网络安全培训课件(共85页).ppt

1、网络平安 刘敏贤 副教授西南科技大学计算机科学与技术学院第第9章章 访问控制技术访问控制技术l本章的主要内容是对入网访问控制、物理隔离、本章的主要内容是对入网访问控制、物理隔离、自主访问控制和强制访问控制等技术的实现原自主访问控制和强制访问控制等技术的实现原理进行了详细的论述，并介绍了一些新型访问理进行了详细的论述，并介绍了一些新型访问控制技术。控制技术。 第第9章章 访问控制技术访问控制技术l9.1 访问控制技术概述访问控制技术概述 l9.2 入网认证入网认证 l9.3 物理隔离措施物理隔离措施 l9.4 自主访问控制自主访问控制 l9.5 强制访问控制强制访问控制 l9.6 新型访问控制技

2、术新型访问控制技术第第9章章 访问控制技术访问控制技术l要保证计算机系统实体的平安，必须对计要保证计算机系统实体的平安，必须对计算机系统的访问进行控制算机系统的访问进行控制l访问控制的根本任务访问控制的根本任务l防止非法用户即未授权用户进入系统防止非法用户即未授权用户进入系统l合法用户即授权用户对系统资源的非法使合法用户即授权用户对系统资源的非法使用用第第9 9章章 第第1 1节节问题提出问题提出l例例1 1：学校的教务管理系统全校师生都可以使用，但是只有：学校的教务管理系统全校师生都可以使用，但是只有老师可以输入考试成绩，只有学生可以对教学质量进行评老师可以输入考试成绩，只有学生可以对教学质

3、量进行评价。价。l 例例2 2：作为：作为QQQQ用户，执行同样的登录操作，为什么用户，执行同样的登录操作，为什么QQQQ效劳效劳器可以识别出有的用户花了钱晋升为器可以识别出有的用户花了钱晋升为QQQQ会员，有的用户开通会员，有的用户开通了各种钻，更多的只是普通的了各种钻，更多的只是普通的QQQQ用户呢？用户呢？l 例例3 3：论坛规定，发贴或跟贴必须要先注册并登录，而且：论坛规定，发贴或跟贴必须要先注册并登录，而且只有管理员可以删贴，甚至封贴。只有管理员可以删贴，甚至封贴。访问控制的最根本概念访问控制的最根本概念 l主体主体subjectsubjectl一个提出请求或要求的实体，是动作的发起

4、者不一个提出请求或要求的实体，是动作的发起者不一定是动作的执行者，有时也称为用户或访问者一定是动作的执行者，有时也称为用户或访问者如被授权使用计算机的人；如被授权使用计算机的人；l主体含义广泛，可以是用户、用户组、计算机终端、主体含义广泛，可以是用户、用户组、计算机终端、外设卡、手持终端设备、一个数据文件甚至是应用外设卡、手持终端设备、一个数据文件甚至是应用效劳程序或进程。效劳程序或进程。l客体客体objectobjectl接受其他实体访问的被动实体，但凡可以被操作的接受其他实体访问的被动实体，但凡可以被操作的信息、资源、对象都可以作为客体；信息、资源、对象都可以作为客体；l通常包括文件和文件

5、系统、磁盘和磁带卷标、远程通常包括文件和文件系统、磁盘和磁带卷标、远程终端、信息管理系统的事务处理及其应用、数据库终端、信息管理系统的事务处理及其应用、数据库中的数据、应用资源等。中的数据、应用资源等。 访问控制的最根本概念访问控制的最根本概念 l访问访问accessaccess l使信息在主体和客体之间流动的一种交互方式。使信息在主体和客体之间流动的一种交互方式。l对文件客体来说，典型的访问就是读、写、执行和对文件客体来说，典型的访问就是读、写、执行和所有；其中所有权指谁能改变文件的访问权。所有；其中所有权指谁能改变文件的访问权。l访问控制策略访问控制策略access control pol

6、icyaccess control policyl主体对客体的访问规那么集，这个规那么集直接定主体对客体的访问规那么集，这个规那么集直接定义了主体对客体的作用行为和客体对主体的条件约义了主体对客体的作用行为和客体对主体的条件约束。束。l表达了一种授权行为，也就是客体对主体的权限允表达了一种授权行为，也就是客体对主体的权限允许，这种允许不能超越规那么集。许，这种允许不能超越规那么集。l访问控制访问控制l指主体依据某些控制策略或者权限对客体或其资源指主体依据某些控制策略或者权限对客体或其资源进行的不同的授权访问。进行的不同的授权访问。l可以限制访问主体或称为发起者，是一个主动的可以限制访问主体或称

7、为发起者，是一个主动的实体，如用户、进程、效劳等对访问客体需要实体，如用户、进程、效劳等对访问客体需要保护的资源的访问权限，从而使计算机系统在合保护的资源的访问权限，从而使计算机系统在合法范围内使用。法范围内使用。l访问控制三要素：访问控制三要素： l主体、客体、访问控制策略。主体、客体、访问控制策略。访问控制的最根本概念访问控制的最根本概念 l访问控制系统要素之间的行为关系参见以下图：访问控制系统要素之间的行为关系参见以下图：访问控制的最根本概念访问控制的最根本概念 访问控制过程访问控制过程l访问控制由两个重要过程组成访问控制由两个重要过程组成l 1、通过认证来检验主体的合法身份；、通过认证

