网络访问控制技术综述

1、网络访问控制技术综述摘要：随着科学的不断进步，计算机技术在各个行业中的运用更加普遍。在计算 机技术运用过程中信息安全问题越发重要，网络访问控制技术是保证信息安全的 常用方式。本文介绍了研究网络访问控制技术的意义，主流的访问控制技术以及 在网络访问控制技术在网络安全中的应用。关键字：信息安全 网络访问 控制技术0.引言近年来，计算机网络技术在全球范围内应用愈加广泛。计算机网络技术正在深入地渗透 到社会的各个领域，并深刻地影响着整个社会。当今社会生活中，随着电子商务、电子政务 及网络的普及，信息安全变得越来越重要。在商业、金融和国防等领域的网络应用中，安全 问题必须有效得到解决，否则会影响整个网络

2、的发展。一般而言信息安全探讨的课题包括了： 入侵检测(Intrusion Detection)、加密(Encryption)、认证(Authentication)、访问控制 (Aeeess Control)以及审核(Auditing)等等。作为五大服务之一的访问控制服务，在网络安 全体系的结构中具有不可替代的作用。所谓访问控制(Access Control),即为判断使用者是 否有权限使用、或更动某一项资源，并防止非授权的使用者滥用资源。网络访问控制技术是 通过对访问主体的身份进行限制，对访问的对象进行保护，并且通过技术限制，禁止访问对 象受到入侵和破坏。研究访问控制技术的意义全球互联网的建立

3、以及信息技术飞快的发展，正式宣告了信息时代的到来。信息网络依 然成为信息时代信息传播的神经中枢，网络的诞生和大规模应用使一个国家的领域不仅包含 传统的领土、领海和领空，而且还包括看不见、摸不着的网络空间。随着现代社会中交流的 加强以及网络技术的发展，各个领域和部门间的协作日益增多。资源共享和信息互访的过程 逐越来越多，人们对信息资源的安全问题也越发担忧。因此，如何保证网络中信息资源的安 全共享与互相操作，已日益成为人们关注的重要问题。信息要获得更大范围的传播才会更能 体现出它的价值，而更多更高效的利用信息是信息时代的主要特征，谁掌握的信息资源更多， 就能更好的做出更正确的判断。是获得这些效果的

4、更重要的前提是，信息是安全的，涉及到 商业秘密或国家安全的重要信息会更加注重信息的安全性，否则宁愿牺牲信息的共享。所以 我们要找到更好的保证信息安全的方法。访问控制是防止非法用户使用系统和合法用户越权 使用系统的关键技术。传统访问控制模型有自主访问控制DAC(Discretionary AccessControl)、强制访问控制MAC(Mandatory Access Control)和基于角 色的访问控制 RBAC(Role-based Access Control)。访问控制技术是保证信息安全的一项重要技术，发展 的已经较为成熟，本文主要介绍当今主流的网络访问控制技术，为今后研究网络中信息

5、传输 的安全性进行铺垫。访问控制技术研究现状简介访问控制技术最早产生于上个世纪60年代，发展到现在访问控制技术的研究和应用己 经获得了很多成果，建立了目前使用最为广泛的自主访问控制(Discretionary Access Control, DAC)、强制访问控制(Mandatory Access Control,MAC)、基于角色的访问控制(Role Based Access Control， RBAC)的模型，而且自主访问控制技术和强制访问控制技术已得到 了较为普遍的应用。自主访问控制技术是一种在多用户环境下常用的访问控制技术，最早出现20世纪70 年代的分时系统中，在目前流行的UNIX操

6、作系统中也被普遍应用，允许被授权用户以用户 或用户组的身份访问由访问控制策略规定的资源，同时禁止非法用户访问资源。在传统的信 息系统中，访问通常基于访问控制链表(Access Control List,ACL)，ACL与授权系统结合 成为一个整体，在允许和拒绝对资源的访问中扮演关键的作用。强制访问控制技术的主要应用场景是在军事领域中，它是在DAC的基础上，增加了对 网络中资源安全属性的划分，规定不同属性下主体所拥有的访问权限oMAC是一种多级访问 控制策略，系统事先给访问主体和受控资源分配不同的安全级别的属性，在实施访问控制时， 系统先对访问主体和受控对象的安全级别属性进行比较，进而再决定访问

7、主体能否访问该受 控对象。基于角色的访问控制技术的概念由Ferraiolo和Kuhn于1992年在美国国家标准技 术局举办的计算机安全研讨会中通过一个名为“Role-Based Access Control”的论文中提 出。这是RBAC系列文献中的第一篇以RBAC命名的文章。其后，美国乔治森大学的 R.Sandhu 于 1996 年在 IEEE Computer 期刊上发表了 RBAC 的经典文献“ Role-Based Access Control Models”，提出了 RBAC96的著名模型，成为RBAC模型发展的基石。更进 一步于1997年提出了一种分布式RBAC管理模型ARBAC97

