网络安全访问控制技术

网络安全访问控制技术（精选11篇）

网络安全访问控制技术 篇1

高校教务系统

高校教务系统作为计算机网络技术与高校信息化技术高度发展的产物, 目前已被广泛应用到高校教务管理领域。高校教务系统主要包括考务管理、学籍管理、教材管理、教学计划管理、选修课管理、评估管理以及教师管理等若干子系统, 因此确保该系统运行的稳定性与安全性直接关乎到各高校重要管理数据的安全。访问控制作为实现网络安全的核心策略, 主要涉及主体对客体的访问限制以及利用身份识别技术对资源访问的相关请求进行控制, 即防范网络资源被非法访问或使用。除此以外, 就高校教务系统的实现而言, 计算机起着举足轻重的作用, 即实现教务信息的快速获取, 从而提高数据计算的可靠性与高效性, 以及提高各高校的整体教学质量。为此, 本文立足计算机的相关运行原理, 就高校教务系统的安全访问控制技术进行研究。

高校教务系统的安全访问控制技术研究

访问控制多指系统内部的访问控制, 即就系统内部主体对客体的访问进行控制, 由此实现对系统安全的维护以及对系统资源的保护, 而就计算机系统而言, 此项控制技术也是数据库系统的核心安全机制。访问控制的基础是系统内部主体以及客体的安全属性, 因此对客体的保护是实现访问控制的重点, 即依照安全要求, 首先对某组对应的安全属性进行标识 (又称访问控制表) , 同时对该组对应的安全属性进行鉴别, 由此确定对客体的访问合法, 注意各主体均应设置单独的访问控制表;其次再标明其对客体的访问能力, 由此实现授权, 即确定主体的访问权限, 而被允许的访问方式亦为被确定的访问权限, 例如读写、修改、添加、删除或者查询等操作行为。除此以外, 访问控制机制的建立必须遵循相关安全原则, 例如授予最小特权、验证存取控制、确定访问控制的可靠性以及实体权限的时限性等。

就现今主流的关系数据库管理系统 (RDBMS) 而言, 主要采用强制访问控制和任意访问控制两种方法来实现安全访问。就普通的数据库管理系统 (DBMS) 而言, 任何用户均应避免对库存数据进行直接性操作, 以免越权被非法攻击, 即应严格按照如下步骤实现对用户数据的访问:把访问请求发送至访问控制模块→访问控制模块审核访问请求→访问控制模块操作库存数据。目前, 已被广泛应用的访问控制技术主要有三种, 即强制访问控制模型 (MAC) 、自主访问控制模型 (DAC) 、基于角色的访问控制模型 (RBAC) 。

强制访问控制的基础是中心结构, 即把授权机构看作主体和客体, 定义出固定的访问权限, 注意文件或者用户的创建人无权修改被定义的访问权限。自主访问控制允许用户根据自身意愿对存储信息的访问方式进行定义, 即用户ID事先设定出访问权限, 此时若用户发送出特定访问方式的请求, 系统访问控制模块便会根据自主访问控制模型的要求对主体、客体的方方面面进行检查, 注意系统内部特定的授权与申请的访问属性必须保持一致, 否则用户的访问请求无法实现。基于角色的访问控制作为目前数据库管理领域的重要研究课题, 较强制访问控制和自主控制更具发展潜力。基于角色的访问控制要求根据管理要求对系统内部的若干客体 (又称角色) 进行设置, 此外安全管理员或者系统管理员负责数据的存取访问权限, 而权限的类型与终端用户应相互对应, 注意各终端用户承担着相应的工作职责以及有权根据管理要求对管理角色的存取权限进行变更。除此以外, 基于角色的访问控制要求明确划分出用户的工作职责与访问权限, 例如就库存数据的特定集合而言, 可由某个操作员或者用户来实现访问, 注意此处未涉及到授权分配工作的权限;就安全主管人而言, 既可修改访问权限, 又可对操作员实施授权与分配, 注意存取与访问任何数据的权限无法兼具, 由此体现出不同角色间的差异性。从授权管理角度而言, 基于角色的访问控制具有更加强大的管理性与操作性, 即允许把若干具备特定功能的用户集合与相应的授权结合起来。基于角色的访问控制能够就不同的系统配置实现不同的安全控制, 即可以实时构造出强制存取控制功能、自主存取控制功能以及强制与自主兼具的存取控制功能, 此乃此项访问控制技术最大的优点。

总结

本文简单阐述了高校教务系统的相关内容以及安全访问控制的必要性, 其次根据访问控制的相关理论依据, 就三种目前常用的安全访问控制技术进行了简单介绍, 即强制访问控制 (MAC) 、自主访问控制 (DAC) 、基于角色的访问控制 (RBAC) 。

网络安全访问控制技术 篇2

NAC的一个关键特性是访问的安全性，可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接，来前摄性地防止安全性受到破坏。网络访问控制帮助你保证只有授权的用户可以获得对网络的访问权。而且，它保证用户只能访问被授权使用的资源。既然安全性是网络管理人员们关心的一个主要问题之一，因此企业根据权利和需要对网络访问进行有效的控制是非常必须的。

例如，对一所医院的医生和护士来说访问病人的记录是合适的。而这种访问对于在自助餐厅的厨师来说却是不合适的，

对于在你的网络上没有业务的人员来说，给他们任何的访问都是不合适的。

一个有效的网络访问控制策略应该将那些不法之徒阻挡在外，并只能根据内部人员的身份、所连接的地点、所连接的时间等，确保其访问网络资源。同时，一个有效的网络访问控制应该使企业的网络保持灵活性。

下面我们看一些实现有效的网络访问控制的具体措施：

选择一个网络访问控制方法和一种客户端技术

一般说来，你可以根据你的业务因素，从以下三种访问控制方法中进行选择以满足你的网络需要：

◆IEEE802.1X

◆Web身份验证

◆MAC身份验证

选择一个网络架构设备

网络安全访问控制技术 篇3

关键词：Web 安全策略 访问控制

1、Web安全策略

Web服务使用的是Web技术，许多针对Web站点的潜在攻击都与Web服务有关。Web服务所面临的更为关键的问题是XML消息以明文形式包含一系列压缩的数据，而敌手则有可能对这些数据感兴趣。SOAP 消息集中了许多事物数据，这使得他们在传输时变得更为重要。Web服务必须在标识和身份验证级别上集成基本的Web站点安全，此外，在Web服务和客户之间的交互作用中还添加其他级别的安全。需要应用安全的Web服务可分成3个领域：身份验证/授权、传输层和应用层安全。

(1) 身分验证/授权

与常规的 Web 站点一样，要是Web服务开始工作，首先必须通过特定的身份验证模式来表示用户。

(2) 传输层

当敏感的信息通过不安全的Internet传输时，传输层安全对 Web 服务至关重要。传输层安全的目标是确保事务独立于Web服务的编程，并预防黑客使用各种工具和方法访问数据，因为它位于Web 服务器和客户之间的Internet 管道中，我们可以使用各种方法，包括IPSec、防火墙，以及限制对已知IP的访问，从而在管道的端点实现传输层安全。在数据通过管道时我们可以使用SSL和其他方式来保护传输层。

(3) 应用层

应用层安全在Web服务身份验证以及XML事务单个部分的验证中扮演了关键性的角色。由于Web服务在本质上具有事务性，您肯定希望获取用户的标识，并在事务处理的过程中重新执行验证和标识。我们可以使用PKI构架，对照数字证书和签名验证消息的各个部分。

Web 服务如何才能使用公钥体系结构所提供的服务呢？有以下几个要研究的方面：

(1) 客户证书

当前大多数的Web服务都要求（或者至少接受）客户端证书以进行用户身份验证。在Web服务中使用客户证书的实例有，控制对某个提供银行信息的应用程序的访问。在此方案中PKI必须要可以用来颁发、维护和取消用户证书。如果驻留服务的服务器使用了SSL，则该PKI还必须要能够维护服务器证书。

(2) 集成PKI的应用程序

在此，SSL被概括地称为内部资源——Web服务在本质上未意识到SSL，并且仅当添加服务器证书时才能由它受益。PKI提供了在Web服务应用程序中实现集成的安全构架的可能性，它将数字证书和数字签名结合使用，从而能够提供身份验证、标识和消息的完整性。

举例来说，某个Web服务可能被设计为能够接受以数字方式签署的工资单。假如所需的数据库能够随同代理程序一起安装，则应用程序的客户端代理可能会配置为能够使用数字签名算法。更新为这样的应用程序可能会使代理程序所用的算法被替换，尽管在进行客户端部署时复杂性的增加是Web服务努力想要减轻负面影响。

在某些平台上，证书被存储在系统配置文件中某个安全的位置，并且只有在登记时才被复制到本地用户的目录结构。在其它情况下不可获得。与此相反的是，有些系统可能将所有的证书都在本地存储。

