电子商务安全技术.第05章.身份认证和访问控制.ppt

第四章 身份认证与访问控制 4.1 身份认证的常用识别法 常用的身份认证技术 （1）口令识别法 不安全口令的分析 安全口令的建议 一次性口令 一次性口令的原理 一次性口令产生和验证过程 一次性口令系统实例 （2）签名识别法 记录签名书写过程的技术 （3）指纹识别技术 指纹取像的几种技术和特点 （4）语音识别技术 语音识别的过程 Kerberos认证实例 Kerberos Kerberos provides authentication in a distributed environment. The word Kerberos has been derived from Greek mythology where the word means “ a three-headed dog”. Here, ‘dog’ is meant to symbolize security, and Kerberos does so by providing the following three main facilities: Authentication Accounting Auditing. Kerberos Kerberos The second and the third facilities are yet to be implemented. In a network environment as above, server needs to authenticate each workstation and its user to ensure that the data access and other services are provided only to the authorized users. Kerberos uses symmetric key cryptographic algorithm (DES) to authenticate users. Kerberos认证要解决的问题 Kerberos认证方案 安全的三种方案 Kerberos认证实例 Kerberos认证应该做到： 4.2 访问控制 访问控制的内容 访问控制的核心 访问控制中的重要概念 将访问控制策略与机构分开的好处 访问控制策略中的措施 访问控制的一般策略 自主访问控制 自主访问控制的实施 目录表访问控制 访问控制表（ACL） 访问控制矩阵（ACM） 强制访问控制 强制访问控制 两种访问控制的特点 基于角色的访问控制 角色控制的优势 宝山壁画 宝山壁画是引人注目的昂贵文物。此壁画发现于阿鲁科尔沁旗东沙布乡境内。1994年列为“全国十大考古新发现”之一。宝山壁画中最引人注目的是《杨贵妃教鹦鹉图》。该画高0.7米、宽2.3米，用于笔重彩绘制，最突出的表现了 晚唐风格。唐代擅长绘贵妇仕女的大师周昉绘制了《杨贵妃教鹦鹉图》，不仅享誉中原，而且还影响全国各地。发现于阿旗宝山古墓里的这幅画，就是契丹人聘请中原画家按照周氏风格绘制的， 技法深得周氏画风的真传。在唐人真迹稀如星风的今天，能够从中完整了解唐代人物画的杰出成就，堪称美术史研究的辛事。这幅壁画现今保存在阿鲁科尔沁旗博物馆，历经千年，恍如新绘，是该馆的镇馆之宝。 欢迎大家观看！ 2 2 2 2 2 2 2 2 2 2 2 访问控制的核心是授权控制，既控制不同用户对信息资源的访问权限。 对授权控制的要求有： 一致性：也就是对信息资源的控制没有二义性，各种定义之间不冲突； 统一性：对所有信息资源进行集中管理，安全政策统一贯彻；要求有审计功能，对所授权记录可以核查；尽可能地提供细粒度的控制。 访问控制策略：就是关于在保证系统安全及文件所有者权益前提下，如何在系统中存取文件或访问信息的描述，它由一整套严密的规则所组成。 访问控制机构：则是在系统中具体实施这些策略的所有功能的集合，这些功能可以通过系统的硬件或软件来实现。 可以方便地在先不考虑如何实施的情况下，仔细研究系统的安全需求； 可以对不同的访问控制策略进行比较，也可以对实施同一策略的不同机构进行比较； 可以设计一种能够实施各种不同策略的机构，这样的机构即使是由硬件组成也不影响系统的灵活性。 自主访问控制（discretionary policies)，又称任意访问控制，它允许用户可以自主地在系统中规定谁可以存取它的资源实体。 所谓自主，是指具有授与某种访问权力的主体（用户）能够自己决定是否将访问权限授予其他的主体。 强制访问控制(mandatory policies)，指用户的权限和文件（客体）的安全属性都是固定的，由系统决定一个用户对某个文件能否实行访问。 所谓“强制”，是指安全属性由系