8、来检验主体的合法身份；l 2、通过授权、通过授权Authorization来限制用户来限制用户对资源的访问级别。对资源的访问级别。 l在认证和授权后，访问控制机制将根据预先设在认证和授权后，访问控制机制将根据预先设定的规那么对用户访问的资源进行控制，只有定的规那么对用户访问的资源进行控制，只有规那么允许的资源才能访问。规那么允许的资源才能访问。访问控制过程访问控制过程l这种控制通过这种控制通过监控器监控器进行，每一次用户对系统进行，每一次用户对系统内目标进行访问时，都由这个监控器来进行调内目标进行访问时，都由这个监控器来进行调节节l控制过程：控制过程：用户对系统进行访问时，监控器便用户对系统进

9、行访问时，监控器便依据访问控制策略，以确定准备进行访问的用依据访问控制策略，以确定准备进行访问的用户是否确实得到了进行此项访问的许可。户是否确实得到了进行此项访问的许可。访问控制过程访问控制过程l严格区分身份认证和访问控制很重要！严格区分身份认证和访问控制很重要！l原因：正确建立用户的身份是认证效劳的责任，原因：正确建立用户的身份是认证效劳的责任，而访问控制那么假定在通过监控器实施访问控而访问控制那么假定在通过监控器实施访问控制前，用户的身份就已经得到了验证；因而，制前，用户的身份就已经得到了验证；因而，访问控制的有效性取决于用户的正确识别，同访问控制的有效性取决于用户的正确识别，同时也取决于

10、监控器正确的控制。时也取决于监控器正确的控制。访问控制技术概述访问控制技术概述l访问控制是从计算机系统的处理能力方面访问控制是从计算机系统的处理能力方面对信息提供保护对信息提供保护l它按照事先确定的规那么决定主体对客体它按照事先确定的规那么决定主体对客体的访问是否合法的访问是否合法l当一主体试图非法使用一个未经授权的资当一主体试图非法使用一个未经授权的资源时，访问控制机制将拒绝这一企图，并源时，访问控制机制将拒绝这一企图，并将这一事件报告给审计跟踪系统将这一事件报告给审计跟踪系统l审计跟踪系统将给出报警，并记入日志档审计跟踪系统将给出报警，并记入日志档案案9.1 访问控制技术概述访问控制技术概

11、述l网络的访问主要采用基于争用和定时两种网络的访问主要采用基于争用和定时两种方法方法l基于争用的方法意味着网上所有站点按先基于争用的方法意味着网上所有站点按先来先效劳原那么争用带宽来先效劳原那么争用带宽l对网络的访问控制是为了防止非法用户进对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用入系统和合法用户对系统的非法使用l访问控制要对访问的申请、批准和撤消的访问控制要对访问的申请、批准和撤消的全过程进行有效的控制全过程进行有效的控制第第9 9章章 第第1 1节节9.1 访问控制技术概述访问控制技术概述l访问控制的内容包括访问控制的内容包括 l用户身份的识别和认证用户身份的识别

12、和认证 l对访问的控制对访问的控制 l授权授权 、确定访问权限、确定访问权限 、实施访问权限、实施访问权限 l附加控制附加控制除了对直接的访问进行控制外，还应对信息的流动和推除了对直接的访问进行控制外，还应对信息的流动和推理攻击施加控制理攻击施加控制 l审计跟踪审计跟踪 l对用户使用何种系统资源、使用的时间、执行的操对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录，以备非法事件发生后能作等问题进行完整的记录，以备非法事件发生后能进行有效的追查进行有效的追查 第第9 9章章 第第1 1节节9.1 访问控制技术概述访问控制技术概述l访问控制的类型访问控制的类型l自主访问控制自主访

13、问控制DAC l用户可以按自己的意愿对系统参数做适当用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统的修改，可以决定哪个用户可以访问系统资源资源 l强制访问控制强制访问控制MACl用户和资源都是一个固定的平安属性，系用户和资源都是一个固定的平安属性，系统利用平安属性来决定一个用户是否可以统利用平安属性来决定一个用户是否可以访问某个资源访问某个资源l由于强制访问控制的平安属性是固定的，由于强制访问控制的平安属性是固定的，因此用户或用户程序不能修改平安属性因此用户或用户程序不能修改平安属性 l基于角色的访问控制基于角色的访问控制 第第9 9章章 第第1 1节节9.2 入网认

14、证入网认证l入网认证即入网访问控制。它为网络访问入网认证即入网访问控制。它为网络访问提供了第一层访问控制提供了第一层访问控制l入网认证控制哪些用户能够登录到效劳器入网认证控制哪些用户能够登录到效劳器并获得网络资源，也控制准许用户入网的并获得网络资源，也控制准许用户入网的时间和准许他们在哪台工作站入网时间和准许他们在哪台工作站入网l入网认证实质上就是对用户的身份进行认入网认证实质上就是对用户的身份进行认证证 第第9 9章章 第第2 2节节9.2 入网认证入网认证l身份认证身份认证 l身份认证过程指的是当用户试图访问资源身份认证过程指的是当用户试图访问资源的时候，系统确定用户的身份是否真实的的时候

