第5章 身份認證與訪問控制_第1頁
第5章 身份認證與訪問控制_第2頁
第5章 身份認證與訪問控制_第3頁
第5章 身份認證與訪問控制_第4頁
第5章 身份認證與訪問控制_第5頁
已閱讀5頁,還剩52頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第5章身份認證與訪問控制主編賈鐵軍副主編陳國秦蘇慶剛沈?qū)W東編著王堅王小剛宋少婷上海教育高地建設(shè)項目高等院校規(guī)劃教材網(wǎng)絡安全技術(shù)及應用(第2版)上海市精品課程網(wǎng)絡安全技術(shù)目錄

5.3數(shù)字簽名技術(shù)3

5.4訪問控制技術(shù)45.6訪問列表與Tenet訪問控制實驗

6

5.1身份認證技術(shù)概述15.5安全審計技術(shù)55.2登錄認證與授權(quán)管理

2

5.7本章小結(jié)7教學目標教學目標

●理解身份認證技術(shù)的概念、種類和常用方法●了解網(wǎng)絡安全的登錄認證與授權(quán)管理●

掌握數(shù)字簽名及訪問控制技術(shù)及應用與實驗●

掌握安全審計技術(shù)及應用重點為了提醒學弟學妹珍惜大學時光,華中科技大學大四姜新花了數(shù)月時間寫成一份長達萬字的“悔過書”。文章在學校貼吧發(fā)出后,立刻引來了大量網(wǎng)友熱評,眾人紛紛表示絕不辜負“過來人”的忠告。姜新表示,希望看過的學弟學妹都能吸取自己教訓,切莫虛度光陰。

/s/2013-04-02/023626706684.shtml大學只有四年絕對經(jīng)不起揮霍,有學生看完帖子后馬上把電腦游戲刪了重點5.1身份認證技術(shù)概述

5.1.1身份認證的概念和方法

通常,身份認證基本方法有三種:用戶物件認證;有關(guān)信息確認或體貌特征識別。

認證(Authentication)是指對主客體身份進行確認的過程。網(wǎng)絡中的身份認證(IdentityAuthentication)是指網(wǎng)絡用戶在進入系統(tǒng)或訪問受限系統(tǒng)資源時,系統(tǒng)對用戶身份的鑒別過程。1.身份認證的概念你有什么?你知道什么?你是誰?

多數(shù)銀行的網(wǎng)銀服務,除了向客戶提供U盾證書保護模式外,還推出了動態(tài)口令方式,可免除攜帶U盾的不便。動態(tài)口令是一種動態(tài)密碼技術(shù),在使用網(wǎng)銀過程中,輸入用戶名后,即可通過綁定的手機一次性收到本次操作的密碼,此密碼只可使用一次,便利安全。案例5-15.1身份認證技術(shù)概述

5.1.1身份認證的概念和方法

身份認證與鑒別是信息安全中的第一道防線,對信息系統(tǒng)的安全有著重要的意義。身份認證可以確保用戶身份的真實、合法和唯一性。因此,可以防止非法人員進入系統(tǒng),防止非法人員通過各種違法操作獲取不正當利益、非法訪問受控信息、惡意破壞系統(tǒng)數(shù)據(jù)的完整性的情況的發(fā)生,嚴防“病從口入”關(guān)口。2.身份認證的作用3.身份認證的種類和方法

認證技術(shù)是用戶身份認證與鑒別的重要手段,也是計算機系統(tǒng)安全中一項重要內(nèi)容.從鑒別對象上,分為消息認證和用戶身份認證:(1)消息認證:用于保證信息的完整性和不可否認性。(2)身份認證:鑒別用戶身份。包括識別和驗證兩部分。識別是鑒別訪問者的身份,驗證是對訪問者身份的合法性進行確認。從認證關(guān)系上,身份認證也可分為用戶與主機間的認證和主機之間的認證,

5.1身份認證技術(shù)概述5.1.2身份認證系統(tǒng)及認證方式

身份認證是系統(tǒng)安全的第一道關(guān)卡。用戶在訪問系統(tǒng)前,先要經(jīng)過身份認證系統(tǒng)識別身份,通過訪問監(jiān)控設(shè)備,根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫,決定所訪問資源的權(quán)限。授權(quán)數(shù)據(jù)庫由安全管理員按照需要配置。審計系統(tǒng)根據(jù)設(shè)置記載用戶的請求和行為,同時入侵檢測系統(tǒng)檢測異常行為。訪問控制和審計系統(tǒng)都依賴于身份認證系統(tǒng)提供的“認證信息”鑒別和審計,如圖5-1所示。

圖5-l身份認證和訪問控制過程5.1身份認證技術(shù)概述5.1.2身份認證系統(tǒng)及認證方式

1.用戶名及密碼方式

用戶名/密碼方式是最簡單、最常用的身份認證方法,是基于“你知道什么”的驗證手段。2.智能卡認證

智能卡是一種內(nèi)置集成的電路芯片,存有與用戶身份相關(guān)的數(shù)據(jù),由專門廠商通過專用設(shè)備生產(chǎn)。智能卡認證是基于“你有什么”的認證方式,由合法用戶隨身攜帶,硬件不可復制無法被仿冒,登錄時或同行時須將智能卡在專用讀卡器讀取身份驗證信息。

