网络安全9-访问控制技术
合集下载
网络安全9-访问控制技术
访问控制三要素:
访问控制的最基本概念
访问控制系统要素之间的行为关系参见下图:
访问控制过程
访问控制由两个重要过程组成 1、通过认证来检验主体的合法身份; 2、通过授权(Authorization)来限制用户 对资源的访问级别。 在认证和授权后,访问控制机制将根据预先设 定的规则对用户访问的资源进行控制,只有规 则允许的资源才能访问。
基于角色的访问控制
第9章 第2节
9.2 入网认证
入网认证即入网访问控制。它为网络访问 提供了第一层访问控制 入网认证控制哪些用户能够登录到服务器 并获得网络资源,也控制准许用户入网的 时间和准许他们在哪台工作站入网 入网认证实质上就是对用户的身份进行认 证
第9章 第2节
9.2 入网认证
网络安全
刘敏贤 副教授
西南科技大学计算机科学与技术学院
第9章 访问控制技术
本章的主要内容是对入网访问控制、物理隔离、 自主访问控制和强制访问控制等技术的实现原 理进行了详细的论述,并介绍了一些新型访问 控制技术。
第9章 访问控制技术
9.1 访问控制技术概述 9.2 入网认证 9.3 物理隔离措施 9.4 自主访问控制 9.5 强制访问控制 9.6 新型访问控制技术
例:工行、建行(见备注)
身份认证技术方法
目前,计算机及网络系统中常用的身份认证方 式主要有以下几种:
4. USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种 方便、安全的身份认证技术。它采用软硬件相结合、一 次一密的强双因子认证模式,很好地解决了安全性与易 用性之间的矛盾。 USB Key内置单片机或智能卡芯片,可以存储用户的密 钥或数字证书,利用USB Key内置的密码算法实现对用 户身份的认证。 基于USB Key身份认证系统主要有两种应用模式:一是 基于冲击/响应的认证模式,二是基于PKI体系的认证模 式。
网络信息安全的访问控制与身份认证
网络信息安全的访问控制与身份认证网络信息安全一直以来都备受关注,随着互联网的快速发展和普及,信息的安全问题变得日益突出。
为了保护网络数据的安全,许多组织和机构都采取了各种措施,其中最常见和有效的措施之一就是访问控制与身份认证。
一、访问控制的概念及重要性访问控制是指在计算机网络中对访问请求者进行身份验证和权限控制,以确保只有合法用户可以获取到系统或网络中的资源。
它是保护网络安全的第一道防线,具有至关重要的意义。
访问控制能够确保只有经过身份认证的用户才能进入系统,防止未经授权的用户非法访问或篡改数据,从而保护网络数据的安全。
它可以限制用户对系统资源的使用,确保系统只对有权限的用户开放。
二、身份认证的方式与技术1.用户名和密码认证这是最常见的身份认证方式之一,用户通过输入正确的用户名和密码来验证自己的身份。
系统根据用户输入的信息与数据库中存储的信息进行比对,如果匹配成功,则认证通过。
2.生物特征识别生物特征识别是一种身份认证技术,通过识别和验证人体生物特征(如指纹、虹膜、声音等)来确认用户的身份。
这种方式可以有效抵制密码泄露和盗用的风险。
3.数字证书认证数字证书认证是一种基于公钥加密的身份认证方式,依赖于密码学技术和数字证书基础设施。
用户通过数字证书来证明自己的身份,确保通信过程中的安全性和无法被篡改。
4.双因素认证双因素认证是将两种或多种身份认证方式结合在一起使用的方式,以提高认证的安全性。
常见的双因素认证方式包括密码加令牌、密码加指纹等。
三、网络访问控制的常用技术手段1.防火墙防火墙是一种常见的网络访问控制技术,它可以根据规则策略过滤网络数据包,限制网络访问。
防火墙能够保护网络内部的资源免受未经授权的访问和攻击。
2.网络隔离网络隔离是通过物理或逻辑手段将不同的网络环境分割开来,避免未经授权的访问。
不同的网络环境可以根据安全级别的不同进行分割,确保敏感数据不被外部网络访问。
3.访问控制列表(ACL)访问控制列表是一种用于设置网络设备(如路由器、交换机)访问权限的技术手段。
网络安全中访问控制技术的研究