15、，系统确定用户的身份是否真实的过程过程l认证对所有需要平安的效劳来说是至关重认证对所有需要平安的效劳来说是至关重要的，因为认证是访问控制执行的前提，要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证同时也为日后追究责任提供不可抵赖的证据据 第第9 9章章 第第2 2节节身份认证的概念身份认证的概念身份认证的作用身份认证的作用身份认证与鉴别是信息平安中的第一道防线，是保证身份认证与鉴别是信息平安中的第一道防线，是保证计算机网络系统平安的重要措施之一计算机网络系统平安的重要措施之一,对信息系统对信息系

16、统的平安有着重要的意义。的平安有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一性。身份认证可以确保用户身份的真实、合法和唯一性。认证是对用户身份和认证信息的生成、存储、同步、认证是对用户身份和认证信息的生成、存储、同步、验证和维护的整个过程的管理。验证和维护的整个过程的管理。作用：可以防止非法人员进入系统，防止非法人员通作用：可以防止非法人员进入系统，防止非法人员通过各种违法操作获取不正当利益、非法访问受控信过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生，严息、恶意破坏系统数据的完整性的情况的发生，严防防“病从口入关口。病从口入关口。 9.2 入

17、网认证入网认证l身份认证的依据身份认证的依据 l用户所知道的用户所知道的 l密码密码 l用户所拥有的用户所拥有的 l智能卡智能卡l用户的特征用户的特征 l生物学上的属性生物学上的属性 l根据特定地点或特定时间根据特定地点或特定时间 l通过信任的第三方通过信任的第三方 lKerberos , IKE第第9 9章章 第第2 2节节身份认证技术方法身份认证技术方法l目前，计算机及网络系统中常用的身份认证方式目前，计算机及网络系统中常用的身份认证方式主要有以下几种：主要有以下几种：1. 用户名及密码方式用户名及密码方式l用户名及密码方式是最简单也是最常用的身份认证方法，用户名及密码方式是最简单也是最常

18、用的身份认证方法，由用户自己设定，只有用户本人知道。只要能够正确输入由用户自己设定，只有用户本人知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。密码，计算机就认为操作者就是合法用户。2. 智能卡认证智能卡认证l智能卡是一种内置集成的电路芯片，芯片中存有与用户身智能卡是一种内置集成的电路芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。，是不可复制的硬件。l智能卡由合法用户随身携带，登录时必须将智能卡插入专智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户

19、的身份。用的读卡器读取其中的信息，以验证用户的身份。身份认证技术方法身份认证技术方法l目前，计算机及网络系统中常用的身份认证方目前，计算机及网络系统中常用的身份认证方式主要有以下几种：式主要有以下几种：l3. 动态令牌认证动态令牌认证l动态口令技术是一种让用户密码按照时间或使动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件，内置电术。它采用一种动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数行专

20、门的密码算法，根据当前时间或使用次数生成当前密码并显示。用户使用时只需要将动生成当前密码并显示。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。即可实现身份认证。l采用一次一密的方法。采用一次一密的方法。l例：工行、建行见备注例：工行、建行见备注身份认证技术方法身份认证技术方法l目前，计算机及网络系统中常用的身份认证方目前，计算机及网络系统中常用的身份认证方式主要有以下几种：式主要有以下几种：l4. USB Key认证认证 l基于基于USB Key的身份认证方式是近几年开展起的身份认证方式是近几年开展起来的一种方便、平安的身

21、份认证技术。它采用来的一种方便、平安的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式软硬件相结合、一次一密的强双因子认证模式，很好地解决了平安性与易用性之间的矛盾。，很好地解决了平安性与易用性之间的矛盾。lUSB Key内置单片机或智能卡芯片，可以存储内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用用户的密钥或数字证书，利用USB Key内置的内置的密码算法实现对用户身份的认证。密码算法实现对用户身份的认证。l基于基于USB Key身份认证系统主要有两种应用模身份认证系统主要有两种应用模式：一是基于冲击式：一是基于冲击/响应的认证模式，二是基于响应的认证模式，二是基于P

22、KI体系的认证模式。体系的认证模式。l例：工行、建行见备注例：工行、建行见备注 身份认证技术方法身份认证技术方法l目前，计算机及网络系统中常用的身份认证方式主目前，计算机及网络系统中常用的身份认证方式主要有以下几种：要有以下几种： 5. 生物识别技术生物识别技术l生物识别技术主要是指通过可测量的身体或行为等生物特征生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。进行身份认证的一种技术。生物特征是指唯一的可以测量或生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式可自动识别和验证的生理特征或行为方式。l生物特征分为身体特征和行为特征两类。生物特征分为身体

23、特征和行为特征两类。身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和的血管和DNA等；等；行为特征包括：签名、语音、行走步态等。行为特征包括：签名、语音、行走步态等。 l目前采用的有：指纹识别技术、视网膜识别技术、声音识别目前采用的有：指纹识别技术、视网膜识别技术、声音识别技术技术身份认证技术方法身份认证技术方法l目前，计算机及网络系统中常用的身份认证方式主目前，计算机及网络系统中常用的身份认证方式主要有以下几种：要有以下几种： l6. CA认证认证lCA (Certification Authority)是认证机构的