(3) 内部和委托PKI

企业在创建公钥体系结构时有两种方式可选。第一种是创建一个完全内部的体系结构，证书将只是在公司内部进行管理。另一种是将功能委托给现有的外部PKI提供者以进行密钥和证书的管理。每种方式都有其优缺点：后者的成本可能较低，因为它基于已经执行该方式的公司，所以早已拥有在处理时所必需的服务器、结构以及过程。对外部的PKI解决方案来说，可能的缺点在于密钥撤销和到期所带来的问题，以及公司可能会被来自同一公司其他客户的类似请求所迷惑的危险。除此之外，我们还必须考虑以下事项：公司所提供的密钥和证书应该仅限于公司内部，还是应该广泛地为公司以外拥有此类标识的人所拥有——这样将使公/私钥对被泄露或者证书撤销滞后的风险变得更大。

2、访问控制技术

自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问。自主是指主体能够自主地(也可能是间接的)将访问权或访问权的某个子集授予其它主体。为实现完备的自主访问控制，由访问控制矩阵提供的信息必须以某种形式保存在系统中。访问控制矩阵中的每行表示一个主体，每列则表示一个受保护的客体。

DAC的基本思想是基于访问者身份或访问者所属工作组进行权限的控制。信息资源的拥有者可以自主的将对该资源的访问权限授予其他用户以及回收这些权限(Owner controlled)，系统中一般利用访问控制矩阵来实现对访问者的权限控制，因为存取矩阵一般都是稀疏矩阵，浪费存储空间，在实际应用中，通常采取另外一种存取控制列表的方式来实现，如对系统中每一项资源，分别列出对它具有操作权限的主体;或者对每一个用户，分别列出他拥有操作权限的客体。

DAC的自主性对用户提供了灵活易用的数据访问方式，但同时带来的是安全性较低。自主访问控制能够通过授权机制有效地控制其他用户对敏感数据的存取。这种方法能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问(利用访问的传递性，即A可访问B，B可访问C，于是A可访问C)。由于用户对数据的存取权限是“自主”的，用户可以自由地决定将数据的访问权限授予何人、决定是否也将“授权”的权限授予别人，而系统对此无法控制。在这种授权机制下，就可能存在数据的“无意泄漏”。

本文归纳了安全Web的特点，就Web服务和PKI的关系进行了说明。最后通过对访问控制技术探讨，介绍了强制访问控制，希望对Web的安全访问控制技术起到一定的参考作用。

参考文献：

[1]王婷,陈性元等. 基于GAA-API的Web网页细粒度访问控制方法研究[J].计算机应用,2010，27(5)：1274-1276.

网络安全访问控制技术 篇4

关键词：网络,访问控制,技术,角色,任务

随着信息时代的推进,信息系统安全问题逐渐凸显。计算机网络运行中,不仅要考虑抵御外界攻击,还要注重系统内部防范,防止涉密信息的泄漏。作为防止信息系统内部遭到威胁的技术手段之一,利用访问控制技术可以避免非法用户侵入,防止外界对系统内部资源的恶意访问和使用,保障共享信息的安全。目前普遍使用的访问控制策略主要有强制访问控制策略,自主访问控制策略,基于角色的访问控制策略以及基于任务的访问控制策略等。

一、访问控制技术的相关概念

在访问控制系统中一般包括3个要素:

1.主体:发出访问操作的主动方,一般指用户或发出访问请求的智能体如程序、进程、服务等。

2.客体:接受访问的对象,包括所有受访问控制机制保护的系统资源,如操作系统中的内存、文件,数据库中的记录,网络中的页面或服务等。

3.访问控制策略:主体对客体访问能力和操作行为的约束条件,定义了主体对客体实施的具体行为以及客体对主体的条件约束。

二、访问控制技术的分类

(一)自主访问控制

自主访问控制DAC的主要特征体现在允许主体对访问控制施加特定限制,也就是可将权限授予或收回于其他主体,其基础模型是访问控制矩阵模型,访问控制的粒度是单个用户。目前应用较多的是基于列客体的访问控制列表,简称ACL,其优点在于简易直观。但在遇到规模相对较大、需求较为复杂的网络任务时,管理员工作量增长较为明显,风险也会随之增大。

(二)强制访问控制

强制访问控制MAC中的主体被系统强制服从于事先制订的访问控制策略,并将所有信息定位保密级别,每个用户获得相应签证,通过梯度安全标签实现单向信息流通模式。MAC安全体系中,可以将通过授权进行访问控制的技术应用于数据库信息管理,或者网络操作系统的信息管理。

(三)基于角色的访问控制

基于角色的访问控制RBAC是指在应用环境中,通过对合法的访问者进行角色认证,来确定其访问权限,简化了授权管理过程。RBAC的基本思想是在用户和访问权限之间引入了角色的概念,使其与权限关联,利用角色的稳定性而对用户与权限关系的易变性作出补偿,并可以涵盖在一个组织内执行某个事务所需权限的集合,可根据事务变化实现角色权限的增删。

(四)基于任务的访问控制

基于任务的访问控制TBAC是一种新型的访问控制和授权管理模式,较为适合多点访问控制的分布式计算和信息处理活动以及决策制定系统。TBAC从基于任务的角度来实现访问控制,能有效解决提前授权问题,并将动态授权联系给用户、角色和任务,保证最小特权权责。

三、高校网络防护策略

校园网络安全是一项较为复杂的系统工程,不仅局域网之间的互动非常频繁,并且内网与外网的信息交换量巨大,在访问控制上要严格把关,保护内网信息和资源。可包括以下防护策略:

(一)使用ACL访问控制列表技术,通过限制网络流量、限制上网时间、防止网络病毒以及限制访问的网站等措施限制学生滥用网络,从而加强校园网的安全。

(二)在计算机及其联网之间设置防火墙,用来加强访问控制,防止非法用户通过外网进入内网并访问资源,保护内部网络的操作环境。防火墙技术主要作用于网络入口处,用来监测网络通信功能。

(三)身份验证和存取控制共同使用,主要包括对人员限制、数据标识、权限控制、类型控制等。两者结合起来,分别将不同的的操作权限赋予不同身份的合法用户,来实现不同安全级别的信息分级管理。

(四)内容审计技术是对访问控制技术的补充和辅助,包括对邮件往来的审计、WEB网页的审计、TELNET的审计、FTP审计和即时聊天工具审计等。

四、结语

访问控制技术就是通过不同的手段和策略实现网络上的访问控制,保证网络资源不被非法使用和访问。随着网络信息保密与加密技术水平的提高,在计算机系统入口采取访问控制的办法,鉴别访问的用户及系统并授权用户处理范围,以及在系统信息的完整性方面采取加密办法的访问控制技术越来越引起人们的重视,访问控制服务在网络安全体系结构中也逐渐占据不可替代的地位。H

参考文献

[1]刘兆平.访问控制技术实现与展望[J].才智, 2010(4).

[2]张昀.基于角色的访问控制模型N-RBAC[J].软件导刊,2010(1).

[3]吴开超,沈志宏,周园春,阎保平.信息系统访问控制的层次模型[J].计算机工程与设计,2009(1).

[4]胡燕妮,黄铂.浅析数据库访问控制技术[J].武汉生物工程学院学报,2009(1).

访问控制总结报告 篇5

访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准（Trusted Computer System Evaluation Criteria，TCSEC，即橘皮书），已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计，需要满足以下的要求：计算机系统必须设置一种定义清晰明确的安全授权策略；对每个客体设置一个访问标签，以标示其安全级别；主体访问客体前，必须经过严格的身份认证；审计信息必须独立保存，以使与安全相关的动作能够追踪到责任人。从上面可以看出来，访问控制常常与授权、身份鉴别和认证、审计相关联。

设计访问控制系统时，首先要考虑三个基本元素：访问控制策略、访问控制模型以及访问控制机制。其中，访问控制策略是定义如何管理访问控制，在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行，访问控制机制有很多种，各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名，组名以及用户所属的角色等，或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问，访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境，提供一个概念性的框架结构。

目前人们提出的访问控制方式包括：自主性访问控制、强访问控制、基于角色的访问控制等。

2.访问控制方式分类

2.1 自主访问控制

美国国防部(Department of Defense，DoD)在1985年公布的“可信计算机系统评估标准(trusted computer system evaluation criteria，TCSEC)”中明确提出了访问控制在计算机安全系统中的重要作用，并指出一般的访问控制机制有两种：自主访问控制和强制访问控制。自主访问控制(DAC)根据访问请求者的身份以及规定谁能（或不能）在什么资源进行什么操作的访问规则来进行访问控制，即根据主体的标识或主体所属的组对主体访问客体的过程进行限制。在DAC系统中，访问权限的授予可以进行传递，即主体可以自主地将其拥有的对客体的访问权限（全部或部分地）授予其它主体。DAC根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。在DAC系统中，由于DAC可以将访问权限进行传递，对于被传递出去的访问权限，一般很难进行控制。比如，当某个进程获得了信息之后，该信息的流动过程就不再处于控制之中，就是说如果A可访问B，B可访问C，则A就可访问C，这就导致主体对客体的间接访问无法控制（典型如操作系统中文件系统）。这就造成资源管理分散，授权管理困难；用户间的关系不能在系统中体现出来；信息容易泄漏，无法抵御特洛伊木马的攻击；系统开销巨大，效率低下的缺点，不适合大型网络应用环境。2.2 强访问控制

