网络访问控制技术综述.docx
《网络访问控制技术综述.docx》由会员分享,可在线阅读,更多相关《网络访问控制技术综述.docx(7页珍藏版)》请在冰点文库上搜索。
网络访问控制技术综述
摘要:
随着科学的不断进步,计算机技术在各个行业中的运用更加普遍。
在计算机技术运用过程中信息安全问题越发重要,网络访问控制技术是保证信息安全的常用方式。
本文介绍了研究网络访问控制技术的意义,主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。
关键字:
信息安全网络访问控制技术
0.引言
近年来,计算机网络技术在全球范围内应用愈加广泛。
计算机网络技术正在深入地渗透到社会的各个领域,并深刻地影响着整个社会。
当今社会生活中,随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。
在商业、金融和国防等领域的网络应用中,安全问题必须有效得到解决,否则会影响整个网络的发展。
一般而言信息安全探讨的课题包括了:
入侵检测(IntrusionDeteetion)、加密(Encryption)、认证(Authentieation)、访问控制(AeeessControl)以及审核(Auditing)等等。
作为五大服务之一的访问控制服务,在网络安全体系的结构中具有不可替代的作用。
所谓访问控制(AccessControl),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。
网络访问控制技术是通过对访问主体的身份进行限制,对访问的对象进行保护,并且通过技术限制,禁止访问对象受到入侵和破坏。
1.研究访问控制技术的意义
全球互联网的建立以及信息技术飞快的发展,正式宣告了信息时代的到来。
信息网络依然成为信息时代信息传播的神经中枢,网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空,而且还包括看不见、摸不着的网络空间。
随着现代社会中交流的加强以及网络技术的发展,各个领域和部门间的协作日益增多。
资源共享和信息互访的过程逐越来越多,人们对信息资源的安全问题也越发担忧。
因此,如何保证网络中信息资源的安全共享与互相操作,已日益成为人们关注的重要问题。
信息要获得更大范围的传播才会更能体现出它的价值,而更多更高效的利用信息是信息时代的主要特征,谁掌握的信息资源更多,就能更好的做出更正确的判断。
是获得这些效果的更重要的前提是,信息是安全的,涉及到商业秘密或国家安全的重要信息会更加注重信息的安全性,否则宁愿牺牲信息的共享。
所以我们要找到更好的保证信息安全的方法。
访问控制是防止非法用户使用系统和合法用户越权使用系统的关键技术。
传统访问控制模型有自主访问控制DAC(DiscretionaryAccessControl)、强制访问控制MAC(MandatoryAccessControl)和基于角色的访问控制RBAC(Role-basedAccessControl)。
访问控制技术是保证信息安全的一项重要技术,发展的已经较为成熟,本文主要介绍当今主流的网络访问控制技术,为今后研究网络中信息传输的安全性进行铺垫。
2.访问控制技术研究现状简介
访问控制技术最早产生于上个世纪60年代,发展到现在访问控制技术的研究和应用己经获得了很多成果,建立了目前使用最为广泛的自主访问控制(DiscretionaryAccessControl,DAC)、强制访问控制(MandatoryAccessControl,MAC)、基于角色的访问控制(RoleBasedAccessControl,RBAC)的模型,而且自主访问控制技术和强制访问控制技术已得到了较为普遍的应用。
自主访问控制技术是一种在多用户环境下常用的访问控制技术,最早出现20世纪70年代的分时系统中,在目前流行的UNIX操作系统中也被普遍应用,允许被授权用户以用户或用户组的身份访问由访问控制策略规定的资源,同时禁止非法用户访问资源。
在传统的信息系统中,访问通常基于访问控制链表(AccessControlList,ACL),ACL与授权系统结合成为一个整体,在允许和拒绝对资源的访问中扮演关键的作用。
强制访问控制技术的主要应用场景是在军事领域中,它是在DAC的基础上,增加了对网络中资源安全属性的划分,规定不同属性下主体所拥有的访问权限。
MAC是一种多级访问控制策略,系统事先给访问主体和受控资源分配不同的安全级别的属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,进而再决定访问主体能否访问该受控对象。
基于角色的访问控制技术的概念由Ferraiolo和Kuhn于1992年在美国国家标准技术局举办的计算机安全研讨会中通过一个名为“Role-BasedAccessControl”的论文中提出。
这是RBAC系列文献中的第一篇以RBAC命名的文章。
其后,美国乔治森大学的R.Sandhu于1996年在IEEEComputer期刊上发表了RBAC的经典文献“Role-BasedAccessControlModels”,提出了RBAC96的著名模型,成为RBAC模型发展的基石。
更进一步于1997年提出了一种分布式RBAC管理模型ARBAC97,实现了在RBAC模型上的分布式管理。
随后的ARBAC99和ARBAC02都进一步完善了RBAC的管理功能。
RBAC的主要特点是分配一个所谓的角色给用户或用户组。
角色概念对应于系统中的岗位或者职位。
由于角色是访问控制策略的核心,这样极大地简化了安全管理,特别适用于大规模的网络应用。
