身份认证与访问控制技术
身份认证与访问控制技术
第5章身份认证与访问控制技术教学目标●理解身份认证的概念及常用认证方式方法●了解数字签名的概念、功能、原理和过程●掌握访问控制的概念、原理、类型、机制和策略●理解安全审计的概念、类型、跟踪与实施●了解访问列表与Telnet访问控制实验5.1 身份认证技术概述5.1.1 身份认证的概念身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。
1. 身份认证的概念认证(Authentication)是指对主客体身份进行确认的过程。
身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。
2. 认证技术的类型认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。
从鉴别对象上,分为消息认证和用户身份认证两种。
(1)消息认证:用于保证信息的完整性和不可否认性。
(2)身份认证:鉴别用户身份。
包括识别和验证两部分。
识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。
从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证,5.1.2 常用的身份认证方式1. 静态密码方式静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。
2. 动态口令认证动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态1 / 14短信密码和动态口令牌(卡)两种方式,口令一次一密。
图5-1动态口令牌3. USB Key认证采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式。
其身份认证系统主要有两种认证模式:基于冲击/响应模式和基于PKI体系的认证模式。
常用的网银USB Key如图5-2所示。
图5-2 网银USB Key4. 生物识别技术生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。
认证系统测量的生物特征一般是用户唯一生理特征或行为方式。
生物特征分为身体特征和行为特征两类。
网络信息安全的访问控制与身份认证
网络信息安全的访问控制与身份认证网络信息安全一直以来都备受关注,随着互联网的快速发展和普及,信息的安全问题变得日益突出。
为了保护网络数据的安全,许多组织和机构都采取了各种措施,其中最常见和有效的措施之一就是访问控制与身份认证。
一、访问控制的概念及重要性访问控制是指在计算机网络中对访问请求者进行身份验证和权限控制,以确保只有合法用户可以获取到系统或网络中的资源。
它是保护网络安全的第一道防线,具有至关重要的意义。
访问控制能够确保只有经过身份认证的用户才能进入系统,防止未经授权的用户非法访问或篡改数据,从而保护网络数据的安全。
它可以限制用户对系统资源的使用,确保系统只对有权限的用户开放。
二、身份认证的方式与技术1.用户名和密码认证这是最常见的身份认证方式之一,用户通过输入正确的用户名和密码来验证自己的身份。
系统根据用户输入的信息与数据库中存储的信息进行比对,如果匹配成功,则认证通过。
2.生物特征识别生物特征识别是一种身份认证技术,通过识别和验证人体生物特征(如指纹、虹膜、声音等)来确认用户的身份。
这种方式可以有效抵制密码泄露和盗用的风险。
3.数字证书认证数字证书认证是一种基于公钥加密的身份认证方式,依赖于密码学技术和数字证书基础设施。
用户通过数字证书来证明自己的身份,确保通信过程中的安全性和无法被篡改。
4.双因素认证双因素认证是将两种或多种身份认证方式结合在一起使用的方式,以提高认证的安全性。
常见的双因素认证方式包括密码加令牌、密码加指纹等。
三、网络访问控制的常用技术手段1.防火墙防火墙是一种常见的网络访问控制技术,它可以根据规则策略过滤网络数据包,限制网络访问。
防火墙能够保护网络内部的资源免受未经授权的访问和攻击。
2.网络隔离网络隔离是通过物理或逻辑手段将不同的网络环境分割开来,避免未经授权的访问。
不同的网络环境可以根据安全级别的不同进行分割,确保敏感数据不被外部网络访问。
3.访问控制列表(ACL)访问控制列表是一种用于设置网络设备(如路由器、交换机)访问权限的技术手段。
系统身份认证与访问控制:如何实现系统身份认证与访问控制
系统身份认证与访问控制:如何实现系统身份认证与访问控制在信息时代,随着网络和云计算的快速发展,人们对系统的安全性和数据的保护越来越重视。
