分布式安全培训课件(ppt).pptVIP

访问控制表与权力表 可以把ACM演化成一维表的形式。毫无疑问，这种演化应该有两种不同的方案。 访问控制表(ACL: Access Control List) 在这种方案中，每一个客体都必须维护一张合法主体的访问权限表，即一个ACL相当于ACM中的一列，但其中的空项都已被删除。 权力表(CL：Capability List) 以ACM的一行为单位，代表一个主体对客体的访问权限。 * 分布式系统安全 * 保护域 保护域是一组（对象，访问权限）对，只要一个主体对一个对象执行一个操作，访问监控程序会找到相关联的保护域，检查是否允许执行该请求 构造用户组：管理简单，支持很大的组；查找分布式组成员数据代价高 使用访问监控程序：每个主体携带一个证书（通过数字签名保护），列出所属的组。访问对象时，由访问监控程序检查证书 使用角色实现保护域：角色与一定的职能相联系 * 分布式系统安全 * 防火墙 实际上，所发生的对分布式系统任何部分的外部访问都通过一种称为防火墙的特殊类型的访问监控程序来控制。 防火墙实现了将分布式系统的任意部分与外界的分离 两种不同类型的防火墙 数据包过滤网关：基于数据包报头包含的原地址和目的地址制定是否传送该包的决定 应用层网关：检查入站或出站的消息内容 * 分布式系统安全 * 保护移动代码 保护代理：防止恶意主机盗窃或修改代理程序所带的信息 攻击方式： 盗窃或修改代理程序所带的信息 恶意破坏代理程序 篡改代理程序以便在其返回时进行攻击或盗窃信息 至少可以检测出代理程序被修改 只读状态 只追加状态 有选择地揭示状态：数据只允许特定的服务器访问 * 分布式系统安全 * 保护移动代码 保护目标：保护主机防止恶意代理程序的破坏 沙箱 运动场 通过身份验证 * 分布式系统安全 * 沙箱 沙箱是一种技术，通过该技术下载的程序的每条指令都能够被完全控制 访问一些指令、某些寄存器或内存空间将被禁止 通过沙箱模型, 用户可以有效地阻止那些具有潜在危险性的活动, 如对本地硬盘读写, 创建新进程, 连接动态链接库等。 * 分布式系统安全 * 运动场 运动场：为运行移动代码专门保留指定的机器，可使用这些机器的本地资源；但不能访问其他机器的资源 * 分布式系统安全 * 通过身份验证 要求每个下载的程序能通过身份验证，然后基于该程序的来源执行制定的安全策略 * 分布式系统安全 * 主要内容 概述 安全通道 访问控制 安全管理 * * 分布式系统安全 安全管理 密钥管理 密钥建立 密钥分发 证书的生存期 授权管理 权能和属性证书 委派 * 分布式系统安全 * 分布式系统安全 分布式系统安全 分布式安全 西北工业大学计算机学院 周兴社 王 涛 主要内容 概述 安全通道 访问控制 安全管理 * * 分布式系统安全 安全威胁 安全性与可靠性密切相关 一个可靠的系统是一个我们可以信赖其服务的系统。 一个可以信任的计算机系统应该具有： 一般意义的可靠性 机密性：系统只将信息向授权用户公开 完整性：系统资源的变更只能以授权的方式进行 * 分布式系统安全 * 安全威胁 我们必须首先搞清有哪些外来的威胁然后才能根据不同的威胁类别选择相应的对策 安全威胁一般有四种： 窃听：如包解惑、非法侵入 中断：如拒绝服务攻击（DOS） 修改：未经授权修改数据或篡改服务 伪造：产生通常不存在的附加数据或活动 * 分布式系统安全 * 安全策略与机制 建立一个安全可靠的系统前提 首先需要一个安全策略 然后在安全策略基础上考虑其安全机制 安全策略是指系统安全需求的描述。 安全策略实施的机制称为安全机制 * 分布式系统安全 * 安全策略与机制 几种重要的安全机制： 加密 身份验证 授权 审计 Globus安全体系结构 * 分布式系统安全 * 安全性设计 控制的焦点 数据的保护 操作的控制 用户层面的控制 * 分布式系统安全 * 安全性设计 安全机制的分层 一般把通用服务与通信服务分离开来，通用服务构建在高层协议上，通信服务则构建在底层协议上 对应地，我们把信任和安全区分开来 安全机制放在哪一层，取决于客户对特定层中服务的信任度 分布式系统中，安全机制一般放在中间件层。 * 分布式系统安全 * 安全性设计 安全机制的分布性 一般根据所需的安全性，将服务分布在不同的机器上，使得安全服务于其他类型的服务分开 * 分布式系统安全 * 安全性设计 安全性设计的简单性 背景 如果一个系统设计者可以使用一些易于理解且可靠的的简单机制，那么系统的安全性设计工作就会较容易实现 引入安全会使系统变的更加复杂，因此，用于实现安全协议的基本机制要相对简单且易于理解 意义 有助于最终用户对应用程序的信任 设计者易于确信是否存在安全漏洞 * 分布式系统安全