信息安全身份认证和访问控制教案.pptVIP

信息安全身份认证和访问控制;;身份认证;身份认证的需求和目的;身份认证分类;身份认证分类;身份认证;;常用的身份认证机制;A.口令机制;对付外部泄露的措施;对付口令猜测的措施;强壮口令应符合的规则;对付线路窃听的措施;B.一次性口令机制;双因素动态口令卡;双因素动态口令卡;双因素动态口令卡--举例;双因素动态口令卡--举例;令牌码的产生;认证过程;;C.基于智能卡的机制;基于智能卡的机制;基于电子钥匙的机制;D.基于生物特征的机制;;;基本概念;访问控制;访问控制系统的实体;访问控制的目的;;访问控制的实现方法;A.访问控制矩阵;;;B.访问能力表;File1;;C.访问控制表;访问控制表的优点： 访问控制表（ACL）表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。 在一些实际应用中，还对ACL进行了扩展，以进一步控制用户的合法访问时间，是否需要审计等 访问控制表的局限：应用到网络规模较大、需求复杂的企业的内部网络时 当网络中资源很多时，需要在ACL中设定大量的表项。而且为了实现整个组织范围内的一致的控制策略，需要各管理部门的密切合作。 单纯使用ACL，不易实现最小权限原则及复杂的安全政策 ;D.授权关系表;;访问控制策略;A.自主访问控制;自主访问控制;自主访问控制——基于个人的策略;自主访问控制——基于组的策略;B.强制访问控制;强制访问控制;强制访问控制;强制访问控制;强制访问控制;强制访问控制;强制访问控制;例如，某单位部分行政机构如下图：;假设计算机系统中的数据的密级为： 一般＜秘密＜机密＜绝密 定义校长的安全级 C校长＝（绝密，{人事处,教务处,财务处,设备处}）， （即校长的密级为绝密，部门属性为所有的部门） 教务处长的安全级 C教=(机密,{教务处}) 财务处长的安全级 C财=(机密,{财务处}) 财务一科长的安全级 C一财=(秘密,{财务处}) 财务处工作人员的安全级 C工=(一般,{财务处}) 假设财务一科长产生了一份工作文件A，文件A的安全级定义为与一科长的安全级相同，即CA=(秘密,{财务处})，那么，对于文件A，只有校长和财务处长能看到，而教务处长不能看，尽管教务处长的密级??机密级，可以看秘密级的文件，但教务处长的部门属性仅是{教务处},他无权看财务处的信息。 ;强制访问控制;强制访问控制;强制访问控制;强制访问控制;C.基于角色的访问控制;基于角色的访问控制;基于角色的访问控制;基于角色的访问控制;基于角色的访问控制;三条安全原则: 最小权限：用户所拥有的权利不能超过他执行工作时所需的权限 责任分离：多个互斥的角色合作完成重要工作 数据抽象：可以定义抽象的权限，而不仅仅是操作系统中的读、写、执行等;优势 便于授权管理 便于角色划分 便于赋予最小权限原则 便于职责分离 便于客体分类