返回
身份认证、访问控制与系统审计

身份认证、访问控制与系统审计

ID:1512762

大小:1.09 MB

页数:0页

时间:2017-11-12

身份认证、访问控制与系统审计_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《身份认证、访问控制与系统审计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第8章 身份认证、访问控制与系统审计NetworkandInformationSecurityNetworkandInformationSecurity图8-1经典安全模型8.1计算机安全模型NetworkandInformationSecurity经典安全模型包含如下基本要素:(1)明确定义的主体和客体;(2)描述主体如何访问客体的一个授权数据库;(3)约束主体对客体访问尝试的参考监视器;(4)识别和验证主体和客体的可信子系统;(5)审计参考监视器活动的审计子系统。NetworkandInforma

2、tionSecurity可以看出,这里为了实现计算机系统安全所采取的基本安全措施,即安全机制有身份认证、访问控制和审计。参考监视器是主体/角色对客体进行访问的桥梁.身份识别与验证,即身份认证是主体/角色获得访问授权的第一步,这也是早期黑客入侵系统的突破口。访问控制是在主体身份得到认证后,根据安全策略对主体行为进行限制的机制和手段。审计作为一种安全机制,它在主体访问客体的整个过程中都发挥着作用,为安全分析提供了有利的证据支持。它贯穿于身份认证、访问控制的前前后后。同时,身份认证、访问控制为审计的正确性提

3、供保障。它们之间是互为制约、相互促进的。NetworkandInformationSecurity图8-2安全机制NetworkandInformationSecurity访问控制模型基本结构NetworkandInformationSecurity8.2身份认证在有安全需求的应用系统中,识别用户的身份是系统的基本要求,身份认证是安全系统中不可缺少的一部分,也是防范入侵的第一道防线。身份认证的方法多种多样,其安全强度也各不相同,具体方法可归结为3类:根据用户知道什么,拥有什么,是什么来进行认证。Net

4、workandInformationSecurity8.2.1用户名和口令认证通过用户名和口令进行身份认证是最简单,也是最常见的认证方式,但是认证的安全强度不高。所有的多用户系统、网络服务器、Web的电子商务等系统都要求提供用户名或标识符(ID),还要求提供口令。系统将用户输入的口令与以前保存在系统中的该用户的口令进行比较,若完全一致则认为认证通过,否则不能通过认证。根据处理方式的不同,有3种方式:口令的明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令,这3种方式的安全强度依次增高

5、,处理复杂度也依次增大。NetworkandInformationSecurity1口令以明文形式传送时,没有任何保护NetworkandInformationSecurity2为防止口令被窃听,可用单向散列函数处理口令,传输口令的散列值,而不传输口令本身。传输口令的散列值也存在不安全因素,黑客虽然不知道口令的原文,但是他可以截获口令的散列值,直接把散列值发送给验证服务器,也能验证通过,这是一种重放攻击。NetworkandInformationSecurity3为解决重放攻击,服务器首先生成一个随机

6、数并发给用户,用户把口令散列值与该随机数连接或异或后再用单向散列函数处理一遍,把最后的散列值发给服务器。NetworkandInformationSecurity8.2.2令牌和USBkey认证令牌实际上就是一种智能卡,私钥存储在令牌中,对私钥的访问用口令进行控制。令牌没有物理接口,无法与计算机连接,使用总是不方便.可以用USBkey代替。USBkey通过USB接口直接连接在计算机上,不需要用户手动键入数据,比令牌方便得多。NetworkandInformationSecurity8.2.3生物识别认

7、证使用生物识别技术的身份认证方法,主要是根据用户的图像、指纹、气味、声音等作为认证数据。在安全性要求很高的系统中,可以把这3种认证方法结合起来,达到最高的安全性。NetworkandInformationSecurity8.3访问控制在计算机安全防御措施中,访问控制是极其重要的一环,它是在身份认证的基础上,根据身份的合法性对提出的资源访问请求加以控制。NetworkandInformationSecurity8.3.1基本概念广义地讲,所有的计算机安全都与访问控制有关。实际上RFC2828定义计算机安

8、全如下:用来实现和保证计算机系统的安全服务的措施,特别是保证访问控制服务的措施。访问控制(AccessControl)是指主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。在访问控制中,主体是访问的发起者,访问客体的活动资源,通常为进程、程序或用户。客体则是指对其访问必须进行控制的资源,客体一般包括各种资源,如文件、设备、信号量等。访问控制中的第三个元素是保护规则,它定义了主体与客体之

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。