8、，实现了在RBAC模型上的分布 式管理。随后的ARBAC99和ARBAC02都进一步完善了 RBAC的管理功能RBAC的主要特点 是分配一个所谓的角色给用户或用户组。角色概念对应于系统中的岗位或者职位。由于角色 是访问控制策略的核心，这样极大地简化了安全管理，特别适用于大规模的网络应用。但是目前基于DAC、MAC和RBAC的访问控制系统大都以专有的方式实现访问控制和授 权，不同的系统都维护各自的单独的一套访问控制策略，部署不同的访问控制技术。这样不 仅需要付出高昂的成本来制定和维护这些策略，也不利于信息的交换和共享，且在一个系统 中开发的访问控制系统在另一个系统中难以得到重用，更加难以实现本文

9、中的多域跨网络的 安全访问。访问控制技术访问控制系统是一个安全的信息系统中是不可或缺的组成部分，访问控制的目的在于拒 绝非法用户的访问并对合法用户的操作行为进行规范。只有经授权的访问主体，才允许访问 特定的系统资源。它包括用户能做什么和系统程序根据用户的行为应该怎么做两层含义。访 问控制策略是一套限定如何使用受保护的资源的规则库。系统会根据访问控制策略来判定用 户对资源的使用是否是合法的。从本质上讲，访问控制就是根据访问控制策略来限制用户对 资源的访问的，使用户和资源之间有了一道“墙”，防止了用户对资源的无限制直接访问， 任何用户对资源的访问都必须经过这道墙一一访问控制系统，访问控制系统根据访

10、问控制策 略对访问者的访问请求进行仲裁，这样使得用户对资源采取的任何操作都会处于系统的监控 范围内，从而保证系统资源的合法使用。当一个用户对某个资源提出访问请求时，访问控制 仲裁就会对用户的请求作出响应，由用户ID或可区别的身份特征到安全策略库中查询与该 用户相对应的安全策略，如果找到的安全策略允许该用户对特定资源提出的访问请求，则反 馈给用户的响应为允许，否则拒绝。系统管理员可以根据用户的身份、职务等将各种权限通 过配置安全策略数据库的形式授予不同的用户，这样就制定出适用于不同用户或资源的安全 策略。一个正常的访问控制系统主要包含三个要素：访问主体、访问客体、访问策略。访问 主体是指发出访问

11、请求的发起者；访问客体是指被主体调用的程序或欲存取的数据，即必须 进行控制的资源或目标；安全访问策略往往是指一套规则，被用来判定一个访问主体对所要 访问的资源（客体）是否被允许。其中访问主体与访问客体是相对的，当一个访问主体受到 另一个访问主体的访问时，该主体便成为了访问客体。3. 1自主访问控制自主访问控制技术的内容是指主体能够对访问的权限进行自主设置。也就是说，能够赋 予其他主体访问权限，也可以对访问权限进行收回。其执行的主体为单个。这样的好处是可 以通过矩阵来实现主体客体的排列，虽然不需要将整个矩阵来进行保存，但通过行列来进行 访问控制，因此能够让访问的操作更加有效率。而且，自主访问控制

12、能够很直观地将访问客 体呈现出来，而且更加迅速的查到所需查询的内容。但同时也暴露出一定的弊端，就是这样 的联系方式让整个系统的结构显得更加复杂繁琐。大量的主体要进行访问的时候都需要进行 权限的关联。特别是在企业等比较复杂的网络结构中使用这项自主访问控制技术时，因为网 络中的信息不仅量大而且关系复杂，网络覆盖整个企业的各个部门，因此管理员不仅要负责 对主体的访问权限进行设置，也需要对信息进行管理和发布。不仅需要花费大量的人力和物 力，也对整个网络的安全性有一定程度的影响。尤其这样的企业往往网络结构复杂，规模大， 用户对网络的需求也各有不同，因此需要对这些方面进行注意。而且，在访问权限的设置上 还

13、有一定的问题。网络的所有信息都属于企业，但职员等所属的部门需要对这些信息进行访 问，这就存在着怎样让部门的职员能够访问自己领域所需要的信息，但其他部门的信息并不 对其进行公开。这就需要管理员在对其进行网络访问授权的时候进行限定，这项工作不仅繁 琐，也容易出错。3. 2强制访问控制强制访问控制是指主体按照系统事先的设置来进行访问。强制访问控制所涉及的信息中， 按照信息的保密度分了各种等级，用户则根据权限也有不同的签证。签证能够决定用户对某 一级别及其以下的等级信息进行访问，但不能够对级别以上的信息进行访问。这种访问控制 技术由于其自身的性质特点，多运用于军事系统中，但其明显的缺点在于，由于是按照