为了确保系统的安全,防止非法用户的入侵和信息泄露,系统身份认证和访问控制变得至关重要。
本文将详细介绍系统身份认证与访问控制的概念和原理,并讨论如何实现系统身份认证与访问控制。
什么是系统身份认证?系统身份认证是验证用户身份的过程,以确定用户是否有权访问系统或执行特定操作。
它旨在防止非法用户冒充他人身份,并确保只有授权的用户才能访问系统。
系统身份认证通常包括以下几个步骤:1.用户提供凭据:用户需要提供一些凭据来证明自己的身份,例如用户名和密码、数字证书、指纹或面容识别等。
2.验证凭据的有效性:系统会验证用户提供的凭据是否有效,例如检查用户名和密码是否匹配、验证数字证书的合法性、比对指纹或面容等。
3.授权访问权限:如果用户提供的凭据有效,系统会授予用户相应的访问权限,允许其访问系统或执行特定操作。
系统身份认证的目的是确保只有合法的用户才能访问系统,从而提高系统的安全性和数据的保护。
什么是访问控制?访问控制是管理用户对系统资源和数据的访问权限的过程。
它定义了谁可以访问系统中的什么资源,以及如何访问这些资源。
访问控制旨在确保用户只能访问其需要的资源,并限制他们对系统中敏感信息的访问。
访问控制通常包括以下几个方面:1.身份验证:在用户访问资源之前,系统需要验证用户的身份,确保其具有合法的身份。
2.授权:一旦用户的身份得到验证,系统需要确定用户是否具有访问特定资源的权限。
授权可以基于用户的角色、组织结构、权限级别等进行。
3.审计:访问控制还需要对用户的访问行为进行审计,以便监控和追踪用户对系统资源的使用情况,并及时发现异常行为。
通过访问控制,系统可以确保只有合法的用户能够访问特定资源,从而提高系统的安全性和数据的保护。
如何实现系统身份认证与访问控制?要实现系统身份认证与访问控制,我们可以采取以下几个步骤:步骤一:确定身份认证与访问控制的需求首先,我们需要确定系统的身份认证与访问控制的需求。
网络访问控制和身份认证的技术要求
网络访问控制和身份认证的技术要求在当今数字化时代,网络安全是一个不容忽视的问题。
随着互联网的快速发展,网络访问控制和身份认证的技术要求变得越来越重要。
本文将探讨网络访问控制和身份认证的技术要求,并提出相应的解决方案。
一、网络访问控制的技术要求网络访问控制是指管理和控制网络资源的访问权限,以保护系统免受未经授权的访问和恶意攻击。
在实现网络访问控制时,有以下几个技术要求:1. 身份验证网络系统应当能够验证用户的身份,并确保用户所提供的身份信息的真实性和准确性。
常见的身份验证方式包括用户名和密码、指纹识别、智能卡等。
这些身份验证方式需要具备高度安全性,以防止被不法分子冒用。
2. 权限管理网络系统中的用户通常具有不同的权限,例如管理员拥有更高的权限,可以对系统进行配置和管理。
因此,网络访问控制需要能够根据用户的身份和角色来分配相应的权限,以确保用户只能访问其所需的资源,并限制其对系统的操作。
3. 审计和日志记录为了追踪和识别潜在的网络威胁,网络系统应该具备审计和日志记录的功能。
通过记录用户的操作日志和网络流量,可以及时发现异常行为并采取相应的措施。
审计和日志记录能够提供证据,用于事后的调查和法律追责。
4. 防火墙和入侵检测系统网络访问控制需要借助防火墙和入侵检测系统来保护系统免受网络攻击。
防火墙可以对网络数据进行过滤和限制,防止恶意代码和未经授权的访问。
入侵检测系统能够监控网络流量,并及时识别并阻止入侵行为。
二、身份认证的技术要求身份认证是指确认用户身份的过程,以确保用户只能访问其所拥有权限的资源。
在实现身份认证时,有以下几个技术要求:1. 双因素认证为了提高身份认证的安全性,应采用双因素认证的方式。
双因素认证要求用户提供两种不同类型的证据,例如密码加上指纹或短信验证码。
这样即使密码泄露,黑客也无法完全绕过身份认证。
2. 单一登录随着互联网的普及,人们在不同的网络系统中需要进行身份认证。
为了方便用户,应实现单一登录系统,用户只需登录一次,即可访问所有授权的资源。
网络信息安全的身份认证与访问控制
网络信息安全的身份认证与访问控制随着互联网的迅猛发展,网络信息安全问题日益成为人们关注的焦点。
在网络世界中,用户的身份认证和访问控制是确保网络安全的重要环节。
本文将探讨网络信息安全的身份认证和访问控制的意义、现状以及相关技术和措施。
一、身份认证的意义身份认证是建立在数字身份的基础上,通过一系列的验证过程确认用户的真实身份。
身份认证的意义在于:首先,保护个人隐私。
在网络世界中,个人信息容易泄露,身份认证机制能够降低身份被冒用的风险,确保个人信息的安全。
其次,预防犯罪行为。
网络上存在各种各样的犯罪行为,如网络诈骗、网络盗窃等。
通过身份认证,可以减少非法操作、降低犯罪活动的发生。