24、国际通是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数称，它是对数字证书的申请者发放、管理、取消数字证书的机构。字证书的机构。lCA 的作用：是检查证书持有者身份的合法性，并的作用：是检查证书持有者身份的合法性，并签发证书签发证书(用数学方法在证书上签字用数学方法在证书上签字)，以防证书被，以防证书被伪造或篡改。网络身份证的发放、管理和认证就是伪造或篡改。网络身份证的发放、管理和认证就是一个复杂的过程，也就是一个复杂的过程，也就是CA认证。认证。 lCA职能职能l管理和维护客户的证书和证书作废表管理和维护客户的证书和证书作废表l维护自身的平安维护自身的平安l提供平安审计的依据提供

25、平安审计的依据9.2 入网认证入网认证l身份认证的评价标准身份认证的评价标准l可行性可行性l认证强度认证强度l认证粒度认证粒度l认证数据正确认证数据正确l不同协议间的适应性不同协议间的适应性 第第9 9章章 第第2 2节节9.2 入网认证入网认证l身份认证的评价标准身份认证的评价标准l可行性可行性 l从用户的观点看，认证方法应该提高用户访问应用从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余的交互认证过程，提供一次性认的效率，减少多余的交互认证过程，提供一次性认证证l另外所有用户可访问的资源应该提供友好的界面给另外所有用户可访问的资源应该提供友好的界面给用户访问用户访问 第第9 9

26、章章 第第2 2节节9.2 入网认证入网认证l身份认证的评价标准身份认证的评价标准l认证强度认证强度 l认证强度取决于采用的算法的复杂度以及认证强度取决于采用的算法的复杂度以及密钥的长度密钥的长度l采用更复杂的算法，更长的密钥，将能提采用更复杂的算法，更长的密钥，将能提高系统的认证强度，提高系统的平安性高系统的认证强度，提高系统的平安性第第9 9章章 第第2 2节节9.2 入网认证入网认证l身份认证的评价标准身份认证的评价标准l认证粒度认证粒度 l身份认证只决定是否允许用户进入效劳应身份认证只决定是否允许用户进入效劳应用。之后如何控制用户访问的内容，以及用。之后如何控制用户访问的内容，以及控制

27、的粒度也是认证系统的重要标志控制的粒度也是认证系统的重要标志l有些认证系统仅限于判断用户是否具有合有些认证系统仅限于判断用户是否具有合法身份，有些那么按权限等级划分成几个法身份，有些那么按权限等级划分成几个密级，严格控制用户按照自己所属的密级密级，严格控制用户按照自己所属的密级访问访问 第第9 9章章 第第2 2节节9.2 入网认证入网认证l身份认证的评价标准身份认证的评价标准l认证数据正确认证数据正确 l消息的接受者能够验证消息的合法性、真消息的接受者能够验证消息的合法性、真实性和完整性实性和完整性l消息的发送者对所发的消息不可抵赖消息的发送者对所发的消息不可抵赖l除了合法的消息发送者外，任

28、何其他人不除了合法的消息发送者外，任何其他人不能伪造合法的消息能伪造合法的消息l当通信双方或多方发生争执时，有公当通信双方或多方发生争执时，有公正权威的第正权威的第3方解决纠纷方解决纠纷 第第9 9章章 第第2 2节节9.2 入网认证入网认证l身份认证的评价标准身份认证的评价标准l不同协议间的适应性不同协议间的适应性 l认证系统应该对所有协议的应用进行有效认证系统应该对所有协议的应用进行有效的身份识别的身份识别l除了除了HTTP以外，平安以外，平安Email访问包括认访问包括认证证SMTP、POP或者或者IMAP也应该包含在也应该包含在认证系统中认证系统中 第第9 9章章 第第2 2节节9.2

29、 入网认证入网认证l口令认证的一般过程口令认证的一般过程l用户名的识别与验证用户名的识别与验证 l确定是否存在该用户的信息确定是否存在该用户的信息 l用户口令的识别与验证用户口令的识别与验证 l确定用户输入的口令是否正确确定用户输入的口令是否正确 l用户帐号的缺省限制检查用户帐号的缺省限制检查 l确定该用户帐号是否可用，以及能够进行哪些操作、确定该用户帐号是否可用，以及能够进行哪些操作、访问哪些资源等用户的权限访问哪些资源等用户的权限 第第9 9章章 第第2 2节节9.2 入网认证入网认证l口令认证口令认证l口令认证也称通行字认证，是一种根据事口令认证也称通行字认证，是一种根据事物验证身份的方

30、法物验证身份的方法 l通行字的选择原那么通行字的选择原那么 l易记易记l难以被别人猜中或发现难以被别人猜中或发现l抗分析能力强抗分析能力强l需要考虑的方面需要考虑的方面l选择方法、使用期限、字符长度、分配和选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护管理以及在计算机系统内的保护 第第9 9章章 第第2 2节节2022-2-2634口令认证技术口令认证技术 平安口令平安口令 为了防止攻击者猜测出口令，选择的平安口令应满足以下要求：为了防止攻击者猜测出口令，选择的平安口令应满足以下要求： 1 1口令长度适中口令长度适中 2 2不回送显示不回送显示 3 3记录和报告记录和报告 4