3.動態(tài)令牌認證

動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術(shù)。它采用一種動態(tài)令牌的專用硬件,內(nèi)置電源、密碼生成芯片和顯示屏,密碼生成芯片運行專門的密碼算法,根據(jù)當前時間或使用次數(shù)生成當前密碼并顯示在顯示屏上。

5.1身份認證技術(shù)概述5.1.2身份認證系統(tǒng)及認證方式

4.身份認證系統(tǒng)的組成

包括:認證服務器(AuthenticationServer)、認證系統(tǒng)用戶端軟件(AuthenticationClientSoftware)、認證設(shè)備(Authenticator)。身份認證系統(tǒng)主要是通過身份認證協(xié)議和有關(guān)軟硬件實現(xiàn)的。

5.USBKey認證

采用軟硬件相結(jié)合、一次一密的強雙因素(兩種認證方法)認證模式.其身份認證系統(tǒng)有兩種認證模式:基于沖擊/響應模式和基于PKI體系的認證模式.XX銀行的“USBKEY”是為了保障網(wǎng)上銀行“客戶證書”的安全性,推出了電子證書存儲器簡稱USBKEY即U盾,可將客戶的“證書”專門存放于盤中,即插即用,非常安全可靠。U盾只存放銀行的證書,不可導入或?qū)С銎渌麛?shù)據(jù)。只需先安裝其驅(qū)動程序,即可導入相應的證書。網(wǎng)上銀行支持USBkey證書功能,U盾具有安全性、移動性、方便性特點。

案例5-25.1身份認證技術(shù)概述

6.生物識別技術(shù)

是指通過可測量的身體或行為等生物特征進行身份認證的技術(shù)。1)指紋識別技術(shù)。2)視網(wǎng)膜識別技術(shù)。3)聲音識別技術(shù)。7.CA認證系統(tǒng)

CA(CertificationAuthority)認證是對網(wǎng)絡用戶身份證的發(fā)放、管理和認證的過程。

討論思考:(1)身份認證的概念、種類和方法有哪些?(2)常見的身份認證系統(tǒng)的認證方式有哪些?5.2登錄認證與授權(quán)管理

1.固定口令安全問題

固定口令認證方式簡單,易受攻擊: (1)網(wǎng)絡數(shù)據(jù)流竊聽(Sniffer)。(2)認證信息截取/重放。(3)字典攻擊。(4)窮舉嘗試(BruteForce)。(5)窺探密碼。(6)社會工程攻擊(冒充)。(7)垃圾搜索。2.一次性口令密碼體制

一次性口令認證系統(tǒng)組成:(1)生成不確定因子。(2)生成一次性口令。

5.2.1常用登錄認證方式

3.雙因素安全令牌及認證系統(tǒng)

E-Securer安全身份認證系統(tǒng)是面向安全領(lǐng)域開發(fā)的AAA(認證、授權(quán)、審計)系統(tǒng),提供了雙因素(TwoFactor)身份認證、統(tǒng)一授權(quán)、集中審計等功能,可以為網(wǎng)絡設(shè)備、VPN、主機系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、WEB服務器、應用服務系統(tǒng)等提供集中的身份認證和權(quán)限控制。(1)雙因素身份認證系統(tǒng)組成1)身份認證服務器提供數(shù)據(jù)存儲、AAA服務、管理等功能,是整個系統(tǒng)的核心部分。

2)雙因素安全令牌(SecureKey)用于生成用戶當前登錄的動態(tài)口令,采用加密算法及可靠設(shè)計,可防止讀取密碼信息。3)認證代理(AuthenticationAgent)安裝在被保護系統(tǒng)上,被保護系統(tǒng)通過認證代理向認證服務器發(fā)送認證請求,從而保證被保護系統(tǒng)身份認證的安全。5.2登錄認證與授權(quán)管理圖5-2RSA雙因素安全令牌案例5-3

(2)認證系統(tǒng)功能(3)雙因素身份認證系統(tǒng)的技術(shù)特點和優(yōu)勢

1)雙因素身份認證.系統(tǒng)與安全令牌配合,為用戶提供雙因素認證安全保護

2)基于角色的權(quán)限管理.通過用戶與角色的結(jié)合,角色與權(quán)限的配置,可有針對性的實現(xiàn)用戶的職責分擔,方便靈活配置用戶對資源設(shè)備的訪問權(quán)限;

3)完善詳細的審計。系統(tǒng)提供用戶認證、訪問的詳細記錄,提供詳細的審計跟蹤信息;

4)高通用性。采用RADIUS、Tacacs+、LDAP等國際標準協(xié)議,具有高度的通用性;5)高可靠性。多個協(xié)議模塊之間可以實現(xiàn)負載均衡,多臺統(tǒng)一認證服務器之間實現(xiàn)熱備份,認證客戶端可以在多臺服務器之間自動切換;6)E-Securer自動定時數(shù)據(jù)備份,防止關(guān)鍵數(shù)據(jù)丟失;采用高可用配置,保證持續(xù)穩(wěn)定工作;

