分布式系统安全机制.pptVIP

访问控制 在开放型分布式系统中，尽管我们允许信息在系统结点间自由流动，但必须对信息的访问权力施加控制。 理论上，访问控制和授权是两个概念。访问控制一般在被访问的客体一方进行，用来检验访问的合法性；而授权指的是主体一方被赋予的权力，用来代表主体的合法权限。然而，这两个术语又是密切相关的，在没有二义性的场合下可以交替使用。 * 主体 访问管理器 客体 访问请求 访问授权 访问控制矩阵 访问控制矩阵(ACM: Access Control Matrix) 。在一个ACM中，每一行代表一个主体z，每一列代表一个客体k，而矩阵元素ACM[z, k] 列举出z对k的合法操作。 ACM的实现直截了当，而且效率很高。但如果一个系统需要管理成千上万的主体(客户)以及数百万计的客体(资源) ，ACM就可能是一个非常稀疏的矩阵，绝大多数矩阵单元都被浪费了。 * 主体\客体 文件 1 文件 2 文件 3 文件 4 用户 1 拥有 读/写 执行 拥有 用户 2 -- 读 拥有 读/写 用户 3 复制/读 拥有 -- -- 访问控制表和权力表 我们可以把ACM演化成一维表的形式。毫无疑问，这种演化应该有两种不同的方案。第一种方案通常称为访问控制表(ACL: Access Control List) 。在这种方案中，每一个客体都必须维护一张合法主体的访问权限表，即一个ACL相当于ACM中的一列，但其中的空项都已被删除。另一种方案以ACM的一行为单位，称作权力表(CL：Capability List) ，代表一个主体对客体的访问权限。 * 如果CL中有K，则授权 主体 Z 请求访问客体 K 如果ACL[K]中有Z， 则授权 ACL K K (Z， K) 主体 Z 请求访问客体 K CL (Z， K，CL) (a) 基于ACL (b) 基于CL 防火墙 防火墙是安装在两个网络之间的一组设备(软件和硬件) ，并且应该具备下述性质： 所有通信，无伦是从内向外，还是由外至内，都必须被导向到防火墙； 只有具备局部安全策略授权的通信才能通过防火墙进入内部系统； 防火墙本身应该不受安全威胁，并能够阻止任何对防火墙的攻击企图。 目前常用的防火墙技术有两种：包过滤网关(Packet-filtering Gateway) 和代理网关(Proxy Gateway) 。包过滤网关防火墙通常放置在路由器中，内部系统通过这个路由器与外部互联网相连。代理网关是设置在某种服务应用系统前端的访问控制机制，其主要目的是把客户和服务器之间跨网的直接通信加以过滤。 * 堡垒主机防火墙体系结构 应用级代理为服务系统提供高级安全机制，我们可以通过重新编写主要的应用程序来提供访问控制。更新后的应用程序驻留在一台集中式代理服务器中，所有来自客户的访问请求都必须被导向到这台服务器，人们为这类代理服务器起了一个很形象的名字：堡垒主机(Bastian) * 内部网络 外部网络 堡垒主机 过滤主机防火墙体系结构 为了解决堡垒主机的瓶颈问题，我们可以把包过滤功能和其它安全机制分布在两台硬件上，即一台路由器和一台堡垒主机。前者作为屏障、提供IP包过滤功能，而后者作为安全服务器，提供代理服务。由于过滤路由器已经对信件包进行了筛选，大大地减轻了非法信件包对堡垒主机的压力。 * 内部网络 外部网络 过滤路由器 堡垒主机 受保护的机器 过滤子网防火墙体系结构 这种结构是三种体系结构中最安全的，称作过滤子网体系结构。这种结构包括2道包过滤防火墙和一道代理服务防火墙。代理服务防火墙就是图中的堡垒主机，它与过滤子网相连，处在两道包过滤防火墙之间。一个包过滤路由器将堡垒主机的子网连接到外部网络；另一个包过滤路由器将堡垒主机的子网连接到内部网络 * 堡垒主机 内部网络 外部网络 外部过滤路由器 …受保护的机器… 过滤子网 内部过滤路由器 END * * 分布式与并行计算-分布式系统安全机制 计算机科学与技术学院 2014.10 第8讲 安全机制 简介 加密技术 认证技术 访问控制 防火墙 * 简介 为了不失一般性，我们把系统成份抽象为两个集合：主体(Subject)和客体(Object)。主体是一组主动的实体，可以是用户、进程、或者计算机，对客体进行访问。客体是一组被动的实体，可以是数据、通信线路、服务器、或者任何软/硬件资源。 我们必须首先搞清有哪些外来的威胁(Threats)，然后才能根据不同的威胁类别选择相应的对策。 * 主体 客体 数据及控制流 中断 截取 修改 伪造 授权 认证 加密 监听 威胁： 对策： 安全对策 安全对策由两个部份构成：其一是保证安全程度的安