访问控制与防火墙

访问控制与网络安全技术(1),严飞武汉大学计算机学院Yfpostbox(AT)yahoo.com.cn,主要内容,（1阶段）访问控制技术防火墙技术VPN技术（2阶段）入侵检测技术一种新的网络安全技术,1. 访问控制技术,1.1 访问控制技术概述 1.2 入网认证 1.3 物理隔离措施 1.4 自主访问控制 1.5 强制访问控制 1.6 角色访问控制1.7 发展趋势,1.访问控制技术,安全服务（Security Services）安全系统提供的各项服务，用以保证系统或数据传输足够的安全性根据ISO7498-2, 安全服务包括：实体认证（Entity Authentication）数据保密性（Data Confidentiality）数据完整性（Data Integrity）不可抵赖性（Non-repudiation）访问控制（Access Control）,1. 访问控制的基本任务,防止非法用户即未授权用户进入系统合法用户即授权用户对系统资源的非法使用,1.1 访问控制技术概述,访问控制是从计算机系统的处理能力方面对信息提供保护它按照事先确定的规则决定主体对客体的访问是否合法当一主体试图非法使用一个未经授权的资源时，访问控制机制将拒绝这一企图，并将这一事件报告给审计跟踪系统审计跟踪系统将给出报警，并记入日志档案,1.1 访问控制技术概述,对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用访问控制要对访问的申请、批准和撤消的全过程进行有效的控制,1.1 访问控制技术概述,访问控制的内容包括 用户身份的识别和认证 对访问的控制 授权 、确定访问权限 、实施访问权限 附加控制除了对直接的访问进行控制外，还应对信息的流动和推理攻击施加控制 审计跟踪 对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录，以备非法事件发生后能进行有效的追查,1.1 访问控制技术概述,访问控制的类型自主访问控制（DAC） 用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源 强制访问控制（MAC）用户和资源都是一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个资源由于强制访问控制的安全属性是固定的，因此用户或用户程序不能修改安全属性 基于角色访问控制(RBAC),1.2 入网认证,入网认证即入网访问控制。它为网络访问提供了第一层访问控制入网认证控制哪些用户能够登录到服务器并获得网络资源，也控制准许用户入网的时间和准许他们在哪台工作站入网入网认证实质上就是对用户的身份进行认证,1.2 入网认证,身份认证 身份认证过程指的是当用户试图访问资源的时候，系统确定用户的身份是否真实的过程认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据,1.2 入网认证,身份认证的依据 用户所知道的 密码 用户所拥有的 智能卡用户的特征 生物学上的属性 根据特定地点（或特定时间） 通过信任的第三方 Kerberos , IKE,1.2 入网认证,身份认证的评价标准可行性认证强度认证粒度认证数据正确不同协议间的适应性,1.2 入网认证,身份认证的评价标准可行性 从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余的交互认证过程，提供一次性认证另外所有用户可访问的资源应该提供友好的界面给用户访问 典型实例：单点登录（SSO）,1.2 入网认证,身份认证的评价标准认证强度 认证强度取决于采用的算法的复杂度以及密钥的长度采用更复杂的算法，更长的密钥，将能提高系统的认证强度，提高系统的安全性,1.2 入网认证,身份认证的评价标准认证粒度 身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容，以及控制的粒度也是认证系统的重要标志有些认证系统仅限于判断用户是否具有合法身份，有些则按权限等级划分成几个密级，严格控制用户按照自己所属的密级访问 典型实例：UNIX、MS Windows NT等,1.2 入网认证,身份认证的评价标准认证数据正确 消息的接受者能够验证消息的合法性、真实性和完整性消息的发送者对所发的消息不可抵赖除了合法的消息发送者外，任何其他人不能伪造合法的消息当通信双方（或多方）发生争执时，有公正权威的第3方解决纠纷 典型实例：电子商务安全,1.2 入网认证,身份认证的评价标准不同协议间的适应性 认证系统应该对所有协议的应用进行有效的身份识别除了HTTP以外，安全Email访问（包括认证SMTP、POP或者IMAP）也应该包含在认证系统中 典型实例：网格安全,1.2 入网认证,口令认证的一般过程用户名的识别与验证 确定是否存在该用户的信息 用户口令的识别与验证 确定用户输入的口令是否正确 用户帐号的缺省限制检查 确定该用户帐号是否可用，以及能够进行哪些操作、访问哪些资源等用户的权限,1.2 入网认证,口令认证口令认证也称通行字认证，是一种根据已知事物验证身份的方法 通行字的选择原则 易记难以被别人猜中或发现抗分析能力强需要考虑的方面选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护,1.2 入网认证,* 系统中不存储口令的原文,1.2 入网认证,认证方式单向认证双向认证,询问认证受理的用户可利用他所知道、而别人不太知道的一些信息向申请用户提问一系列不大相关的问题,1.3 物理隔离措施,物理隔离物理隔离技术是一种将内外网络从物理上断开，但保持逻辑连接的网络安全技术任何时候内外网络都不存在连通的物理连接，同时原有的传输协议必须被中断 逻辑连接指能进行适度的数据交换,1.3 