第四章.访问控制、防火墙与反病毒技术.ppt

第四章 访问控制与防火墙技术 4.1 访问控制 身份认证之后，就要为其提供服务，如何控制不同用户拥有不同的服务呢？这就是访问控制。 在网络安全环境中，访问控制能够限制和控制通过通信链路对主机系统和应用的访问。为了达到这种控制，每个想获得访问的实体都必须经过鉴别或身份验证，这样才能根据个体来制定访问权利。访问控制服务用于防止未授权用户非法使用系统资源。它包括用户身份认证，也包括用户的权限确认。这种保护服务可提供给用户组。 4.1.1 访问控制概念 访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证网络资源受控地、合法地使用，它是针对越权使用资源的防御措施。 访问控制技术是建立在身份认证的基础上的，简单的描述，身份认证解决的是“你是谁，你是否真的是你所声称的身份”，而访问控制技术解决的是“你能做什么，你有什么样的权限”这个问题。 访问控制原理： 系统资源的访问权限存放在授权数据库中； 通过一个参考监视器（ Reference Monitor）监视用户对系统资源访问的行为； 依据授权数据库 的规则 ，确定是否允许访问操作 一个安全系统的逻辑模型 4.1.2 访问控制概念 访问控制系统一般包括以下几个实体： 主体（subject）：发出访问指令、存取要求的主动方，通常可以是用户或用户的某个进程等。 客体（object）：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。 安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力。 访问控制概念原理 访问控制的目的为：限制主体对访问客体的访问权限，从而使计算机系统资源能被在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序可以做什么。访问控制机制可以限制对关键资源的访问，防止非法用户进入系统及合法用户对系统资源的非法使用。 目前的主流访问控制技术有：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）。自主访问控制和强制访问控制，都是由主体和访问权限直接发生关系，主要针对用户个人授予权限。 访问控制实现方法 较为常见的访问控制的实现方法主要有以下四种：访问控制矩阵、访问能力表、访问控制表和授权关系表。 访问控制矩阵 从数学角度看，访问控制可以很自然的表示成一个矩阵的形式：行表示客体（各种资源），列表示主体（通常为用户），行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等）。 访问控制矩阵（续） 下表是一个访问控制矩阵的例子。在这个例子中，Jack、Mary、Lily是三个主体，客体有四个文件（file）和两个账户（account）。从该访问控制矩阵可以看出，Jack是file1、file3的拥有者（own），而且能够对对其进行读（r）、写操作（w），但是Jack对 file2、file4就没有访问权。需要注意的是拥有者的确切含义会因不同的系统而拥有不同的含义，通常一个文件的拥有（own）权限表示可以授予（authorize）或者撤销（revoke）其他用户对该文件的访问控制权限，比如Jack拥有file1的own权限，他就可以授予Mary读或者Lily读、写的权限，也可以撤销给予他们的权限。 访问控制矩阵（续） 访问控制矩阵（续） 对账户的访问权限展示了访问可以被应用程序的抽象操作所控制。查询（inquiry）操作与读操作类似，它只检索数据而并不改动数据。借（debit）操作和贷（credit）操作与写操作类似，要对原始数据进行改动，都会涉及读原先账户平衡信息、改动并重写。实现这两种操作的应用程序需要有对账户数据的读、写权限，而用户并不允许直接对数据进行读写，他们只能通过已经实现借、贷操作的应用程序来间接操作数据。 访问能力表 实际的系统中虽然可能有很多的主体和客体，但主体和客体之间的关系可能并不多，这样的话就存在着很多的空白项。为了减轻系统开销与浪费，我们可以从主体（行）出发，表达矩阵某一行的信息，这就是访问能力表（capability）。也可以从客体（列）出发，表达矩阵某一列的信息，这便成了访问控制表（access control list）。 能力（capability）是受一定机制保护的客体标志，标记了客体以及主体（访问者）对客体的访问权限。只有当一个主体对某个客体拥有访问能力的时候，它才能访问这个客体。 访问能力表（续） 用文件的访问能力表的表示方法前例进行表示 访问能力表（续） 在访问能力表中，很容易获得一个主体所授权可以访问的客体及其