源。 访问过程包括读取数据、 更改数据、 运行程序、 发起 访 问用户 身份 的合法 性做 出认证 .然后 按 照访 问控 制 连接 等操作 。资源可 以是 能 够 以某种 方 式 ( 读操 作 、 策 略所赋 予用 户 的权 限来 决定 是否 允许 或 者 限制用 户 如 写操 作或 修改 操作 ) 对其 进行 操 作 的任何 一个 对象 , 也 对客体资源的访问。主体授权权限的修改一般 由特权 系统安 全管理 员 ) 者是 特权用 户组 来完 成 。 或 可 以是那 些 被迫执行 的某种 操 作 ( 如运 行某 个程 序 或 用户 ( 自主访 问控 制模 型 的实 现方 法 通常 是 采 用基 于 矩 者发送一个消息 ) 的对象。客户可能就是用户实体 , 服 务 器 可能就 是某 种资 源 。 之 , 问控制 就 是为 了限制 阵 的行或列 来表 示 自主访 问控制 的信息 ,从 而 达 到对 总 访 在矩 阵 中 , 对 应 系统 中涉 行 访 问 主体 ( 称 之 为发 起 者 , 某个 主动 的实体 , 或 是 如用 主体 访 问权 限限制 的 目的 。 列对 我们 常用 的访 问控 制列 户、 进程 、 服务等等) 对访问客体( 需要受保护的资源 ) 及 的主 体 . 应 系统 的客体 。 表 ( ces 0t l i , C ) A c s C nr s A L 就是一 种 基于列 的 自主访 oL t 的访问权限.从而使计算机系统可以在合法范 围内使
为广 泛的访 问控 制手 段 它是基 于对 主 体及 主体 所 属
防 止未 授权 的 用户 非法 访 问受保 护 的资 源 .保 证 主体组 的识 别 .来 实 现对 客体访 问进 行 限制 的一 种 方 合 法用 户可 以正 常访 问信 息 资源 .这是 访 问控 制 的基 案 .同时它 还要校 验 主体对 客体 的访 问 请求 是否 符 合
浅谈如何利用访问控制列表技术保障校园网网络安全
不 够全 面 。 至存 在很大 的误 区 。例 如 : 为 网络 A L可 以限定 或简化路 由更新 信息 的长 度 .从 而 甚 认 C 建设越 高档越 好 , 在建设 中盲 目追求 高 投人 , 校 限制通过 路 由器某 一 网段 的通信 流量 。 对 园 网络建 设 的建 设 缺乏 综 合规 划 及 开发 应 用 : 认 3 A L是 提供 网络安全访 问的基本 手段 。如 )C 为建 好 了校 园 网络 , 连接 了 It nt就 等 于 实 现 A L允许 主机 A访 问人力 资 源 网络 . ne e. r C 而拒 绝 主机 了教学 和办公 的 自动化和 信息化 .而 缺乏 对校 园 B访 问 。 网络 的综 合管 理 、 技术人 员 和教师 的应 用培训 , 缺
3 访 问控制 列表 的分类 、 目前 A L分 为标 准 A L C C 、扩展 A L和 基 于 C
之有效 的方 法 . 既可 以很好地 杜绝 网络 安全 隐患 . 时 间 的 A L三种 标 准 A L可 以阻止 来 自某 一 C C 还可 以省 去购买 硬件 防火墙 的开支 下 面本 人便 网络 的所有 通信 流量 .或者 允许来 自某 一 特定 网 简单谈 谈如何 利用 访 问控制列 表技术 来 保 障校 园 络 的所 有通 信流 量 .或 者拒绝 某 一协议 簇 的所 有 网 的 网 络 安 全 通 信流 量 。扩 展 A L比标 准 A L提供 了更 广 泛 C C
文抛砖 引玉 , 与各位 同行共 同利 用各种 先进 的 网络技 术 来保 障校 园 网的 网络安 全 , 其更 好地 服 使
务 于广 大师 生。
【 键 词 】 访 f控 制列表 网络安 全 校 园网 关 : - l
背 景 术手 段 。 随着 经 济 的发 展 和 国 家科 教 兴 国 战略 的 实 2 访 问控 制列表 的功 能 、 施 .校 园网络建设 已逐 步成 为学校 的基础建 设项 1 A L可 以限制 网络流量 、 高 网络性 能 。 )C 提 如
计算机网络技术基础(9)网络安全
加密技术一般分为对称加密技术和非对称加密技术两类。对称加 密技术是指加密和解密使用同一密钥。非对称加密技术是指加密和解 密使用不同的密钥,分别称为“公钥”和“私钥”,两种密钥必须同 时使用才能打开相应的加密文件。公钥可以完全公开,而私钥只有持 有人持有。
9.2 网络加密技术
9
1 对称加密技术
对称加密技术采用的是对称加密算法。该技术的特点是在保密通信系统中发送者和接收 者之间的密钥必须安全传送,而且双方通信所用的密钥必须妥善保管。
9.1 网络安全基础
7
3 网络病毒
病毒对计算机系统和网络安全造成了极大的威胁,病毒在发 作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的 破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒 传播的速度更快,范围更广,造成的损失也更加严重。据统计, 目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单 机的20倍,网络服务器杀毒花费的时间是单机的40倍。
