1、第第3章章 访问控制访问控制身 份 认 证访 问 控 制资 源用 户访问请求权限 系统访问控制 授权(authorization)控制 网络访问控制:逻辑隔离 物理隔离 3.1 系统访问控制系统访问控制 基本概念 二元关系描述 访问控制矩阵 授权关系表 访问控制策略 自主 强制访问控制策略 基于角色的访问控制策略基于角色的访问控制策略3.1.1 访问控制的二元关系描述访问控制的二元关系描述 访问控制用一个二元组(控制对象,访问类型)来表示。其中的控制对象表示系统中一切需要进行访问控制的资源,访问类型是指对于相应的受控对象的访问控制,如:读取、修改、删除等等。几种常用的描述形式 1.访问控制矩阵
2、 2.授权关系表 3.访问能力表 4.访问控制列表1.访问控制矩阵访问控制矩阵也称访问许可矩阵,它用行表示客体,列表示主体,在行和列的交叉点上设定访问权限。表3.1一个访问控制矩阵的例子。表中,一个文件的Own权限的含义是可以授予(Authorize)或者撤销(Revoke)其他用户对该文件的访问控制权限。例如,张三对File1具有Own权限,所以张三可以授予或撤销李四和王五对File1的读(R)写(W)权限。主体(subjects)客体(objects)File1File2File3File4张三Own,R,WOwn,R,W李四ROwn,R,WWR王五R,WROwn,R,W2.授权关系表授权
3、关系表(Authorization Relations)描述了主体和客体之间各种授权关系的组合。主 体访问权限客 体张三OwnFile1张三RFile1张三WFile1张三OwnFile3张三RFile3张三WFile3李四RFile1李四OwnFile2李四RFile2李四WFile2李四WFile3李四RFile4王五RFile1王五WFile1王五RFile2王五OwnFile4王五RFile4王五WFile4能力(Capability)也称权能,是受一定机制保护的客体标志,标记了某一主体对客体的访问权限:某一主体对某一客体有无访问能力,表示了该主体能不能访问那个客体;而具有什么样的能力
4、,表示能对那个客体进行一些什么样的访问。它也是一种基于行的自主访问控制策略。张三File1OwnRWFile3OwnRW李四File1RFile2OwnRWFile3WFile4R王五File1RWFile3RFile4OwnRW3.访问能力表访问控制列表(Access Control List,ACL)与访问能力表正好相反,是从客体出发描述控制信息,可以用来对某一资源指定任意一个用户的访问权限。File1张三OwnRW李四RFile2李四OwnRW王五RFile3张三OwnRW李四W王五RWFile4李四R王五OwnRW4.访问控制列表3.1.2(1)自主访问控制)自主访问控制 基本思想是:
5、资源的所有者可以对资源的访问进行控制,任意规定谁可以访问其资源,自主地直接或间接地将权限传给(分发给)主体。优点:应用灵活与可扩展性,经常被用于商业系统。缺点:权限传递很容易造成漏洞,安全级别比较低,不太适合网络环境,主要用于单个主机上。3.1.2(2)强制访问控制)强制访问控制基本思想:不允许单个用户确定访问权限,只有系统管理员才可以确定用户或用户组的访问权限。MAC主要用于多层次安全级别的系统(如军事系统)中。(1)下读(Read Down)(2)上读(Read Up)(3)下写(Write Down)(2)上写(Write Up)3.1.3 基于角色的访问控制策略基于角色的访问控制策略基
6、于角色的访问控制(Role-Base Access Control,RBAC)比针对个体的授权管理,在可操作性和可管理性方面都要强得多。3.2 网络的逻辑隔离网络的逻辑隔离(1)数据包过滤技术;(2)网络地址转换技术;(3)代理技术.3.2.1 数据包过滤数据包过滤 地址过滤技术 服务过滤技术 状态检测过滤技术 内容过滤技术数据包及其结构(1)源地址(Source Address)和目的地址(Destination Address)(2)标识符(3)标志F(Flag)(4)片偏移量FO(Fragment Offset)(5)源端口(Source Port)和目的端口(Destination P
7、ort)(6)协议Prot(Protocol)。高层协议号由TCP/IP协议中央权威机构NIC(Network Information Center)分配,如:1控制报文协议ICMP,6传输控制协议TCP,8外部网关协议EGP,17用户数据抱协议UDP,29传输层协议第4类ISO-TP4。(7)服务类型ToS(Type of Service)(8)数据包内容。数据包过滤规则与策略(1)默认接受:一切未被禁止的,就是允许的。即除明确指定禁止的数据包,其他都是允许通过的。这也称为“黑名单”策略。(2)默认拒绝:一切未被允许的,就是禁止的。即除明确指定通过的数据包,其他都是被禁止的。这也称为“白名单