强制访问控制(MAC)根据中央权威所确定的强制性规则来进行访问控制。和DAC不同，强制访问控制并不具备访问主体自主性，主体必须在由中央权威制定的策略规则约束下对系统资源进行访问。强制访问控制是一种不允许主体干涉的访问控制类型，是基于安全标识和信息分级等信息敏感性的访问控制。在MAC中，系统安全管理员强制分配给每个主/客体一个安全属性，强制访问控制根据安全属性来决定主体是否能访问客体。安全属性具有强制性，不能随意更改。

MAC最早出现在美国军方的安全体制中，并且被美国军方沿用至今。在MAC方案中，每个目标由安全标签分级，每个对象给予分级列表的权限。分级列表指定哪种类型的分级目标对象是可以访问的。典型安全策略就是“read-down”和“write-up”，指定对象权限低的可以对目标进行读操作，权限高的就可以对目标进行写操作。MAC通过基于格的非循环单向信息流政策来防止信息的扩散，抵御特洛伊木马对系统保密性的攻击。系统中，每个主体都被授予一个安全证书，而每个客体被指定为一定的敏感级别。MAC的两个关键规则是：不向上读和不向下写，即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。MAC实现一般采用安全标签机制，由于安全标签的数量是非常有限的，因此在授权管理上体现为粒度很粗。但是由于MAC本身的严格性，授权管理方式上显得刻板，不灵活。如果主体和权限的数量庞大，授权管理的工作量非常大。在MAC中，允许的访问控制完全是根据主体和客体的安全级别决定。其中主体（用户、进程）的安全级别是由系统安全管理员赋予用户，而客体的安全级别则由系统根据创建它们的用户的安全级别决定。因此，强制访问控制的管理策略是比较简单的，只有安全管理员能够改变主体和客体的安全级别。MAC应用领域也比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域；虽然MAC增强了机密性，但完整性实施不够，它重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。

2.3 基于角色访问控制

随着网络技术的迅速发展，对访问控制提出了更高的要求，传统的访问控制技术(DAC,MAC)已经很难满足这些需求，于是提出了新型的基于角色的访问控制(RBAC)。RBAC有效地克服了传统访问控制技术的不足，降低授权管理的复杂度，降低管理成本，提高系统安全性，成为近几年访问控制领域的研究热点。

最早使用RBAC这个术语，是在1992年Ferraiolo和Kuhn发表的文章中。提出了RBAC中的大部分术语，如，角色激活(Role Activation)，角色继承(Role Hierarchy)，角色分配时的约束(Constraints)等等。因为RBAC借鉴了较为人们熟知的用户组、权限组和职责分离(Separation of Duty)等概念，而且，以角色为中心的权限管理更为符合公司和企业的实际管理方式。Ferraiolo和Sandhu等人分别在1994年后提出了有关RBAC模型的早期形式化定义，其中，Sandhu等人定义了RBAC模型的一个比较完整的框架，即RBAC96模型。RBAC1和RBAC2都建立在RBAC0之上，RBAC1给出了角色继承的概念，RBAC2增加了约束的概念。在扩展研究中，RBAC管理方面，研究者试图采用RBAC本身来管理RBAC，于是，出现ARBAC97模型及其扩展，这些模型让管理角色及其权限独立于常规角色及其权限。第二是RBAC功能方面。研究者通过扩展RBAC的约束来增强它的表达能力，以适应不同情况下的权限管理。最初的约束是用来实现权责分离，后来又出现了其他的约束，如，约束角色的用户数目，增加了时间约束的TRBAC模型，增加了权限使用次数的UCRBAC模型，带有使用范围的灵活约束，采用形式化的语言来描述RBAC的约束，如RCL2000语言、对象约束语言(OCL, Object Constraint Language)和其他语言等。第三，是讨论RBAC与其他访问控制模型的关系。第四是RBAC在各个领域的应用。美国国家标准与技术研究院(The National Institute of Standards and Technology，NIST)制定的标准RBAC模型由4个部件模型组成，这4个部件模型包括RBAC的核心(Core RBAC)，RBAC的继承(Hierarchal RBAC)，RBAC的约束(Constraint RBAC)中的静态职权分离(SSD)和动态职权分离(DSD)两个责任分离部件模型。

RBAC的核心思想就是将访问权限与角色相联系，通过给用户分配合适的角色，让用户与访问权限相联系。角色是根据企业内为完成各种不同的任务需要而设置的，根据用户在企业中的职权和责任来设定它们的角色。用户可以在角色间进行转换，系统可以添加、删除角色，还可以对角色的权限进行添加、删除。这样通过应用RBAC将安全性放在一个接近组织结构的自然层面上进行管理。在DAC和MAC系统中，访问权限都是直接授予用户，而系统中的用户数量众多，且经常变动,这就增加了授权管理的复杂性。RBAC弥补了这方面的不足，简化了各种环境下的授权管理。RBAC模型引入了角色(role)这一中介，实现了用户(user)与访问许可权(permission)的逻辑分离。在RBAC系统模型中，用户是动态变化的，用户与特定的一个或多个角色相联系，担任一定的角色。角色是与特定工作岗位相关的一个权限集，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消。用户可以根据自己的需要动态激活自己拥有的角色。与用户变化相比，角色变化比较稳定。系统将访问权限分配给角色，当用户权限发生变化时，只需要执行角色的撤消和重新分配即可。另外，通过角色继承的方法可以充分利用原来定义的角色，使得各个角色之间的逻辑关系清晰可见，同时又避免了重复工作，减小了出错几率。2.4 基于上下文的访问控制

CBAC是在RBAC研究的基础上产生的。CBAC是把请求人所处的上下文环境作为访问控制的依据。基于上下文的访问控制，可以识别上下文，同时，其策略管理能够根据上下文的变化，来实现动态的自适应。一般地，基于上下文的访问控制利用了语义技术，以此实现上下文和策略的更高层次的描述和推理。

2.5 基于任务的访问控制

随着数据库、网络和分布式计算的发展，组织任务进一步自动化，与服务相关的信息进一步计算机化，为了解决随着任务的执行而进行动态授权的安全保护问题，提出了基于任务的访问控制(Task-based Access Control，TBAC)模型。TBAC是从应用和企业层角度来解决安全问题（而非从系统角度）。TBAC采用“面向服务”的观点，从任务的角度，建立安全模型和实现安全机制，依据任务和任务状态的不同，在任务处理的过程中提供动态实时的安全管理。TBAC模型包括工作流(Work flow, Wf)，授权结构体(Authorization unit, Au)，受托人集(Trustee-Set, T)，许可集(Permissions, P)四部分。其中，Wf是由一系列Au组成；Au之间存在{顺序依赖，失败依赖，分权依赖，代理依赖}的关系。在TBAC中，授权需用五元组(S,O,P,L,AS)来表示。

(1)S表示主体，O表示客体，P表示许可，L表示生命期(lifecycle)；

(2)AS表示授权步(Authorization step)，是指在一个工作流程中对处理对象（如办公流程中的原文档）的一次处理过程。授权步由受托人集(trustee-set)和多个许可集(permissions set)组成，其中，受托人集是可被授予执行授权步的用户的集合，许可集则是受托集的成员被授予授权步时拥有的访问许可。

(3)P是授权步AS所激活的权限，L则是授权步AS的存活期限。

L和AS是TBAC不同于其他访问控制模型的显著特点。在授权步AS被触发之前，它的保护态是无效的，其中包含的许可不可使用。当授权步AS被触发时，它的委托执行者开始拥有执行者许可集中的权限，同时它的生命期开始倒记时。在生命期期间，五元组(S,O,P,L,AS)有效。当生命期终止，即授权步AS被定为无效时，五元组(S,O,P,L,AS)无效，委托执行者所拥有的权限被回收。通过授权步的动态权限管理，TBAC可以支持最小权限和职责分离原则。

TBAC是一种主动安全模型，在这种模型中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化。TBAC是从工作流的环境来考虑信息安全问题。在工作流环境中，每一步对数据的处理都与以前的处理相关，相应的访问控制也是这样，因此，TBAC是一种上下文相关的访问控制模型。TBAC不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例(instance)实行不同的访问控制策略，所以，TBAC又是一种基于实例的访问控制模型。在TBAC中，用户对于授予的权限的使用具有时效性的。TBAC比较适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策指定。T-RBAC模型把任务和角色置于同等重要的地位，它们是两个独立而又相互关联的重要概念。任务是RBAC和TBAC能结合的基础。

