三访问控制与入侵检测.pptVIP

网络安全-访问控制与入侵检测 网络安全基础 访问控制与入侵检测 访问控制 访问控制实际是密码技术的应用，再加上一些管理的方法。 计算机与网络中的访问控制主要是身份认证和数字签名技术。数字签名技术与密码学联系太深，我们在密码学中讲解。 身份认证 身份认证--身份鉴别 鉴别（Authenticity ） 实体身份的鉴别，适用于用户、进程、系统、信息 身份认证：验证真实身份和所声称身份相符的过程 计算机网络中的用户身份鉴定：根据用户的一些秘密情况，如用户已知的事（口令等），用户拥有的事物（钥匙，磁卡或IC卡），用户特征（指纹，声音等）来判定用户的身份。 身份认证 身份认证 依据 所知：口令、密钥，等 所有：身份证、智能卡，等 物理标识：指纹、笔迹、DNA，等 基于口令 证明是否知道口令 口令的强度 双向和单向认证 目的：分发密钥、签名有效性，…… 实现：认证协议 身份认证--主要方法 （1）用生物识别技术进行鉴别 指纹是一种已被接受的用于唯一地识别一个人的方法。 手印是又一种被用于读取整个手而不是仅仅手指的特征和特性。 声音图像对每一个人来说也是各不相的同。 笔迹或签名不仅包括字母和符号的组合方式，也包括了签名时某些部分用力的大小，或笔接触纸的时间的长短和笔移动中的停顿等细微的差别。 视网膜扫描是用红外线检查人眼各不相同的血管图像。 DNA检测 通过检测DNA序列来确定人的生物学上的身份 身份认证--主要方法 （2）用所知道的事进行鉴别 口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制 (生活中什么地方能用到一次一密?) （3）使用用户拥有的物品进行鉴别 智能卡就是一种根据用户拥有的物品进行鉴别的手段。 一些认证系统组合以上这些机制，加智能卡要求用户输入个人身份证号码（PIN），这种方法就结合了拥有物品（智能卡）和知晓内容（PIN）两种机制。例如自动取款机ATM。 身份认证--主要方法 我们只要知道怎么样利用已知的技术来实现身份认证就行，而不关心俱体技术的是如何实现的。 可以这样认为，我们处在技术应用的最高层——应用层，只要知道如何使用该项技术就行，底层的技术原理由下面几层来处理。 这是问题分层的另一个例子（网络为什么要分层？）。 身份认证--主要方式 单向鉴定 用户向服务器发送ID和PASSWORD，服务器对收到的ID和PASSWORD进行验证；并验证消息由合法用户发出。 双向鉴定 在完成单向鉴定的基础上，用户要鉴定服务器的身份，还要确定服务器发来的注册口令是由合法服务器发来的。 身份认证--主要方式 第三方鉴定 由第三方存贮全部口令，用户和服务器都在这里存贮和验证口令，每个用户都向第三方发送和接收ID和PASSWORD，用于身份鉴定，其过程要加密传输。 公钥识别 使用公钥技术来完成身份鉴定。公钥技术又称为非对称密钥加密方法，即加密和解密的密钥不同。俱体内容将在密码学基础中讲解。 身份认证 口令是访问控制的最简单而有效的方法，只要口令保持机密，非授权用户就无法使用该账号 有关身份认证中的CA （Certificate Authority ）我们会在讲解VPN（网络安全协议）时作详细说明。 有关数字证书的内容，我们将在密码学的章节中详细讨论。 访问控制 访问控制（Access Control） 一般概念——是针对越权使用资源的防御措施。 基本目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。 未授权的访问包括：未经授权的使用、泄露、修改销毁信息以及颁发指令等；非法用户进入系统；合法用户对系统资源的非法使用。 访问控制 访问控制的作用：对机密性、完整性起直接的作用。 对于可用性，访问控制通过对以下信息的有效控制来实现： （1）谁可以颁发影响网络可用性的网络管理指令 （2）谁能够滥用资源以达到占用资源的目的 （3）谁能够获得可以用于拒绝服务攻击的信息 访问控制 访问控制中的一些概念 客体（Object）：规定需要保护的资源，又称作目标（target)。 主体（Subject）：或称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。 授权（Authorization)：规定可对该资源执行的动作 （例如读、写、执行或拒绝访问）。 一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们。 主客体的关系是相对的。 访问控制 访问控制的类型 自主式策略(DAC, di