7)高并發(fā)量。系統(tǒng)采用現(xiàn)今成熟技術(shù)設(shè)計,選用企業(yè)級數(shù)據(jù)庫系統(tǒng),并且進行了大量的性能優(yōu)化,保證系統(tǒng)提供實時認證、高并發(fā)量運行;

8)管理界面簡潔易用。采用基于WEB的圖形化管理界面,極大的方便了管理員對系統(tǒng)進行集中的管理、維護、審計工作;

9)開放式體系,產(chǎn)品支持主流操作系統(tǒng)(UNIX、Windows)和網(wǎng)絡設(shè)備。5.2登錄認證與授權(quán)管理

在某企業(yè)網(wǎng)絡系統(tǒng)使用的“VPN接入認證”和“登錄認證”的用戶身份認證子系統(tǒng)中,VPN用戶、網(wǎng)絡資源訪問人員、應用作業(yè)操作人員、網(wǎng)絡管理員和系統(tǒng)管理員的各類用戶身份認證應用。主要包括:VPN接入認證、應用軟件登錄認證、主機系統(tǒng)登錄認證、命令授權(quán)審計、網(wǎng)絡設(shè)備登錄認證、命令授權(quán)審計、Windows域登錄認證、LotusDomino登錄認證。5.2登錄認證與授權(quán)管理4.認證系統(tǒng)的主要應用案例5-3

在大型企業(yè)中,常用多種不同的應用服務器,如ERP、Web服務系統(tǒng)、營銷管理系統(tǒng)、電子郵件系統(tǒng)等,員工經(jīng)常需要同時訪問多種應用,不同的系統(tǒng)之間的賬戶和要求不同.如圖5-3所示

5.2登錄認證與授權(quán)管理5.2.2用戶單次登錄認證1.多次登錄的弊端案例5-3圖5-3不同應用系統(tǒng)的多次登錄

2.單次登入面臨的挑戰(zhàn)

單次登錄(SingleSignOn,SSO)也稱單點登錄,是指用戶只向網(wǎng)絡進行一次身份驗證,以后再無需另外驗證身份,便可訪問所有被授權(quán)的網(wǎng)絡資源。SSO面臨的挑戰(zhàn)包括3個方面:1)多種應用平臺。2)不同的安全機制。

3)不同的賬戶服務系統(tǒng)。

3.單次登錄的優(yōu)點實現(xiàn)單次登錄優(yōu)點包括:

(1)管理更簡單。(2)管理控制更方便。(3)用戶使用更快捷。(4)網(wǎng)絡更安全。(5)合并異構(gòu)網(wǎng)絡。

5.2登錄認證與授權(quán)管理

某銀行機構(gòu)的認證與授權(quán)管理的目標體系,如圖5-4所示。

5.2登錄認證與授權(quán)管理5.2.3銀行認證授權(quán)管理應用1.認證與授權(quán)管理目標圖5-4認證與授權(quán)管理目標體系案例5-6

2.認證授權(quán)管理的原則為實現(xiàn)上述的目標,應遵循以下的指導原則:統(tǒng)一規(guī)劃管理,分步部署實施

1)進行認證和授權(quán)管理的統(tǒng)一規(guī)劃,并制訂工作計劃;

2)制訂及維護認證和授權(quán)相關(guān)業(yè)務流程;

3)統(tǒng)一用戶編碼規(guī)則,制訂及維護認證憑證政策;

4)確定用戶身份信息的數(shù)據(jù)源和數(shù)據(jù)流,并進行數(shù)據(jù)質(zhì)量管理;

5)認證和授權(quán)分權(quán)管理委派;

6)對銀行認證和授權(quán)的現(xiàn)狀進行周期性的審計和跟蹤。(2)建立統(tǒng)一信息安全服務平臺,提供統(tǒng)一的身份認證和訪問管理服務(3)保護現(xiàn)有IT投資,并便于未來擴展5.2登錄認證與授權(quán)管理討論思考:(1)雙因素身份認證系統(tǒng)的技術(shù)特點和優(yōu)勢有呢些?(2)實現(xiàn)單次登錄SSO對于用戶的優(yōu)點是什么?(3)認證授權(quán)管理的原則是什么?5.3數(shù)字簽名技術(shù)

數(shù)字簽名(DigitalSignature)又稱公鑰數(shù)字簽名或電子簽章,是以電子形式存儲于信息中或以附件或邏輯上與之有聯(lián)系的數(shù)據(jù),用于辨識數(shù)據(jù)簽署人的身份,并表明簽署人對數(shù)據(jù)中所包含信息的認可。

基于公鑰密碼體制和私鑰密碼體制都可獲得數(shù)字簽名,目前主要是基于公鑰密碼體制的數(shù)字簽名。包括普通數(shù)字簽名和特殊數(shù)字簽名兩種。

5.3.1數(shù)字簽名的概念及功能2.數(shù)字簽名的方法及功能

保證信息傳輸?shù)耐暾浴l(fā)送者的身份認證、防止交易中的抵賴行為發(fā)生。數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密,與原文一起傳送給接收者。最終目的是實現(xiàn)6種安全保障功能:(1)必須可信。(2)無法抵賴。(3)不可偽造。(4)不能重用。(5)不許變更。(6)處理快、應用廣。