身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。识别 是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同。验证则 是指在访问者声明其身份后,系统对他的身份的检验,以防止假冒。身份认证是防止主动 攻击的重要技术,目前广泛使用的认证方法有口令验证、信物验证和利用个人独有的特性 进行验证等。
9.3 防火墙技术
14
防火墙作为内网和外网之间的屏障, 控制内网和外网的连接,实质就是隔离内 网与外网,并提供存取控制和保密服务, 使内网有选择地与外网进行信息交换。内 网通常称为可信赖的网络,而外网被称为 不可信赖的网络。所有的通信,无论是从 内部到外部,还是从外部到内部,都必须 经过防火墙,如图8-1所示。防火墙是不 同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全策略控制出入网络 的信息流,且本身具有较强的抗攻击能力。 防火墙既可以是一台路由器、一台计算机, 也可以是由多台主机构成的体系。
9.2 网络加密技术
9
1 对称加密技术
对称加密技术采用的是对称加密算法。该技术的特点是在保密通信系统中发送者和接收 者之间的密钥必须安全传送,而且双方通信所用的密钥必须妥善保管。
9.1 网络安全基础
7
3 网络病毒
病毒对计算机系统和网络安全造成了极大的威胁,病毒在发 作时通常会破坏数据,使软件的工作不正常或瘫痪;有些病毒的 破坏性更大,它们甚至能破坏硬件系统。随着网络的使用,病毒 传播的速度更快,范围更广,造成的损失也更加严重。据统计, 目前70%的病毒发生在网络中。联网计算机的病毒传播速度是单 机的20倍,网络服务器杀毒花费的时间是单机的40倍。
身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。识别 是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同。验证则 是指在访问者声明其身份后,系统对他的身份的检验,以防止假冒。身份认证是防止主动 攻击的重要技术,目前广泛使用的认证方法有口令验证、信物验证和利用个人独有的特性 进行验证等。
9.3 防火墙技术
14
防火墙作为内网和外网之间的屏障, 控制内网和外网的连接,实质就是隔离内 网与外网,并提供存取控制和保密服务, 使内网有选择地与外网进行信息交换。内 网通常称为可信赖的网络,而外网被称为 不可信赖的网络。所有的通信,无论是从 内部到外部,还是从外部到内部,都必须 经过防火墙,如图8-1所示。防火墙是不 同网络或网络安全域之间信息的唯一出入 口,能根据企业的安全策略控制出入网络 的信息流,且本身具有较强的抗攻击能力。 防火墙既可以是一台路由器、一台计算机, 也可以是由多台主机构成的体系。
Internet技术与应用第九章
9.1 网络安全基础知识
9.1.3 网络安全面临的威胁
网络安全威胁可分为被动威胁和主动威胁两类。被 动威胁只对信息进行监听,而不对其修改和破坏; 主动威胁则对信息进行故意篡改和破坏。
伪装:威胁源假扮另外一个实体,威胁源伪装成功 获得该实体的权利后,滥用该实体的权利。其中威 胁源可以是用户或者是程序,如IP伪装。
7)防火墙控制 在网络边界建立相应的网络通信系统来隔离内 网和外网。
第9章 网络安全
8)信息加密策略 信息加密的目的是保护网内的数据、文件 、口令和控制信息,保护网上传输的数据。 网络加密常用的方法有链路加密、端点加密 和节点加密3种。信息加密技术需加密算法来 支持,为网络加密,不但可以防止非授权用 户的搭线窃听和入网,而且也是对付恶意软 件的有效方法之一。
第9章 网络安全
9.1.4 网络安全的关键技术
防火墙技术:这是近年来维护网络安全最重 要的手段。防火墙技术是实现了在两个网络 间实现数据信息安全传输的一种网络安全技 术。
加密技术:这是一种主动、开放型的安全防 范手段。对于敏感数据应该采用加密技术, 加密技术又分为公钥加密和私钥加密。通过相应的解密技术进行数据解密 存储。
Internet 技术与应用
第9章 网络安全
9.1 网络安全基础知识 9.2 防火墙技术 9.3 天网防火墙 9.4 黑客初识 9.5杀毒软件
9.1 网络安全基础知识
9.1 网络安全基础知识
9.1.1 网络安全的定义 从狭义的保护角度来看,计算机网络安全是 指计算机及其网络系统资源和信息资源不受 自然和人为有害因素的威胁和危害,从广义 来说,凡是涉及到计算机网络上信息的保密 性、完整性、可用性、真实性和可控性的相 关技术和理论都是计算机网络安全的研究领 域。