但是目前基于DAC、MAC和RBAC的访问控制系统大都以专有的方式实现访问控制和授权,不同的系统都维护各自的单独的一套访问控制策略,部署不同的访问控制技术。
这样不仅需要付出高昂的成本来制定和维护这些策略,也不利于信息的交换和共享,且在一个系统中开发的访问控制系统在另一个系统中难以得到重用,更加难以实现本文中的多域跨网络的安全访问。
3.访问控制技术
访问控制系统是一个安全的信息系统中是不可或缺的组成部分,访问控制的目的在于拒绝非法用户的访问并对合法用户的操作行为进行规范。
只有经授权的访问主体,才允许访问特定的系统资源。
它包括用户能做什么和系统程序根据用户的行为应该怎么做两层含义。
访问控制策略是一套限定如何使用受保护的资源的规则库。
系统会根据访问控制策略来判定用户对资源的使用是否是合法的。
从本质上讲,访问控制就是根据访问控制策略来限制用户对资源的访问的,使用户和资源之间有了一道“墙”,防止了用户对资源的无限制直接访问,任何用户对资源的访问都必须经过这道墙——访问控制系统,访问控制系统根据访问控制策略对访问者的访问请求进行仲裁,这样使得用户对资源采取的任何操作都会处于系统的监控范围内,从而保证系统资源的合法使用。
当一个用户对某个资源提出访问请求时,访问控制仲裁就会对用户的请求作出响应,由用户ID或可区别的身份特征到安全策略库中查询与该用户相对应的安全策略,如果找到的安全策略允许该用户对特定资源提出的访问请求,则反馈给用户的响应为允许,否则拒绝。
系统管理员可以根据用户的身份、职务等将各种权限通过配置安全策略数据库的形式授予不同的用户,这样就制定出适用于不同用户或资源的安全策略。
一个正常的访问控制系统主要包含三个要素:
访问主体、访问客体、访问策略。
访问主体是指发出访问请求的发起者;访问客体是指被主体调用的程序或欲存取的数据,即必须进行控制的资源或目标;安全访问策略往往是指一套规则,被用来判定一个访问主体对所要访问的资源(客体)是否被允许。
其中访问主体与访问客体是相对的,当一个访问主体受到另一个访问主体的访问时,该主体便成为了访问客体。
3.1自主访问控制
自主访问控制技术的内容是指主体能够对访问的权限进行自主设置。
也就是说,能够赋予其他主体访问权限,也可以对访问权限进行收回。
其执行的主体为单个。
这样的好处是可以通过矩阵来实现主体客体的排列,虽然不需要将整个矩阵来进行保存,但通过行列来进行访问控制,因此能够让访问的操作更加有效率。
而且,自主访问控制能够很直观地将访问客体呈现出来,而且更加迅速的查到所需查询的内容。
但同时也暴露出一定的弊端,就是这样的联系方式让整个系统的结构显得更加复杂繁琐。
大量的主体要进行访问的时候都需要进行权限的关联。
特别是在企业等比较复杂的网络结构中使用这项自主访问控制技术时,因为网络中的信息不仅量大而且关系复杂,网络覆盖整个企业的各个部门,因此管理员不仅要负责对主体的访问权限进行设置,也需要对信息进行管理和发布。
不仅需要花费大量的人力和物力,也对整个网络的安全性有一定程度的影响。
尤其这样的企业往往网络结构复杂,规模大,用户对网络的需求也各有不同,因此需要对这些方面进行注意。
而且,在访问权限的设置上还有一定的问题。
网络的所有信息都属于企业,但职员等所属的部门需要对这些信息进行访问,这就存在着怎样让部门的职员能够访问自己领域所需要的信息,但其他部门的信息并不对其进行公开。
这就需要管理员在对其进行网络访问授权的时候进行限定,这项工作不仅繁琐,也容易出错。
3.2强制访问控制
强制访问控制是指主体按照系统事先的设置来进行访问。
强制访问控制所涉及的信息中,按照信息的保密度分了各种等级,用户则根据权限也有不同的签证。
签证能够决定用户对某一级别及其以下的等级信息进行访问,但不能够对级别以上的信息进行访问。
这种访问控制技术由于其自身的性质特点,多运用于军事系统中,但其明显的缺点在于,由于是按照等级制度进行访问,但在同级的信息没有能够得到明确的归类之分,因此,在同级间的访问没有限制。
3.3基于角色访问控制
随着对访问控制服务质量的要求不断提高,以上两种访问控制技术已经很难满足这些要求。
DAC将一部分授予或回收访问权限的权力留给了用户,这样使得管理员很难确定到底哪些用户对同一资源拥有权限,不利于实现统一的全局访问控制,并且很容易出现错误,也就更无法实现细粒度访问控制和动态权限扩展。
而MAC又过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性考虑不足。
二十世纪九十年代以来,随着信息系统规模的扩大,系统用户的增加,角色的概念逐步形成并逐步产生了在信息系统中以角色概念为中心的访问控制模型。
基于角色的访问控制是指用户获得的权限是由用户所在的用户组中的角色来确定的,当系统中的用户被赋予一个角色时,该用户就具有这个角色所具有的所有访问权限。
用户首先经认证后获得一个角色,该角色被分派了一定的权限,用户以特定角色访问系统资源,访问控制机制检查角色的权限,并决定是否允许访问。
RBAC从控制主体的角度出发,由整个系统管理中相对比较稳定的职责对角色进行划分,将访问控制权限授予与否与角色用户联系,在这点上MAC和DAC是将权限直接授予相对应的用户,这是基于角色与它们相区别的重要的一点。
在RBAC中角色作为一个桥梁连接访问控制过程发生中的访问控制主体和客体。
用RBAC与DAC和MAC相比较,可以看出RBAC是一种更有效的面向大型的信息系统的访问控制方式,其更具方便性、灵活性和更可靠的安全性。
研究人员越来越认识到DAC和MAC已经不能够达到当前复杂的信息系统的安全性需求,而基于角色的访问控制理论近些年来已经不断的完善,并已经逐渐取代了DAC和MAC作为它们的替代访问控制策略。