1.數(shù)字簽名的概念5.3.2數(shù)字簽名的種類1.手寫簽名或圖章識別

將手寫簽名或印章作為圖像,掃描后在數(shù)據(jù)庫中加以存儲,當驗證此人的手寫簽名或蓋印時,也用光掃描輸入,并將原數(shù)據(jù)庫中的對應圖像調(diào)出,用模式識別的數(shù)學計算方法對將兩者進行比對,以確認該簽名或印章的真?zhèn)巍?/p>

2.生物識別技術(shù)

生物識別技術(shù)是利用人體生物特征進行身份認證的一種技術(shù)。生物特征是一個人與他人不同的唯一表征,它是可以測量、自動識別和驗證的。生物識別系統(tǒng)對生物特征進行取樣,提取其唯一的特征進行數(shù)字化處理,轉(zhuǎn)換成數(shù)字代碼,并進一步將這些代碼組成特征模板存于數(shù)據(jù)庫中。

5.3數(shù)字簽名技術(shù)

3.密碼、密碼代號或個人識別碼

主要是指用一種傳統(tǒng)的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件,甲方可產(chǎn)生一個隨機碼傳送給乙方,乙方用事先雙方約定好的對稱密鑰加密該隨機碼和電子文件回送給甲方,甲方用同樣的對稱密鑰解密后得到電文并核對隨機碼,如隨機碼核對正確,甲方即可認為該電文來自乙方。4.基于量子力學的計算機

基于量子力學的計算機被稱作量子計算機,是以量子力學原理直接進行計算的計算機。它比傳統(tǒng)的圖靈計算機具有更強大的功能,它的計算速度要比現(xiàn)代的計算機快幾億倍。5.基于PKI的電子簽名

基于PKI的電子簽名被稱作數(shù)字簽名。有人稱“電子簽名”就是“數(shù)字簽名”,其實這是一般性說法,數(shù)字簽名只是電子簽名的一種特定形式。

5.3數(shù)字簽名技術(shù)

5.3.2數(shù)字簽名的種類5.3.3數(shù)字簽名過程及實現(xiàn)1.身份認證的實現(xiàn)PKI提供的服務首先是認證,即身份識別與鑒別,就是確認實體即為自己所聲明的實體。認證的前提是雙方都具有第三方CA所簽發(fā)的證書,認證分單向認證和雙向認證。1)單向認證。2)雙向認證。2.數(shù)字簽名過程網(wǎng)上通信的雙方,在互相認證身份之后,即可發(fā)送簽名的數(shù)據(jù)電文。數(shù)字簽名的全過程分兩大部分,即簽名與驗證。數(shù)字簽名與驗證的過程和技術(shù)實現(xiàn)的原理,如圖5-6所示。

5.3數(shù)字簽名技術(shù)

圖5-5雙向認證過程

圖5-6數(shù)字簽名原理

5.3數(shù)字簽名技術(shù)

5.3.3數(shù)字簽名過程及實現(xiàn)圖5-8數(shù)字簽名驗證過程3.數(shù)字簽名的操作過程

數(shù)字簽名的操作過程如圖5-7所示,需要有發(fā)方的簽名證書的私鑰及其驗證公鑰。4.數(shù)字簽名的驗證過程

收方收到發(fā)方的簽名后進行簽名驗證,其具體操作過程如圖5-8所示。圖5-7數(shù)字簽名操作過程5.3.2數(shù)字簽名過程及實現(xiàn)5.原文保密的數(shù)據(jù)簽名的實現(xiàn)方法

上述數(shù)字簽名原理中定義的對原文做數(shù)字摘要及簽名并傳輸原文,實際上在很多場合傳輸?shù)脑囊蟊C埽辉S別人接觸。要求對原文進行加密的數(shù)字簽名方法的實現(xiàn)涉及到“數(shù)字信封”的問題,此處理過程稍微復雜一些,但數(shù)字簽名的基本原理仍相同,其簽名過程如圖5-9所示。5.3數(shù)字簽名技術(shù)

圖5-9原文加密的數(shù)字簽名實現(xiàn)方法討論思考:(1)數(shù)字簽名的概念及方法是什么?(2)數(shù)字簽名的功能和種類有哪些?(3)數(shù)字簽名具體操作過程是什么?5.4訪問控制技術(shù)

1.訪問控制的概念及任務

訪問控制(AccessControl)指針對越權(quán)使用資源的防御措施,即判斷使用者是否有權(quán)限使用、或更改某一項資源,并且防止非授權(quán)的使用者濫用資源。目的是限制訪問主體對訪問客體的訪問權(quán)限。

訪問控制包含三方面含義:一是機密性控制,保證數(shù)據(jù)資源不被非法讀出;二是完整性控制,保證數(shù)據(jù)資源不被非法增加、改寫、刪除和生成;三是有效性控制,保證資源不被非法訪問主體使用和破壞。其主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問,也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。訪問控制三個要素:(1)主體S(Subject).是指提出訪問資源具體請求.(2)客體O(Object).是指被訪問資源的實體。(3)控制策略A(Attribution)。控制規(guī)則。

5.4.1訪問控制的概念及內(nèi)容2.訪問控制的內(nèi)容訪問控制的實現(xiàn)首先要考慮對合法用戶進行驗證,然后是對控制策略的選用與管理,最后要對非法用戶或是越權(quán)操作進行管理。

