(32)--7.5访问控制计算机网络计算机网络.ppt

7.5 访问控制访问控制的基本概念n实施访问控制的依据是用户的访问权限。用户访问权限的授予一般遵循最小特权原则。n最小特权原则指的是基于用户完成工作的实际需求为用户赋予权限，用户不会被赋予超出其实际需求的权限。n最小特权原则可以有效防范用户滥用权限所带来的安全风险。访问控制的基本要素n主体(subject)指访问活动的发起者。n客体(object)指访问活动中被访问的对象。n访问指的是对资源各种类型的使用，例如：读取、修改、创建、删除、执行、发送、接收等操作。n访问策略体现了系统的授权行为，表现为主体访问客体时需要遵守的约束规则，通常存储在系统的授权服务器中。访问监控器模型访问控制策略n访问控制策略典型地可分为三类：n自主访问控制DAC(Discretionary Access Control)n强制访问控制MAC(Mandatory Access Control)n基于角色的访问控制RBAC(Role Based Access Control)自主访问控制策略n自主访问控制通常基于主客体的隶属关系，“自主”指的是客体的拥有者可以自主地决定其他主体对其拥有的客体所进行访问的权限。n自主访问控制具有很强的灵活性，但是存在一些明显的缺陷：权限管理过于分散，容易出现漏洞；无法有效控制被攻击主体破坏系统安全性的行为。强制访问控制策略n强制访问控制与自主访问控制不同，它不允许一般的主体进行访问权限的设置。n在强制访问控制中，主体和客体被赋予一定的安全级别，普通用户不能改变自身或任何客体的安全级别，通常只有系统的安全管理员可以进行安全级别的设定。n系统通过比较主体和客体的安全级别来决定某个主体是否能够访问某个客体。强制访问控制策略n下读和上写是在强制访问控制策略中广泛使用的两项原则：n下读原则：主体的安全级别必须高于或等于被读客体的安全级别，主体读取客体的访问活动才能被允许（向下读）。n上写原则：主体的安全级别必须低于或等于被写客体的安全级别，主体写客体的访问活动才能被允许（向上写）。下读上写原则防止木马窃密攻击秘密公开木马程序（root）readcopyreadattacker公开下读上写原则防止木马窃密攻击秘密公开木马程序（秘密）readcopyreadattacker公开基于角色的访问控制策略n在RBAC中，一个用户可以拥有多个角色，一个角色也可以赋予多个用户；n一个角色可以拥有多种许可，一种许可也可以分配给多个角色。n许可指明了对某客体可以进行的访问类型。网络各层的安全实例n物理层：信道加密n数据链路层：无线局域网链路层加密、接入控制(802.11i)n网络层：主机到主机的数据加密、隧道加密(IPsec)n运输层：进程间的鉴别、数据加密(SSL/TLS)n应用层：针对具有网络应用的特定的安全机制(例如：安全电子邮件)物理层实例：信道加密机n使用信道加密技术的一个好处就是对上层协议几乎没有任何影响（即具有很好的透明性），为通过该链路的所有数据提供安全保护。n不能保证端到端通信的安全性数据链路层实例802.11i1.早期无线局域网的安全机制nSSID匹配 该机制提供了一种无加密的鉴别服务，试图接入无线局域网的终端必须配置与BSS中接入点AP相同的SSID。nMAC地址过滤 可以为接入点AP设置允许接入或拒绝接入无线局域网的MAC地址列表。n有线等效保密WEP(Wired Equivalent Privacy)提供实体鉴别、访问控制、数据加密和完整性检验等。WEP采用对称共享密钥加密技术。2.IEEE 802.11in具有更强安全性，主要包括一种可扩展的鉴别机制的集合，更强的加密算法，以及一种密钥分发机制。nIEEE 802.11i的商业名称为WPA2（WiFi Protected Access 2，意思是“无线局域网受保护的接入”的第二个版本）。nWPA是802.11i的一个子集，在802.11i正式发布前，作为无线局域网安全的过渡标准，代替WEP为802.11无线局域网提供更强的安全性。802.11i的基本交互过程网络层实例：IPsecnIPsec是为因特网网络层提供安全服务的一组协议RFC 24012411。nIPsec是一个协议名称，是IP Security（意思是IP安全）的缩写。IPsec 的两种运行方式 n传输方式IPSec有效载荷IPSec首部运输层报文IPSec尾部IP有效载荷IP首部IPsec 的两种运行方式 n传输方式主机A因特网运输层报文IPSecIP数据报运输层报文IPSecIP数据报主机BIPsec 的两种运行方式 n隧道方式IPSec有效载荷IPSec首部数据 IPSec尾部IP有效载荷IP首部IP首部原IP数据报新首部IPsec 的两种运行方式 n隧道方式主机A因特网原IP数据报IPSecIP数据报原IP数据报IPSecIP数据报主机B隧道原IP数据报原IP数据报R1R2源地址：R1目的地址：R2IPsec 中最主要的两个部分 n鉴别首部 AH(Authentication Header)：AH鉴别源点和检查数据完整性，但不能t提供机密性服务。