第8章身份认证.pptVIP

Network and Information Security (3) 系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。 (4) 通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以提供发现可能产生破坏性行为的有力证据。 Network and Information Security 安全审计就是对系统的记录与行为进行独立的品评考查，目的是： (1) 测试系统的控制是否恰当，保证与既定安全策略和操作能够协调一致。 (2) 有助于作出损害评估。 (3) 对控制、策略与规程中特定的改变作出评价。 Network and Information Security 安全审计跟踪将考虑： 1) 要选择记录什么信息 审计记录必须包括网络中任何用户、进程、实体获得某一级别的安全等级的尝试：包括注册、注销，超级用户的访问，产生的各种票据，其它各种访问状态的改变，并特别注意公共服务器上的匿名或客人账号。 实际收集的数据随站点和访问类型的不同而不同。通常要收集的数据包括：用户名和主机名，权限的变更情况，时间戳，被访问的对象和资源。当然这也依赖于系统的空间。(注意不要收集口令信息) Network and Information Security 2) 在什么条件下记录信息 3) 为了交换安全审计跟踪信息所采用的语法和语义定义 收集审计跟踪的信息，通过列举被记录的安全事件的类别(例如明显违反安全要求的或成功完成操作的)，应能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。 Network and Information Security 审计是系统安全策略的一个重要组成部分，它贯穿整个系统不同安全机制的实现过程，它为其它安全策略的改进和完善提供了必要的信息。 而且，它的深入研究为后来的一些安全策略的诞生和发展提供了契机。后来发展起来的入侵检测系统就是在审计机制的基础上得到启示而迅速发展起来的。 Network and Information Security 8.6 PMI 访问控制就是控制用户访问资源的权限，如何证明用户所具有的权限正是PMI要做的事情。 8.6.1 PMI概述 授权管理基础设施PMI(Privilege Management Infrastructure)是国家信息安全基础设施(National Information Security Infrastructure，NISI)的一个重要组成部分。目标是： 向用户和应用程序提供授权管理服务 提供用户身份到应用授权的映射功能 提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制 简化具体应用系统的开发与维护。 Network and Information Security 属性证书 授权管理基础设施PMI是一个由属性证书(Attribute Certificate,AC)、属性权威(Attribute Authority,AA)、属性证书库等部件构成的综合系统，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。 PMI使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。 属性证书的申请、签发、撤销、验证流程对应着权限的申请、发放、撤销、使用和验证的过程。 而且，使用属性证书进行权限管理使得权限的管理不必依赖某个具体的应用，而且利于权限的安全分布式应用。 Network and Information Security PMI与PKI的比较 授权管理基础设施PMI以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由资源的所有者来进行访问控制。 同公钥基础设施PKI相比，两者主要区别在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。 PMI与PKI在结构上是非常相似的。信任的基础都是有关权威机构，由他们决定建立身份认证系统和属性特权机构。 Network and Information Security 在PKI中，由有关部门建立并管理根CA，下设各级CA、RA和其它机构；在PMI中，由有关部门建立权威源点SOA(Source Of Authority)，下设分布式的AA和其它机构。 PMI实际上提出了一个新的信息保护基础设施，能够