訪問控制的內(nèi)容包括三個方面:

(1)認證:包括主體對客體的識別認證和客體對主體檢驗認證。

(2)控制策略的具體實現(xiàn):如何設(shè)定規(guī)則集合從而確保正常用戶對信息資源的合法使用,既要防止非法用戶,也要考慮敏感資源的泄漏,對于合法用戶而言,更不能越權(quán)行使控制策略所賦予其權(quán)利以外的功能。

(3)安全審計:使系統(tǒng)自動記錄網(wǎng)絡中的“正?!辈僮?、“非正?!辈僮饕约笆褂脮r間、敏感信息等。

1.訪問控制的層次一般可以將訪問控制分為2個層次:物理訪問控制和邏輯訪問控制。通常,物理訪問控制包括標準的鑰匙、門鎖和設(shè)備標簽等,而邏輯訪問控制則是在數(shù)據(jù)、應用、系統(tǒng)和網(wǎng)絡等層面實現(xiàn)的。對于銀行、證券等重要金融機構(gòu)的網(wǎng)站,網(wǎng)絡信息安全重點關(guān)注的是邏輯訪問控制,物理訪問控制則主要由其他類型的安全部門完成。2.訪問控制的模式主要的訪問控制模式有三種:(1)自主訪問控制(DAC)(2)強制訪問控制(MAC)(3)基于角色的訪問控制(RBAC)

5.4.2訪問控制的模式及管理3.訪問控制規(guī)則(1)訪問者主體對客體訪問可以基于身份,也可基于角色。即“訪問者”可以是身份標識,也可以是角色。從業(yè)務角度對系統(tǒng)進行統(tǒng)一的角色定義是實現(xiàn)統(tǒng)一訪問管理的最佳實踐。(2)資源對資源的保護應包括兩個層面:物理層和邏輯層。(3)訪問控制規(guī)則

四要素:訪問者(主體),資源(客體),訪問請求和訪問響應.

圖5-10基于角色的訪問控制某金融機構(gòu)訪問控制實例,給用戶1分配的角色為A(角色維度1)和B(角色維度2)。在訪問的過程中,訪問控制規(guī)則引擎查詢授權(quán)信息(如ACL),判斷用戶1所具有的訪問權(quán)限。當用戶具有角色A的時候,將具有權(quán)限1、權(quán)限2和權(quán)限3;當用戶具有角色B的時候,將具有權(quán)限4;當用戶同時具有角色A和B的時候,將具有權(quán)限5和權(quán)限6。因此,用戶1具有的權(quán)限為權(quán)限1至權(quán)限8。訪問控制規(guī)則引擎返回授權(quán)信息,實現(xiàn)訪問控制。

案例5-7

4.單點登入的訪問管理

根據(jù)登入的應用類型不同,可分為3種類型.1)對桌面資源的統(tǒng)一訪問管理對桌面資源的訪問管理,包括兩個方面:①登入Windows后統(tǒng)一訪問Microsoft應用資源。②登入Windows后訪問其他應用資源。2)Web單點登入由于Web技術(shù)體系架構(gòu)便捷,對Web資源的統(tǒng)一訪問管理易于實現(xiàn),如圖5-8所示。

圖5-8Web單點登入訪問管理系統(tǒng)

3)傳統(tǒng)C/S結(jié)構(gòu)應用的統(tǒng)一訪問管理在傳統(tǒng)C/S結(jié)構(gòu)應用上,實現(xiàn)管理前臺的統(tǒng)一或統(tǒng)一入口是關(guān)鍵.采用Web客戶端作為前臺是企業(yè)最為常見的一種解決方案.單點登入5.4訪問控制技術(shù)

5.4.3訪問控制的安全策略

訪問控制的安全策略是指在某個自治區(qū)域內(nèi)(屬于某個組織的一系列處理和通信資源范疇),用于所有與安全相關(guān)活動的一套訪問控制規(guī)則.其安全策略有三種類型:基于身份的安全策略、基于規(guī)則的安全策略和綜合訪問控制方式。1.安全策略實施原則

訪問控制安全策略原則集中在主體、客體和安全控制規(guī)則集三者之間的關(guān)系。

(1)最小特權(quán)原則。(2)最小泄露原則。(3)多級安全策略。

5.4訪問控制技術(shù)

2.基于身份和規(guī)則的安全策略

授權(quán)行為是建立身份安全策略和規(guī)則安全策略的基礎(chǔ),兩種安全策略為:1)基于身份的安全策略

(1)基于個人的安全策略。 (2)基于組的安全策略。2)基于規(guī)則的安全策略在此安全策略系統(tǒng)中,所有數(shù)據(jù)和資源都標注了安全標記,用戶的活動進程與其原發(fā)者具有相同的安全標記.5.4訪問控制技術(shù)