第三,维护网络秩序。
身份认证机制可以对用户进行有效管理和监控,确保网络资源的合理分配和使用。
二、身份认证的现状目前,网络中常用的身份认证方式包括密码认证、生物识别认证和数字证书认证等。
首先,密码认证是最常用的身份认证方式之一。
用户通过设置独立密码来验证身份。
然而,单一密码容易被猜测或者被恶意破解,存在安全隐患。
其次,生物识别认证通过人体的特征信息(如指纹、虹膜等)来确认身份。
生物识别认证具有高度的安全性和便利性,但成本较高,实施难度较大。
最后,数字证书认证通过公钥加密来验证身份,具有较高的安全性。
然而,数字证书的申请和管理过程相对复杂,需要专业知识。
三、访问控制的意义访问控制是指在网络中对用户进行权限管理和控制,对用户的访问进行限制和监控。
访问控制的意义在于:首先,保护敏感信息。
在网络中,存在大量的敏感信息,如商业机密、个人隐私等。
访问控制可以限制非授权用户对敏感信息的访问,减少信息泄露的风险。
其次,防止未授权入侵。
非法入侵是网络安全中的常见问题,通过访问控制可以对非法入侵进行监控和阻止,提高网络的安全性。
第三,保障系统的正常运行。
访问控制可以限制用户对系统资源的使用,防止资源被滥用和耗尽,保障系统的正常运行。
四、访问控制的技术和措施针对网络的身份认证和访问控制,目前有多种技术和措施可供选择:首先,多因素认证是一种提高认证安全性的有效方式。
信息安全的身份认证与访问控制
信息安全的身份认证与访问控制在当今数字化的时代,信息如同珍贵的宝藏,而保护这些宝藏的关键就在于信息安全的身份认证与访问控制。
想象一下,一个装满机密文件的保险箱,如果任何人都能轻易打开它,那将会带来多么巨大的风险和混乱。
信息世界也是如此,如果没有有效的身份认证与访问控制,我们的个人隐私、企业机密乃至国家安全都可能受到严重威胁。
身份认证,简单来说,就是确认“你是谁”的过程。
它就像是进入一个秘密花园的门票,只有持有正确门票的人才能被允许进入。
这可以通过多种方式实现,比如我们常见的用户名和密码组合。
当你在登录社交媒体、电子邮箱或者网上银行时,输入正确的用户名和密码,系统就会认定你的身份合法,从而为你打开相应的服务之门。
然而,仅仅依靠用户名和密码并不总是足够安全。
因为人们常常为了方便记忆,会选择过于简单或者容易被猜到的密码,比如生日、电话号码等。
而且,如果密码不小心被泄露,那么不法分子就能够轻松地冒充你的身份。
为了增强身份认证的安全性,出现了许多其他的认证方式,比如指纹识别、面部识别、虹膜识别等生物特征认证。
这些方式基于每个人独特的生理特征,几乎不可能被伪造或模仿,大大提高了身份认证的可靠性。
另外,还有一种常见的身份认证方式是数字证书。
数字证书就像是一个网络世界里的身份证,由权威的第三方机构颁发。
当你在进行网上交易或者访问重要的网站时,数字证书可以证明你的身份和网站的合法性,确保双方的交易和通信是安全可靠的。
说完了身份认证,我们再来聊聊访问控制。
访问控制的目的是决定“你能做什么”。
即使你通过了身份认证,被确认了身份,也不意味着你可以在系统中为所欲为。
访问控制会根据你的身份和权限,规定你能够访问的信息和能够执行的操作。
举个例子,在一家公司里,普通员工可能只能访问与自己工作相关的文件和数据,而经理则可以访问更多的机密信息和拥有更高的操作权限。
同样,在一个医疗系统中,医生可以查看患者的病历,但护士可能只能查看部分相关信息。
网络身份认证与访问控制
网络身份认证与访问控制随着互联网的快速发展和普及,网络身份认证与访问控制在网络安全中扮演着至关重要的角色。
本文将探讨网络身份认证和访问控制的概念、原理以及其在保护网络安全中的作用。
一、概述网络身份认证是指通过验证用户提供的身份信息来确定其在网络上的真实身份的过程。
它确保了用户在进行网络交互时的真实性和合法性。
而访问控制是指根据用户的身份、权限和需求对网络资源的访问进行控制和管理,以确保网络资源的安全和保密。
二、网络身份认证网络身份认证是网络安全的基础步骤,它可以使用多种方式来验证用户的身份。
常见的身份认证方法包括密码认证、指纹识别、证书认证等。
1. 密码认证密码认证是最常见和简单的身份认证方式之一。
用户需要在登录时提供正确的用户名和密码才能获得访问权限。
密码认证虽然简单易用,但也容易受到暴力破解或密码泄漏的攻击。
2. 指纹识别指纹识别是一种生物识别技术,通过扫描和比对指纹图像来验证用户的身份。
它具有高度的准确性和安全性,但相对于其他认证方式来说,成本较高。
3. 证书认证证书认证基于公钥加密技术,用户在登录时需要提供其证书,而服务器则通过验证证书的有效性来确认用户的身份。
证书认证具有较高的安全性,但复杂度较高,需要密钥管理和证书颁发机构的支持。
