认证授权与访问控制总结课件

认证、授权与访问控制认证、授权与访问控制1四道防线第一道防线：网络与系统接入控制防止

第二道防线：用户管理与资源访问（数据存取）控制阻止

第三道防线：病毒防范与动态安全管理。检测

第四道防线：灾难预防与系统恢复（备份）。纠正

四道防线第一道防线：网络与系统接入控制防止2第二道防线内容1.信息认证技术2.访问控制技术3.数据库安全技术第二道防线内容1.信息认证技术3一、信息认证技术认证和保密是信息安全的两个重要方面，是两个独立的问题。保密：防止明文信息的泄露。认证：防止第三方的主动攻击，是密码学的一个重要分支。认证的目的：•信源认证：防冒充•检验发送信息的完整性一、信息认证技术认证和保密是信息安全的两个重要方面，是两个独4认证认证：向一个实体确认另一个实体确实是他自己。鉴别：实体鉴别数据完整性鉴别认证认证：向一个实体确认另一个实体确实是他自己。5

基本的认证技术包括数字签名、消息认证、数字摘要（杂凑函数）和简单的身份认证等。这些能够提供信息完整性、防止抵赖和防止篡改等功能。基本的认证技术包括数字签名、消息认证、数字摘要（杂凑函数）6信息认证技术1杂凑函数与消息完整性2消息认证码3数字签名4身份识别技术5口令管理信息认证技术1杂凑函数与消息完整性71.杂凑函数与消息完整性1.杂凑函数与消息完整性8Hash函数Hash：数字指纹、消息摘要、压缩函数、杂凑、散列等Hash：杂烩菜：肉末、土豆和蔬菜等作成的通常呈褐色的菜。Hash函数：是一种能够将任意长度的消息映射到某一固定长度的消息摘要的函数。压缩性、易计算Hash函数Hash：数字指纹、消息摘要、压缩函数、9HashfunctionA(mathematical)functionwhichmapsvaluesfromalarge(possiblyverylarge)domainintoasmallerrange.A“good”hashfunctionissuchthattheresultsofapplyingthefunctiontoa(large)setofvaluesinthedomainwillbeevenlydistributed(andapparentlyrandom)overtherange.HashfunctionA(mathematical)10HashFunctionPropertiesaHashFunctionproducesafingerprintofsomefile/message/data

h=H(M)condensesavariable-lengthmessageMtoafixed-sizedfingerprintassumedtobepublicHash函数不使用密钥，它仅是输入消息的函数。HashFunctionPropertiesaHash11RequirementsforHashFunctionscanbeappliedtoanysizedmessageMproducesfixed-lengthoutputhiseasytocomputeh=H(M)foranymessageMgivenhisinfeasibletofindxs.t.H(x)=hone-waypropertygivenxisinfeasibletofindys.t.H(y)=H(x)weakcollisionresistanceisinfeasibletofindanyx,ys.t.H(y)=H(x)strongcollisionresistanceRequirementsforHashFunction12

实现hash函数的方法：使用数学上的单向函数使用分组密码系统基于软件的杂凑算法：MD4、MD5实现hash函数的方法：13HashAlgorithms

1).MD52).SHA-13).RIPEMD-1604).HMACHashAlgorithms1).MD514单向杂凑函数保护数据完整定长的杂凑值H(M)：是报文所有比特的函数值，并有差错检测能力。报文中任意一比特或若干比特发生改变都将导致杂凑值（散列码）发生改变。单向杂凑函数保护数据完整定长的杂凑值H(M)：是报文所有比特152.消息认证码MACMAC消息认证码报文鉴别码密码校验和

MAC=Ck（M）2.消息认证码MACMAC16

MAC算法不要求可逆性MAC函数是多对一函数定义域：任意长的消息值域：所有可能的MAC和密钥组成MAC算法不要求可逆性17MACPropertiesaMACisacryptographicchecksum

MAC=CK(M)condensesavariable-lengthmessageMusingasecretkeyKtoafixed-sizedauthenticatorisamany-to-onefunctionpotentiallymanymessageshavesameMACbutfindingtheseneedstobeverydifficultMACPropertiesaMACisacrypt183.数字签名需求签名3.数字签名需求19报文鉴别与数字签名报文鉴别用来防护通信双方免受任何第三方的主动攻击，数字签名防止通信双方的争执与互相攻击。它是一种包括防止源点或终点抵赖的鉴别技术。因为发方和收方之间存在欺骗或抵赖。计算机通信网上从事贸易和有关事务的环境下提出和需要研究的问题。报文鉴别与数字签名报文鉴别用来防护通信双方免受任何第三方的主20