2.基于身份和規(guī)則的安全策略

綜合訪問控制策略(HAC)繼承并吸取多種主流訪問控制技術(shù)優(yōu)點,有效地解決了訪問控制問題,保護數(shù)據(jù)的保密性和完整性,保證授權(quán)主體能訪問客體和拒絕非授權(quán)訪問.具有良好靈活性、可維護性,可管理性、更細粒度的訪問控制性和更高安全性。HAC主要包括:(1)入網(wǎng)訪問控制。(2)網(wǎng)絡(資源-服務)的權(quán)限控制。(3)目錄級安全控制。(4)屬性安全控制。(5)網(wǎng)絡服務器安全控制。(6)網(wǎng)絡監(jiān)控和鎖定控制。(7)網(wǎng)絡端口和結(jié)點的安全控制。

5.4訪問控制技術(shù)

3.綜合訪問控制策略

綜合訪問控制策略(HAC)繼承并吸取多種主流訪問控制技術(shù)優(yōu)點,有效地解決了訪問控制問題,保護數(shù)據(jù)的保密性和完整性,保證授權(quán)主體能訪問客體和拒絕非授權(quán)訪問.具有良好靈活性、可維護性,可管理性、更細粒度的訪問控制性和更高安全性。HAC主要包括:(1)入網(wǎng)訪問控制。(2)網(wǎng)絡(資源-服務)的權(quán)限控制。(3)目錄級安全控制。(4)屬性安全控制。(5)網(wǎng)絡服務器安全控制。(6)網(wǎng)絡監(jiān)控和鎖定控制。(7)網(wǎng)絡端口和結(jié)點的安全控制。(8)防火墻控制5.4訪問控制技術(shù)

4.網(wǎng)上銀行訪問控制的安全策略

為了讓用戶安全、放心地使用網(wǎng)上銀行,通常在網(wǎng)上銀行系統(tǒng)采取了八大安全策略,以全面保護的信息資料與資金的安全。(1)加強證書存貯安全。(2)動態(tài)口令卡。(3)先進技術(shù)的保障。(4)雙密碼控制,并設(shè)定了密碼安全強度。(5)交易限額控制。(6)信息提示,增加透明度。(7)客戶端密碼安全檢測。(8)短信服務5.4訪問控制技術(shù)

5.4.4準入控制與身份認證管理1.準入控制技術(shù)概述

思科公司和微軟的網(wǎng)絡準入控制NAP其原理和本質(zhì)一致,不僅對用戶身份進行認證,還對用戶的接入設(shè)備進行安全狀態(tài)評估(包括防病毒軟件、系統(tǒng)補丁等),使每個接入點AP都具有較高的可信度和健壯性,從而保護網(wǎng)絡基礎(chǔ)設(shè)施。華為2005年推出端點準入防御產(chǎn)品。5.4訪問控制技術(shù)

2.身份認證管理與準入控制的結(jié)合

身份認證技術(shù)的發(fā)展過程,從軟件到軟硬件結(jié)合,從單一因子認證到雙因素認證,從靜態(tài)認證到動態(tài)認證。目前常用的身份認證方式包括:用戶名/密碼方式、公鑰證書方式、動態(tài)口令方式等。采用單獨方式都有優(yōu)劣。身份認證技術(shù)的安全性,關(guān)鍵在于組織采取的安全策略。身份認證是網(wǎng)絡準入控制的基礎(chǔ)。

中國教育和科研計算機網(wǎng)緊急響應組(CCERT)開發(fā)組,在開發(fā)“某大學校園網(wǎng)端口認證系統(tǒng)”的基礎(chǔ)上,多年跟蹤研究準入控制系統(tǒng)。在分析了思科的入控制研究方案后,認為應重點研究獨立于產(chǎn)品廠商的準入控制方案和相關(guān)軟件系統(tǒng)。準入控制系統(tǒng)的核心是從網(wǎng)絡接入端點的安全控制入手,結(jié)合認證服務器,安全策略服務器和網(wǎng)絡設(shè)備,以及第三方的軟件系統(tǒng)(病毒和系統(tǒng)補丁服務器),完成對接入終端用戶的強制認證和安全策略應用,保障網(wǎng)絡安全。某大學準入控制系統(tǒng),通過提供綜合管理平臺,對用戶和接入設(shè)備進行集中管理,統(tǒng)一實施校園網(wǎng)的安全策略.5.4訪問控制技術(shù)

3.準入控制技術(shù)方案比較不同廠商準入控制方案在原理上類似,但實現(xiàn)方式各不相同。主要區(qū)別4個方面。1)選取協(xié)議2)身份認證管理方式3)策略管理4)準入控制

4.某大學準入控制研發(fā)及應用

案例5-8討論思考:(1)訪問控制的概念和內(nèi)容是什么?(2)訪問控制模式主要有哪幾種?(3)訪問控制的安全策略有哪幾種實現(xiàn)方式?

