第5章身份认证与访问控制选编.pptVIP

第5章 身份认证与访问控制;目 录;教 学 目 标;5.1 身份认证技术概述 ;5.1 身份认证技术概述 ;5.1 身份认证技术概述;5.1 身份认证技术概述;5.1 身份认证技术概述;5.1 身份认证技术概述;5.2 登录认证与授权管理; ; ; ; ; ; ; ;5.3 数字签名技术 ;5.3.2 数字签名的种类;3. 密码、密码代号或个人识别码 主要是指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样的对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。 4．基于量子力学的计算机 基于量子力学的计算机被称作量子计算机，是以量子力学原理直接进行计算的计算机。它比传统的图灵计算机具有更强大的功能，它的计算速度要比现代的计算机快几亿倍。 5．基于PKI 的电子签名 基于PKI 的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”，其实这是一般性说法，数字签名只是电子签名的一种特定形式。;5.3.3 数字签名过程及实现; ;5.3.2 数字签名过程及实现;5.4 访问控制技术 ;2. 访问控制的内容 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。 访问控制的内容包括三个方面： (1)认证：包括主体对客体的识别认证和客体对主体检验认证。 (2)控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。 (3)安全审计：使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。 ;1. 访问控制的层次 一般可以将访问控制分为2个层次：物理访问控制和逻辑访问控制。 通常，物理访问控制包括标准的钥匙、门锁和设备标签等，而逻辑访问控制则是在数据、应用、系统和网络等层面实现的。 对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。 2. 访问控制的模式 主要的访问控制模式有三种： (1)自主访问控制（DAC） (2)强制访问控制（MAC） (3)基于角色的访问控制（RBAC） ;3. 访问控制规则 (1)访问者 主体对客体访问可以基于身份,也可基于角色。即“访问者”可以是身份标识，也可以是角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。 (2) 资源 对资源的保护应包括两个层面：物理层和逻辑层。 (3) 访问控制规则 四要素:访问者(主体),资源(客体),访问请求和访问响应. ; ;5.4.3 访问控制的安全策略;2. 基于身份和规则的安全策略;2. 基于身份和规则的安全策略;3.综合访问控制策略;4.网上银行访问控制的安全策略; ; 中国教育和科研计算机网紧急响应组（CCERT）开发组，在开发“某大学校园网端口认证系统”的基础上，多年跟踪研究准入控制系统。在分析了思科的入控制研究方案后，认为应重点研究独立于产品厂商的准入控制方案和相关软件系统。准入控制系统的核心是从网络接入端点的安全??制入手，结合认证服务器，安全策略服务器和网络设备，以及第三方的软件系统（病毒和系统补丁服务器）,完成对接入终端用户的强制认证和安全策略应用，保障网络安全。某大学准入控制系统，通过提供综合管理平台，对用户和接入设备进行集中管理,统一实施校园网的安全策略.;?讨论思考： （1）访问控制的概念和内容是什么？ （2）访问控制模式主要有哪几种？ （3）访问控制的安全策略有哪几种实现方式？;5.5 安全审计技术;5.4 安全审计概述;5.4 安全审计概述;5.4 安全审计概述;5.4 安全审计概述;5.4 安全审计概述;5.4 安全审计概述;5.4 安全审计概述;5.4 安全审计概述;5.4 安全审计概述;5.6.1实验目的 ;5.6.2实验要求与方法;5.5.3 实验内容及步骤 ;5.5.3 实验内容及步骤 ;测试网络连通性： R1#ping Protocol [ip]: Target IP address:2