n封装安全有效载荷 ESP(Encapsulation Security Payload)：ESP 比 AH 复杂得多，它鉴别源点、检查数据完整性和提供机密性服务。安全关联(Security Association,SA)n在两个结点之间用AH或ESP进行通信之前，首先要在这两个结点之间建立一条网络层的逻辑连接，称为安全关联(Security Association,SA)。n通过安全关联，双方确定将采用的加密或鉴别算法以及各种安全参数，并在SA建立时产生一个32位的安全参数索引(Security Parameter Index,SPI)。1.鉴别首部协议 AH n在使用鉴别首部协议 AH 时，把 AH 首部插在原数据报数据部分的前面，同时把 IP 首部中的协议字段置为 51。n在传输过程中，中间的路由器都不查看 AH 首部。当数据报到达终点时，目的主机才处理 AH 字段，以鉴别源点和检查数据报的完整性。IP 首部AH 首部IPSec有效载荷 填充 协议=51AH 首部(1)下一个首部。标志紧接着本首部的下一个首部的类型（如 TCP 或 UDP）。(2)安全参数索引 SPI。标志安全关联。(3)序号。AH协议用该序号防止重放攻击。(4)鉴别数据(可变)。一个可变长字段，包含一个经过加密或签名的报文摘要。2.封装安全载荷 ESPn使用 ESP 时，IP 数据报首部的协议字段置为 50。当 IP 首部检查到协议字段是 50 时，就知道在 IP 首部后面紧接着的是 ESP 首部，同时在原 IP 数据报后面增加了两个字段，即 ESP 尾部和 ESP 数据。n在 ESP 首部中有标识一个安全关联的安全参数索引 SPI(32 位)，和序号(32 位)。2.封装安全载荷 ESPn在 ESP 尾部中有下一个首部。ESP 尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。nESP 鉴别和 AH 中的鉴别数据是一样的。因此，用 ESP 封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。在 IP 数据报中的ESP 的各字段 IP 首部ESP 首部IPSec有效载荷使用 ESP 的 IP 数据报原数据报的数据部分ESP 尾部ESP 鉴别加密的部分鉴别的部分协议=50运输层实例：SSL/TLSn网上购物需要的安全服务：n(1)顾客需要确保服务器属于真正的销售商，而不是属于一个冒充者。n(2)顾客与销售商需要确保报文的内容在传输过程中没有被更改。n(3)顾客与销售商需要确保诸如信用卡号之类的敏感信息不被冒充者窃听。运输层实例：SSL/TLSn运输层安全协议可以提供以上安全服务。n现在广泛使用的有两个协议：nSSL(Secure Socket Layer)，译为安全套接字层。nTLS(Transport Layer Security)，译为运输层安全。nSSL是Netscape公司在1994开发的，广泛应用于基于万维网的各种网络应用。nTLS是1995年IETF在SSL 基础上设计的。SSL/TLS 的位置 因特网IP应用层（HTTP）网络接口层TCPSSL/TLSIP应用层（HTTP）网络接口层TCPSSL/TLSSSL 提供以下三种安全服务(1)SSL 服务器鉴别 允许用户证实服务器的身份。具有 SS L 功能的浏览器维持一个表，上面有一些可信赖的认证中心 CA(Certificate Authority)和它们的公钥。(2)加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密，在接收方解密。(3)SSL 客户鉴别 允许服务器证实客户的身份。SSL的基本工作过程浏览器A服务器BA 支持的加密算法B 选定的加密算法 B 的数字证书 用 B 的公钥加密的秘密数 会话密钥产生完成 数据传输（用会话密钥加密）加密算法协商用 CA 的公钥鉴别 B 的证书产生一个秘密数并通过秘密数产生会话密钥通过秘密数产生会话密钥加密算法协商tt浏览器中的SSL/TLS选项应用层实例：PGPnPGP 是由Phil Zimmermann于1995开发的一个安全电子邮件软件。n虽然 PGP 已被广泛使用，但 PGP 并不是因特网的正式标准。nPGP通过报文摘要和数字签名技术为电子邮件提供完整性和不可否认，使用对称密钥和公钥的组合加密来提供机密性。PGP发件方处理过程发件方私钥E-mail散列加密摘要已签名的摘要E-mail一次性密钥签名收件方公钥加密PGP发件方处理过程发件方公钥散列E-mail一次性密钥收件方私钥加密的邮件及其摘要解密加密的密钥解密鉴别摘要摘要比较