三、访问控制访问控制是在身份认证完成后,对用户进行授权和控制其对网络资源的访问。
访问控制的目标是防止未经授权的访问和滥用网络资源。
1. 基于角色的访问控制基于角色的访问控制是一种常见且有效的访问控制方式。
它将用户分为不同的角色,每个角色拥有特定的权限。
通过将用户分配到相应的角色,可以限制其对资源的访问权限,并实现不同用户之间的隔离。
2. 强制访问控制强制访问控制是一种较为严格的访问控制方式,它基于预先定义的安全策略对用户进行授权。
只有在符合安全策略的情况下,用户才能获取特定的权限和访问权限。
强制访问控制通常应用于对机密信息的保护,如军事和政府领域。
3. 自愿访问控制自愿访问控制是一种基于用户主动选择的访问控制方式。
网络安全中的身份认证与访问控制技术原理解析
网络安全中的身份认证与访问控制技术原理解析网络安全是当今信息化社会不可或缺的重要组成部分,而身份认证与访问控制技术则是网络安全的重要保障。
身份认证和访问控制技术通过验证用户的身份和限制用户对资源的访问,有效地保护了网络系统的安全性。
本文将从身份认证和访问控制技术的基本原理、常见的技术手段以及未来发展趋势等方面进行详细的解析。
一、身份认证的基本原理身份认证是一种通过验证用户的身份信息来确认用户合法身份的过程。
身份认证的基本原理是通过用户提供的身份信息与事先注册或设定的身份信息进行比对,从而确认用户的身份。
身份信息通常包括用户名、密码、指纹、虹膜、声纹等个人特征信息。
身份认证的过程一般包括以下几个步骤:1.用户提供身份信息2.系统获取用户身份信息3.系统对用户身份信息进行验证4.验证通过则认证成功,否则认证失败其中,密码认证是最常见的一种身份认证方式。
用户在注册账号时,需设置用户名和密码,并在后续登录时通过输入用户名和密码进行身份认证。
密码认证的基本原理是用户输入的密码与系统存储的密码进行比对,一致则认证成功,否则认证失败。
除了密码认证,还有基于生物特征的认证技术,如指纹识别、虹膜识别、面部识别等。
这些技术利用用户身体的生物特征进行身份认证,更加安全可靠。
二、访问控制的基本原理访问控制是一种限制用户对资源访问的技术手段。
访问控制的基本原理是通过鉴别和授权来限制用户对资源的访问。
鉴别是指确认用户的身份,授权是指根据用户的身份和权限对用户的行为进行限制。
访问控制通常包括以下几种方式:1.强制性访问控制(MAC):是一种由系统管理员预先设定好的权限机制,用户无法修改或更改。
2.自主访问控制(DAC):是一种用户自行设定的权限机制,用户可以控制自己对资源的访问权限。
3.角色基础访问控制(RBAC):是一种基于用户角色的权限控制方式,将用户划分为不同的角色并赋予不同的权限。
这些访问控制方式可以根据实际需求进行组合使用,以达到更为精细的访问控制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第5章身份认证与访问控制技术教学目标●理解身份认证的概念及常用认证方式方法●了解数字签名的概念、功能、原理和过程●掌握访问控制的概念、原理、类型、机制和策略●理解安全审计的概念、类型、跟踪与实施●了解访问列表与Telnet访问控制实验5.1 身份认证技术概述5.1.1 身份认证的概念身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。
1. 身份认证的概念认证(Authentication)是指对主客体身份进行确认的过程。
身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。
2. 认证技术的类型认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。
从鉴别对象上,分为消息认证和用户身份认证两种。
(1)消息认证:用于保证信息的完整性和不可否认性。
(2)身份认证:鉴别用户身份。
包括识别和验证两部分。
识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。
从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证,5.1.2 常用的身份认证方式1. 静态密码方式静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。
2. 动态口令认证动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态短信密码和动态口令牌(卡)两种方式,口令一次一密。