实施强化访问控制策略网络安全运维服务的关键方案
实施强化访问控制策略网络安全运维服务的关键方案随着互联网的发展和应用的普及,网络安全问题日益凸显。
为了保护机构和企业在网络上的数据安全,实施强化访问控制策略是至关重要的。
本文将介绍实施强化访问控制策略网络安全运维服务的关键方案,从技术、人员和管理等多个角度进行论述,旨在提供一套综合的解决方案。
一、技术方案1. 强化访问控制策略的技术原则实施强化访问控制策略需要遵循以下技术原则:(1)最小权限原则:根据不同的用户角色和工作需求,分配最低限度的权限,避免权限过大导致的风险。
(2)多层次防护:通过多层次、多维度的防护措施,包括硬件设备、网络安全设备、安全软件等,全面保护网络安全。
(3)加密传输:对敏感数据进行加密传输,保障数据在传输过程中的安全性,防止数据泄露的风险。
(4)实时监控与预警:借助安全设备和软件实时监控网络流量、异常行为和安全事件,及时发现并预警潜在的安全威胁。
2. 强化访问控制策略的技术实施为了实施强化访问控制策略,可以采取以下技术措施:(1)身份认证与访问控制:引入强身份认证技术,如双因素认证、生物特征识别等,确保只有合法用户才能访问系统;同时,采用访问控制列表(ACL)等技术实现对资源的权限控制。
(2)防火墙与入侵检测系统:部署防火墙和入侵检测系统(IDS/IPS),及时阻挡恶意攻击和入侵行为。
(3)数据加密与安全传输:使用数据加密技术对关键数据进行加密存储和传输,保证数据的机密性和完整性。
(4)蜜罐技术:搭建蜜罐系统,吸引攻击者进入虚假系统,以便及时监测和分析攻击行为,提升安全防护水平。
二、人员方案实施强化访问控制策略的网络安全运维服务需要具备专业的技术人员,他们应具备以下能力和素质:1. 专业技术能力网络安全运维人员需要具备扎实的网络安全技术知识和经验,了解当前网络安全威胁和攻击手段,熟悉常用的安全设备和软件,能够根据需求进行系统配置和优化。
2. 紧急响应能力网络安全事件发生后,需要能够迅速响应和处置,及时制定应急预案,快速隔离和修复受影响的系统,最大程度减少安全事件的损害。
网络信息安全的关键技术
防火墙的作用示意图
非法获取内部 数据
互联网
防火墙的局限性
防火墙不是解决所有网络安全问题的万能 药方,只是网络安全政策和策略中的一个组成 部分。 •防火墙不能防范绕过防火墙的攻击 ,如内 部提供拨号服务。 •防火墙不能防范来自内部人员恶意的攻击。 •防火墙不能阻止被病毒感染的程序或文件的 传递。 •防火墙不能防止数据驱动式攻击。如特洛伊 木马。
8
电子商务 安 全 技术之一
内部网与互联网怎样有效隔离
网络间的访问 ----需隔离 FIREWALL
防火墙示意图
2. 部门子网 3. 分公司网络
Internet
1. 企业内联网
防火墙的概念(1)
最初含义:当房屋还处于木制结构的时侯,人 们将石块堆砌在房屋周围用来防止火灾的发生。 这种墙被称之为防火墙 。
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •主机安全技术 •防火墙技术 •密码技术 • 反入侵(黑客防范)技术 加密和解密 •防病毒技术 1、算法 •安全审计技术 2 、体制 •安全管理技术
•
•
对称加密体制
非对称加密体制
3、VPN
网络信息安全的关键技术
•身份认证技术 •访问控制技术 •主机安全技术 •防火墙技术 •密码技术 •反入侵技术 • 防病毒技术 1. 漏洞扫描技术 •安全管理技术 2. 入侵侦测技术 3. 安全审计技术
防火墙是一种访问控制技术,在某个机构的网
络和不安全的网络之间设置障碍,阻止对信息
资源的非法访问。换句话说,防火墙是一道门
槛,控制进/出两个方向的通信。
防火墙的概念(2)
具有下列性质:
1.只允许本地安全策略授权的通信信息通过 2.双向通信信息必须通过防火墙 3.防火墙本身不会影响信息的流通
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
§ 行为特征包括:签名、语音、行走步态等。
l 目前采用的有:指纹识别技术、视网膜识别技术、声音识别 技术
网络安全9-访问控制技术
身份认证技术方法
l 目前,计算机及网络系统中常用的身份认证方式主 要有以下几种:
6. CA认证
l CA (Certification Authority)是认证机构的国际通称,它是对 数字证书的申请者发放、管理、取消数字证书的机构。
网络安全9-访问控制技 术
2020/12/13
网络安全9-访问控制技术
第9章 访问控制技术