2.6 基于属性的访问控制

在开放环境下(如互联网)不同的客户端和服务器频繁交互，这些交互方有时处于不同的安全域之内，相互只能知道对方部分信息。传统的基于身份的访问控制(IBAC)已不能适用于这种环境，基于属性的访问控制(ABAC)能够很好地适应这种开放的网络环境。

基于属性的访问控制模型(ABAC)是根据参与决策的相关实体的属性来进行授权决策的。ABAC中的基本元素包括请求者，被访问资源，访问方法和条件，这些元素统一使用属性来描述，各个元素所关联的属性可以根据系统需要定义。属性概念将访问控制中对所有元素的描述统一起来，同时摆脱了基于身份的限制。在ABAC中，策略中的访问者是通过访问者属性来描述，同样，被访问资源、访问方法也是通过资源和方法的属性来描述，而条件用环境属性来描述。环境属性通常是一类不属于主体，资源和方法的动态属性，如访问时间，历史信息等。条件有时也会用来描述不同类型属主具有的属性之间的关系，如访问者的某一属性与资源的某一属性之间的关系。ABAC是否允许一个主体访问资源是根据请求者、被访问资源以及当前上下文环境的相关属性来决定的。这使得ABAC具有足够的灵活性和可扩展性，同时使得安全的匿名访问成为可能，这在大型分布式环境下是十分重要的[931。XACML集中体现了CBAC和ABAC的思想，利用上下文中包含的请求方的属性信息，与事前制定的策略进行匹配，来进行访问控制决策和授权。2.7 基于信誉的访问控制

1996年，M.Blaze等人为了解决Internet网络服务的安全问题，首次提出了“信任管理(Trust Management)”的概念，其基本思想是承认开放系统中安全信息的不完整性，提出系统的安全决策需要附加的安全信息。与此同时，A.Adul-Rahman等学者则从信任的概念出发，对信任内容和信任程度进行划分，并从信任的主观性入手给出信任的数学模型用于信任评估。长期以来，信任管理技术演化发展为两个分支：基于凭证和策略的理性信任模型和基于信誉的感性信任模型。针对网格应用具体环境，这两种模型各有优缺点。对于理性信任模型而言，由于在广域网格环境下缺乏公共认可的权威机构，凭证并不完全可靠，也并不一定能通行无阻；而且完全依靠认证中心，弱化了个体的自我信任，而盲目信任大范围内的认证中心，往往会无法解决个体间的利益冲突。在基于信誉的感性信任模型中，也存在着很多问题：存在着评价空白时“信”与“不信”的临界两难状态；对恶意行为的免疫力不强，譬如对恶意推荐缺乏行之有效的过滤方法，对策略型欺骗行为缺乏有效的识别和抑制；对评价反馈行为缺乏激励，从而容易导致系统中信誉证据的不足；缺乏对多种上下文环境下的信誉评估进行综合集成的能力等。传统的访问控制实际上是基于信任管理中的理性信任模型。

基于信誉的访问控制，基于信任管理的感性信任模型，是将访问请求方的信誉度作为衡量是否授权的标准的访问控制技术，是一种比较新的访问控制技术。基于信誉的访问控制的核心目标是为了更好的实现预期收益，同时应对授权行为带给服务提供方的不确定性、脆弱性和风险性问题。其根据请求方的当前及历史状态，评估其信誉，并设置信任阈值是达到上述目标的有效手段。此外，基于信誉的访问控制可以实现提供方的其他目标：

1、根据必须满足的信任条件将权限分级。不同的权限对于实现提供方预期收益是不同的，所以不同的权限所要求的信任条件也是不同的；

2、利用信誉度对请求方进行筛选，选择合适的请求方进行授权，以尽可能的实现提供方的预期收益。目前该类访问控制的研究主要涉及以下问题：(1)信誉的表述和度量；(2)由经验推荐所引起的信誉度推导和综合计算。(3)信任阈值的动态衍生等。

3.总结

网络安全访问控制技术 篇6

【摘要】社交网络能够为人们提供交友、购物、游戏等多种服务，是一种自动化、智能化水平较高的信息平台，可以保存人们的各类信息，因此需要采用样儿的访问控制模式，保障人们信息的安全性，进一步改善人们使用社交网络的体验，具有重要的作用。本文详细地分析了社交网络应用发展现状，描述了一种基于博弈论的社交网络访问控制方法，以便提高社交安全性，改善社交服务水平。

【关键词】博弈论；社交网络；访问控制；SNS

1、引言

随着移动通信、光纤通信、云计算、多媒体等技术的快速发展，有效促进了社交网络平台的普及和应用，已经诞生了QQ、微信、微博、BBS、Twitter、Facebook等社交网络平台，这些社交服务采用了SNS模式，可以为人们提供交友、购物、学习等多种服务，扩大了人们生活交际的渠道和平台，进一步改善人们的生活质量和水平[1]。社交网络发展过程中，访问控制一直是人们研究的重点，论文基于笔者多年的研究，详细地分析了社交网络应用发展过程，探讨了基于博弈论的社交网络访问控制应用设计功能，构建完善的用户信任机制、损益机制和病毒防御机制，能够提高社交网络访问控制能力和成效。

2、社交网络应用分析

随着Web2.0的诞生，人们社交服务采用的SNS平台已经得到了广泛应用，其以人为本，具有真实化、个性化、互动性等多种特征，目前已经诞生了多种SNS网站，比如LinkedIn、微博、BBS等[2]。具体的社交网络应用发展包括以下几个方面：

（1）高校型SNS平台。高校SNS平台发展起步较早，一直走在社交网络的前言，目前常用的高校社交网络平台为人人网、BBS、Facebook等，扩展了高校学生交友、学习、就业渠道，丰富高校学生的精神文化生活，

（2）商务型SNS平台。商务交往是企业发展的重要途径，商务活动是企业推广产品、市场营销的重要任务，构建商务型SNS平台，可以为企业构建商务圈，为企业发展提供合作交流、洽谈渠道，目前最为常用的商务SNS平台为LinkedIn，该平台拥有将近7500万家企业入住，涉及电商、旅游、工业、农业等多个领域。

目前，随着SNS服务平台引入更加先进的推广技术，社交网络在各个领域如雨后春笋，诞生了饭否、美团、占座等多个平台，覆盖了人们工作、生活和学习的各个领域，促进了人们生活信息化、便捷化，具有重要的作用和意义。

3、博弈论在社交网络访问控制中的应用设计

3.1构建完善的用户信任机制

目前，许多网络构建信任机制常用的方法是根据网络节点操作记录，判定使用主体可信度[3]。社交网络用户信任可以利用博弈论的网络节点信任数值计算方法，确定用户的信任度，计算过程中利用的数据包括用户注册时间、发帖数量和朋友圈人数等，具体的计算方法如下：

（1）用户驱动方法。用户驱动方法可以根据自己的社会关系、朋友圈确定用户信任度，比如用户和朋友圈的许多人都拥有一个共同好友，则该好友的可信度就判定为较高，比较符合用户的实际情况，具有较高的灵活性。

（2）机器驱动方法。机器驱动方法可以通过SNS平台的发现机制、推荐机制进行执行，平台可以搜集用户的详细信息，利用用户的浏览记录、消费记录等行为，统计计算用户的信任值，可以迅速、客观、简单地分类用户，具有自动推荐等特点。

（3）混合驱动方法。混合驱动方法在集成用户驱动、机器驱动等方法的优点，自动计算和确定用户信任度，为用户推荐朋友圈，并且通过用户判定之后方可建立信任机制，提高了信任可识别性，具有重要的作用。

3.2构建用户损益机制

社交网络用户损益是通过朋友圈人数进行确定的，朋友圈人数越多，收益越大，朋友圈人数越少，损失就越大。但是，用户朋友越多，个人信息和隐私泄露的概率就变大，为用户信息带来了较大的风险。构建用户损益机制，可以防止网络欺骗，鼓励用户之间真诚交流。基于博弈论的用户损益机制包括欺骗与非欺骗服务、诚实与拒绝服务等博弈策略。如果用户认为来访人员带来的损失超过收益，存在欺骗訪问行为，可以通过网络将举报信息发送至服务器或管理员处，通过监管对访问人员进行惩罚；当系统认为收益超过损失，判定为诚实访问，将其列入到用户的朋友圈，扩展用户的朋友圈人数，提升用户收益。基于博弈论的用户损益机制可以较为准确地识别欺骗访问、诚实访问，强化欺骗访问的处罚力度，促使用户不能使用社交网络实施欺骗行为，减少欺骗用户数量，提高诚实访问用户数量，促进社交网络能够健康运行和发展。

3.3构建网络病毒防御机制

随着社交网络服务平台的普及，其在为人们带来高质量、信息化生活的同时，也为人们带来了潜在的安全威胁，造成人们的信息丢失，进而钱财、生命安全受到侵害，严重的损害了社交网络正常运行和发展。基于博弈论的网络病毒防御机制可以将用户进行分类，分别是合法用户、攻击威胁用户，这两种用户属于非合作性质的博弈，一方的损失必然伴随一方的获利，是一种非零和的博弈，两者之间的损失和收益是不对等的，并且博弈策略偏向维护合法用户，也就是收益时对合法用户影响较大，损失时对攻击威胁用户影响较大，这种策略可以阻止网络攻击，降低病毒对社交网络合法用户的侵害，具有重要的作用和意义。

4、结束语

随着社交网络平台的快速诞生，社交网络保存了海量的用户信息，因此亟需提高访问控制管理水平，以便保证用户信息的安全性。论文基于博弈论设计了一种访问控制方法，可以构建用户信任机制、损益机制和病毒防御机制，更加符合人们参与社交网络的应用背景，提高人们社交服务的信息化水平，具有重要的作用。

参考文献

[1]孟宪佳，马建峰，王一川，等.面向社交网络中多背景的信任评估模型[J].西安交通大学学报，2015，49（4）：73-77.

