翻译:中国科学技术大学信息安全专业老师 你怎样认证用户? 什么是访问控制判决的基础? 为了回答这两个问题,可以有三种选择。用户认证和特殊访问控制可以基于 用户身份 用户操作来源的网络地址 用户正在使用的分布式服务,即访问操作 Unⅸx在像印或者 telnet远程访问服务中采取了第一种选择。fp程序在两个Unⅸ系统 之间传输文件。 telnet程序创建一个远程的虚拟终端。这两种程序都提示用户输入用户名和 口令。 rlogin程序的工作过程类似于 telnet;它自动传送当前用户的用户名,仅仅提示用户 输入口令。在所有这三种情况下,可以使用正常的Unⅸx访问控制,但是网络通信引入了新 的脆弱性。在这一章,我们将讨论一些更加有效的认证方案 如果访问控制的决策是基于用户身份的,那么用户的身份和访问权限是怎样联系在一起 传播呢?在Unix环境下,你必须决定对于用户(比如,root)的特权可以做什么,以及来 自远程结点的程序(例如,一个SUID程序)的特权和所有权可以做什么?在多级安全的情 况下,你可能发现在分布式系统的结点之间,这些标签方案表示的意思是不相同的。因此橙 皮书( Orange book)和红皮书( Red book)给出了在结点之间数据传输的策略,这将维护 安全标签的不同粒度( granularities) 在有些糟糕的情况下,分布式系统中的访问操作可能呈现出新的含义( meaning)。想象 如下一种情况,当你发送一个读远程服务器上数据的请求时,服务器将把数据写到连接到你 的系统的输出通道上。服务器应该用哪种访问规则,哪些用来读访问或者哪些用来写访问 你可以决定来自于系统中的某些结点的用户不必再次进行认证。在Unix中,你可以在 rhosts文件中详细说明这些可信任的主机。你也可以定义可信任用户,他们不必提供口令且 允许使用rsh(远程shel)命令。这些特点提供了一个非常简单的单站式签到( single sign on) 系统,但是它严酷地依赖于消息认证的质量和初始化时允许用户进入一个可信任域的主体认 证,如同8.7.1节示例说明的那样。在 Windows ni中,这种信任关系提供了一种更完善的 方式,它使得在可信任域中的用户可以访问信任域中的任何资源(见7.54节)。 10.1.2授权 在分布式系统中,受控调用照字面上的意义( literally,,字面上(简直))呈现出新的特性 ( dimension,尺寸(量纲,维数)。一个用户可以在本地结点登录,然后在远程结点上执行一 个程序。为了获得对远程结点上资源的访问,这个程序将需要相关的访问权限。在典型情况 下( typically,代表性地,作为特色地),程序将被赋予( endow)用户的访问权限,然后以 这个权限在远程结点上运行。这个过程称为授权( delegation,授权:代理)。 在远程结点上的程序,现在以用户授予的所有访问权限运行。在一个分布式系统中,用 户对于把他所有的权限给予到一个没有什么控制权的结点上,可能会感觉到不太舒服。如果 远程结点上存在弱保护,攻击者就可能攫取用户的访问权限,并且为了一些非法的目的使用 这些权限。因此,你可能更喜欢这样的系统,在系统中用户自己可以控制那种他们授予的权 限,责任机制能够用来鉴别访问权限的授权使用 对于流行的服务来说,你可以创建代理用户( proxy user)来处理远程服务请求。你首 先检査远程用户是否被授予了( entitle,给与权利(命名),(常与to连用)授权)运行这种服 务的权限,然后让代理执行请求的动作,且用代理自己的权限而不是远程用户授予的权限运 10.1.3安全执行 第2页共16页 创建时间:2002/223152100翻译：中国科学技术大学信息安全专业老师 第 2 页 共 16 页 创建时间：2002/12/23 15:21:00 ·你怎样认证用户？ ·什么是访问控制判决的基础？ 为了回答这两个问题，可以有三种选择。用户认证和特殊访问控制可以基于： ·用户身份； ·用户操作来源的网络地址； ·用户正在使用的分布式服务，即访问操作。 Unix 在像 ftp 或者 telnet 远程访问服务中采取了第一种选择。ftp 程序在两个 Unix 系统 之间传输文件。telnet 程序创建一个远程的虚拟终端。这两种程序都提示用户输入用户名和 口令。rlogin 程序的工作过程类似于 telnet；它自动传送当前用户的用户名，仅仅提示用户 输入口令。在所有这三种情况下，可以使用正常的 Unix 访问控制，但是网络通信引入了新 的脆弱性。在这一章，我们将讨论一些更加有效的认证方案。 如果访问控制的决策是基于用户身份的，那么用户的身份和访问权限是怎样联系在一起 传播呢？在 Unix 环境下，你必须决定对于用户（比如，root）的特权可以做什么，以及来 自远程结点的程序（例如，一个 SUID 程序）的特权和所有权可以做什么？在多级安全的情 况下，你可能发现在分布式系统的结点之间，这些标签方案表示的意思是不相同的。因此橙 皮书（Orange Book）和红皮书（Red Book）给出了在结点之间数据传输的策略，这将维护 安全标签的不同粒度（granularities）。 在有些糟糕的情况下，分布式系统中的访问操作可能呈现出新的含义(meaning)。想象 如下一种情况，当你发送一个读远程服务器上数据的请求时，服务器将把数据写到连接到你 的系统的输出通道上。服务器应该用哪种访问规则，哪些用来读访问或者哪些用来写访问？ 你可以决定来自于系统中的某些结点的用户不必再次进行认证。在 Unix 中，你可以在 rhosts 文件中详细说明这些可信任的主机。你也可以定义可信任用户，他们不必提供口令且 允许使用 rsh（远程 shell）命令。这些特点提供了一个非常简单的单站式签到（single sign on） 系统，但是它严酷地依赖于消息认证的质量和初始化时允许用户进入一个可信任域的主体认 证，如同 8.7.1 节示例说明的那样。在 Windows NT 中，这种信任关系提供了一种更完善的 方式，它使得在可信任域中的用户可以访问信任域中的任何资源（见 7.5.4 节）。 10.1.2 授权 在分布式系统中，受控调用照字面上的意义（literally，字面上(简直)）呈现出新的特性 （dimension，尺寸(量纲,维数)）。一个用户可以在本地结点登录，然后在远程结点上执行一 个程序。为了获得对远程结点上资源的访问，这个程序将需要相关的访问权限。在典型情况 下（typically，代表性地, 作为特色地），程序将被赋予（endow）用户的访问权限，然后以 这个权限在远程结点上运行。这个过程称为授权（delegation，授权；代理）。 在远程结点上的程序，现在以用户授予的所有访问权限运行。在一个分布式系统中，用 户对于把他所有的权限给予到一个没有什么控制权的结点上，可能会感觉到不太舒服。如果 远程结点上存在弱保护，攻击者就可能攫取用户的访问权限，并且为了一些非法的目的使用 这些权限。因此，你可能更喜欢这样的系统，在系统中用户自己可以控制那种他们授予的权 限，责任机制能够用来鉴别访问权限的授权使用。 对于流行的服务来说，你可以创建代理用户（proxy user）来处理远程服务请求。你首 先检查远程用户是否被授予了（entitle，给与权利(命名)，（常与 to 连用）授权）运行这种服 务的权限，然后让代理执行请求的动作，且用代理自己的权限而不是远程用户授予的权限运 行。 10.1.3 安全执行