文档介绍：第三部分分布式系统
第10章分布式系统安全
如果存在一个单一的策略,一个单一的系统管理,一个单一的安全执行系统,则计算机安全就容易实现。但是,正如你已经注意到的,即使在相当有利的环境下,直截了当地实现计算机安全也是不实际的。当然,集中式的安全要比分布式的情况好得多。
在这一章里,我们使用“分布式系统”(异构或者联合系统)作为通过网络连接的计算机集合(collection,集合,聚集;收集,汇集;【ST】类集)的模型。分布式系统的各个组成部分可能分布在不同的组织机构里,在不同的职权管理下,且使用不同的安全策略进行管理。在一个真正的分布式系统中,用户并不想知道服务的位置,也不想知道他们正在使用的对象所在的地点。
本章内容
·了解在分布式系统中发生的基本安全问题。
·说明在过去几年来分布式系统安全发生的变化,未来要达到的目标。
·考察在分布式系统的哪一个系统层次上实现安全机制最合适。
·理解当前引入的分布式系统安全机制的承诺和缺陷。
概述
无论何时,你改变了计算机的运行环境,都必须对已经建立的安全机制的适用性进行重新评估。当你把计算机从集中式系统移植到一个分布式系统的时候,对于安全来说,存在一个很明显的冲击。当检查分布式系统安全的时候,有必要理解所有的在集中式系统中内含的安全假设,这些假设是实现集中式系统安全的基础。
为了了解这些改变会怎样影响你,让我们看一下通过口令的身份认证。当用户在一个终端上工作,并且这个终端固定地连接到一台主机上的时候,口令是非常有用的。在这种情况下,你可以有正当的理由相信,在终端和主机之间的连接是安全的,并且不可能窃听口令,更改或插入消息,或者被别人接管一次会话。而在分布式系统中,对于通信链路安全这样基本的假设几乎是不成立的。然而,口令认证仍然是分布式系统最常用的认证机制。
十几年前,分布式系统安全主要关注的是认证机制。今天,你可以用防火墙来保护你的内部网络的周边环境,用安全体系来保护对分布式对象的访问。从分布式系统的特征来看,一些更深一层的问题出现了:对用户权限的授予或者撤销、信任机制、安全性和其他的分布式系统的特性(如可靠性和可用性)之间的相互作用。为了综述分布式系统安全的现状,我们从研究分布式系统中的一般安全策略和安全实施开始。
安全策略
在分布式系统中,当用户访问一个对象的时候,他们不需要登录到被访问对象所在的结点上。这就出现了一些问题:
·你怎样认证用户?
·什么是访问控制判决的基础?
为了回答这两个问题,可以有三种选择。用户认证和特殊访问控制可以基于:
·用户身份;
·用户操作来源的网络地址;
·用户正在使用的分布式服务,即访问操作。
远程访问服务中采取了第一种选择。ftp程序在两个Unix系统之间传输文件。程序创建一个远程的虚拟终端。这两种程序都提示用户输入用户名和口令。;它自动传送当前用户的用户名,仅仅提示用户输入口令。在所有这三种情况下,可以使用正常的Unix访问控制,但是网络通信引入了新的脆弱性。在这一章,我们将讨论一些更加有效的认证方案。
如果访问控制的决策是基于用户身份的,那么用户的身份和访问权限是怎样联系在一起传播呢?在Unix环境下,你必须决定对于用户(比如,root)的特权可以做什么,以及来自远程结点的程序(例如,一个SUID程序)的特权和所有权可以做什么?在多级安全的情况下,你可能发现在分布式系统的结点之间,这些标签方案表示的意思是不相同的。因此橙皮书(Orange Book)和红皮书(Red Book)给出了在结点之间数据传输的策略,这将维护安全标签的不同粒度(granularities)。
在有些糟糕的情况下,分布式系统中的访问操作可能呈现出新的含义(meaning)。想象如下一种情况,当你发送一个读远程服务器上数据的请求时,服务器将把数据写到连接到你的系统的输出通道上。服务器应该用哪种访问规则,哪些用来读访问或者哪些用来写访问?
你可以决定来自于系统中的某些结点的用户不必再次进行认证。在Unix中,。你也可以定义可信任用户,他们不必提供口令且允许使用rsh(远程shell)命令。这些特点提供了一个非常简单的单站式签到(single sign on)系统,但是它严酷地依赖于消息认证的质量和初始化时允许用户进入一个可信任域的主体认证,。在Windows NT中,这种信任关系提供了一种更完善的方式,它使得在可信任域中的用户可以访问信任域中的任何资源()。
授权
在分布式系统中,受控调用照字面上的意义(literally,字面上(简直))呈现出新的特性(dimension,尺寸(量纲,维数))。