[2]陈庆丽，张志勇，向菲，等.面向多媒体社交网络的访问控制模型[J].西安电子科技大学学报：自然科学版，2014（6）：181-187.

[3]刘娜，叶春晓.线上社交网络访问控制模型综述[J].计算机系统应用，2014（5）：1-7.

作者简介

郝宗波，男，汉，19770528，籍贯四川，副高级，研究方向：社交网络、软件工程。

基金项目

网络安全访问控制技术 篇7

随着信息化进程的深入和互联网的迅速发展,网络安全问题也日渐突出,特别是对内联网中的各种应用和数据服务器安全造成严重威胁,如何有效地保障服务器的数据和信息安全一直是大家探讨和研究的问题。一般意义上,网络安全是指信息安全和控制安全两部分,国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”,信息安全的技术主要包括监控、扫描、检测、加密、认证、防攻击、防病毒以及审计等几个方面,其中数据传输加密技术和数据加密算法已有了大量的研究;控制安全则指身份认证、不可否认性、授权和访问控制。下面针对内联网的特点,以某高校内联网为模型在网络层面上对服务器的安全访问控制进行相关技术探讨。

2 内联网安全控制技术

在大多数企业、机关、院校都拥有一个半封闭或全封闭的、管理集中的可控网络,它和因特网不一样,它可以存放大量敏感的、秘密的、甚至具有极高的军事、政治、商业价值的信息。如何较好地保障内联网的安全就显得尤为重要,主要采用以下几种技术手段来加以实现。

(1)在内联网和因特网之间设立防火墙,使内联网和因特网相互隔离。防火墙是一道控制进出企业内联网的双方向通信门槛,它可以阻止因特网中的黑客访问或攻击某机构的内联网。防火墙有包过滤防火墙,应用层网关(代理)防火墙等不同种类。防火墙安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。

(2)为了防止非法用户的侵人,可在Intranet内部采用识别认证和访问控制技术(防火墙就是内网和外网之间的访问控制技术),内网的访问控制经常采用人网控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器的安全控制、网络检测和锁定控制、网络端口及节点的安全控制等技术。

(3)为了防止网络中进行数据交换时出现否认、抵赖事件,需采用数字签名技术和公正仲裁机构。

(4)为了保证系统存储数据不被非法窃取和泄露,可采用存储加密技术。

(5)为了防止信息在信道上被截获或泄露,可采用传输加密技术。

(6)为了防止敌手在信道对数据流量进行分析,可以采取业务流量填充技术。

(7)为了便于事故发生后追查责任和查找网络安全漏洞,还应当采用严格审计制度和技术。此外,为了防止病毒对系统的侵蚀破坏,一方面要严格管理人网软件,另一方面网上要具有病毒测试和清除的软件技术。

3 外网与内网之间安全性访问控制

如图1所示,外网与内网之间安全性的控制和管理由三个主要设备来完成,即核心交换机(CISCO4507)、防火墙(Juniper ISG 1000)和路由器(H3C6608)。

在实际应用中,可能希望某些内部的主机可以访问外部网络,而某些主机不允许访问,即当NAT网关查看数据报报头内容时,如果发现源IP地址属于禁止访问外部网络的内部主机,它将不进行NAT转换,即对地址转换进行控制。

设备可以通过定义地址池来实现多对多地址转换,同时利用访问控制列表来对地址转换进行控制。

(1)利用访问控制列表限制地址转换:可以有效地控制地址转换的使用范围,只有满足访问控制列表条件的数据报文才可以进行地址转换。

(2)地址池:用于地址转换的一些连续的公有IP地址的集合。用户应根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,配置恰当的地址池。地址转换的过程中,NAT网关将会从地址池中挑选一个地址做为转换后的源地址。

NAPT(Network Address Port Translation,网络地址端口转换)是NAT的一种变形,它允许多个内部地址映射到同一个公有地址上,也可称之为“多对一地址转换”或“地址复用”。

NAPT同时映射IP地址和端口号:来自不同内部地址的数据报的目的地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址,也就是“私有地址+端口”与“公有地址+端口”之间的转换。

在测试系统中,由于有富余的外网地址,为了有效地增强各网段对外网的访问能力,分别对各内网段作了独立的NAT转换,还可实现对部分内网段实行流量控制,其实现的部分配置策略如下:

通过配置防火墙的安全策略,实现内外网的访问控制和入侵检测。面向对象ACL(Access Control List,访问控制列表)用来在安全域之间实现流识别功能。一对源安全域和目的安全域之间维护一个面向对象ACL,面向对象ACL中可以配置一系列的匹配规则,以识别出特定的报文,然后根据预先设定的操作允许或禁止该报文通过。

面向对象ACL通过引用对象管理中的地址组对象和服务组对象,来根据报文的源IP地址、目的IP地址、IP承载的协议类型和协议的特性(例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码)等信息制定匹配规则。每条规则还可以通过引用对象管理中的时间段对象,来指定这条规则在该时间段定义的时间范围内有效。

4 各网段与服务器之间的安全性访问控制

根据图1中网络模型,为了确保各类服务器的安全,可以将重要的数据服务器和各类应用服务器分网段管理,再配合相应的访问控制技术从网络层面上限制其访问的有效性和合法性。现以具体的机型为例进行分析,VLAN划分主要由汇聚层H3C5510来实现的,而核心三层交换机C4507实现数据的高速转发,具体划分如下。

(1)汇聚层1的VLAN划分

VLAN 11:IP地址段(192.165.1.0/24)

VLAN 12:IP地址段(192.165.2.0/24)

(2)汇聚层2的VLAN划分

VLAN 21:IP地址段(192.165.3.0/24)

VLAN 22:IP地址段(192.165.4.0/24)

(3)汇聚层3的VLAN划分

VLAN 31:IP地址段(192.165.5.0/24)各种管理机网段

VLAN 32:IP地址段(192.165.6.0/24)应用服务器网段

VLAN 33:IP地址段(192.165.7.0/24)数据库服务器网段

VLAN划分的配置过程不详述了,下面主要介绍一下各网段的安全访问控制策略,其控制策略主要集中在汇聚层3上实现。首先假设数据库服务器网段连接在汇聚层3的G1/0/1端口,应用服务器网段连接在汇聚层3的G1/0/2端口,管理机网段连接在汇聚层3的G1/0/3端口,其具体配置如下:

(1)只允许应用服务器网段和管理机网段访问数据库服务器网段

(2)各个学生机房相应网段不允许互访

以汇聚层1的交换机为例,假设192.165.1.0网段接口交换机G1/0/1端口,控制此网段访问其他学生机房网段。其实现如下:

访策略拒绝了192.165.1.0网段访问192.165.2.0、192.165.3.0和192.165.4.0三个网段,其他网段的相互拒绝策略类似。

(3)屏蔽常见病毒及木马端口的控制策略

该策略的实现主要是通过在三层汇聚层交换机的所有端口进行相应的控制策略配置。以三层汇聚层1的G1/0/1端口为例:

通过以上访问控制技术可以从内联网的网络层面上保障了各种数据库和应用服务器的安全访问问题,最大程度地减少来自内网和外网对服务器的攻击,确保了服务器数据的安全访问。

参考文献

[1]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2009.

[2]张丽娜.无线局域网面临的安全问题及防范措施[J].大理学院学报,2009,(4).

[3]刘建炜.基于网络层次结构安全的校园网络安全防护体系解决方案[J].教育探究,2010(1).

[4]陶宇清.访问控制列表在校园网络安全中的应用[J].电脑知识与技术,2011,(33).