消息认证就是验证所收到的消息确实是来自真正的发送方且未被篡改的过程，它也可验证消息的顺序和及时性。数字签名是一种包括防止源点或终点抵赖的认证技术。消息认证就是验证所收到的消息确实是来自真正的发送方且未被篡21DigitalSignatures

数字签名与不可否认性数字签名：附加在数据单元上的一些数据或是对数据单元所做的密码交换，这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并且保护数据，防止被人伪造。抗抵赖性：防止发送者否认发送过数据或其数据内容以及接收者否认收到过的特性。DigitalSignatures数字签名与不可否认性22

数字签名的功能：通信双方发生争执时：否认、伪造、冒充、篡改作用：认证、核准、生效数字签名的功能：23

数字签名种类：1）对整体消息的签字2）对压缩消息的签字数字签名过程1）系统初始化过程2）签名产生过程3）签名验证过程数字签名种类：24

数字签名方案（实现方法）：一般基于数学难题离散对数问题：ElGamal、DSA

因子分解问题：RSA

二次剩余问题：Rabin数字签名方案（实现方法）：25

数字签名体制：(P,A,K,S,V)----签字体制明文空间P签名集合A密钥空间K签名算法S证实算法V数字签名体制：(P,A,K,S,V)----签字体制26

数字签名有以下特点：签名是可信的签名不可伪造签名不可重用签名的文件是不可改变的签名是不可抵赖的数字签名有以下特点：274.身份识别技术身份认证：证实实体的身份消息认证：证实报文的合法性和完整性传统上：生理面貌声音笔迹习惯动作等4.身份识别技术身份认证：证实实体的身份28身份认证1单机状态下的身份认证2网络环境下的身份认证身份认证1单机状态下的身份认证29身份识别技术分类：基于密码技术的各种电子ID身份识别技术：使用通行字（口令）使用持证的方式加密、数字签名、基于口令的用户认证是实现安全通信的一些最基本的密码技术。基于生物特征识别的识别技术身份识别技术分类：30身份验证(单机)所知：口令、密码、PIN所有：证件、IC卡所做：签名生物特征：指纹、视网膜、DNA等可靠第三方鉴别：身份验证(单机)所知：口令、密码、PIN31网络环境身份认证S/KeyPPPRADIUSKerberosSSOX.509网络环境身份认证S/Key325.口令管理入侵者面对的第一条防线是口令系统。

ID&口令保护口令文件的两种常用方法：1单向加密：口令从不以明文存储2访问控制：5.口令管理入侵者面对的第一条防线是口令系统。33口令保护口令选择原则：用户容易记忆而又不容易被猜测的口令。容易记忆难以猜测误区：生日、姓、名、单词、电话号码、身份证号、门牌号、只用小写字母、所有系统一个口令等。口令保护口令选择原则：用户容易记忆而又不容易被猜测的口令。34

避免猜测口令的技术：用户教育计算机生成口令口令自检查口令预检查器避免猜测口令的技术：35

良好密码策略构成：至少8字符长至少有一个数字既有大写字母又有小写字母至少有一个非标准字符口令的长度根据访问等级和信息系统处理国家秘密信息的密级规定。良好密码策略构成：36

绝密级口令不应少于12个字符（6个汉字）机密级口令不应少于10个字符（5个汉字）秘密级口令不应少于8个字符（4个汉字）例：句子的第一个字母组合：Fourscoreandsevenyearsago,ourfathers..Fs&7yA,0….绝密级口令不应少于12个字符（6个汉字）37PasswordManagementfront-linedefenseagainstintrudersuserssupplyboth:login–determinesprivilegesofthatuserpassword–toidentifythempasswordsoftenstoredencryptedUnixusesmultipleDES(variantwithsalt)morerecentsystemsusecryptohashfunctionPasswordManagementfront-line38ManagingPasswordsneedpoliciesandgoodusereducationensureeveryaccounthasadefaultpasswordensureuserschangethedefaultpasswordstosomethingtheycanrememberprotectpasswordfilefromgeneralaccesssettechnicalpoliciestoenforcegoodpasswordsminimumlength(>6)requireamixofupper&lowercaseletters,numbers,punctuationblockknowdictionarywordsManagingPasswordsneedpolicie39ManagingPasswordsmayreactivelyrunpasswordguessingtoolsnotethatgooddictionariesexistforalmostanylanguage/interestgroupmayenforceperiodicchangingofpasswordshavesystemmonitorfailedloginattempts,&lockoutaccountifseetoomanyinashortperioddoneedtoeducateusersandgetsupportbalancerequirementswithuseracceptancebeawareofsocialengineeringattacksManagingPasswordsmayreactive40ProactivePasswordCheckingmostpromisingapproachtoimprovingpasswordsecurityallowuserstoselectownpasswordbuthavesystemverifyitisacceptablesimpleruleenforcement(seepreviousslide)compareagainstdictionaryofbadpasswordsusealgorithmic(markovmodelorbloomfilter)todetectpoorchoicesProactivePasswordCheckingmos41