31、 4自动断开连接自动断开连接 5 5口令存储的平安性口令存储的平安性 目前，口令的存储有以下两种方法：目前，口令的存储有以下两种方法： 明文存储；明文存储； 散列散列HashHash函数存储。函数存储。9.2 入网认证入网认证安全性要求安全性要求口令认证方案口令认证方案无无无口令无口令低低合法用户公用口令合法用户公用口令中中每个用户一个单独的口令每个用户一个单独的口令高高要求一次一密，或口令分散要求一次一密，或口令分散* 系统中不存储口令的原文第第9 9章章 第第2 2节节9.2 入网认证入网认证l认证方式认证方式l单向认证单向认证l双向认证双向认证 询问认证受理的用户可利用他所知道、而别人不

32、太知道的一些信息向申请用户提问一系列不大相关的问题 第第9 9章章 第第2 2节节9.3 物理隔离措施物理隔离措施l物理隔离物理隔离l物理隔离技术是一种将内外网络从物理上物理隔离技术是一种将内外网络从物理上断开，但保持逻辑连接的网络平安技术断开，但保持逻辑连接的网络平安技术l任何时候内外网络都不存在连通的物理连任何时候内外网络都不存在连通的物理连接，同时原有的传输协议必须被中断接，同时原有的传输协议必须被中断 l逻辑连接指能进行适度的数据交换逻辑连接指能进行适度的数据交换第第9 9章章 第第3 3节节9.3 物理隔离措施物理隔离措施l1999年年12月月29日国家保密局发布的日国家保密局发布的

33、?计算计算机信息系统国际联网保密管理规定机信息系统国际联网保密管理规定?中第二中第二章第六条规定章第六条规定 ：l “涉及国家秘密的计算机信息系统，不涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共得直接或间接地与国际互联网或其他公共信息网络相联接，必须进行物理隔离信息网络相联接，必须进行物理隔离第第9 9章章 第第3 3节节网络隔离概述网络隔离概述 网络隔离网络隔离Network Isolation技术是网络平安技术的一技术是网络平安技术的一个大门类。随着近几年隔离技术的飞速开展，目前的隔离技个大门类。随着近几年隔离技术的飞速开展，目前的隔离技术已比较完善，涵盖了几乎所有

34、级别用户的网络隔离需求。术已比较完善，涵盖了几乎所有级别用户的网络隔离需求。 网络隔离技术根底网络隔离技术根底 网络中的网络中的“隔离一词与现实生活中的隔离一词与现实生活中的“隔离存在某种隔离存在某种认识上的区别，从传统意义来理解认识上的区别，从传统意义来理解“隔离使两个网络真正隔离使两个网络真正分开，但这样来谈网络平安是没有任何意义的。事实上，网分开，但这样来谈网络平安是没有任何意义的。事实上，网络平安中的络平安中的“隔离后的两个网络并非完全没有联系，还是隔离后的两个网络并非完全没有联系，还是需要有正常的应用层数据交换的。需要有正常的应用层数据交换的。 目前可以采用的隔离方法主要有以下三类：

35、目前可以采用的隔离方法主要有以下三类： 物理隔离：通过一定软、硬件方法使得访问内、外网的设备、物理隔离：通过一定软、硬件方法使得访问内、外网的设备、线路、存储均相对独立。线路、存储均相对独立。 网络隔离：利用协议转换进行网间的数据交换。网络隔离：利用协议转换进行网间的数据交换。 平安隔离：利用专用设备实现仅在应用层进行数据交换。平安隔离：利用专用设备实现仅在应用层进行数据交换。 2. 网络隔离技术的开展历程网络隔离技术的开展历程 到目前为止，整个网络隔离技术的开展经历到目前为止，整个网络隔离技术的开展经历了以下五代：了以下五代： 第一代隔离技术第一代隔离技术完全的隔离完全的隔离第二代隔离技术第

36、二代隔离技术硬件卡隔离硬件卡隔离第三代隔离技术第三代隔离技术网络协议隔离网络协议隔离第四代隔离技术第四代隔离技术空气开关网闸隔离空气开关网闸隔离第五代隔离技术第五代隔离技术平安网闸隔离平安网闸隔离物理隔离原理物理隔离原理 物理隔离技术的指导思想与防火墙有很大的不同：防火物理隔离技术的指导思想与防火墙有很大的不同：防火墙的思路是在保障互连互通的前提下，尽可能平安，而物墙的思路是在保障互连互通的前提下，尽可能平安，而物理隔离的思路是在保证必须平安的前提下，尽可能互连互理隔离的思路是在保证必须平安的前提下，尽可能互连互通。虽然物理隔离技术存在多种隔离方式，但是它们的隔通。虽然物理隔离技术存在多种隔离

37、方式，但是它们的隔离原理却根本上一样。离原理却根本上一样。 9.3 物理隔离措施物理隔离措施l网络物理隔离方案网络物理隔离方案l客户端的物理隔离客户端的物理隔离 l集线器级的物理隔离集线器级的物理隔离 l效劳器端的物理隔离效劳器端的物理隔离l主要物理隔离产品主要物理隔离产品 物理隔离卡物理隔离卡l 物理隔离集线器物理隔离集线器l 物理隔离网闸。物理隔离网闸。第第9 9章章 第第3 3节节9.3 物理隔离措施物理隔离措施l网络物理隔离方案网络物理隔离方案l客户端的物理隔离客户端的物理隔离 第第9 9章章 第第3 3节节9.3 物理隔离措施物理隔离措施l网络平安隔离卡是以物理方式将一台网络平安隔离