图5-1动态口令牌3. USB Key认证采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式。
其身份认证系统主要有两种认证模式:基于冲击/响应模式和基于PKI体系的认证模式。
常用的网银USB Key如图5-2所示。
图5-2 网银USB Key4. 生物识别技术生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。
认证系统测量的生物特征一般是用户唯一生理特征或行为方式。
生物特征分为身体特征和行为特征两类。
5. CA认证国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。
用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。
发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。
表5-1 证书的类型与作用证书名称证书类型主要功能描述个人证书个人证书个人网上交易、网上支付、电子邮件等相关网络作业单位证书单位身份证书用于企事业单位网上交易、网上支付等Email证书用于企事业单位内安全电子邮件通信部门证书用于企事业单位内某个部门的身份认证服务器证书企业证书用于服务器、安全站点认证等代码签名证书个人证书用于个人软件开发者对其软件的签名企业证书用于软件开发企业对其软件的签名注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。
CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。
CA系统的主要功能是管理其辖域内的用户证书。
CA的主要职能体现在3个方面:(1)管理和维护客户的证书和证书作废表(CRL)。
(2)维护整个认证过程的安全。
(3)提供安全审计的依据。
5.1.3 身份认证系统概述1. 身份认证系统的构成身份认证系统的组成包括:认证服务器、认证系统客户端和认证设备。
系统主要通过身份认证协议和认证系统软硬件进行实现。
其中,身份认证协议又分为:单向认证协议和双向认证协议。
若通信双方只需一方鉴别另一方的身份,则称单项认证协议;如果双方都需要验证身份,则称双向认证协议。
如图5-3所示。
图5-3 认证系统网络结构图【案例5-1】AAA认证系统现阶段应用最广。
认证(Authentication)是验证用户身份与可使用网络服务的过程;授权(Authorization)是依据认证结果开放网络服务给用户的过程;审计(Accounting)是记录用户对各种网络服务的用量,并计费的过程。
2.常用认证系统及认证方法1)固定口令认证固定口令认证方式简单,易受攻击:(1)网络数据流窃听(Sniffer)。
(2)认证信息截取/重放。
(3)字典攻击。
(4)穷举尝试(Brute Force)。
(5)窥探密码。
(6)社会工程攻击。
(7)垃圾搜索。
2)一次性口令密码体制一次性口令认证系统组成:(1)生成不确定因子。
(2)生成一次性口令。
3)双因素安全令牌及认证系统(1)E-Securer的组成图5-4 E-Securer安全认证系统(2)E-Securer的安全性。
(3)双因素身份认证系统的技术特点与优势。
4)单点登入系统单点登入(Single Sign On,SSO)也称单次登入,是在多个应用系统中,用户只需要登入一次就可以访问所有相互信任的应用系统。
单点登入优势体现在5个方面:(1)管理简单。
(2)管理控制便捷。
(3)用户使用简捷。
(4)网络更安全。
(5)合并异构网络。
5)Infogo身份认证盈高科技INFOGO推出的安全身份认证准入控制系统。
其终端安全管理平台由MSAC 安全准入套件、ITAM资产管理套件、MSEP桌面套件(包括应用管理、补丁管理、终端运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理)和MSM移动存储介质管理套件组成。
课堂讨论1.什么是身份认证?身份认证技术有哪几种类型?2.常用的身份认证方式有哪些?并举例说明。
2.常用认证系统和认证方法有哪些?5.2数字签名概述5.2.1 数字签名的概念及功能1. 数字签名的概念及种类数字签名(Digital Signature)又称公钥数字签名或电子签章,是以电子形式存储于信息中或以附件或逻辑上与之有联系的数据,用于辨识数据签署人的身份,并表明签署人对数据中所包信息的认可。
基于公钥密码体制和私钥密码体制都可获得数字签名,目前主要是基于公钥密码体制的数字签名。
包括普通数字签名和特殊数字签名两种。