5.4訪問控制技術(shù)

5.準入控制技術(shù)未來的發(fā)展準入控制發(fā)展很快,并且出現(xiàn)各種方案整合的趨勢。一方面各主要廠商突出本身的準入控制方案,廠商之間加大了合作力度。思科和微軟都承諾支持對方準入控制計劃,并開放自己的API。另一方面,準入控制標準化工作也在加快。5.5安全審計技術(shù)5.5.1安全審計概述

1.安全審計的概念及目的

計算機安全審計(Audit)是指按照一定的安全策略,利用記錄、系統(tǒng)活動和用戶活動等信息,檢查、審查和檢驗操作事件的環(huán)境及活動,發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。也是審查評估系統(tǒng)安全風險并采取相應措施的一個過程。主要作用和目的包括5個方面:(1)對潛在攻擊者起到威懾和警示作用。(2)測試系統(tǒng)的控制情況,及時調(diào)整。(3)對已出現(xiàn)的破壞事件,做出評估并提供依據(jù)。(4)對系統(tǒng)控制、安全策略與規(guī)程中的變更進行評價和反饋,以便修訂決策和部署。(5)協(xié)助發(fā)現(xiàn)入侵或潛在的系統(tǒng)漏洞及隱患。

5.4安全審計概述

2.安全審計的類型

從審計級別上可分為3種類型:(1)系統(tǒng)級審計。主要針對系統(tǒng)的登入情況、用戶識別號、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設(shè)備、登入后運行程序等事件信息進行審查。(2)應用級審計。主要針對的是應用程序的活動信息。(3)用戶級審計。主要是審計用戶的操作活動信息。

5.4安全審計概述3.安全審計系統(tǒng)的基本結(jié)構(gòu)

安全審計是通過對所關(guān)心的事件進行記錄和分析來實現(xiàn)的,因此審計過程包括審計發(fā)生器、日志記錄器、日志分析器和報告機制幾部分,如圖5-12所示。

圖5-12審計系統(tǒng)的基本結(jié)構(gòu)5.4安全審計概述5.5.2系統(tǒng)日記審計1.系統(tǒng)日志的內(nèi)容

系統(tǒng)日志主要根據(jù)網(wǎng)絡安全級別及強度要求,選擇記錄部分或全部的系統(tǒng)操作。對于單個事件行為,通常系統(tǒng)日志主要包括:事件發(fā)生的日期及時間、引發(fā)事件的用戶IP地址、事件源及目的地位置、事件類型等。2.安全審計的記錄機制

對各種網(wǎng)絡系統(tǒng)應采用不同記錄日志機制。記錄方式有3種:由操作系統(tǒng)完成,也可以由應用系統(tǒng)或其他專用記錄系統(tǒng)完成。圖5-13Syslog安全審計的記錄機制5.4安全審計概述

審計系統(tǒng)可成為追蹤入侵、恢復系統(tǒng)的直接證據(jù),其自身的安全性更為重要。審計系統(tǒng)的安全主要包括審計事件查閱安全和存儲安全。保護查閱安全措施:

(1)審計查閱。 (2)有限審計查閱。(3)可選審計查閱。

審計事件的存儲安全要求:

(1)保護審計記錄的存儲。(2)保證審計數(shù)據(jù)的可用性。 (3)防止審計數(shù)據(jù)丟失。4.審計事件查閱與存儲

日志分析的主要目的是在大量的記錄日志信息中找到與系統(tǒng)安全相關(guān)的數(shù)據(jù),并分析系統(tǒng)運行情況.主要任務包括:(1)潛在威脅分析。 (2)異常行為檢測。(3)簡單攻擊探測。 (4)復雜攻擊探測。3.日志分析5.4安全審計概述5.5.3審計跟蹤及應用1.審計跟蹤的概念及意義

審計跟蹤(AuditTrail)指按事件順序檢查、審查、檢驗其運行環(huán)境及相關(guān)事件活動的過程。主要用于實現(xiàn)重現(xiàn)事件、評估損失、檢測系統(tǒng)產(chǎn)生的問題區(qū)域、提供有效的應急災難恢復、防止系統(tǒng)故障或使用不當?shù)确矫妗?/p>

審計跟蹤作為一種安全機制,主要審計目標:(1)審計系統(tǒng)記錄有利于迅速發(fā)現(xiàn)系統(tǒng)問題,及時處理事故,保障系統(tǒng)運行。(2)可發(fā)現(xiàn)試圖繞過保護機制的入侵行為或其他操作。(3)能夠發(fā)現(xiàn)用戶的訪問權(quán)限轉(zhuǎn)移行為。(4)制止用戶企圖繞過系統(tǒng)保護機制的操作事件。5.4安全審計概述

審計跟蹤是提高系統(tǒng)安全性的重要工具.安全審計跟蹤的意義:

(1)利用系統(tǒng)的保護機制和策略,及時發(fā)現(xiàn)并解決系統(tǒng)問題,審計客戶行為。

(2)審計信息可以確定事件和攻擊源,用于檢查計算機犯罪。

(3)通過對安全事件的收集、積累和分析,可對其中的某些站點或用戶進行審計跟蹤,以提供發(fā)現(xiàn)可能產(chǎn)生破壞性行為的證據(jù)。(4)既能識別訪問系統(tǒng)的來源,又能指出系統(tǒng)狀態(tài)轉(zhuǎn)移過程。2.審計跟蹤的主要問題安全審計跟蹤重點考慮:

(1)選擇記錄信息內(nèi)容。

(2)確定審計跟蹤信息所采用的語法和語義定義。

審計是系統(tǒng)安全策略的一個重要組成部分,貫穿整個系統(tǒng)運行過程中,覆蓋不同的安全機制,為其他安全策略的改進和完善提供必要的信息。5.4安全審計概述5.5.4安全審計的實施為了確保審計實施的可用性和正確性,需要在保護和審查審計數(shù)據(jù)的同時,做好計劃分步實施.具體實施主要包括:保護審查審計數(shù)據(jù)及審計步驟。1.保護審計數(shù)據(jù)應當嚴格限制在線訪問審計日志。

