网络安全原理与应用 第4章 访问控制技术及应用.pptVIP

2007-10-22 第4章 访问控制技术及应用访问控制策略与模型 沈苏彬 南京邮电大学 信息网络技术研究所 关键知识点 (1) 访问控制是网络安全控制的第二步，也是具体实现系统安全控制的关键步骤。 (2) 访问控制就是对经过身份验证的用户进行访问权限的控制。也称为“授权”。 (3) 访问控制是网络安全控制的核心内容。网络安全的防火墙技术就是一种访问控制的应用技术。 主要内容 访问控制基本概念 军用安全策略与Bell-LaPadula模型 商用安全策略与Clark-Wilson模型 访问控制基本概念 访问控制策略， 访问控制机制， 访问控制模型， 主体和客体，以及 托管监控器模型。 访问控制策略 访问控制策略表示访问控制的总体要求。 访问控制策略描述了如何进行访问控制，明确了哪些用户、在何种环境下、可以访问哪些信息。 例如用户A可以访问文件服务器B中的目录C下的所有文件。 典型的访问控制策略包括：自主访问控制（DAC）策略，强制访问控制（MAC）策略，等等。 访问控制机制 访问控制机制是对访问控制策略的具体实现，它可以表示为一组硬件或者软件的访问控制实现方法。 典型的访问控制机制是访问控制列表和访问控制矩阵。 例如：采用访问控制列表(ACL)可以实现对不同用户设置不同的访问文件系统的控制策略。 访问控制模型 为了能够较为完整地研究系统的访问控制能力，需要利用访问控制模型。 访问控制模型描述访问控制系统的安全特征，以及对访问控制策略的支撑能力。 典型的访问控制模型包括： Bell-LaPadula模型、 Clark-Wilson模型等。 主体 在信息安全中，代表用户访问信息的系统实体都是访问控制的“主体”。 在网络安全中，代表用户访问网络服务的任何网络实体都是访问控制的主体，这是访问控制中被控制方。 例如电子邮件的客户端软件、万维网客户端软件、文件传送客户端软件 主体是访问控制系统中的请求方。 客体 在信息安全中，任何存放信息的系统实体都是访问控制的“客体”。 在网络安全中，任何提供服务的网络实体都是客体。例如，万维网服务器、文件服务器 等。 客体是访问控制系统中被保护方。 托管监控器模型 J. P. Anderson于1972年提出的“托管监控器”通常作为访问控制的框架模型。 它可以既作为表示高可信访问控制机制所必备特性的一种抽象框架模型，又可以用于设计、实现和分析安全信息系统的一个参考模型。 信息系统中任何一个主体需要通过托管监控器的权限检验之后，才能访问相应的客体。 实现“托管监控器”的部件称为“安全内核” 托管监控器模型(续1) 为了保证托管监控器能够按照访问控制数据库的规则，实现访问控制策略，托管监控器必须满足3点要求： 完备性(任何访问操作无法绕过)， 孤立性(独立安全机制、不受其他系统干扰)， 可验证性(控制机制及其实现必须通过安全验证)。 托管监控器模型(续2) 托管监控器作为一种访问控制系统的抽象框架结构，在30多年来一直指导信息安全系统的设计、实现和评价。 根据托管监控器概念框架模型可以得出设计访问控制系统的3条原则： （1）灵活性，能够实现任何访问控制策略 （2）可管理性，易于配置和管理 （3）可缩放性，适合任何规模的应用环境 军用安全策略与Bell-LaPadula模型 军用安全策略是指美国国防部在1983年发布的“可信计算机系统评价准则(TCSEC)”中提出的自主访问控制（DAC）策略和强制访问控制（MAC）策略 。 军用安全策略主要用于数据保密。 为了实现MAC策略，必须采用Bell-LaPadula模型。 自主访问控制策略 自主访问控制（DAC）策略是基于用户的标识，或者基于用户所属组的标识，限制对客体访问的一种方式。 在DAC策略中，用户（主体）具有的对资源（客体）的访问权限可以自主地传递给其他用户（主体）的。 DAC是所有访问控制系统中必须支持的一种访问控制策略。 自主访问控制策略的实现 通常采用基于客体的访问控制列表（ACL）机制实现DAC策略。 为了提供对DAC的支持，通常会进一步定义资源（客体）的拥有者。 只有资源拥有者可以修改该资源的ACL，向其他用户传递访问控制权限。这样，要求每个客体维护一张访问控制列表(ACL)。 自主访问控制策略的实现举例1 如果假定用户A1可以“读/写”访问目录D1和D2，A2用户可以“读/写”访问目录D2，则目录D1的访问控制列表（ACL）表示如下： 自主访问控制策略的实现举例2 目录D2的访问控制列表（ACL）表示如下： 自主访问控制策略的潜在威胁 DAC访问控制策略可能遭遇木马的攻击。 在前面的举例中，如果A2将木马程序T驻留在A1的运行主机中，则T可以首先读取目录D1的文件F1，然后写入目录D2中，这样A1就可以读取D2中的F1