Linux访问控制安全测评 篇8

关键词：信息安全,访问控制,安全测试

1.Linux安全测评的背景与意义

随着计算机与网络技术的普及应用,信息安全已经成为关系到国家安全的关键因素。在计算机系统安全中,操作系统安全是整个计算机信息系统安全的基石[1]。如果不经过安全测评,操作系统的安全性就得不到保障。随着我国基于Linux的国产操作系统研发的不断发展,研究Linux操作系统安全测评技术己成为迫切的需求,可以有效地保障国产操作系统应用地质量,从而更好地推动国产操作系统产业的发展。

操作系统安全测评涉及到安全操作系统、安全等级评估、评估标准等多方面内容。目前国内在Linux操作系统安全测评领域的研究还处在逐步发展的阶段,在操作系统安全等级评估方面已经取得了一定的成果,制定出了一系列等级评估相关标准。

随着操作系统在计算机系统安全中的重要作用越来越引起人们的重视,如何测评操作系统安全性成为一个重要的课题。信息安全国际通用标准CCCommon Criteria for IT Security Evaluation)提出了安全系统通常应该具备的安全功能,并进行了分类,其中,访问控制是系统安全的第一道防护手段[2]。因此,本文将从访问控制功能这个操作系统中最重要的安全机制出发,对Linux访问控制及其测试进行研究。

2.Linux安全测评的基础和标准

为了对Linux操作系统的安全性进行统一的评价,为Linux操作系统产品厂商提供权威的系统安全性标准,需要有相应的安全测评标准来支持。目前,国际上信息安全评估标准的制定已经取得了长足的发展[3][4][5]。

美国国防部于1983年推出了历史上第一个计算机系统安全评测准则TCSEC(Trusted Computer System Evaluation Criteria),又称桔皮书,从而带动了国际上计算机系统安全评测的研究。为了方便安全信息系统的统一评价,德国、英国、加拿大、西欧等纷纷制定了各自的计算机系统安全评价标准,其中较为著名的有ITSEC(Information Technology Security Evaluation Criteria)、CC(Common Criteria for IT Security Evaluation)。我国在借鉴、吸收TCSEC和CC等基础上制定了相应的国家标准GB/T18336-2001和GB/T20008-2005等标准。

基于相关安全需求,TCSEC在用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通路建立、安全检测、生命周期保障、文档撰写等方面均提出了规范性要求,并根据所采用的安全策略及系统所具备的安全功能设定四类(A~D)及七个安全级别,从低到高依次为D、C1、C2、B1、B2、B3、A1,各级别描述由满足安全策略、审计和保证的主要控制目标及文档要求共四部分组成。

我国的GB17859-1999《计算机信息系统安全保护等级划分准则》把计算机信息系统的安全保护能力划分为五级,从低到高依次为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级,相关要求分别对应TCSEC的C1级、C2级、B1级、B2级和B3级,并稍作调整。

信息技术安全评价通用准则CC基于欧洲ITSEC、美国TCSEC、加拿大CTCPEC及ISO SC27 WG3安全评价标准而形成,是目前最全面的信息技术安全评估标准。它们提出了保护轮廓的概念,将评估内容划分为安全功能要求和安全保证要求两个方面,并均按照类、族、组件的层次结构分别展开描述。CC提供和定义了七个逐步增强的评估保证等级EAL1~7,依次为功能测试级、结构测试级、系统测试检查级、系统设计测试复查级、半形式化设计测试级、半形式化验证设计测试级和形式化验证设计测试级。各评估保证等级结构上由评估保证等级名称、目标、适用性说明和一组保证组件以及相应保证组件间的所有依赖关系构成。

3.Linux系统的访问控制机制分析

访问控制是操作系统安全机制的主要内容,主要用来规范和控制系统内部主体对客体的访问操作[6][7][8]。

定义1主体(Subject)是指系统中能够发起行为的实体,比如,人、进程和设备等。

定义2客体(object)是指系统中被动的主体行为承担者,比如,文件、目录、管道、消息,以及存储页和存储段等。

定义3存取访问控制(Access Control)是规范和控制各类主体(用户、本地进程或远程进程等)访问本系统中客体的决策与实施过程。

访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用。它决定用户能做什么,也决定代表一定用户身份的进程能做什么。其中主体可以是某个用户,也可以是用户启动的进程和服务。因此,访问控制需要完成以下两种任务:

1)识别和确认访问系统的用户;

2)决定该用户可以对某一系统资源进行何种类型的访问。

现有的Linux的存取访问控制方式主要采用自主访问控制(Discretionary Access Control,DAC)和强制访控制(Mandatory Access Control,MAC)两种。

定义4自主访问控制是指客体(比如程序、文件或进程等)的拥有者可以任意的修改或授予此客体相应的权限。

定义5强制访问控制是基于更高的安全要求考虑,不由客体的所有者任意分配客体权限,而是事先按照一定的安全策略统一配置。

Linux支持UGO(User、Group、Other)和ACL(Access control List)权限管理方式,它们都属于自主访问控制方式,UGO将权限位信息存储在节点的权限中,ACL将权限位信息存储在节点的扩展属性中。

3.1 UGO访问控制管理机制

UGO访问控制机制是Linux文件系统传统的访问控制方式,它通过在文件和目录上都设置权限位,用来控制用户对文件或目录的访问。

在UGO访问控制方式中,一个文件创建后,它具有读、写和执行三种操作方式。UGO权限管理方式将文件的操作者分为文件所有者、同组用户和其他用户三类。文件所有者是指创建文件的用户,他是文件的拥有者,他可以设置用户的读、写和执行权限,也就是说他是访问控制权限的决定者。文件建立时默认的用户组是文件所有者所在的用户组,但文件所有者可以对该用户组进行修改,该组中的所有用户都是文件的同组用户。

UGO访问控制方式将文件的权限用三组3位的二进制位描述,即9位二进制数,并且在最前面加上一位作为文件的类型标志。每类用户占3位,读、写、执行权限各用1位描述,具有权限时,该位就设置为1。读、写、执行权限分别用r、w、x三个字符表示,如表2所示。

3.2基于ACL的自主访问控制机制

ACL实现用户权限管理,它对UGO权限管理方式进行了扩展,可以对任意的用户/组分配读、写和执行操作权限。ACL基于IEEE POSIX 1003.le标准,EXT2、EXT3、EXT4、JFS、XFS和Reiser FS等文件系统都支持ACL。

ACL的优先级高于UGO的优先级,当ACL的权限设置大于UGO时,mask就是UGO权限中的同组用户的最高权限,而ACL的有效权限则是和mask取权限的交集,从而限制了ACL对UGO权限的超越。但文件的所有者可以通过修改mask值来消除这种限制。在测试时,为了保证ACL访问控制不受限于UGO访问控制,应得将mask值设为rwx。ACL中单个用户权限的优先权高于同组用户权限,也就是说如果在ACL中设置了某个用户的权限,又设置了这个用户所在组的用户权限,则这个用户的权限与他所在组的用户权限无关。

4.Linux访问控制测试

4.1测试流程

对Linux操作系统的访问控制机制实现测试自动化,首先要分析该机制提供的安全功能,然后设计相关的测试用例,构建测试环境,执行测试,最后对测试结果进行分析,如图1所示。

分析Linux访问控制机制的安全功能需求主要是确定从哪些方面测试这些安全功能,这一步可参考测评标准中的相关安全功能组件中的具体描述来确定。本文主要参考了信息技术安全评价通用准则CC中规定的自主访问控制的安全功能组件的内容。

4.2.测试用例设计

在Linux操作系统中,UGO是最基本的访问控制管理方式,ACL是建立在UGO权限管理方式基础上的可选的机制。本节将先对不开启ACL机制时的UGO权限管理方式进行测试,然后在对ACL机制进行测试,后者也就是测试这两种安全机制都工作时是否满足安全功能需求。

根据CC标准中安全功能组件,访问控制安全测试应该分为访问控制权授予测试和访问控制实施测试两类。由于UGO权限管理方式在特殊权限位开启和关闭时安全功能不同,所以将对UGO的测试分为开启特殊权限位测试和不开启特殊权限位的测试,如图2所示。

(1)UGO访问控制安全测试

为了保证将所有的安全功能都覆盖到,应该先对该访问方式的类型进行分类。UGO将权限按用户分类,用户分为文件所有者、同组用户、其他用户三类,所以必须保证每一类中至少有一个用户,才能通过这类用户的行为判定安全功能是否实现。例如,当一个文件的所有者为Userl,所在的组为Groupl时,User2是这个文件的同组用户,User3是这个文件的其他用户。这就保证了文件所有者、同组用户、其他用户三类分别有不同的用户,如表3所示。

UGO权限中的特殊权限位SUID,SGID和Sticky开启和关闭时,访问控制功能是不同的。接下来我们分别在在特殊权限位关闭和开启情况下,对这两种测试进行测试数据准备和测试用例的描述。