l 本章的主要内容是对入网访问控制、物理隔离、 自主访问控制和强制访问控制等技术的实现原 理进行了详细的论述,并介绍了一些新型访问 控制技术。
网络安全9-访问控制技术
第9章 访问控制技术
l 9.1 访问控制技术概述 l 9.2 入网认证 l 9.3 物理隔离措施 l 9.4 自主访问控制 l 9.5 强制访问控制 l 9.6 新型访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 不同协议间的适应性
l 认证系统应该对所有协议的应用进行有效的身份识 别
l 除了HTTP以外,安全Email访问(包括认证SMTP、 POP或者IMAP)也应该包含在认证系统中
l 入网认证控制哪些用户能够登录到服务器 并获得网络资源,也控制准许用户入网的 时间和准许他们在哪台工作站入网
l 入网认证实质上就是对用户的身份进行认 证
网络安全9-访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证
l 身份认证过程指的是当用户试图访问资源的时 候,系统确定用户的身份是否真实的过程
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 认证数据正确
l 消息的接受者能够验证消息的合法性、真实性和完 整性
l 消息的发送者对所发的消息不可抵赖 l 除了合法的消息发送者外,任何其他人不能伪造合
法的消息 l 当通9-访问控制技术
访问控制的最基本概念
l 主体(subject)
l 一个提出请求或要求的实体,是动作的发起者(不一定是 动作的执行者),有时也称为用户或访问者(如被授权使 用计算机的人);
l 主体含义广泛,可以是用户、用户组、计算机终端、外设 卡、手持终端设备、一个数据文件甚至是应用服务程序或 进程。
l 客体(object)
l 接受其他实体访问的被动实体,凡是可以被操作的信息、 资源、对象都可以作为客体;
l 通常包括文件和文件系统、磁盘和磁带卷标、远程终端、 信息管理系统的事务处理及其应用、数据库中的数据、应 用资源等。
网络安全9-访问控制技术
访问控制的最基本概念
l 访问(access)
l 使信息在主体和客体之间流动的一种交互方式。 l 对文件客体来说,典型的访问就是读、写、执行和所有;
老师可以输入考试成绩,只有学生可以对教学质量进行评 价。。。
例2:作为QQ用户,执行同样的登录操作,为什么QQ服务器
可以识别出有的用户花了钱晋升为QQ会员,有的用户开通了 各种钻,更多的只是普通的QQ用户呢?
例3:论坛规定,发贴或跟贴必须要先注册并登录,而且只
有管理员可以删贴,甚至封贴。
网络安全9-访问控制技术
§ 除了对直接的访问进行控制外,还应对信息的流动和推 理攻击施加控制
l 审计跟踪
l 对用户使用何种系统资源、使用的时间、执行的操 作等问题进行完整的记录,以备非法事件发生后能 进行有效的追查
网络安全9-访问控制技术
第9章 第1节
9.1 访问控制技术概述
l 访问控制的类型
l 自主访问控制(DAC)
l 用户可以按自己的意愿对系统参数做适当的修改, 可以决定哪个用户可以访问系统资源
网络安全9-访问控制技术
访问控制过程
l 这种控制通过监控器进行,每一次用户对系统 内目标进行访问时,都由这个监控器来进行调 节
l 控制过程:用户对系统进行访问时,监控器便 依据访问控制策略,以确定准备进行访问的用 户是否确实得到了进行此项访问的许可。
网络安全9-访问控制技术
访问控制过程
l 严格区分身份认证和访问控制很重要! l 原因:正确建立用户的身份是认证服务的责任,
身份认证技术方法
l 目前,计算机及网络系统中常用的身份认证方式主 要有以下几种:
5. 生物识别技术
l 生物识别技术主要是指通过可测量的身体或行为等生物特征 进行身份认证的一种技术。生物特征是指唯一的可以测量或 可自动识别和验证的生理特征或行为方式。
l 生物特征分为身体特征和行为特征两类。
§ 身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手 的血管和DNA等;
l 当一主体试图非法使用一个未经授权的资 源时,访问控制机制将拒绝这一企图,并 将这一事件报告给审计跟踪系统
l 审计跟踪系统将给出报警,并记入日志档 案
网络安全9-访问控制技术
第9章 第1节
9.1 访问控制技术概述
l 网络的访问主要采用基于争用和定时两种 方法
l 基于争用的方法意味着网上所有站点按先 来先服务原则争用带宽
其中所有权指谁能改变文件的访问权。
l 访问控制策略(access control policy)