2. 数字签名的功能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
最终目的是实现6种安全保障功能:(1)必须可信。
(2)无法抵赖。
(3)不可伪造。
(4)不能重用。
(5)不许变更。
(6)处理快、应用广。
5.2.2 数字签名的原理及过程1.数字签名算法的组成数字签名算法主要有两部分组成:签名算法和验证算法。
签名者可使用一个秘密的签名算法签署一个数据文件,所得的签名可通过一个公开的验证算法进行验证。
常用数字签名主要是公钥加密(非对称加密)算法的典型应用。
2.数字签名基本原理及过程在网络环境中,数字签名可以代替现实中的“亲笔签字”。
整个数字签名的基本原理采用的是双加密方式,先将原文件用对称密钥加密后传输,并将其密钥用接收方公钥加密发给对方。
一套完整的数字签名通常定义签名和验证两种互补的运算。
单独的数字签名只是一加密过程,签名验证则是一个解密的过程。
基本原理及过程,如图5-5所示。
图5-5 数字签名原理及过程课堂讨论1.数字签名和现实中的签名有哪些区别和联系?2.数字签名的基本原理及过程怎样?5.3 访问控制技术概述5.3.1 访问控制的概念及原理1.访问控制的概念及要素访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。
通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。
访问控制包括三个要素:(1)主体S(Subject)。
是指提出访问资源具体请求。
(2)客体O(Object)。
是指被访问资源的实体。
(3)控制策略A(Attribution)。
2.访问控制的功能及原理访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制的内容包括认证、控制策略实现和安全审计,如图5-6所示。
图5-6 访问控制功能及原理5.3.2 访问控制的类型及机制访问控制可以分为两个层次:物理访问控制和逻辑访问控制。
1. 访问控制的类型访问控制类型有3种模式:1)自主访问控制自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。
包括在文件,文件夹和共享资源中设置许可。
图5-7 Linux系统中的自主访问控制2)强制访问控制强制访问控制(MAC)是系统强制主体服从访问控制策略。
是由系统对用户所创建的对象,按照规则控制用户权限及操作对象的访问。
主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。
MAC的安全级别常用的为4级:绝密级、秘密级、机密级和无级别级,其中T>S>C>U。
系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。
3)基于角色的访问控制角色(Role)是一定数量的权限的集合。
指完成一项任务必须访问的资源及相应操作权限的集合。
角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制(RBAC)是通过对角色的访问所进行的控制。
使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。
可极大地简化权限管理。
RBAC模型的授权管理方法,主要有3种:①根据任务需要定义具体不同的角色。
②为不同角色分配资源和操作权限。
③给一个用户组(Group,权限分配的单位与载体)指定一个角色。
RBAC支持三个著名的安全原则:最小权限原则、责任分离原则和数据抽象原则。
2.访问控制机制访问控制机制是检测和防止系统未授权访问,并对保护资源所采取的各种措施。
是在文件系统中广泛应用的安全防护方法,一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯穿于系统全过程。
访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体间的访问权限。
主要采用以下2种方法。
1)访问控制列表访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。
2)能力关系表能力关系表(Capabilities List )是以用户为中心建立访问权限表。
与ACL 相反,表中规定了该用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。
相反,检索具有授权访问特定客体的所有主体,则需查遍所有主体的能力关系表。
3. 单点登入的访问管理根据登入的应用类型不同,可将SSO 分为3种类型。