没有开启特殊权限位UGO访问控制授予测试的文件准备比较简单,只需要一个所以者为Userl,用户组为Group1,权限为rwxrwxrwx的文件“Test ugo_change”,测试用例如表4所示。

开启权限位后对UGO访问控制授予测试,要验证这三个位对文件权限的授予没有影响,测试用例如表5所示。

(2)ACL访问控制机制的测试设计

在ACL机制中权限的分配是以单个用户和单个用户组为单位的。测试用例要检查ACL机制对文件所有者、组用户和其他用户和用户组能否指定的访问权限是否正确实施。为了不受ACL的影响我们将mask都设为rwx权限。ACL访问控制权授予测试用例如表6所示。其中Test_acl_changel文件的所有者为Userl,用户组为Group1,权限是rwxrwxrwx,ACL权限为用户Userl、User2、User3用户有rwx权限,组Userl有rwx权限。

5.结束语

访问控制机制是操作系统最为关键的安全支撑机制,同时由于国内自主研发的操作系统大多基于开源的Linux系统内核,所以本文以Linux系统的访问控制机制为切入点,对操作系统安全测试进行了探索和讨论。

开展Linux操作系统安全测评的研究,目的是对操作系统的安全指标进行评估,为信息系统的安全及国产操作系统产品的开发和选购提供理论和技术指导,最终为信息系统的安全、实用奠定基础。为了进一步推动国产操作系统的发展,在注重操作系统质量的同时,要重点关注操作系统的安全性。

参考文献

[1]陆幼骊,张红旗.操作系统安全测评系统设计[J],信息安全与通信保密,2005,8:94-97.

[2]牛妍萍,吕述望.Linux文件访问控制及其自动化测试,信息安全与通信保密,2006,9:165-166.

[3]左晓栋.信息安全产品与系统的测评与标准研究[D],北京:中国科学院研究生院,2002.

[4]马妙霞.基于Linux的强制访问控制机制及其安全测试自动化的研究[D].北京:北京交通大学,2007.

[5]陈晨.操作系统安全测评及安全测试自动化的研究[D],北京:北京交通大学,2008.

[6]牛晗晖.Linux系统调用及其安全测试自动化的研究[D],北京:北京交通大学,2009.

[7]李耀东.Linux操作系统存取访问控制机制的研究[D],北京:北京交通大学,2008年.

访问控制技术的研究与应用 篇9

随着信息化程度的提高, 信息系统的安全问题突显出其重要性。对于信息系统的安全不仅要考虑其抵御外界攻击的能力, 更要考虑防止系统涉密信息的泄漏等系统内部防范措施。“访问控制”作为防止信息系统内部威胁的主要技术手段之一。利用访问控制技术可以避免对系统资源的非法访问和使用, 防止非法用户侵入或合法用户的不慎操作对系统造成破坏, 加强共享信息的保护, 是提高信息系统安全的重要环节。目前普遍使用的访问控制策略主要有强制访问控制策略, 自主访问控制侧列, 基于角色的访问控制策略等。

二、访问控制技术

1、访问控制的概念和功能

访问控制是对系统资源使用的限制, 决定访问主体 (用户, 进程, 服务等) 是否被授权对客体 (文件, 系统等) 执行某种操作。只有经授权的访问主体, 才允许访问特定的系统资源。访问控制包含以下三方面含义, 一是机密性控制, 保证数据资源不被非法读出;二是完整性控制, 保证数据资源不被非法增加, 改写, 删除和生成;三是有效性控制, 保证资源不被非法访问主体使用和破坏。访问控制系统中有三个基本要素:主体, 客体以及规定主体访问客体的规则。访问控制过程中所要依据的高层规则通常被称为访问控制策略。

2、多级安全与访问控制

随着计算机网络特别是Internet的发展, 多级安全的分布式应用成为一研究重点。由于分布式应用的安全最终通过对用户之间消息的加密来完成, 所以加密传递的消息还得满足相应的存取控制策略, 从而需要相应的密钥管理技术。在多级安全系统中, 所有信息都有一个密级, 每个用户也都相应地有一签证。安全策略要求, 为了合法地得到某一信息, 用户的安全级必须大于或等于该信息的安全级别, 并且该信息属于用户的信息访问类别。随着网络技术的发展, 信息资源的共享已很普遍, 在多用计算环境下如何管理信息资源显得愈来愈重要, 多级安全体系中通过授权进行访问控制的技术可以直接应用于数据库中及操作系统中的信息管理。

3、基于角色的访问控制技术

传统的DAC和MAC访问控制机制已不能完全满足目前增长的应用业务的安全需求, 为此, 信息安全学术界进行了许多研究, 现在你就得最多, 思想最成熟的就是基于角色的访问控制。这种访问控制技术被认为是替代传统DAC和MAC的理想候选。基于角色的访问控制RBAC (Role-Based Access Control) 是近年来影响很大的不局限于特定策略的访问控制策略描述方法, 它的基本思想是在用户与权限之间引入角色的概念, 利用角色来实现用户和权限的逻辑隔离, 角色实际上式ACL的载体。在RBAC中, 角色是安全控制策略的核心, 它可以根据实际的工作需要生成或取消, 而且登录到系统中的用户可以根据自己的需要通过绘画动态激活自己拥有的角色, 避免了用户无意中危害系统安全。除此之外, 角色之间, 许可权之间, 角色和许可权之间定义了一些关系, 比如角色间的层次性关系, 而且也可以按需要定义各种约束 (constraints) 。

角色是建议策略的语义单元, 是授权的集合, 是可以完成一定事务的命名组, 一个组织或任务中的工作或者位置, 它代表了一种资格, 权利和责任。角色既是用户的集合也是权限的集合。权限是针对计算机系统中的数据或者用数据表示的其他资源进行访问的许可。它允许用户在系统内执行权限许可范围内的操作。实体表示一个计算机资源或一个合法用户。

三、扩展式基于角色的访问控制的研究

尽管传统RBAC模型是目前大型的企业信息系统中比较理想的访问控制模型, 但随着企业规模的日益扩大以及系统用户的持续增长, 原有模型在实际运行中还是暴露出一些问题和不足。这些问题一方面增长了系统潜在的风险及风险传播的可能性, 而另一方面无限地提高了RBAC模型自身管理, 维护的难度。针对RBAC模型应用在大型企业级系统中存在的不足, 提出了一种扩展式基于角色的访问控制模型ERBAC (Extended Role-Based Access Control) 。

ERBAC模型在RBAC模型的基础上增加用户-权限分配, 引入私有权限标记的概念, 实现主体的会话角色集合的动态调整, 提供更完整更具体的规则的形式化描述及行为定义。在企业规模不断扩大的背景下, 该模型与RBAC模型相比不仅实现了主体会话角色集合的动态调整, 而且更加灵活, 更适用于用户数量大, 权限分配粒度要求较高的复杂大型系统应用。

四、结束语

网络安全访问控制技术 篇10

本文首先给出一个企业网安全访问控制工作情境,以实现该工作任务为主线,以Packet Tracer仿真软件为实现平台,设计整个教学过程,包括ACL工作原理及配置,应用标准和扩展ACL的具体应用。

2 任务导入

公司有四个部门,分别是技术部、销售部、财务部、经理部,组建网络如图所示,为了安全起见,公司领导要求:

1)技术部、销售部不能对财部进行访问,但经理部可以访问财务部。

2)要求FTP服务器供公司内网员工专用,外网用户不可使用。

3 任务分析

要完成该工作任务,首先应网络基本配置,实现网络联通,在此基础上配置ACL,实现网络访问控制。

4 任务实现

4.1 ACl简介

ACL是一个路由器配置脚本,根据分组报头中的条件控制路由器允许还是拒绝分组。

ACL分为两大类,标准ACL和扩展ACL,标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议。扩展AACCLL以源IIPP地址、目的IIPP地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议。

4.2 网络配置

1)定义ACL

标准ACL:Router(config)#

access-list access-list-number{permit|deny}{source[sourcewildcard]}

扩展ACL:Router(config)#access-list<100-199>{permit|de ny}protocol source source-wildcard–mask destination destina tion-wildcard–mask[operator operand]

标准访问列表的创建根据“动作”+“源地址”,即允许谁,拒绝谁的方法来创建。

2)将访问控制列表应用到某一接口上

Router(config-if)#ip access-group access-list-number{in|out}

4.3 任务实现

用仿真软件模拟完成网络配置,路由器IP地址配置:

4.4 网络测试

没有配置ACL之前,所有主机都可以互相ping通,外网主机可以登录内网ftp,配置ACL之后,只有经理部主机可以访问财务部主机,技术部、销售部都无法访问,外网主机无法访问内网ftp服务器,内网主机可以,说明任务完成。

5 结束语

Packet Tracer是思科公司开发一款模拟软件,能比较真实的模拟计算机网络中的网络配置。本文利用Packet Tracer软件可以仿真现实中的网络工程项目,本次教学设计,首先引入工作情境,以该工作任务实现展开教学,包括ACL工作原理、配置与测试。通过该项目的学习,提高了学生自主学习能力及动手实践能力,加深了学生对网络基本概念和基础理论知识的理解。

参考文献

[1]思科网络学院教程:网络基础知识[M].中国思科网络学院,译.人民邮电出版社,2009.