l 主体对客体的访问规则集,这个规则集直接定义了主体对 客体的作用行为和客体对主体的条件约束。
l 体现了一种授权行为,也就是客体对主体的权限允许,这 种允许不能超越规则集。
网络安全9-访问控制技术
访问控制的最基本概念
l 智能卡由合法用户随身携带,登录时必须将智能卡插入专 用的读卡器读取其中的信息,以验证用户的身份。
网络安全9-访问控制技术
身份认证技术方法
l 目前,计算机及网络系统中常用的身份认证方 式主要有以下几种:
3. 动态令牌认证
l 动态口令技术是一种让用户密码按照时间或使用次数不 断变化、每个密码只能使用一次的技术。它采用一种动 态令牌的专用硬件,内置电源、密码生成芯片和显示屏 ,密码生成芯片运行专门的密码算法,根据当前时间或 使用次数生成当前密码并显示。用户使用时只需要将动 态令牌上显示的当前密码输入客户端计算机,即可实现 身份认证。
l USB Key内置单片机或智能卡芯片,可以存储用户的密 钥或数字证书,利用USB Key内置的密码算法实现对用 户身份的认证。
l 基于USB Key身份认证系统主要有两种应用模式:一是 基于冲击/响应的认证模式,二是基于PKI体系的认证模 式。
§ 例:工行、建行(见备注)
网络安全9-访问控制技术
l 身份认证的评价标准
l 可行性 l 认证强度 l 认证粒度 l 认证数据正确 l 不同协议间的适应性
第9章 第2节
网络安全9-访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 可行性
l 从用户的观点看,认证方法应该提高用户访问应用 的效率,减少多余的交互认证过程,提供一次性认 证
l CA 的作用:是检查证书持有者身份的合法性,并签发证书(用 数学方法在证书上签字),以防证书被伪造或篡改。网络身份 证的发放、管理和认证就是一个复杂的过程,也就是CA认证 。
l CA职能
§ 管理和维护客户的证书和证书作废表 § 维护自身的安全 § 提供安全审计的依据
网络安全9-访问控制技术
9.2 入网认证
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 认证粒度
l 身份认证只决定是否允许用户进入服务应用。之后 如何控制用户访问的内容,以及控制的粒度也是认 证系统的重要标志
l 有些认证系统仅限于判断用户是否具有合法身份, 有些则按权限等级划分成几个密级,严格控制用户 按照自己所属的密级访问
网络安全9-访问控制技术
网络安全9-访问控制技术
第9章 第1节
第9章 访问控制技术
l 要保证计算机系统实体的安全,必须对计 算机系统的访问进行控制
l 访问控制的基本任务
l 防止非法用户即未授权用户进入系统 l 合法用户即授权用户对系统资源的非法使用
网络安全9-访问控制技术
问题提出
l 例1:学校的教务管理系统全校师生都可以使用,但是只有
而访问控制则假定在通过监控器实施访问控制 前,用户的身份就已经得到了验证;因而,访 问控制的有效性取决于用户的正确识别,同时 也取决于监控器正确的控制。
网络安全9-访问控制技术
访问控制技术概述
l 访问控制是从计算机系统的处理能力方面 对信息提供保护
l 它按照事先确定的规则决定主体对客体的 访问是否合法
1. 用户名及密码方式
l 用户名及密码方式是最简单也是最常用的身份认证方法, 由用户自己设定,只有用户本人知道。只要能够正确输入 密码,计算机就认为操作者就是合法用户。
2. 智能卡认证
l 智能卡是一种内置集成的电路芯片,芯片中存有与用户身 份相关的数据,智能卡由专门的厂商通过专门的设备生产 ,是不可复制的硬件。
访问控制的最基本概念
l 访问控制系统要素之间的行为关系参见下图:
网络安全9-访问控制技术
访问控制过程
l 访问控制由两个重要过程组成 1、通过认证来检验主体的合法身份; 2、通过授权(Authorization)来限制用户 对资源的访问级别。
l 在认证和授权后,访问控制机制将根据预先设 定的规则对用户访问的资源进行控制,只有规 则允许的资源才能访问。
l 另外所有用户可访问的资源应该提供友好的界面给 用户访问
网络安全9-访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 认证强度
l 认证强度取决于采用的算法的复杂度以及密钥的长 度
l 采用更复杂的算法,更长的密钥,将能提高系统的 认证强度,提高系统的安全性
l 目前采用的有:指纹识别技术、视网膜识别技术、声音识别 技术
网络安全9-访问控制技术
身份认证技术方法
l 目前,计算机及网络系统中常用的身份认证方式主 要有以下几种:
6. CA认证