14、等级 制度进行访问，但在同级的信息没有能够得到明确的归类之分，因此，在同级间的访问没有 限制。3. 3基于角色访问控制随着对访问控制服务质量的要求不断提高，以上两种访问控制技术已经很难满足这些要 求DAC将一部分授予或回收访问权限的权力留给了用户，这样使得管理员很难确定到底哪 些用户对同一资源拥有权限，不利于实现统一的全局访问控制，并且很容易出现错误，也就 更无法实现细粒度访问控制和动态权限扩展。而MAC又过于偏重保密性，对其他方面如系 统连续工作能力、授权的可管理性考虑不足。二十世纪九十年代以来，随着信息系统规模的 扩大，系统用户的增加，角色的概念逐步形成并逐步产生了在信息系统中以角色概念为

15、中心 的访问控制模型。基于角色的访问控制是指用户获得的权限是由用户所在的用户组中的角色 来确定的，当系统中的用户被赋予一个角色时，该用户就具有这个角色所具有的所有访问权 限。用户首先经认证后获得一个角色，该角色被分派了一定的权限，用户以特定角色访问系 统资源，访问控制机制检查角色的权限，并决定是否允许访问。RBAC从控制主体的角度出 发，由整个系统管理中相对比较稳定的职责对角色进行划分，将访问控制权限授予与否与角 色用户联系，在这点上MAC和DAC是将权限直接授予相对应的用户，这是基于角色与它们 相区别的重要的一点。在RBAC中角色作为一个桥梁连接访问控制过程发生中的访问控制主 体和客体。用R

16、BAC与DAC和MAC相比较，可以看出RBAC是一种更有效的面向大型的信 息系统的访问控制方式，其更具方便性、灵活性和更可靠的安全性。研究人员越来越认识到 DAC和MAC已经不能够达到当前复杂的信息系统的安全性需求，而基于角色的访问控制理 论近些年来已经不断的完善，并已经逐渐取代了 DAC和MAC作为它们的替代访问控制策略。 3. 4基于任务的访问控制基于任务的访问控制TBAC(Task-Based Access Control TBAC)是一种新型的访问控 制和授权管理模式，是近年来才开始的一种访问控制技术，它非常适合多点访问控制的分布 式计算和信息处理活动以及决策制定系统。TBAC采取面向

17、任务，而不是传统的面向主体对 象访问控制方法。如果实现TBAC思想，权限体系的生成就会更及时，而且这些权限是执行 操作时所需的，这一点在包含事务和工作流的应用环境中尤其适用。TBAC方法还将使自我 管理的访问控制模型提升到更高程度，从而降低总体费用。TBAC模型现在还处于一种高度 抽象的概念层次，还没有具体化，离实用阶段还有一段距离。但它有很广的潜在应用性，从 对客户一一服务器交互这样精细活动实施访问控制，到对跨部门和组织边界的分布式应用和 工作流这样的粗单元实施访问控制都适用。TBAC访问控制涉及到与一定应用逻辑一致的任 务完成过程中不同点的授权，这一点在其他的主体对象访问控制方法中不能得到

18、满足。相比 之下，在传统访问控制中，访问控制决策制定太简单了，本质上与高层应用程序语义和要求 脱节TBAC从基于任务的角度来实现访问控制，能有效解决提前授权问题，是一种主动访 问控制模型。它给出了动态授权的概念。所谓动态授权，就是将授权不仅同用户、角色联系， 还同任务相关。当任务即将执行时，才对用户授权；当任务执行完就撤销用户的权限。这样 就可以保证权限只有在用户需要时才得到，满足最小特权原则TBAC在完成任务的过程中， 要监视权限的状态，按照进行中的任务状态确定权限是活动状态或非活动状态，因此它是积 极参与访问控制管理的。4访问控制技术在网络安全中的应用4.1入网访问控制入网访问控制为网络访

19、问提供了第一层访问控制。它控制着哪些用户能够登录到服务器 并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问 控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制 检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。4.2权限访问控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予 一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指 定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽可作为两种 实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录

20、、文件和设备。继承权 限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。4.3目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文 件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访 问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、 文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素：用户的 受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应 当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。4.4属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性 安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性 用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属 性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权 限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐 含文件、共享、系统属性等。4.5服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装