[2]思科网络学院教程:路由协议[M].中国思科网络学院,译.人民邮电出版社,2009.

[3]梁广民,王隆杰.思科网络实验室CCNA实验指南[M].电子工业出版社,2009.

[4]刘金成、刘桂阳、于成江.基于Packet Tracer的NAT实验教学[J].实验室研究与探索,2014(4):200-202.

基于SDT安全访问控制的方法 篇11

第16届SACMAT会议论文征集结果表明,当前访问控制技术的核心思想仍然是对传统DAC,MAC,RBAC思想的扩展,通过建立授权管理子系统来管理权限,大多都是从权限管理的角度进行描述[2]。而文中基于SDT(Software Dynamic Translation软件动态翻译,)思想,提出了一套结合软件动态翻译器进行访问控制的方法。并借助软件动态翻译开源平台Strata[3],实现了访问控制的机制。不同于传统的访问控制思想,它的侧重点在于动态执行中对系统资源的访问控制。

1 SDT思想

动态二进制翻译(SDT Software Dynamic Translation)技术,是一种即时编译技术,它将针对源体系结构编译生成的二进制代码动态翻译为可以在目的体系结构上运行的代码[4],如图1所示。

软件动态翻译器作为一个软件层,位于操作系统之上,应用程序二进制之下,来控制程序的执行。通过插入、修改可执行代码等方式来动态控制程序的执行过程从而影响程序的执行状态,动态收集正在执行程序的信息来决定怎样控制程序的执行[5]。

软件动态翻译系统的功能模块有系统初始化模块、运行时调度模块、缓存管理模块、虚拟CPU模块、虚拟环境模块等[6,7]。总体框图如图2所示。

系统初始化模块负责完成对系统环境参数等初始化的过程,完成后将控制交给运行时调度模块;此模块负责对应用程序进行虚拟化,动态切片应用程序,动态收集正在执行程序的信息,选择合适的片进行执行,对调度过程进行优化等;选定要执行的片段后,调用缓存管理模块,此模块进行片段缓存的建立以及片段的维护等;建立好缓存后,将要执行的片段放入缓存,然后请求虚拟CPU模块,对当前片段进行标准硬件的模拟过程,即“取指”、“译码”、“翻译”、“执行”;对整个应用程序进行同样的操作后,请求虚拟环境模块,对上下文环境进行保存,转换到真实的机器上进行操作。此外,虚拟环境模块还完成中断、I/O操作及存储器地址映像与存储保护等功能。

2 基于SDT思想的访问控制方法

SDT可以控制和动态修改正在执行的程序从而提供对于不可信的二进制代码可以强制执行特定用户安全策略的机制[8]。SDT访问控制方法的基本思想是:通过软件动态翻译器将不可信二进制代码的执行过程跟系统资源隔离,不可信二进制代码只能通过软件动态翻译器来执行,在动态执行过程中,由SDT控制将用户设定的安全策略强制加入可执行代码中,从而软件动态翻译器便通过安全策略来控制应用程序对系统资源的访问。

(1)使用安全加载器加载不可信的二进制文件。安全加载器定位应用程序的入口点并且在此处插入对软件动态翻译器启动进程的调用。

(2)软件动态翻译器建立一张系统调用表来监视指定的系统调用以及对应的返回函数,并且动态加载二进制代码。

(3)软件动态翻译器动态切片执行不可信二进制文件,具体为:调用系统初始化模块进行系统初始化,运行时调度模块对应用程序进行切片,缓存管理模块进行片段缓存的建立和片段维护,虚拟CPU模块进行标准硬件的执行过程。翻译函数检查应用程序代码并定位操作系统调用。

(4)在系统调用定位时,要对每一次系统调用进行监视。具体为:对每一个系统调用地址,软件动态翻译器检查此系统调用是否是被监视之一。多数情况下,在运行时刻,软件动态翻译器可以决定要被调用的系统调用,在这种情况下,如果操作系统调用是被监视的一个,那么执行操作系统调用的代码被替换成用户指定安全策略代码;若不是,则不会采取翻译行为,操作系统调用代码直接被复制到片段缓存。有一些情况,翻译阶段不能决定操作系统调用是否被调用,这种情况下,软件动态翻译器必须在片段被执行时,产生并插入一些进行检测的代码,检测是否被调用的操作系统调用是监视之一,如果是,调用合适的用户提供的安全策略代码,否则,操作系统调用被执行。

3 基于Strata访问控制的实现

采用Strata作为实验平台。利用其本身提供的安全虚拟可执行环境、可扩展接口来实现文中提出的访问控制方法。安全策略的编写采用C语言。即在一个安全的虚拟可执行环境中,通过软件动态翻译器虚拟化可执行应用程序并注入安全策略相结合来实现访问控制。

3.1 Strata平台简介

目前几种比较有影响的软件动态翻译系统有,Intel公司的IA-32 Execution Layer,IBM公司的DAISY,Transmeta的CMS及HP的Dynamo[4]等。这些系统对软件动态翻译系统关键技术有不同的实现。因此这些系统都有比较特定的应用场景[6]。而由Pittsburgh大学和Virginia大学的研究人员,在开发CoCo项目[9]过程中开发的软件动态翻译平台——Strata,是一个满足可扩展性和可移植性的通用平台。Strata被组织成虚拟机的形式,位于可执行代码之下,操作系统之上的软件层,可以动态控制和修改可执行代码,此外,通常有一个对应的代码缓存来保存修改后的可执行代码,程序修改后便在代码缓存中直接执行[10]。

Strata虚拟机通过“取指-译码-翻译-执行”来模拟标准的硬件行为。取指是从内存中装载指令块;译码是分析指令并判断该将其分派到哪个对应的翻译器;翻译是当指令块被写入FC$时对其进行一些修改;执行发生在控制权被返回给FC$中的二进制代码时,由主机CPU执行。例如,可执行文件program.exe,通过Strata平台动态翻译执行的过程,即Strata虚拟化应用程序的过程[11],如图3所示。

3.2 安全虚拟可执行环境

安全虚拟可执行环境(SVE)能减少主机系统运行一个不可靠程序的风险。SVE限制恶意代码对系统资源的访问,从而使主机有能力控制何种个人资源可以被使用。当前的SVE都只是针对特定的应用,缺少一个统一构架。而Strata可以提供一种可扩展、可移植的SVE系统构架[12]。

Strata提供的SVE类似于沙箱技术,经典沙箱系统的实现途径一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。但Strata的设计重点不在于SVE环境本身,而在于它提供通用的SVE。

3.3 可扩展接口

Strata的接口支持扩展,其接口及对应功能如表1所示[11,12,13]。

其中,一部分完成对应用程序指令的读和翻译,其余的完成上下文管理(capture,exec),指令缓存管理(flush),低层内存管理(alloc,alloc_exec),片段缓存客户化(begin_fragment,end_fragment,emit),低层链接(patch)以及初始客户化(init)等功能。

3.4 注入安全策略

采用Strata开发团队设计的安全API,通过编写安全策略,将其注入到不可靠可执行文件中。安全API允许使用者指定需要监视哪些系统调用并且执行的安全策略代码。Strata安全API包括4个函数[3]:

第一个函数在初始进入Strata时被调用,第一个函数实现里调用了第二个API函数watch_syscall(),它指明了要去监视的系统调用和当被监视的系统call被调用时执行哪些安全策略,参数callback用来匹配要进行监视的系统调用。最后两个API函数用来界定安全策略代码。

实现访问控制的关键代码如下:

init_syscall()函数指明sys_open系统调用应当被监视,当sys_open被应用程序调用时,转向执行安全策略代码myopen,myopen打开路径,并调用makepath_absolute()函数将路径转换成绝对路径,再跟/etc/passwd进行比较,如果一样,则报错并中断,如果不一样,安全策略代码执行sys_open,再返回对应结果,就如正常执行效果一样。

图4是通过Strata向用户可执行文件注入安全策略示意图。

本方法中,安全策略的书写是语言和编译器无关的,因为最后要进行执行的安全策略是编译之后的二进制代码,这也是本方法的优势之一。为方便读者阅读,实验采用C语言书写安全策略。此外,此方法是在二进制代码运行阶段来定义和强制执行安全策略代码,这种动态控制的方法更加安全。此外,SDT访问控制方法与传统访问控制最大的区别就是:可以让用户自主完成安全策略,进而达到访问控制的效果。这样的方法,不仅易于实现,更加面向用户化,并且动态保护过程更加安全。

4 结束语