l CA (Certification Authority)是认证机构的国际通称,它是对 数字证书的申请者发放、管理、取消数字证书的机构。
网络安全9-访问控制技 术
2020/12/13
网络安全9-访问控制技术
第9章 访问控制技术
l 本章的主要内容是对入网访问控制、物理隔离、 自主访问控制和强制访问控制等技术的实现原 理进行了详细的论述,并介绍了一些新型访问 控制技术。
网络安全9-访问控制技术
第9章 访问控制技术
l 9.1 访问控制技术概述 l 9.2 入网认证 l 9.3 物理隔离措施 l 9.4 自主访问控制 l 9.5 强制访问控制 l 9.6 新型访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 不同协议间的适应性
l 认证系统应该对所有协议的应用进行有效的身份识 别
l 除了HTTP以外,安全Email访问(包括认证SMTP、 POP或者IMAP)也应该包含在认证系统中
l 入网认证控制哪些用户能够登录到服务器 并获得网络资源,也控制准许用户入网的 时间和准许他们在哪台工作站入网
l 入网认证实质上就是对用户的身份进行认 证
网络安全9-访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证
l 身份认证过程指的是当用户试图访问资源的时 候,系统确定用户的身份是否真实的过程
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 认证数据正确
l 消息的接受者能够验证消息的合法性、真实性和完 整性
l 消息的发送者对所发的消息不可抵赖 l 除了合法的消息发送者外,任何其他人不能伪造合
法的消息 l 当通9-访问控制技术
访问控制的最基本概念
l 主体(subject)
l 一个提出请求或要求的实体,是动作的发起者(不一定是 动作的执行者),有时也称为用户或访问者(如被授权使 用计算机的人);
l 主体含义广泛,可以是用户、用户组、计算机终端、外设 卡、手持终端设备、一个数据文件甚至是应用服务程序或 进程。
l 客体(object)
l 接受其他实体访问的被动实体,凡是可以被操作的信息、 资源、对象都可以作为客体;
l 通常包括文件和文件系统、磁盘和磁带卷标、远程终端、 信息管理系统的事务处理及其应用、数据库中的数据、应 用资源等。
网络安全9-访问控制技术
访问控制的最基本概念
l 访问(access)
l 使信息在主体和客体之间流动的一种交互方式。 l 对文件客体来说,典型的访问就是读、写、执行和所有;
老师可以输入考试成绩,只有学生可以对教学质量进行评 价。。。
例2:作为QQ用户,执行同样的登录操作,为什么QQ服务器
可以识别出有的用户花了钱晋升为QQ会员,有的用户开通了 各种钻,更多的只是普通的QQ用户呢?
例3:论坛规定,发贴或跟贴必须要先注册并登录,而且只
有管理员可以删贴,甚至封贴。
网络安全9-访问控制技术
§ 除了对直接的访问进行控制外,还应对信息的流动和推 理攻击施加控制
l 审计跟踪
l 对用户使用何种系统资源、使用的时间、执行的操 作等问题进行完整的记录,以备非法事件发生后能 进行有效的追查
网络安全9-访问控制技术
第9章 第1节
9.1 访问控制技术概述
l 访问控制的类型
l 自主访问控制(DAC)
l 用户可以按自己的意愿对系统参数做适当的修改, 可以决定哪个用户可以访问系统资源
网络安全9-访问控制技术
访问控制过程
l 这种控制通过监控器进行,每一次用户对系统 内目标进行访问时,都由这个监控器来进行调 节
l 控制过程:用户对系统进行访问时,监控器便 依据访问控制策略,以确定准备进行访问的用 户是否确实得到了进行此项访问的许可。
网络安全9-访问控制技术
访问控制过程
l 严格区分身份认证和访问控制很重要! l 原因:正确建立用户的身份是认证服务的责任,
身份认证技术方法
l 目前,计算机及网络系统中常用的身份认证方式主 要有以下几种:
5. 生物识别技术
l 生物识别技术主要是指通过可测量的身体或行为等生物特征 进行身份认证的一种技术。生物特征是指唯一的可以测量或 可自动识别和验证的生理特征或行为方式。
l 生物特征分为身体特征和行为特征两类。
§ 身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手 的血管和DNA等;
l 当一主体试图非法使用一个未经授权的资 源时,访问控制机制将拒绝这一企图,并 将这一事件报告给审计跟踪系统
l 审计跟踪系统将给出报警,并记入日志档 案
网络安全9-访问控制技术
第9章 第1节
9.1 访问控制技术概述
