网络攻防原理 作者 吴礼发17-20 第17讲-访问控制技术.pptVIP

第十七讲 访问控制技术 吴礼发，洪征，李华波 （wulifa@ ） 内容提纲 访问控制的基本概念（1/2） 访问控制是保护资源不被非法访问的技术。 用户身份认证是一种常见形式的访问控制，可以用于将非法用户拒于系统之外。 问题：用户身份认证是不是就是访问控制的全部内容呢？ 即使合法用户通过身份认证进入系统以后，也不能不受限制地访问系统中的所有资源！只能在其访问权限范围内活动。 访问控制的基本概念（2/2） 访问控制的基本任务是对计算机及其网络系统采取有效的安全防范措施，防止非法用户进入系统及合法用户对系统资源的非法使用。 访问控制主要包括以下工作: 用户身份认证(User Authentication); 授权(Authorization); 文件保护; 审计; 用户身份认证 认证就是证实用户的身份。 口令技术，简单易行； 生物技术，技术较为复杂，没有广泛采用。 授权（1/4） 系统正确认证用户以后，根据不同的ID分配给不同的使用资源，这项任务称作授权。 简单说，授权决定了用户对资源的访问权限。 授权的实现，是通过标识符ID做关键字来控制用户对于程序和数据的访问。 授权涉及到用户分类、资源及使用、访问规则三方面因素。 授权（2/4） 授权（3/4） （2）资源及使用 系统中需要保护的是系统资源。 对于计算机系统，它的资源一般包括磁盘上的数据集、数据库中的数据、应用资源等。 授权（4/4） （3）访问规则 访问规则规定若干条件，在这些条件下可准许访问一个资源。 一般地讲，规则使用户和资源配对，然后指定该用户可在该资源上执行哪些操作。 文件保护 对文件提供保护，使非授权用户不可读。对于有时可能被截获的文件的附加保护是对文件进行加密。 审计 审计的目的是记录用户的行动，以说明安全方案的有效性。 审计是记录用户使用系统所进行的所有活动的过程，即记录用户违反安全规定的时间、日期以及用户活动。 访问控制的要素 访问控制包括三个要素：主体(Subject)、客体(Object)和控制策略。 主体和客体都是访问控制系统中的实体。 主体是发出访问请求的主动方，通常是用户或用户进程。 客体是被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。 访问控制的要素 控制策略是主体对客体的访问规则集。 控制策略体现了一种授权行为，即客体对主体的权限允许，这种允许不能超越设定的规则集。 访问控制策略的实施原则 最小特权原则 当主体执行操作时，按照主体所需权力的最小化原则分配给主体权力。 最小泄漏原则 当主体执行任务时，按照主体所需知道的信息最小化的原则分配给主体权力。 多级安全策略 主体和客体间的数据流向和权限控制按照安全级别的绝密(TS)﹑机密(S)﹑秘密(C)和无级别(U)这四个级别来划分。优点是可避免敏感信息的扩散。 内容提纲 访问控制的类型 访问控制机制可以限制对系统关键资源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。 目前主要的访问控制技术包括： 自主访问控制（DAC） 强制访问控制（MAC） 基于角色的访问控制（RBAC） 一、自主访问控制 自主访问控制（Discretionary Access Control，DAC）是一种最普通的访问控制手段。 “自主” 意为：资源的所有者（往往是创建者），对于其拥有的资源，可以自主地将权限分发给其他主体，即确定这些主体对于资源有怎样的访问权限。 自主访问控制的例子： 用户A对客体O具有所有权。当A赋予B访问O的权限后，B就有了对O的访问权限。 DAC的优点是应用灵活。 自主访问控制的问题（1/2） DAC提供的安全保护容易被非法用户绕过而获得访问。 例如，若某用户A有权访问文件F，而用户B无权访问F，则一旦A获取F后再传送给B，则B也可访问F。 原因：在自主访问策略中，用户在获得文件的访问后，并没有限制对该文件信息的操作，即并没有控制数据信息的分发。 自主访问控制的问题（2/2） 不能抵御特洛伊木马的攻击。 计算机中，每个运行的程序继承用户的许可证级别。 如果木马程序进入系统，以合法用户的身份进行活动，操作系统无法区分活动是用户自己的合法操作还是木马的非法操作，不能有效限制。 例如，假设Alice对文件file1.doc拥有读写权限。 Charlie，一个恶意攻击者，写了一个程序，这个程序在执行时生成文件file2.doc。程序授予Alice对于file2.doc的写权限，授予Charlie对于file2.doc的读权限。 Charlie把恶意程序伪装成合法的程序发给Alice。 当Alice运行这个程序时，它就具有了和Alice相同的权限。它可以拷贝file1.doc到file2.doc，