网络访问控制技术综述

网络访问控制技术综述

摘要：随着科学的不断进步，计算机技术在各个行业中的运用更加普遍。在计算机技术运用过程中信息安全问题越发重要，网络访问控制技术是保证信息安全的常用方式。本文介绍了研究网络访问控制技术的意义，主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。

关键字：信息安全网络访问控制技术

0．引言

近年来，计算机网络技术在全球范围内应用愈加广泛。计算机网络技术正在深入地渗透到社会的各个领域，并深刻地影响着整个社会。当今社会生活中，随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。在商业、金融和国防等领域的网络应用中，安全问题必须有效得到解决，否则会影响整个网络的发展。一般而言信息安全探讨的课题包括了:入侵检测(Intrusion Deteetion)、加密(Encryption)、认证(Authentieation)、访问控制(Aeeess Control)以及审核(Auditing)等等。作为五大服务之一的访问控制服务，在网络安全体系的结构中具有不可替代的作用。所谓访问控制(Access Control),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。网络访问控制技术是通过对访问主体的身份进行限制，对访问的对象进行保护，并且通过技术限制，禁止访问对象受到入侵和破坏。

1.研究访问控制技术的意义

全球互联网的建立以及信息技术飞快的发展，正式宣告了信息时代的到来。信息网络依然成为信息时代信息传播的神经中枢，网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空，而且还包括看不见、摸不着的网络空间。随着现代社会中交流的加强以及网络技术的发展，各个领域和部门间的协作日益增多。资源共享和信息互访的过程逐越来越多，人们对信息资源的安全问题也越发担忧。因此，如何保证网络中信息资源的安全共享与互相操作，已日益成为人们关注的重要问题。信息要获得更大范围的传播才会更能体现出它的价值，而更多更高效的利用信息是信息时代的主要特征，谁掌握的信息资源更多，就能更好的做出更正确的判断。是获得这些效果的更重要的前提是，信息是安全的，涉及到商业秘密或国家安全的重要信息会更加注重信息的安全性，否则宁愿牺牲信息的共享。所以我们要找到更好的保证信息安全的方法。访问控制是防止非法用户使用系统和合法用户越权使用系统的关键技术。传统访问控制模型有自主访问控制 DAC(Discretionary Access

Control)、强制访问控制MAC(Mandatory Access Control)和基于角色的访问控制RBAC(Role-based Access Control)。访问控制技术是保证信息安全的一项重要技术，发展的已经较为成熟，本文主要介绍当今主流的网络访问控制技术，为今后研究网络中信息传输的安全性进行铺垫。

2.访问控制技术研究现状简介

访问控制技术最早产生于上个世纪 60 年代，发展到现在访问控制技术的研究和应用己经获得了很多成果，建立了目前使用最为广泛的自主访问控制（Discretionary Access Control, DAC）、强制访问控制（Mandatory Access Control,MAC）、基于角色的访问控制（Role Based Access Control，RBAC）的模型，而且自主访问控制技术和强制访问控制技术已得到了较为普遍的应用。

自主访问控制技术是一种在多用户环境下常用的访问控制技术，最早出现20世纪 70 年代的分时系统中，在目前流行的 UNIX 操作系统中也被普遍应用，允许被授权用户以用户或用户组的身份访问由访问控制策略规定的资源，同时禁止非法用户访问资源。在传统的信息系统中，访问通常基于访问控制链表(Access Control List,ACL)，ACL 与授权系统结合成为一个整体，在允许和拒绝对资源的访问中扮演关键的作用。

强制访问控制技术的主要应用场景是在军事领域中，它是在 DAC 的基础上，增加了对网络中资源安全属性的划分，规定不同属性下主体所拥有的访问权限。MAC 是一种多级访问控制策略，系统事先给访问主体和受控资源分配不同的安全级别的属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，进而再决定访问主体能否访问该受控对象。

基于角色的访问控制技术的概念由 Ferraiolo 和 Kuhn 于 1992 年在美国国家标准技术局举办的计算机安全研讨会中通过一个名为“Role-Based Access Control”的论文中提出。这是 RBAC 系列文献中的第一篇以 RBAC 命名的文章。其后，美国乔治森大学的R.Sandhu 于 1996 年在 IEEE Computer 期刊上发表了 RBAC 的经典文献“Role-Based Access Control Models”，提出了 RBAC96 的著名模型，成为 RBAC 模型发展的基石。更进一步于 1997 年提出了一种分布式 RBAC 管理模型 ARBAC97，实现了在 RBAC 模型上的分布式管理。随后的 ARBAC99和 ARBAC02都进一步完善了 RBAC 的管理功能。RBAC 的主要特点是分配一个所谓的角色给用户或用户组。角色概念对应于系统中的岗位或者职位。由于角色是访问控制策略的核心，这样极大地简化了安全管理，特别适用于大规模的网络应用。

但是目前基于 DAC、MAC 和 RBAC 的访问控制系统大都以专有的方式实现访问控制和授权，不同的系统都维护各自的单独的一套访问控制策略，部署不同的访问控制技术。这样不仅需要付出高昂的成本来制定和维护这些策略，也不利于信息的交换和共享，且在一个系统中开发的访问控制系统在另一个系统中难以得到重用，更加难以实现本文中的多域跨网络的安全访问。

3.访问控制技术

访问控制系统是一个安全的信息系统中是不可或缺的组成部分，访问控制的目的在于拒绝非法用户的访问并对合法用户的操作行为进行规范。只有经授权的访问主体，才允许访问特定的系统资源。它包括用户能做什么和系统程序根据用户的行为应该怎么做两层含义。访问控制策略是一套限定如何使用受保护的资源的规则库。系统会根据访问控制策略来判定用户对资源的使用是否是合法的。从本质上讲，访问控制就是根据访问控制策略来限制用户对资源的访问的，使用户和资源之间有了一道“墙”，防止了用户对资源的无限制直接访问，任何用户对资源的访问都必须经过这道墙——访问控制系统，访问控制系统根据访问控制策略对访问者的访问请求进行仲裁，这样使得用户对资源采取的任何操作都会处于系统的监控范围内，从而保证系统资源的合法使用。当一个用户对某个资源提出访问请求时，访问控制仲裁就会对用户的请求作出响应，由用户 ID 或可区别的身份特征到安全策略库中查询与该用户相对应的安全策略，如果找到的安全策略允许该用户对特定资源提出的访问请求，则反馈给用户的响应为允许，否则拒绝。系统管理员可以根据用户的身份、职务等将各种权限通过配置安全策略数据库的形式授予不同的用户，这样就制定出适用于不同用户或资源的安全策略。一个正常的访问控制系统主要包含三个要素：访问主体、访问客体、访问策略。访问主体是指发出访问请求的发起者；访问客体是指被主体调用的程序或欲存取的数据，即必须进行控制的资源或目标；安全访问策略往往是指一套规则，被用来判定一个访问主体对所要访问的资源（客体）是否被允许。其中访问主体与访问客体是相对的，当一个访问主体受到另一个访问主体的访问时，该主体便成为了访问客体。

3．1自主访问控制

自主访问控制技术的内容是指主体能够对访问的权限进行自主设置。也就是说，能够赋予其他主体访问权限，也可以对访问权限进行收回。其执行的主体为单个。这样的好处是可以通过矩阵来实现主体客体的排列，虽然不需要将整个矩阵来进行保存，但通过行列来进行访问控制，因此能够让访问的操作更加有效率。而且，自主访问控制能够很直观地将访问客