{精品}访问控制技术

第5章 访问控制技术,本章学习目标,访问控制的三个要素、7种策略、内容、模型 访问控制的安全策略与安全级别 安全审计的类型、与实施有关的问题 日志的审计 Windows NT操作系统中的访问控制与安全审计,5.1 访问控制概述,访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制，从而确保只有合法用户的合法访问才能给予批准，而且相应的访问只能执行授权的操作。 访问控制是计算机网络系统安全防范和保护的重要手段，是保证网络安全最重要的核心策略之一，也是计算机网络安全理论基础重要组成部分。,5.1.1 访问控制的定义,访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即主体、客体和控制策略。 主体S（Subject）是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是某个用户，也可以是用户启动的进程、服务和设备。 客体O（Object）是接受其他实体访问的被动实体。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体。,控制策略,控制策略A（Attribution）是主体对客体的访问规则集，即属性集合。访问策略实际上体现了一种授权行为，也就是客体对主体的权限允许。 访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机网络系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。为达到上述目的，访问控制需要完成以下两个任务： 识别和确认访问系统的用户。 决定该用户可以对某一系统资源进行何种类型的访问,7种访问控制策略,入网访问控制。 网络的权限控制。 目录级安全控制。 属性安全控制。 网络服务器安全控制。 网络监测和锁定控制。 网络端口和节点的安全控制。,入网访问控制 为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令， 用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。,权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（irm）可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。,目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。,属性安全控制 当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。,服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。,网络监测和锁定控制 网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。(守护神： 在管理者与被管理者之间建立监控关系 全屏幕及多画面实时在线跟踪 类似监控录象机制的增量图象过程监控，能够将全部被监控端的活动记录用录象的形式保存下来，以便管理者进行分析查找。 输入设备的锁定控制，管理者可以通过对键盘、鼠标等计算机输入设备的锁定来限制被监控端的活动 远程文件管理 管理者能够通过NUMEN系统对任何计算机上的任何文件进行操作 发送/广播消息 管理者能够通过NUMEN向全部或部分计算机发送消息信息 管理数据分析体系通过NUMEN的管理数据分析体系，可以将所有被监控端的计算机活动进行数字量化，从而可以掌握一个时间段内的被监控段的活动状态！ ）,网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。,5.1.2 访问控制矩阵,访问控制系统三个要素之间的行为关系可以用一个访问控制矩阵来表示。对于任意一个siS，ojO，都存在相应的一个aijA，且aij=P（si，oj），其中P是访问权限的函数。aij代表si可以对oj执行什么样的操作。访问控制矩阵如下：,其中，Si（i=0，1，m）是主体对所有客体的权限集合，Oj（j=0，1，n）是客体对所有主体的访问权限集合,5.1.3 访问控制的内容,访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。所以，访问控制包括认证、控制策略实现和审计三个方面的内容。 认证：包括主体对客体的识别认证和客体对主体检验认证。 控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。 安全审计：使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。审计类似于飞机上的“黑匣子”，它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。,5.2 访问控制模型,自主访问控制模型 强制访问控制模型 基于角色的访问控制模型 其他访问控制模型 基于任务的访问控制模型 基于对象的访问控制模型,5.2.1 自主访问控制模型,自主访问控制模型（Discretionary Access Control Model，DAC Model）是根据自主访问控制策略建立的一种模型，它基于对主体或主体所属的主体组的识别来限制对客体的访问，也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。 自主访问控制又称为任意访问控制，一个主体的访问权限具有传递性。 为了实现完整的自主访问系统，DAC模型一般采用访问控制表来表达访问控制信息。 访问控制表（Access Control List，ACL）是基于访问控制矩阵中列的自主访问控制。它在一个客体上附加一个主体明细表，来表示各个主体对这个客体的访问权限。明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。对系统中一个需要保护的客体oj附加的访问控制表的结构如图所示。,对于客体oj，主体s0只有读（r）的权限；主体s1只有写（w）的权限；主体s2只有执行（e）的权限；主体sx具有读（r）、写（w）和执行（e）的权限。 但是，在一个很大的系统中，可能会有非常多的主体和客体，这就导致访问控制表非常长，占用很多的存储空间，而且访问时效率下降。使用组（group）或者通配符可以有效地缩短表的长度。 用户可以根据部门结构或者工作性质被分为有限的几类。同一类用户使用的资源基本上是相同的。因此，可以把一类用户作为一个组，分配一个组名，简称“GN”，访问时可以按照组名判断。通配符“*”可以代替任何组名或者主体标识符。这时，访问控制表中的主体标识为：主体标识=IDGN。 其中，ID是主体标识符，GN是主体所在组的组名。,带有组和通配符的访问控制表示例,上图的第二列表示，属于TEACH组的所有主体都对客体oj具有读和写的权限；但是只有TEACH组中的主体Cai才额外具有执行的权限（第一列）；无论是哪一组中的Li都可以读客体oj（第三列）；最后一个表项（第四列）说明所有其他的主体，无论属于哪个组，都不具备对oj有任何访问权限。,5.2.2 强制访问控制模型,自主访问控制的最大特点是自主，即资源的拥有者对资源的访问策略具有决策权，因此是一种限制比较弱的访问控制策略。这种方式给用户带来灵活性的同时，也带来了安全隐患。 和DAC模型不同的是，强制访问控制模型（Mandatory Access Control Model，MAC Model）是一种多级访问控制策略，它的主要特点是系统对主体和客体实行强制访问控制：系统事先给所有的主体和客体指定不同的安全级别，比如绝密级、机密级、秘密级和无密级。在实施访问控制时，系统先对主体和客体的安全级别进行比较，再决定主体能否访问该客体。所以，不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。,在强制访问控制模型中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级别。这种访问可以是读，也可以是写或修改。主体对客体的访问主要有4种方式： 向下读（rd，read down）。主体安全级别高于客体信息资源的安全级别时允许查阅的读操作。 向上读（ru，read up）。主体安全级别低于客体信息资源的安全级别时允许的读操作。 向下写（wd，write down）。主体安全级别高于客体信息资源的安全级别时允许执行的动作或是写操作。 向上写（wu，write up）。主体安全级别低于客体信息资源的安全级别时允许执行的动作或是写操作。,由于MAC通过将安全级别进行排序实现了信息的单向流通，因此它一直被军方采用。MAC模型中最主要的三种模型为：Lattice模型、Bell LaPadula模型（BLP Model）和Biba模型（Biba Model）。在这些模型中，信息的完整性和保密性是分