38、卡是以物理方式将一台PC虚拟为两个虚拟为两个电脑，实现工作站的双重状态电脑，实现工作站的双重状态第第9 9章章 第第3 3节节9.3 物理隔离措施物理隔离措施l网络物理隔离方案网络物理隔离方案l集线器级的物理隔离集线器级的物理隔离 第第9 9章章 第第3 3节节9.3 物理隔离措施物理隔离措施l网络物理隔离方案网络物理隔离方案l集线器级的物理隔离集线器级的物理隔离 l物理隔离网闸物理隔离网闸 第第9 9章章 第第3 3节节9.3 物理隔离措施物理隔离措施l网络物理隔离方案网络物理隔离方案l效劳器端的物理隔离效劳器端的物理隔离 第第9 9章章 第第3 3节节9.3 物理隔离措施物理隔离措施l物理

39、隔离的优点物理隔离的优点l平安级别高，保障强平安级别高，保障强l易于在现有涉密网上安装易于在现有涉密网上安装l物理隔离的未尽之处物理隔离的未尽之处l资源消耗大资源消耗大l缺乏管理缺乏管理l认证、访问控制、审计、取证认证、访问控制、审计、取证l 阻碍应用阻碍应用第第9 9章章 第第3 3节节9.4 自主访问控制自主访问控制l自主访问控制自主访问控制l由客体自主地来确定各个主体对它的直接访问由客体自主地来确定各个主体对它的直接访问权限又称访问模式权限又称访问模式l在自主访问控制下，用户可以按自己的意愿对在自主访问控制下，用户可以按自己的意愿对系统的参数做适当的修改，以决定哪个用户可系统的参数做适当

40、的修改，以决定哪个用户可以访问他们的文件以访问他们的文件 第第9 9章章 第第4 4节节9.4 自主访问控制自主访问控制l自主访问控制自主访问控制lDiscretionary Access Control,简称简称DAC l自主访问控制基于对主体或主体所属的主体组自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的识别来限制对客体的访问，这种控制是自主的的l自主自主l是指对其它具有授予某种访问权力的主体能够是指对其它具有授予某种访问权力的主体能够自主地可能是间接的将访问权的某个子集自主地可能是间接的将访问权的某个子集授予其它主体授予其它主体 第第9 9章章 第第4

41、 4节节自主访问控制的实现机制自主访问控制的实现机制lDACDAC一般采用以下一般采用以下三种机制三种机制来存放不同主体的来存放不同主体的访问控制权限，从而完成对主体访问权限的访问控制权限，从而完成对主体访问权限的限制：限制： 1 1、访问控制矩阵、访问控制矩阵 2 2、访问控制列表、访问控制列表 3 3、访问控制能力列表、访问控制能力列表 访问控制矩阵访问控制矩阵ACMl从概念上来说，访问控制可以通过使用和维护一个访从概念上来说，访问控制可以通过使用和维护一个访问控制矩阵问控制矩阵Access Control Matrix)Access Control Matrix)来实现。来实现。 l访问

42、控制矩阵是通过二维矩阵形式表示访问控制规那访问控制矩阵是通过二维矩阵形式表示访问控制规那么和授权用户权限的方法；包含三个元素：主体、客么和授权用户权限的方法；包含三个元素：主体、客体和访问权限。体和访问权限。l访问控制矩阵的行对应于主体，列对应于客体；第访问控制矩阵的行对应于主体，列对应于客体；第i i行第行第j j列的元素是访问权限的集合，列出了允许主体列的元素是访问权限的集合，列出了允许主体sisi对客体对客体ojoj进行访问的权限。进行访问的权限。9.4 自主访问控制自主访问控制l访问控制矩阵访问控制矩阵 第第9 9章章 第第4 4节节访问控制矩阵访问控制矩阵 l访问控制矩阵实例如以下图

43、所示：访问控制矩阵实例如以下图所示： 客体客体主体主体Bob.docBob.docAAJohn.exeJohn.exeBobBob拥有拥有读、写读、写执行执行AliceAlice写写拥有拥有执行执行JohnJohn读、写读、写拥有拥有访问控制矩阵访问控制矩阵 l访问控制的任务就是确保系统的操作是按照访问控制访问控制的任务就是确保系统的操作是按照访问控制矩阵授权的访问来执行。矩阵授权的访问来执行。 l优点：清晰地实现认证与访问控制的相互别离优点：清晰地实现认证与访问控制的相互别离 。l缺点：在较大系统中，如果用户和资源都非常多，那缺点：在较大系统中，如果用户和资源都非常多，那么访问控制矩阵非常巨

44、大；而且每个用户可能访问的么访问控制矩阵非常巨大；而且每个用户可能访问的资源有限，矩阵中许多格可能都为空，浪费存储空间；资源有限，矩阵中许多格可能都为空，浪费存储空间；因此较少使用。因此较少使用。l简单的解决方法：将访问控制矩阵按行或按列进行划简单的解决方法：将访问控制矩阵按行或按列进行划分。如果按行划分，得到访问控制能力表；如果按列分。如果按行划分，得到访问控制能力表；如果按列划分，得到广泛应用的访问控制列表。划分，得到广泛应用的访问控制列表。9.4 自主访问控制自主访问控制lDAC的实现方法的实现方法l基于行的基于行的DAC (访问控制列表访问控制列表)l权力表权力表Capabilitie

