信息安全四访问控制.pptx

信息安全基础;目录;访问控制概述（Access Controls Overview ）;访问控制定义;安全原则（Security Principles ）;访问控制的涵盖范围;保护机构的关键方面;标识、认证、授权和可问责（Identification, Authentication, Authorization, and Accountability ）;标识、认证、授权和可问责（Identification, Authentication, Authorization, and Accountability ）;身份标识;标识要求;身份鉴别（Authentication）;身份管理;身份管理的必要性;身份管理的挑战;解决方案和产品技术;目录;Web访问管理;密码管理;外部;用户资料更新与数字身份;身份联合;各种常用身份验证方法;标记语言;生物测定学;生物识别技术的特点;生物识别;生物识别技术的工作原理;生物学特征（Biometric Traits）;生物识别的错误率;影响用户接受生物识别的因素;口令机制 ;口令及其种类;口令的问题;口令的基本工作过程 ;口令的基本工作过程;口令机制的身份认证模型;口令机制面临的威胁;对付线路窃听的措施;数据库中存放的是加密的口令;对付字典攻击;对付线路窃听和字典攻击;对付危及验证者的攻击;对付危及验证者的措施 ; 同样，由于未保护的口令在网络上传输，上述方案容易受到线路窃听的攻击。所以，我们应该综合前两个方案的优点。; 把口令加密传输可以让攻击者无法知道真实的口令，可是，这对聪明的攻击者并不造成麻烦。 他只需把监听的消息录制下来，再用其它的软件把口令的散列值原封不动的重放给验证者进行认证，而验证者看到正确的口令散列值就认为是登录成功的用户，这样攻击者就可以冒名顶替受害者，从认证者处获取服务了，我们称这种形式的攻击为重放攻击。;重放攻击的过程;; 上述方案中的n是一个非重复值，认证方负责检查n是否以前曾被用过。若用过，则请求被拒绝。非重复值可用的实现方法有时戳，随机数等。 若用时戳方法的话，则两边要维护时钟的同步。很明显，时戳的精度越高，抵抗攻击的强度也越好。 若用随机数的话，认证方必须保存以往用过的所有随机数，避免重复，随着服务次数的增加，这张表会越来越大。;;对付重放攻击-要求输入验证码;对付重放攻击的三种方法 ;电子认证令牌分类;常见令牌技术;授权;访问准则;默认拒绝;最小权限原则;单点登录;单点登录系统的分类 ;单点登录系统的一般实现技术 ;单次登录（single sign-on）;单次登录的利弊;Kerberos协议;密钥分配中心（KDC）;Kerberos的工作过程;欧洲安全多环境应用系统（SESAME）;安全断言标记语言（SAML）;安全域;目录服务;Kerberos认证协议 ;;Kerberos共享密钥和认证初步方案 ;引入TGS;引入TGS后Kerberos共享密钥方案 ;引入TGS后Kerberos的认证方案;引入会话密钥;引入会话密钥后Kerberos认证方案;Kerberos认证模型的最终方案 ;Kerberos认证过程总结;瘦客户端;单点登录技术示例;访问控制的日常审计;访问控制模型（Access Control Models ）;自主访问控制;强制访问控制;非自主访问控制;基于上下文的访问控制;基于内容的访问控制;基于视图的访问控制;从隐私权意识角度出发的基于角色访问控制（PARBAC或P-RBAC）;访问控制管理;集中式认证服务;TACACS+;拨号用户远程认证服务（RADIUS）;DIAMETER;门户网站访问;访问控制部署原则;访问控制方法和技术（Access Control Techniques and Technologies ）;访问控制层;行政管理性控制;物理性控制;技术性控制;技术性控制;访问控制功能;访问控制功能;物理访问控制服务;行政管理控制服务;技术方面控制服务;可问责性（Accountability ）;可问责性;???问责性;访问控制实践（Access Control Practices ）;信息的未授权泄露;发射安全;访问控制监控（Access Control Monitoring ）;入侵检测（Intrusion Detection）;入侵检测类型;入侵检测技术;IDS传感器;IDS传感器部署;入侵防御系统;入侵防御系统（Intrusion Prevention Systems）;访问控制威胁（Threats to Access Control ）;字典攻击（Dictionary Attack）;蛮力攻击（Brute Force Attacks）;网络钓鱼和域名欺诈（Phishi