審計數(shù)據(jù)保護常用方法:用數(shù)據(jù)簽名和只讀設(shè)備存儲數(shù)據(jù)。審計跟蹤信息的保密性也應進行嚴格保護。2.審查審計數(shù)據(jù)審計跟蹤的審查與分析可分為事后檢查、定期檢查和實時檢查3種。3.審查工具1)審計精選工具。2)趨勢/差別探測工具。3)攻擊特征探測工具。

5.4安全審計概述5.5.5金融機構(gòu)審計跟蹤的實施應用1.審計跟蹤系統(tǒng)概述

審計跟蹤系統(tǒng)本身會執(zhí)行系統(tǒng)方面的策略,如對文件及系統(tǒng)的訪問。對實施這些策略的相關(guān)系統(tǒng)配置文件改動的監(jiān)控十分重要,系統(tǒng)須在相關(guān)訪問發(fā)生時生成審計記錄。審計跟蹤可提供更詳細記錄。對于重要應用還需對使用者和使用細節(jié)進行記錄。系統(tǒng)管理員不僅會對所有的系統(tǒng)和活動進行監(jiān)控,同時也應選擇記錄某個應用在系統(tǒng)層面上的某個功能。包括審計跟蹤任何試圖登陸的情況,登陸ID、每次登陸嘗試時間和日期、終止登陸時間和日期、使用的設(shè)備、登陸成功后使用的功能。

案例5-95.4安全審計概述5.5.5金融機構(gòu)審計跟蹤的實施應用2.系統(tǒng)安全審計跟蹤的實施1)不同系統(tǒng)在不同情況下審計跟蹤信息所記錄的內(nèi)容有一定差異2)對在線審計日志的訪問須嚴格控制。3)審計跟蹤信息在保留期限到期后應立即予以刪除和銷毀。4)對于審計跟蹤可以進行事后審核,階段性審核和實時的分析。5)審計跟蹤事后審核。6)審計跟蹤階段性審核。7)實時審計分析。8)審計跟蹤分析的工具。討論思考:(1)安全審計的概念、目的、內(nèi)容、類型和結(jié)構(gòu)是什么?(2)系統(tǒng)日志的內(nèi)容主要包括哪些?(3)安全審計跟蹤主要考慮哪幾個方面問題?5.6.1實驗目的

5.6訪問列表與Telnet訪問控制實驗通過對本章身份認證原理與訪問控制技術(shù)的系統(tǒng)地學習。掌握在業(yè)界應用最為廣泛訪問控制列表技術(shù)。為了更好地讓大家熟悉訪問控制列表技術(shù)的一般配置方式,本節(jié)實驗的主要目的包括:(1)進一步加深對訪問控制列表技術(shù)的理解與認識;(2)熟悉CISCO路由器的設(shè)置與基本控制操作;(3)進一步了解訪問控制策略的設(shè)計方式。5.6.2實驗要求與方法1.實驗環(huán)境使用一臺安裝了WindowsXP操作系統(tǒng)的臺式電腦、兩臺CISCO路由器和若干網(wǎng)線。2.注意事項(1)預習準備由于本實驗涉及的一些產(chǎn)品相關(guān)的技術(shù)概念,尤其是CISCO的IOS操作系統(tǒng),應當提前做一些了解,以利于對于實驗內(nèi)容的深刻理解。(2)注意弄懂實驗原理、理解各步驟的含義對于操作的每一步要著重理解其原理,對于訪問控制列表配置過程中的各種命令、反饋及驗證方法等要充分理解其作用和含義。實驗用時:2學時(90-100分鐘)5.6訪問列表與Telnet訪問控制實驗5.5.3實驗內(nèi)容及步驟

本實驗分為三個步驟完成:連通物理設(shè)備、配置路由器訪問控制策略、通過實驗結(jié)果驗證結(jié)論。(1)連通物理設(shè)備將兩臺路由器如圖5-14連通,其中S0與S1之間用串口線連通,只允許R1的loop1能通過ping命令連接R2的loop0;并且在R2上設(shè)置telnet訪問控制,只允許R1的loop0能夠遠程登錄,不能使用deny語句。5.6訪問列表與Telnet訪問控制實驗圖5-14訪問列表與telnet訪問實驗拓撲圖5.5.3實驗內(nèi)容及步驟

對R1與R2的配置如下:R1的配置:R1(config)#interfaceloopback0R1(config-if)#ipaddressR1(config-if)#interfaceloopback1R1(config-if)#ipadressR1(config-if)#interfaces0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#iproute配置缺省路由

R2的配置:R2(config)#interfaceloopback0R2(config-if)#ipaddressR2(config-if)#interfaces1R2(config-if)#ipaddressR2(config-if)#clockrate64000R2(config-if)#noshutdownR2(config)#iproute

配置缺省路由5.6訪問列表與Telnet訪問控制實驗測試網(wǎng)絡連通性:R1#pingProtocol[ip]:TargetIPaddress:Extendedcomm

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論