第4节 9 4自主访问控制 DAC的优点方便 实用可由用户自由定制可扩展性强缺点管理分散 用户关系不清权限易被滥用 第9章第4节 9 5强制访问控制 强制访问控制MandatoryAccessControl 简称MAC用户与文件都有一个固定的安全属性 系统利用安全属性来决定一个用户是否可以访问某个文件安全属性是强制性的 它是由安全管理员或操作系统根据限定的规则分配的 用户或用户的程序不能修改安全属性 第9章第5节 9 5强制访问控制 强制访问控制如果系统认为具有某一安全属性的用户不适于访问某个文件 那么任何人 包括文件的拥有者 都无法使该用户具有访问文件的能力强制访问控制是比任意访问控制更强的一种访问控制机制 它可以通过无法回避的访问限制来防止某些对系统的非法入侵强制访问控制可以防止一个进程生成共享文件 从而防止一个进程通过共享文件把信息从一个进程传送给另一个进程 第9章第5节 强制访问控制 MAC 强制访问控制 MandatoryAccessControl 是比DAC更为严格的访问控制策略 具体实现时 每个用户及文件都被赋予一定的安全级别 用户不能改变自身或任何客体的安全级别 只有系统管理员可以确定用户和组的访问权限 系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件 Bell LaPadual模型 安全属性用二元组表示 密级 类别集合 密级 绝密 机密 秘密 公开绝密 机密 秘密 公开模型对系统中的每个用户分配一个安全属性 它反映了对用户不将敏感信息泄露给不持有相应安全属性用户的置信度 访问模式 9 5强制访问控制 Bell LaPadual模型简单安全规则仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时 才允许该主体读该客体 即主体只能读密级等于或低于它的客体 也就是说主体只能从下读 而不能从上读星规则仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时 才允许该主体写该客体 即主体只能写密级等于或高于它的客体 也就是说主体只能向上写 而不能向下写 第9章第5节 安全策略 Biba模型 基于信息完整性保护用完整性取代敏感等级 9 5强制访问控制 Biba模型简单完整规则仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时 才允许该主体写该客体 即主体只能向下写 而不能向上写 也就是说主体只能写 修改 完整性级别等于或低于它的客体完整性制约规则 星规则 仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时 才允许该主体读读客体 即主体只能从上读 而不能从下读 第9章第5节 Biba模型安全策略 9 6新型访问控制技术 基于角色的访问控制技术RBAC Role BasedAccessControl NIST NationalInstituteofStandardTechnology 基于任务的访问控制技术TBAC Task BasedAccessControl 基于组机制的访问控制技术 第9章第6节 9 6新型访问控制技术 四种RBAC模型基本模型RBAC0角色的层次结构RBAC1约束模型RBAC2混合模型RBAC3 第9章第6节 基于角色的访问控制RBAC Role basedAccessControl RBAC基本思想 将访问许可权分配给一定的角色 用户通过饰演不同的角色获得角色所拥有的访问许可权 与MAC和DAC将权限直接授予用户的方式不同 RBAC从控制主体的角度出发 根据管理中相对稳定的职权和责任来划分角色 将访问权限与角色相联系 通过给用户分配合适的角色 让用户与访问权限相联系 角色成为访问控制中访问主体和受控对象之间的一座桥梁 基于角色的访问控制RBAC 角色可以看做是一组操作的集合 不同的角色具有不同的操作集 这些操作集由系统管理员定义 角色成员的增减也只能由系统管理员来执行 即只有系统管理员有权定义和分配角色 依据RBAC策略 系统定义各种角色 每种角色可以完成一定