45、s List l前缀表前缀表Profiles l口令口令Password l基于列的基于列的DAC (访问控制能力列表访问控制能力列表)l保护位保护位Protection Bits l访问控制表访问控制表Access Control List，ACL 第第9 9章章 第第4 4节节访问控制列表访问控制列表ACL l访问控制列表访问控制列表Access control ListAccess control List是以文件是以文件为中心建立访问权限表。为中心建立访问权限表。l对于每个资源，访问控制列表中列出可能的用户和对于每个资源，访问控制列表中列出可能的用户和用户的访问权限。用户的访问权限。

46、l访问控制列表是基于访问控制矩阵中列的自主访问访问控制列表是基于访问控制矩阵中列的自主访问控制区，它在一个客体上附加一个主体明细表来表控制区，它在一个客体上附加一个主体明细表来表示各个主体对这个客体的访问权限；明细表中的每示各个主体对这个客体的访问权限；明细表中的每一项都包括主体的身份和主体对这个客体的访问权一项都包括主体的身份和主体对这个客体的访问权限。限。访问控制列表访问控制列表ACL l例如，前面访问控制矩阵实例对应的访问控制列表例如，前面访问控制矩阵实例对应的访问控制列表如下所示：如下所示：l acl (Bob.doc= (Bob, 拥有拥有)，(Alice, 写写)，l (John,

47、 读、写读、写) l acl (Alice = (Bob, 读、写读、写)，(Alice, 拥拥有有) l acl (John.exe= (Bob, 执行执行)，Alice, 执行执行)，l (John, 拥有拥有) 访问控制列表访问控制列表ACL l优点：实现简单、实用，大多数优点：实现简单、实用，大多数PC、效劳器和主机、效劳器和主机都使用都使用ACL作为访问控制的实现机制。作为访问控制的实现机制。l适用情况：系统需要区分的用户相对较少，并且这适用情况：系统需要区分的用户相对较少，并且这些用户大都比较稳定。些用户大都比较稳定。l缺点：如访问控制列表太大或经常改变，那么维护缺点：如访问控制列

48、表太大或经常改变，那么维护访问控制列表就成为一个问题。访问控制列表就成为一个问题。访问控制能力列表访问控制能力列表ACCL l能力能力指访问请求者所拥有的一个有效标签，它授权指访问请求者所拥有的一个有效标签，它授权标签的持有者可以按照何种访问方式访问特定的客标签的持有者可以按照何种访问方式访问特定的客体。体。l访问控制能力列表访问控制能力列表以用户为中心以用户为中心建立访问权限表，建立访问权限表，是常用的基于行的自主访问控制；它为每个主体附是常用的基于行的自主访问控制；它为每个主体附加一个该主体能够访问的客体的明细表。加一个该主体能够访问的客体的明细表。 访问控制能力列表访问控制能力列表ACC

49、L l例如，前面访问控制矩阵实例对应的访问控制例如，前面访问控制矩阵实例对应的访问控制能力表如下所示：能力表如下所示：l cap (Bob= (Bob.doc, 拥有拥有)，(Alice , 读、写读、写)，l (John.exe, 执行执行) l cap (Alice= (Bob.doc, 写写)，(Alice , 拥有拥有) ,l (John.exe, 执行执行) l cap (John= (Bob.doc, 读、写读、写), (John.exe, 拥有拥有) 访问控制能力列表访问控制能力列表ACCLl访问控制能力表在时间效率和空间效率上都优于访访问控制能力表在时间效率和空间效率上都优于访

50、问控制矩阵。问控制矩阵。l缺点：对于一个给定的客体，要确定所有有权访问缺点：对于一个给定的客体，要确定所有有权访问它的主体、用户生成一个新的客体并对其授权、或它的主体、用户生成一个新的客体并对其授权、或删除一个客体时都比较复杂。删除一个客体时都比较复杂。9.4 自主访问控制自主访问控制lDAC的访问类型的访问类型(控制模式控制模式) l等级型等级型 l有主型有主型Owner l自由型自由型Laissez-faire 第第9 9章章 第第4 4节节9.4 自主访问控制自主访问控制lDAC的优点的优点l方便、实用方便、实用l可由用户自由定制可由用户自由定制l可扩展性强可扩展性强l缺点缺点l管理分散

51、、用户关系不清管理分散、用户关系不清l权限易被滥用权限易被滥用第第9 9章章 第第4 4节节9.5 强制访问控制强制访问控制l强制访问控制强制访问控制 lMandatory Access Control，简称，简称MAC l用户与文件都有一个固定的平安属性，系统利用户与文件都有一个固定的平安属性，系统利用平安属性来决定一个用户是否可以访问某个用平安属性来决定一个用户是否可以访问某个文件文件l平安属性是强制性的，它是由平安管理员或操平安属性是强制性的，它是由平安管理员或操作系统根据限定的规那么分配的，用户或用户作系统根据限定的规那么分配的，用户或用户的程序不能修改平安属性的程序不能修改平安属性

