分布式安全.ppt

访问控制表与权力表 可以把ACM演化成一维表的形式。毫无疑问，这种演化应该有两种不同的方案。 访问控制表(ACL: Access Control List) 在这种方案中，每一个客体都必须维护一张合法主体的访问权限表，即一个ACL相当于ACM中的一列，但其中的空项都已被删除。 权力表(CL：Capability List) 以ACM的一行为单位，代表一个主体对客体的访问权限。 * 分布式系统安全 * 保护域 保护域是一组（对象，访问权限）对，只要一个主体对一个对象执行一个操作，访问监控程序会找到相关联的保护域，检查是否允许执行该请求 构造用户组：管理简单，支持很大的组；查找分布式组成员数据代价高 使用访问监控程序：每个主体携带一个证书（通过数字签名保护），列出所属的组。访问对象时，由访问监控程序检查证书 使用角色实现保护域：角色与一定的职能相联系 * 分布式系统安全 * 防火墙 实际上，所发生的对分布式系统任何部分的外部访问都通过一种称为防火墙的特殊类型的访问监控程序来控制。 防火墙实现了将分布式系统的任意部分与外界的分离 两种不同类型的防火墙 数据包过滤网关：基于数据包报头包含的原地址和目的地址制定是否传送该包的决定 应用层网关：检查入站或出站的消息内容 * 分布式系统安全 * 保护移动代码 保护代理：防止恶意主机盗窃或修改代理程序所带的信息 攻击方式： 盗窃或修改代理程序所带的信息 恶意破坏代理程序 篡改代理程序以便在其返回时进行攻击或盗窃信息 至少可以检测出代理程序被修改 只读状态 只追加状态 有选择地揭示状态：数据只允许特定的服务器访问 * 分布式系统安全 * 保护移动代码 保护目标：保护主机防止恶意代理程序的破坏 沙箱 运动场 通过身份验证 * 分布式系统安全 * 沙箱 沙箱是一种技术，通过该技术下载的程序的每条指令都能够被完全控制 访问一些指令、某些寄存器或内存空间将被禁止 通过沙箱模型, 用户可以有效地阻止那些具有潜在危险性的活动, 如对本地硬盘读写, 创建新进程, 连接动态链接库等。 * 分布式系统安全 * 运动场 运动场：为运行移动代码专门保留指定的机器，可使用这些机器的本地资源；但不能访问其他机器的资源 * 分布式系统安全 * 通过身份验证 要求每个下载的程序能通过身份验证，然后基于该程序的来源执行制定的安全策略 * 分布式系统安全 * 主要内容 概述 安全通道 访问控制 安全管理 * * 分布式系统安全 安全管理 密钥管理 密钥建立 密钥分发 证书的生存期 授权管理 权能和属性证书 委派 * 分布式系统安全 * 密钥建立 Diffie-Hellman 建立共享密钥的原理： 首先，Alice和Bob双方约定2个大整数n和g,其中1<g<n，这两个整数无需保密，然后，执行下面的过程： Alice随机选择一个大整数x (保密)，并计算X=gx mod n Bob随机选择一个大整数y (保密)，并计算Y=gy mod n Alice把X发送给B,B把Y发送给ALICE Alice计算K=Yx mod n = gxy mod n Bob计算K=Xy mod n = gxy mod n K即是共享的密钥。 监听者在网络上只能监听到X和Y，但无法通过X，Y计算出x和y，因此，无法计算出K * 分布式系统安全 * 密钥分发 (1) 共享密钥分发 必须有提供身份验证和机密性的安全通道 带外分发：电话、邮递 * 分布式系统安全 * 密钥分发 (2) 公钥分发 私钥发送使用提供身份验证和机密性的安全通道 公钥发送使用提供身份验证的安全通道：接收者能够确信该密钥肯定可以与声明的一个私钥配对 公钥证书：（公钥，公钥关联的实体（用户等）），由认证机构签发，使用该机构的私钥进行数字签名 * 分布式系统安全 * 证书的生存期 终生证书 吊销证书 CLR（certificate revocation list）证书吊销表 限制证书的生存期 缩短证书的生存期为零，客户需要一直联系证书颁发机构以检验公钥的有效性 * 分布式系统安全 * 权能和属性证书 权能是对于指定资源的一种不可伪造的数据结构，它确切指定它的拥有者关于该资源的访问权限。 属性证书是对分布式系统中使用的权能的一种概括。 属性证书由属性证书颁发机构来分发。 * 分布式系统安全 * 委派 委派：将某些访问权限从一个进程传递给另一个进程 Alice可以构造证书： Bob具有权限R 此证书的持有者具有权限R * 分布式系统安全 * * 分布式系统安全 * 实例: Kerberos Kerberos是MIT大学在20世纪80年代开发的为MIT校园网和其他企业内部的网提供的一系列认证和安全措施。 Windows 2000包含的Kerberos的实现