Ch07 认证技术与访问控制

网络与信息安全Ch07认证技术与访问控制2本章学习目的理解报文认证的类型掌握身份认证概念、常用的身份认证技术理解身份认证的应用(PPP，AAA认证)掌握访问控制及分类了解访问控制的应用环境3第一部分认证技术41概述认证（Authentication）就是对于证据的辨认、核实、鉴别，以建立某种信任关系。两类认证：•报文认证•身份认证报文认证，包括报文源、报文内容和报文时间性的认证；52身份认证身份认证的概念：•证实用户的真实身份与其所声称的身份是否相符的过程•包括：识别、验证身份认证系统三部分：•认证服务器•认证系统用户端•认证设备身份认证协议•双向、单向、其它协议（略）63常见的身份认证技术生物特征•指纹、虹膜和视网膜、DNA零知识证明•交互式、非交互式7指纹的细节特征指纹识别主要涉及4个过程：读取指纹图像、提取指纹特征、保存数据和比对。目前已经开发出计算机指纹识别系统，可以比较精确地进行指纹的自动识别了。8虹膜识别虹膜是位于眼睛黑色瞳孔与白色巩膜之间的环形部分。它在总体上呈由里向外的放射状结构，并包含许多相互交错的类似斑点、细丝、冠状、条纹、隐窝等形状的细微特征。这些细微特征信息也被称为虹膜的纹理信息，主要由胚胎发育环境的差异决定，因此对每个人都具有唯一性、稳定性和非侵犯性（非接触性）。虹膜识别系统主要由虹膜图像采集装置、活体虹膜检测算法、特征提取和匹配几个模块组成。9DNA识别a.脱氧核糖核酸，生物的全部遗传信息都储存于DNA分子中；b.遗传基因只占DNA全长的3%-10%；c.随机检查两人的DNA图谱，其完全相同的概率仅为三千亿分之一；d.也许是未来的主流？不确定10身份认证的应用：1.PPP中的认证a.定义b.提供两种可选的认证方法a.PAP,CHAPb.EAP是机制2.AAA认证体系及其应用a.AAA的含义：认证、授权、审计b.优点11第二部分访问控制121概述1.1什么是访问控制1.2访问控制与其他安全措施的关系1.3主体与客体1.4访问权限131.1什么是访问控制访问控制（AccessControl）是对信息系统资源的访问范围以及方式进行限制的策略。简单地说，就是防止合法用户的非法操作。身份认证解决了访问者是否合法者，但并非身份合法就什么都可以做，还要根据不同的访问者，访问控制规定他们分别可以访问哪些资源，以及对这些可以访问的资源可以用什么方式（读？写？执行？删除？等）访问。14访问控制可以描述为：主动的主体（Subject）使用某种特定的访问操作去访问一个被动的客体（Object），所使用的特定的访问操作受访问监视器控制，如图：主体身份认证访问控制客体访问控制决策模块访问请求权限访问控制模型1.2主体与客体15主体和客体都是访问控制系统中的实体。主体是发出访问请求的主动方，通常是用户或用户进程。客体是被访问的对象，通常是被调用的程序、进程，要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。安全策略，就是对这些访问进行约束的一组规则和目标，它反映了系统的安全需求，并可以用达到安全目的而采取的步骤进行描述。162访问控制模型2.1自主访问控制2.2强制访问控制2.3基于角色的访问控制2.4基于任务的访问控制172.1自主访问控制自主访问控制模型（DACModel，DiscretionaryAccessControlModel）•定义：基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。•自主：主体能够自主地按自己的意愿对系统的参数做适当地修改，以决定哪个用户可以访问它的文件。•访问控制矩阵•缺点：访问权的授予是可以传递的。182.2强制访问控制强制访问控制模型（MACModel：MandatoryAccessControlModel）•MAC是一种多级访问控制策略，数据所有者无权决定文件的访问权限，权限由操作系统决定，可能覆盖所有者•基于安全属性实现：事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。•MAC对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记；另一个是非等级分类标记。BLP模型是一个例子。19强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=L,C包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系≤。•Bell-LaPadula：保证保密性简单安全特性(无上读)：仅当SC(o)≤SC(s)时，s可以读取o*-特性(无下写):仅当SC(s)≤SC(o)时，s可以修改o•Biba：保证完整性同(上)相反,Biba模型用偏序关系可以表示为：当且仅当SC(s)≤SC(o)，允许读操作当且仅当SC(s)≥SC(o)，允许写操作20自主访问控制•配置的粒度小•配置的工作量大，效率低强制访问控制•配置的粒度大•缺乏灵活性212.3基于角色的访问控制基于角色的访问控制模型（RBACModel，Role-basedAccessControlModel）：•RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。•在很多实际应用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司）•访问控制是由各个用户在部门中所担任的角色来确定的•例如，一个学校可以有教工、老师、学生和其他管理人员等角色。22角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。比如：•我们假设Tch1，Tch2，Tch3……Tchi是对应的教师，Stud1，Stud2，Stud3…Studj是相应的学生，Mng1，Mng2，Mng3…Mngk是教务处管理人员•老师的权限为TchMN={查询成绩、上传所教课程的成绩}；学生的权限为StudMN={查询成绩、反映意见}；教务管理人员的权限为MngMN={查询、修改成绩、打印成绩清单}•依据角色的不同，每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配23系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色，RBAC提供了一种描述用户和权限之间的多对多关系。例如•学校新进一名教师Tchx，那么系统管理员只需将Tchx添加到教师这一角色的成员中即可，而无需对访问控制列表做改动。•同一个用户可以是多个角色的成员，即同一个用户可以扮演多种角色，比如一个用户可以是老师，同时也可以作为进修的学生。•同样，一个角色可以拥有多个用户成员，这与现实是一致的，一个人可以在同一部门中担任多种职务，而且担任相同职务的可能不止一人。•角色可以划分成不同的等级，通过角色等级关系来反映一个组织的职权和责任关系，这种关系具有反身性、传递性和非对称性特点，通过继承行为形成了一个偏序关系，比如MngMNTchMNStudMN。24一般步骤：（所有者、管理员和用户三方参与，体现职责分离）•所有者决定给角色分配特权，给用户分配角色•管理员代表所有者统一创建角色和功能•管理员创建用户ID并赋予权限253访问控制的应用入网访问控制策略操作权限目录安全属性安全网络服务器安全网络监测与锁定防火墙26AnyQuestion?