概述
訪問控制是一套身份驗證和權限管理機制,用于保證用戶是其所聲稱的身份,以及授予用戶訪問公司數據的恰當權限。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網絡準入控制系統的原理就是基于此技術之上。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。
訪問控制涉及到三個基本概念,即主體、客體和訪問授權。
主體:是一個主動的實體,它包括用戶、用戶組、終端、主機或一個應用,主體可以訪問客體。
客體:是一個被動的實體,對客體的訪問要受控。它可以是一個字節、字段、記錄、程序、文件,或者是一個處理器、存貯器、網絡接點等。
授權訪問:指主體訪問客體的允許,授權訪問對每一對主體和客體來說是給定的。例如,授權訪問有讀寫、執行,讀寫客體是直接進行的,而執行是搜索文件、執行文件。對用戶的訪問授權是由系統的安全策略決定的。
在—個訪問控制系統中,區别主體與客體很重要。首先由主體發起訪問客體的操作,該操作根據系統的授權或被允許或被拒絕。另外,主體與客體的關系是相對的,當一個主體受到另一主體的訪問,成為訪問目标時,該主體便成為了客體。
按用戶身份及其所歸屬的某預定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。
訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。
訪問控制的功能:防止非法的主體進入受保護的網絡資源、允許合法用戶訪問受保護的網絡資源、防止合法的用戶對受保護的網絡資源進行非授權的訪問。
常用技術
訪問控制包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
(1)入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪台工作站入網。用戶的入網訪問控制可分為三個步驟:用戶名的識别與驗證、用戶口令的識别與驗證、用戶賬号的缺省限制檢查。三道關卡中隻要任何一關未過,該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少于6個字符,口令字符最好是數字、字母和其他字符的混合,用戶口令必須經過加密。
用戶還可采用一次性用戶口令,也可用便攜式驗證器(如智能卡)來驗證用戶的身份。網絡管理員可以控制和限制普通用戶的賬号使用、訪問網絡的時間和方式。
(2)權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。
(3)目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、删除權限、修改權限、文件查找權限、訪問控制權限。用戶對文件或目标的有效權限取決于以下兩個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡管理員應當為用戶指定适當的訪問權限,這些訪問權限控制着用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
(4)屬性安全控制
網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先标出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表,描述用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、删除目錄或文件、查看目錄和文件、執行文件、隐含文件、共享、系統屬性等。
(5)服務器安全控制
網絡允許在服務器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和删除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制台,以防止非法用戶修改、删除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
訪問控制策略
(1)自主訪問控制(Discretionary Access Control,DAC)又稱為随意訪問控制。DAC是在确認主體身份及所屬組的基礎上,根據訪問者的身份和授權來決定訪問模式,對訪問進行限定的一種控制策略。所謂自主,是指具有被授予某種訪問權力的用戶能夠自己決定是否将訪問控制權限的一部分授予其他用戶或從其他用戶那裡收回他所授予的訪問權限。使用這種控制方法,用戶或應用可任意在系統中規定誰可以訪問它們的資源,這樣,用戶或用戶進程就可有選擇地與其他用戶共享資源。它是一種對單獨用戶執行訪問控制的過程和措施。
(2)強制訪問控制(Mandatory Access Control,MAC)強制訪問控制依據用戶和數據文件的安全級别來決定用戶是否有對該文件的訪問權限。在強制訪問控制中,每個用戶及文件都被賦予一定的安全級别,用戶不能改變自身或任何客體的安全級别,隻有系統管理員可以确定用戶和組的訪問權限。系統通過比較用戶和訪問的文件的安全級别來決定用戶是否可以訪問該文件。此外,強制訪問控制不允許一個進程生成共享文件,從而訪止進程通過共享文件将信息從一個進程傳到另一進程。但是強制訪問控制由于過于偏重保密性,對其他方面如系統連續工作能力、授權的可管理性等考慮不足,造成管理不便,靈活性差。
(3)基于角色的訪問控制(Ro1e-Based Access Control,RBAC)角色訪問策略是根據用戶在系統裡表現的活動性質而定的,角色是訪問權限的集合,用戶通過賦予不同的角色而獲得角色所擁有的訪問權限。角色訪問策略是一種有效而靈活的安全措施。通過定義模型各個部分,可以實現DAC和MAC所要求的控制策略。目前這方面的研究及應用還處在實驗探索階段。