l 网络的访问主要采用基于争用和定时两种 方法
l 基于争用的方法意味着网上所有站点按先 来先服务原则争用带宽
其中所有权指谁能改变文件的访问权。
l 访问控制策略(access control policy)
l 主体对客体的访问规则集,这个规则集直接定义了主体对 客体的作用行为和客体对主体的条件约束。
l 体现了一种授权行为,也就是客体对主体的权限允许,这 种允许不能超越规则集。
网络安全9-访问控制技术
访问控制的最基本概念
l 智能卡由合法用户随身携带,登录时必须将智能卡插入专 用的读卡器读取其中的信息,以验证用户的身份。
网络安全9-访问控制技术
身份认证技术方法
l 目前,计算机及网络系统中常用的身份认证方 式主要有以下几种:
3. 动态令牌认证
l 动态口令技术是一种让用户密码按照时间或使用次数不 断变化、每个密码只能使用一次的技术。它采用一种动 态令牌的专用硬件,内置电源、密码生成芯片和显示屏 ,密码生成芯片运行专门的密码算法,根据当前时间或 使用次数生成当前密码并显示。用户使用时只需要将动 态令牌上显示的当前密码输入客户端计算机,即可实现 身份认证。
l USB Key内置单片机或智能卡芯片,可以存储用户的密 钥或数字证书,利用USB Key内置的密码算法实现对用 户身份的认证。
l 基于USB Key身份认证系统主要有两种应用模式:一是 基于冲击/响应的认证模式,二是基于PKI体系的认证模 式。
§ 例:工行、建行(见备注)
网络安全9-访问控制技术
l 身份认证的评价标准
l 可行性 l 认证强度 l 认证粒度 l 认证数据正确 l 不同协议间的适应性
第9章 第2节
网络安全9-访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 可行性
l 从用户的观点看,认证方法应该提高用户访问应用 的效率,减少多余的交互认证过程,提供一次性认 证
l CA 的作用:是检查证书持有者身份的合法性,并签发证书(用 数学方法在证书上签字),以防证书被伪造或篡改。网络身份 证的发放、管理和认证就是一个复杂的过程,也就是CA认证 。
l CA职能
§ 管理和维护客户的证书和证书作废表 § 维护自身的安全 § 提供安全审计的依据
网络安全9-访问控制技术
9.2 入网认证
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 认证粒度
l 身份认证只决定是否允许用户进入服务应用。之后 如何控制用户访问的内容,以及控制的粒度也是认 证系统的重要标志
l 有些认证系统仅限于判断用户是否具有合法身份, 有些则按权限等级划分成几个密级,严格控制用户 按照自己所属的密级访问
网络安全9-访问控制技术
网络安全9-访问控制技术
第9章 第1节
第9章 访问控制技术
l 要保证计算机系统实体的安全,必须对计 算机系统的访问进行控制
l 访问控制的基本任务
l 防止非法用户即未授权用户进入系统 l 合法用户即授权用户对系统资源的非法使用
网络安全9-访问控制技术
问题提出
l 例1:学校的教务管理系统全校师生都可以使用,但是只有
而访问控制则假定在通过监控器实施访问控制 前,用户的身份就已经得到了验证;因而,访 问控制的有效性取决于用户的正确识别,同时 也取决于监控器正确的控制。
网络安全9-访问控制技术
访问控制技术概述
l 访问控制是从计算机系统的处理能力方面 对信息提供保护
l 它按照事先确定的规则决定主体对客体的 访问是否合法
1. 用户名及密码方式
l 用户名及密码方式是最简单也是最常用的身份认证方法, 由用户自己设定,只有用户本人知道。只要能够正确输入 密码,计算机就认为操作者就是合法用户。
2. 智能卡认证
l 智能卡是一种内置集成的电路芯片,芯片中存有与用户身 份相关的数据,智能卡由专门的厂商通过专门的设备生产 ,是不可复制的硬件。
访问控制的最基本概念
l 访问控制系统要素之间的行为关系参见下图:
网络安全9-访问控制技术
访问控制过程
l 访问控制由两个重要过程组成 1、通过认证来检验主体的合法身份; 2、通过授权(Authorization)来限制用户 对资源的访问级别。
l 在认证和授权后,访问控制机制将根据预先设 定的规则对用户访问的资源进行控制,只有规 则允许的资源才能访问。
l 另外所有用户可访问的资源应该提供友好的界面给 用户访问
网络安全9-访问控制技术
第9章 第2节
9.2 入网认证
l 身份认证的评价标准
l 认证强度
l 认证强度取决于采用的算法的复杂度以及密钥的长 度
l 采用更复杂的算法,更长的密钥,将能提高系统的 认证强度,提高系统的安全性