访问控制与防火墙.ppt

访问控制与网络安全技术(1) 严飞 武汉大学计算机学院 Yfpostbox(AT) 主要内容 （1阶段） 访问控制技术 防火墙技术 VPN技术 （2阶段） 入侵检测技术 一种新的网络安全技术 1. 访问控制技术 1.1 访问控制技术概述 1.2 入网认证 1.3 物理隔离措施 1.4 自主访问控制 1.5 强制访问控制 1.6 角色访问控制 1.7 发展趋势 1.访问控制技术 安全服务（Security Services） 安全系统提供的各项服务，用以保证系统或数据传输足够的安全性 根据ISO7498-2, 安全服务包括： 实体认证（Entity Authentication） 数据保密性（Data Confidentiality） 数据完整性（Data Integrity） 不可抵赖性（Non-repudiation） 访问控制（Access Control） 1. 访问控制的基本任务 防止非法用户即未授权用户进入系统 合法用户即授权用户对系统资源的非法使用 1.1 访问控制技术概述 访问控制是从计算机系统的处理能力方面对信息提供保护 它按照事先确定的规则决定主体对客体的访问是否合法 当一主体试图非法使用一个未经授权的资源时，访问控制机制将拒绝这一企图，并将这一事件报告给审计跟踪系统 审计跟踪系统将给出报警，并记入日志档案 1.1 访问控制技术概述 对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用 访问控制要对访问的申请、批准和撤消的全过程进行有效的控制 1.1 访问控制技术概述 访问控制的内容包括 用户身份的识别和认证 对访问的控制 授权 、确定访问权限 、实施访问权限 附加控制 除了对直接的访问进行控制外，还应对信息的流动和推理攻击施加控制 审计跟踪 对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录，以备非法事件发生后能进行有效的追查 1.1 访问控制技术概述 访问控制的类型 自主访问控制（DAC） 用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源 强制访问控制（MAC） 用户和资源都是一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个资源 由于强制访问控制的安全属性是固定的，因此用户或用户程序不能修改安全属性 基于角色访问控制(RBAC) 1.2 入网认证 入网认证即入网访问控制。它为网络访问提供了第一层访问控制 入网认证控制哪些用户能够登录到服务器并获得网络资源，也控制准许用户入网的时间和准许他们在哪台工作站入网 入网认证实质上就是对用户的身份进行认证 1.2 入网认证 身份认证 身份认证过程指的是当用户试图访问资源的时候，系统确定用户的身份是否真实的过程 认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据 1.2 入网认证 身份认证的依据 用户所知道的 密码 用户所拥有的 智能卡 用户的特征 生物学上的属性 根据特定地点（或特定时间） 通过信任的第三方 Kerberos , IKE 1.2 入网认证 身份认证的评价标准 可行性 认证强度 认证粒度 认证数据正确 不同协议间的适应性 1.2 入网认证 身份认证的评价标准 可行性 从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余的交互认证过程，提供一次性认证 另外所有用户可访问的资源应该提供友好的界面给用户访问 典型实例：单点登录（SSO） 1.2 入网认证 身份认证的评价标准 认证强度 认证强度取决于采用的算法的复杂度以及密钥的长度 采用更复杂的算法，更长的密钥，将能提高系统的认证强度，提高系统的安全性 1.2 入网认证 身份认证的评价标准 认证粒度 身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容，以及控制的粒度也是认证系统的重要标志 有些认证系统仅限于判断用户是否具有合法身份，有些则按权限等级划分成几个密级，严格控制用户按照自己所属的密级访问 典型实例：UNIX、MS Windows NT等 1.2 入网认证 身份认证的评价标准 认证数据正确 消息的接受者能够验证消息的合法性、真实性和完整性 消息的发送者对所发的消息不可抵赖 除了合法的消息发送者外，任何其他人不能伪造合法的消息 当通信双方（或多方）发生争执时，有公正权威的第3方解决纠纷 典型实例：电子商务安全 1.2 入网认证 身份认证的评价标准 不同协议间的适应性 认证系统应该对所有协议的应用进行有效的身份识别 除了HTTP以外，安全Email访问（包括认证SMTP、POP或者IMAP）也应该包含在认证系统中