物理隔离措施,1999年12月29日国家保密局发布的计算机信息系统国际联网保密管理规定中第二章第六条规定 ： “涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须进行物理隔离”,1.3 物理隔离措施,网络物理隔离方案客户端的物理隔离 集线器级的物理隔离 服务器端的物理隔离,1.3 物理隔离措施,网络物理隔离方案客户端的物理隔离,1.3 物理隔离措施,网络物理隔离方案客户端的物理隔离 网络安全隔离卡,1.3 物理隔离措施,网络物理隔离方案集线器级的物理隔离,1.3 物理隔离措施,网络物理隔离方案集线器级的物理隔离 物理隔离网闸,1.3 物理隔离措施,网络物理隔离方案服务器端的物理隔离,1.3 物理隔离措施,物理隔离的优点安全级别高，保障强易于在现有涉密网上安装物理隔离的未尽之处资源消耗大缺乏管理认证、访问控制、审计、取证 妨碍应用,1.4 自主访问控制,自主访问控制由客体自主地来确定各个主体对它的直接访问权限（又称访问模式）在自主访问控制下，用户可以按自己的意愿对系统的参数做适当的修改，以决定哪个用户可以访问他们的文件,1.4 自主访问控制,自主访问控制Discretionary Access Control,简称DAC 自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的自主是指对其它具有授予某种访问权力的主体能够自主地（可能是间接的）将访问权的某个子集授予其它主体,1.4 自主访问控制,访问控制矩阵,1.4 自主访问控制,DAC的实现方法基于行的DAC ：面向主体权力表（Capabilities List）r,w,a,e前缀表（Profiles） 可访问文件命口令（Password） 基于列的DAC ：面向客体保护位（Protection Bits）用户组:RWX 访问控制表（Access Control List，ACL）主体明细表,1.4 自主访问控制,DAC的优点方便、实用可由用户自由定制可扩展性强缺点管理分散、用户关系不清权限易被滥用信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,1.5 强制访问控制,强制访问控制 Mandatory Access Control，简称MAC 用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个文件安全属性是强制性的，它是由安全管理员或操作系统根据限定的规则分配的，用户或用户的程序不能修改安全属性,1.5 强制访问控制,强制访问控制 如果系统认为具有某一安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使该用户具有访问文件的能力 强制访问控制是比任意访问控制更强的一种访问控制机制，它可以通过无法回避的访问限制来防止某些对系统的非法入侵强制访问控制可以防止一个进程生成共享文件，从而防止一个进程通过共享文件把信息从一个进程传送给另一个进程,1.5 强制访问控制,抵抗特洛伊木马特洛伊木马进行攻击的条件 必须编写一段程序或修改一个已存在的程序来进行非法操作，而且这种非法操作不能令程序的使用者起任何怀疑。这个程序对使用者来说必须具有吸引力必须使受害者能以某种方式访问到或得到这个程序，如将这个程序放在系统的根目录或公共目录中必须使受害者运行这个程序。一般利用这个程序代替一个受害者常用的程序来使受害者不知不觉地使用它受害者在系统中有一个合法的帐号,1.5 强制访问控制,抵抗特洛伊木马强制访问控制一般与自主访问控制结合使用，并实施一些附加的、更强的访问限制限制访问控制的灵活性 过程控制,1.5 强制访问控制,Bell-La Padual模型 简单安全规则仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读星规则仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写,1.5 强制访问控制,Biba模型 简单完整规则仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向下写，而不能向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体 完整性制约规则（星规则）仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读读客体。即主体只能从上读，而不能从下读,1.6角色访问控制技术,四种RBAC模型基本模型RBAC0 角色的层次结构RBAC1 约束模型RBAC2 混合模型RBAC3,1.6角色访问控制技术,基本模型RBAC0 四个基本要素用户（User）角色（Role）会话（Session）授权（ Permission）,1.6角色访问控制技术,四种RBAC模型角色的层次结构RBAC1 RBAC1的特征是为RBAC0上引入了角色层次的概念 约束模型RBAC2RBAC2除了继承RBAC0的原有特征外，还引入了约束（Constraints）的概念 互斥角色（ Mutually Exclusion Roles） 基数约束（ Cardinality Constraints） 先决条件角色 运行时约束,1.6角色访问控制技术,RBAC模型的优点一种策略无关的访问控制技术具有自管理的能力 使得安全管理更贴近应用领域的机构或组织的实际情况RBAC模型的不足复杂、不成熟RBAC的策略无关性需要用户自己定义适合本领域的安全策略,1.7发展趋势,安全策略细粒度面向需求动态行为安全模型理论更趋完备无干扰理论,2. 防火墙技术,2.1 防火墙技术概述 2.2 防火墙的结构 2.3 构建防火墙 2.4 防火墙发展趋势,2.1 防火墙技术概述,