8、”策略。3.地址过滤技术 地址过滤规则的配置钥考虑的因素(1)IP源地址欺骗攻击。(2)源路由攻击。(3)小分段攻击。地址过滤规则配置举例 例3.4 某公司有一B类网(123.45)。该网的子网(123.45.6.0/24)有一合作网络(135.79)。管理员希望:禁止一切来自Internet的对公司内网的访问;允许来自合作网络的所有子网(135.79.0.0/16)访问公司的子网(123.45.6.0/24);禁止对合作网络的子网(135.79.99.0/24)的访问权(对全网开放的特定子网除外)。规规 则则源源 地地 址址目目 的的 地地 址址过滤操作过滤操作A135.79.0.0/161
9、23.45.6.0/24允许允许B135.79.99.0/24123.45.0.0/16拒绝拒绝C0.0.0.0/00.0.0.0/0拒绝拒绝数据包数据包源地址源地址目的地址目的地址目标行为操作目标行为操作AC行为操作行为操作1135.79.99.1123.45.1.1拒绝拒绝拒绝拒绝(C)2135.79.99.1123.45.6.1允许允许允许允许(A)3135.79.1.1123.45.6.1允许允许允许允许(A)4135.79.1.1123.45.1.1拒绝拒绝拒绝拒绝(C)4.服务过滤技术 按服务进行过滤,就是根据TCP/UDP的端口号制定过滤规则。规则规则方向方向类型类型源地址源地址
10、目的地址目的地址目的端口目的端口行为操作行为操作A入入TCP外外内内25允许允许B出出TCP内内外外=1024允许允许C出出TCP内内外外25允许允许D入入TCP外外内内=1024允许允许E出出/入入任何任何任何任何任何任何任何任何禁止禁止由于未考虑到数据包的源端口,出现了两端所有端口号大于1024的端口上的非预期的作用。考虑到数据包的源端口,所有规则限定在25号端口上,故不可能出现两端端口号均在1024以上的端口上连接的交互。规则规则方向方向类型类型源地址源地址目的地址目的地址源端口源端口目的端口目的端口行为操作行为操作A入入TCP外外内内=102425允许允许B出出TCP内内外外25=10
11、24允许允许C出出TCP内内外外=102425允许允许D入入TCP外外内内25=1024允许允许E出出/入入任何任何任何任何任何任何任何任何任何任何禁止禁止5.状态检测过滤技术CLOSEDLISTENESTABLISHEDCLOSINGTIME_WAITFIN_WAIT_1CLOSE_WAITLAST_ACKSYN_SENTSYN_RCVDFIN_WAIT_2关闭主动打开发送SYN关闭/超时/复位delete TCBSENDsend SYNrcv SYNsend SYN,ACKrcv SYN/send ACK同时打开rcv SYN,ACKsend ACKrcv ACK of SYNxCLOSE
12、send FINCLOSEsend FINrcv FINsend ACKCLOSEsend FINrcv FINsend ACKrcv ACK of FINxrcv FINsend ACKrcv ACK of FINxrcv ACK of FINxTimeout=2MSLdelete TCBrcv FINsend ACK主动主动关闭关闭被动被动关闭关闭被动打开同时关闭数据传输阶段被动打开rcv ACK of FINx CLOSEtdelete TCB connectcreate TCB(listen)create TCB客户进程正常状态转换服务器进程正常状态转换非正常状态转换上段:转换条件下段
13、:转换操作 TCP连接状态有如下特征:TCP连接是有状态的,连接进入不同的阶段具有不同的状态;TCP连接状态的转换要按一定的顺序进行,不可随意改变;在TCP连接中客户机与服务器的状态不相同,如客户机不能进入LISTEN状态,服务器不可能进入SYN_SEND状态;TCP包中有6个标志位:FIN、SYS、RST、PSH、ACK、URG,其中一些不能同时存在,如SYS不能和FIN、RST、PSH同时存在。6.内容过滤技术(1)违禁内容的传播 禁止违禁内容的传播的技术措施有下列两种:对违禁内容进行内容过滤,如基于关键词的内容过滤,基于语意的内容过滤。前者在技术上很成熟,准确度很高,漏报率低,但误报率高
14、。对违禁内容的来源进行访问控制,这种方式对已经知道恶意传播的对象非常有效。(2)基于内容的破坏。内容破坏的典型是带有病毒的文件,是被篡改了的正常文件上带有病毒特征代码。(3)基于内容的攻击。基于内容的攻击,以内容为载体容,以应用程序为攻击对象,目标是取得对应用主机的控制权。例如,在web上表格填写数据时,填写恶意格式,导致CGI程序执行错误,引发应用程序出错。3.2.2 网络地址转换网络地址转换 网络地址转换(Network Address Translation,NAT)就是使用使用两套IP地址内部IP地址(也称私有IP地址)和外部IP地址(也称公共IP地址)。当受保护的内部网连接到Inte
