第3章(2)：访问控制.pptVIP

系统访问控制 ——授权（authorization）控制 网络访问控制： 逻辑隔离 物理隔离 3.1 系统访问控制 基本概念 ——二元关系描述 访问控制矩阵 授权关系表 3.1.1 访问控制的二元关系描述 访问控制用一个二元组来表示： 控制对象：表示系统中一切需要进行访问控制的资源 访问类型：是指对于相应的受控对象的访问控制 几种常用的描述形式 1. 访问控制矩阵 2. 授权关系表 3. 访问能力表 4. 访问控制列表 1. 访问控制矩阵 也称访问许可矩阵 行表示客体 列表示主体 交叉点上设定访问权限 2. 授权关系表：描述了主体和客体之间各种授权关系的组合。  能力（Capability）也称权能，是受一定机制保护的客体标志，标记了某一主体对客体的访问权限 它也是一种基于行的自主访问控制策略。 访问控制列表（Access Control List，ACL）与访问能力表正好相反 是从客体出发描述控制信息，可以用来对某一资源指定任意一个用户的访问权限 3.1.2 （1）自主访问控制 基本思想：资源的所有者可以对资源的访问进行控制，任意规定谁可以访问其资源，自主地直接或间接地将权限传给（分发给）主体。 优点：应用灵活与可扩展性，经常被用于商业系统。 缺点：权限传递很容易造成漏洞，安全级别比较低，不太适合网络环境，主要用于单个主机上。 3.1.2 （2）强制访问控制 基本思想：不允许单个用户确定访问权限，只有系统管理员才可以确定用户或用户组的访问权限。 MAC主要用于多层次安全级别的系统（如军事系统）中。 3.1.3 基于角色的访问控制策略 3.2 网络的逻辑隔离 （1）数据包过滤技术； （2）网络地址转换技术； （3）代理技术. 3.2.1 数据包过滤 地址过滤技术 服务过滤技术 状态检测过滤技术 内容过滤技术 数据包及其结构 （1）源地址（Source Address）和目的地址（Destination Address） （2）标识符 （3）标志F（Flag) （4）片偏移量FO（Fragment Offset) （5）源端口（Source Port）和目的端口（Destination Port) （6）协议Prot（Protocol）。高层协议号由TCP/IP协议中央权威机构NIC（Network Information Center）分配，如: 1——控制报文协议ICMP， 6——传输控制协议TCP， 8——外部网关协议EGP， 17——用户数据抱协议UDP， 29——传输层协议第4类ISO-TP4。 （7）服务类型ToS（Type of Service） （8）数据包内容。 数据包过滤规则与策略 （1）默认接受：一切未被禁止的，就是允许的。也称为“黑名单”策略。 （2）默认拒绝：一切未被允许的，就是禁止的。也称为“白名单”策略。 3. 地址过滤技术 地址过滤规则的配置要考虑的因素 （1）IP源地址欺骗攻击。 （2）源路由攻击。 （3）小分段攻击。 地址过滤规则配置举例 例3.4 某公司有一B类网（123.45）。该网的子网（/24）有一合作网络（135.79）。管理员希望： · 禁止一切来自Internet的对公司内网的访问； · 允许来自合作网络的所有子网（/16）访问公司的子网（/24）； · 禁止对合作网络的子网（/24）的访问权（对全网开放的特定子网除外）。 4. 服务过滤技术 按服务进行过滤，就是根据TCP/UDP的端口号制定过滤规则。 5. 状态检测过滤技术 6. 内容过滤技术 （1）违禁内容的传播 对违禁内容进行内容过滤 对违禁内容的来源进行访问控制 （2）基于内容的破坏 内容破坏的典型是带有病毒的文件 （3）基于内容的攻击 以内容为载体，以应用程序为攻击对象 目标是取得对应用主机的控制权。 例如，在web上表格填写数据时，填写恶意格式，导致CGI程序执行错误，引发应用程序出错。 3.2.2 网络地址转换 网络地址转换(Network Address Translation，NAT) 就是使用使用两套IP地址——内部IP地址（也称私有IP地址）和外部IP地址（也称公共IP地址）。 当受保护的内部网连接到Internet并且有用户要访问Internet时，它首先使用自己网络的内部IP地址，到了NAT后，NAT就会从公共IP地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法的IP地址进行通信。 1. NAT的工作过程 2. NAT的类型 （1）静态NAT （2）动态地址NAT （3）网络地址端口转换（network address port translation，NAPT） 3.2.3 代理技术 来自代理服务器（Proxy Server）技术 在客户/服务器工作