52、第第9 9章章 第第5 5节节9.5 强制访问控制强制访问控制l强制访问控制强制访问控制 l如果系统认为具有某一平安属性的用户不适于访问某如果系统认为具有某一平安属性的用户不适于访问某个文件，那么任何人包括文件的拥有者都无法使个文件，那么任何人包括文件的拥有者都无法使该用户具有访问文件的能力该用户具有访问文件的能力 l强制访问控制是比任意访问控制更强的一种访问控制强制访问控制是比任意访问控制更强的一种访问控制机制，它可以通过无法回避的访问限制来防止某些对机制，它可以通过无法回避的访问限制来防止某些对系统的非法入侵系统的非法入侵l强制访问控制可以防止一个进程生成共享文件，从而强制访问控制可以防止

53、一个进程生成共享文件，从而防止一个进程通过共享文件把信息从一个进程传送给防止一个进程通过共享文件把信息从一个进程传送给另一个进程另一个进程 第第9 9章章 第第5 5节节强制访问控制强制访问控制MACl强制访问控制强制访问控制Mandatory Access ControlMandatory Access Control是是比比DACDAC更为严格的访问控制策略。更为严格的访问控制策略。l具体实现时，每个用户及文件都被赋予一定的平具体实现时，每个用户及文件都被赋予一定的平安级别，用户不能改变自身或任何客体的平安级安级别，用户不能改变自身或任何客体的平安级别，只有系统管理员可以确定用户和组的访问

54、权别，只有系统管理员可以确定用户和组的访问权限。系统通过比较用户和访问的文件的平安级别限。系统通过比较用户和访问的文件的平安级别来决定用户是否可以访问该文件。来决定用户是否可以访问该文件。Bell-La Padual模型模型l平安属性用二元组表示密级、类别集合平安属性用二元组表示密级、类别集合l密级：绝密、机密、秘密、公开密级：绝密、机密、秘密、公开l绝密绝密机密机密秘密秘密公开公开l模型对系统中的每个用户分配一个平安属性，模型对系统中的每个用户分配一个平安属性，它反映了对用户不将敏感信息泄露给不持有相它反映了对用户不将敏感信息泄露给不持有相应平安属性用户的置信度。应平安属性用户的置信度。访问

55、模式访问模式9.5 强制访问控制强制访问控制lBell-La Padual模型模型 l简单平安规那么简单平安规那么l仅当主体的敏感级不低于客体敏感级且主体的类别集仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体，也就是说主体只能从下读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读读，而不能从上读l星规那么星规那么l仅当主体的敏感级不高于客体敏感级且客体的类别集仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。合包含主体的类别集

56、合时，才允许该主体写该客体。即主体只能写密级等于或高于它的客体，也就是说主即主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写体只能向上写，而不能向下写第第9 9章章 第第5 5节节平安策略平安策略Biba模型模型 l基于信息完整性保护基于信息完整性保护 用完整性取代敏感等级用完整性取代敏感等级9.5 强制访问控制强制访问控制lBiba模型模型 l简单完整规那么简单完整规那么l仅当主体的完整级大于等于客体的完整级且主体的类仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向

57、下写，而不能向上写，也就是说主体只即主体只能向下写，而不能向上写，也就是说主体只能写修改完整性级别等于或低于它的客体能写修改完整性级别等于或低于它的客体 l完整性制约规那么星规那么完整性制约规那么星规那么l仅当主体的完整级不高于客体完整级且客体的类别集仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读读客体。合包含主体的类别集合时，才允许该主体读读客体。即主体只能从上读，而不能从下读即主体只能从上读，而不能从下读 第第9 9章章 第第5 5节节Biba模型平安策略模型平安策略9.6 新型访问控制技术新型访问控制技术l基于角色的访问控制技术基于角色的访问控制技术

58、 lRBACRBAC Role-Based Access Control Role-Based Access Control lNISTNISTNational Institute of Standard National Institute of Standard TechnologyTechnology l基于任务的访问控制技术基于任务的访问控制技术 lTBAC TBAC Task-Based Access ControlTask-Based Access Control l基于组机制的访问控制技术基于组机制的访问控制技术 l第第9 9章章 第第6 6节节9.6 新型访问控制技术新型访问控

59、制技术l四种四种RBAC模型模型l根本模型根本模型RBAC0 l角色的层次结构角色的层次结构RBAC1 l约束模型约束模型RBAC2 l混合模型混合模型RBAC3 第第9 9章章 第第6 6节节基于角色的访问控制基于角色的访问控制RBAC lRole-based Access ControlRole-based Access Control，RBACRBACl根本思想根本思想: : 将访问许可权分配给一定的角色，用户将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。通过饰演不同的角色获得角色所拥有的访问许可权。 l与与MACMAC和和DACDAC将权限直接授予用户

60、的方式不同，将权限直接授予用户的方式不同，RBACRBAC从控制主体的角度出发，根据管理中相对稳定的职从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系；权和责任来划分角色，将访问权限与角色相联系；通过给用户分配适宜的角色，让用户与访问权限相通过给用户分配适宜的角色，让用户与访问权限相联系。联系。l角色成为访问控制中访问主体和受控对象之间的一角色成为访问控制中访问主体和受控对象之间的一座桥梁。座桥梁。 基于角色的访问控制基于角色的访问控制 RBACl角色可以看做是一组操作的集合，不同的角色具有角色可以看做是一组操作的集合，不同的角色具有不同的操作集，这些操作