15、rnet并且有用户要访问Internet时,它首先使用自己网络的内部IP地址,到了NAT后,NAT就会从公共IP地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法的IP地址进行通信。1.NAT的工作过程NAT源地址目的地址234.56.7.8源地址234.56.7.8目的地址源地址目的地址123.456.111.3源地址123.456.111.3目的地址Internet被保护内部网源IP包目的IP包2.NAT的类型(1)静态NAT(2)动态地址NAT(3)网络地址端口转换(network address port translation,NAPT)NAT的优点和缺点NAT的优点:(
16、1)对于那些家庭用户或者小型的商业机构来说,使用NAT可以更便宜,更有效率地接入Internet。(2)使用NAT可以缓解目前全球IP地址不足的问题。(3)在很多情况下,NAT能够满足安全性的需要。(4)使用NAT可以方便网络的管理,并大大提高了网络的适应性。NAT的缺点:(1)NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟.(2)NAT会使某些要使用内嵌地址的应用不能正常工作.3.2.3 代理技术代理技术 应用于网络安全的代理(Proxy)技术,来自代理服务器(Proxy Server)技术。在客户/服务器工作模式中,代理服务器位于客户与Internet上的服务器之间。
17、请求由客户端向服务器发起,但是这个请求要首先被送到代理服务器;代理服务器分析请求,确定其是合法的以后,首先查看自己的缓存中有无要请求的数据,有就直接传送给客户端,否则再以代理服务器作为客户端向远程的服务器发出请求;远程服务器的响应也要由代理服务器转交给客户端,同时代理服务器还将响应数据在自己的缓存中保留一份拷贝,以被客户端下次请求时使用。1.应用级代理FTP代理TELNET代理HTTP代理POP代理SMTP代理DNS代理outininoutinoutoutininoutinout外部客户外部客户内部服务器内部服务器客户客户代理连接代理连接代理代理服务器连接服务器连接外部外部内部内部应用级代理的
18、基本工作过程 内部接口外部接口客户公共服务时间请求页URL检查请求页返回页返回页内容过滤应用级代理的功能(1)阻断路由与URL(2)隐藏客户(3)安全监控2.电路级代理传输层网络层数据链路/物理层电路级网关TCP端口TCP端口SOCKS协议(套接字协议)SOCKS协议(套接字协议)是一个电路级网关协议,主要由两部分组成:(1)SOCKS客户程序:经过修改的Internet客户程序,改造的目的是使运行客户程序的主机从与Internet通信改为与运行SOCKS代理的主机通信。(2)SOCKS服务程序:既可以Internet通信又可以和内部网络通信的程序。SOCKS代理的工作过程如下:1 当一个经过
19、SOCKS化的客户程序要连接到Internet时,SOCKS就会截获这个这个连接,将之连接到运行SOCKS服务器的主机上。2 连接建立后,SOCKS客户程序发送如下信息:版本号 连接请求命令 客户端端口号 发起连接的用户名 3 经过确认后,SOCKS服务器才与外部的服务器建立连接。3.3 网络的物理隔离网络的物理隔离(1)在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄漏到外部网。(2)在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。(3)在物理存储上隔断两个网络环境,对于断电后会逸失信息的部件,如内存、
20、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息串网;对于断电非逸失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。公网内部网外网逻辑隔离物理隔离公网3.3.2 网络物理隔离技术网络物理隔离技术 1.网络安全隔离卡内部网络连接外部网络安全区公共区SP网络安全隔离卡 在安全状态时,主机只能使用硬盘的安全区与内部网连接,此时外部网是断开的,硬盘的公共区也是封闭的;在公共状态时,主机只能使用硬盘的公共区与外网连接,此时与内网是断开的,且硬盘的安全区是封闭的。2.网络安全隔离集线器内网HUB外网HUB隔离集线器网络安全隔 离 卡安全区公共区控制信号3.网闸控制开关存储介质外网服务器内网服务器内网专网