3.4基于任务的访问控制
基于任务的访问控制TBAC(Task-BasedAccessControl,TBAC)是一种新型的访问控制和授权管理模式,是近年来才开始的一种访问控制技术,它非常适合多点访问控制的分布式计算和信息处理活动以及决策制定系统。
TBAC采取面向任务,而不是传统的面向主体对象访问控制方法。
如果实现TBAC思想,权限体系的生成就会更及时,而且这些权限是执行操作时所需的,这一点在包含事务和工作流的应用环境中尤其适用。
TBAC方法还将使自我管理的访问控制模型提升到更高程度,从而降低总体费用。
TBAC模型现在还处于一种高度抽象的概念层次,还没有具体化,离实用阶段还有一段距离。
但它有很广的潜在应用性,从对客户——服务器交互这样精细活动实施访问控制,到对跨部门和组织边界的分布式应用和工作流这样的粗单元实施访问控制都适用。
TBAC访问控制涉及到与一定应用逻辑一致的任务完成过程中不同点的授权,这一点在其他的主体对象访问控制方法中不能得到满足。
相比之下,在传统访问控制中,访问控制决策制定太简单了,本质上与高层应用程序语义和要求脱节。
TBAC从基于任务的角度来实现访问控制,能有效解决提前授权问题,是一种主动访问控制模型。
它给出了动态授权的概念。
所谓动态授权,就是将授权不仅同用户、角色联系,还同任务相关。
当任务即将执行时,才对用户授权;当任务执行完就撤销用户的权限。
这样就可以保证权限只有在用户需要时才得到,满足最小特权原则。
TBAC在完成任务的过程中,要监视权限的状态,按照进行中的任务状态确定权限是活动状态或非活动状态,因此它是积极参与访问控制管理的。
4访问控制技术在网络安全中的应用
4.1入网访问控制
入网访问控制为网络访问提供了第一层访问控制。
它控制着哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:
用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。
三道关卡中只要任何一关未过,该用户便不能进入该网络。
4.2权限访问控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。
用户和用户组被赋予一定的权限。
网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。
可以指定用户对这些文件、目录、设备能够执行哪些操作。
受托者指派和继承权限屏蔽可作为两种实现方式。
受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。
继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。
4.3目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。
用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
对目录和文件的访问权限一般有八种:
系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。
用户对文件或目标的有效权限取决于以下两个因素:
用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。
一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。
4.4属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。
属性安全在权限安全的基础上提供更进一步的安全性。
网络上的资源都应预先标出一组安全属性用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。
属性设置可以覆盖已经指定的任何受托者指派和有效权限。
属性往往能控制以下几个方面的权限:
向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。
4.5服务器安全控制
网络允许在服务器控制台上执行一系列操作。
用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。
网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据。
可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
4.6网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。
如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
4.7网络端口和节点的安全控制
端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。
自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。
在对用户的身份进行验证之后,才允许用户进入用户端。
然后,用户端和服务器端再进行相互验证。
4.8防火墙控制
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
5.结语
对主流的访问控制技术有了一定的概念,了解网络访问控制技术在网络安全中的应用并认识了研究网络访问控制技术的意义。
升级会员 