身份认证是安全系统中的第一道关卡。访问控制和审计系统都要依赖于身份认证系统提供的信息——用户的身份。黑客攻击的目标往往就是身份认证系统。字典式攻击（穷举攻击）社交工程身份认证是安全系统中的第一道关卡。42口令攻击者获取口令的技术使用系统提供的标准账户和默认口令。穷尽所有的短口令（1-3字符）尝试在线词典中的单词或看似口令的单词列表。收集用户的信息。如用户的全称、配偶、孩子的名字、办公室中的图片、兴趣有关图书尝试用户的电话号码、社保号码、学号、房间号码口令攻击者获取口令的技术使用系统提供的标准账户和默认口令。43

本国合法牌照号码用特洛伊木马逃避访问控制——难以防范窃听远程用户和主机系统之间的线路。——线路窃听本国合法牌照号码44

故不知诸侯之谋者，不能豫交；不知山林、险阻、沮泽之行者，不能行军；不用乡导者，不能得地利。——孙子•军争篇故不知诸侯之谋者，不能豫交；不知山林、险45二、访问控制技术1访问控制2安全策略3访问控制模型4访问控制方案5可信系统二、访问控制技术1访问控制461.访问控制是针对越权使用资源的防御措施。访问控制：对进入系统的用户进行控制。允许使用那些资源，在什么地方适合阻止未授权访问的过程。访问控制机制：决定和实施一个实体的访问权。拒绝使用非授权资源或以不正当方式使用授权资源。-授权1.访问控制是针对越权使用资源的防御措施。47

访问控制是通过一组机制控制不同级别的主体对目标资源的不同授权访问，对主体认证之后实施网络资源安全管理使用。

访问控制的目的是防止对信息系统资源的非授权访问和非授权使用信息系统资源。

访问控制是通过一组机制控制不同级别的主体对目标资源的不同授48

资源访问控制：保护系统资源，防止非授权访问和非授权使用。“进来能干什么”。资源访问控制：保护系统资源，防止非授权访问和非授权使49

访问控制的作用：对想访问系统和数据的人进行识别，并检验其身份。防止未经授权的用户非法使用系统资源。访问控制的实质就是控制对计算机系统或网络访问的方法。即：1）

阻止非法用户进入系统。2）

允许合法用户进入系统。3）

合法人按其权限进行各种信息的活动。访问控制的基本任务：防止非法用户进入系统，防止合法用户对系统资源的非法使用，对用户进行识别和认证，确定该用户对某一系统资源的访问权限。

访问控制的作用：对想访问系统和数据的人进行识别，并检验其身502.安全策略：首先要分析自己的网络，确定需要何种层次的保护水平。需要保护那些资源：1）物理资源：任何具有物理形式的计算机资源，包括工作站、服务器、终端、网络集线器及其他外围设备。2）智力资源：以电子形式存在的、属于公司业务活动范围之内的任何形式的信息，包括软件、金融信息、数据记录、产品示意图或零件设计图。3）时间资源：评估由于失去时间可能给公司带来损失，引起后果。4）认知资源：体现在公众认知方面。2.安全策略：首先要分析自己的网络，确定需要何种层次的保护水51

安全策略应以事件为中心设计，应具有：1）

一致性：2）

可行性：3）

被公司接受：4）

遵守当地法律：安全策略应以事件为中心设计，应具有：52良好安全策略的构成：

访问能力

制定安全目标

定义每项问题

用户机构所处的地位

策略评价

何时实施策略

地位和责任

不遵守策略的后果

进一步信息

隐私级别

没有专门规定的问题良好安全策略的构成：访问能力53

安全策略是安全机制（加解密、数字签名、信息认证）、安全连接（密钥分配生成、身份验证）、安全协议的有机组合方式。含以下两个方面：认证流程：验核与传播的方法访问控制方案：访问手段、访问权限安全策略是安全机制（加解密、数字签名、信息认证）、安全连接54

访问控制策略：

说明允许使用公司设备进行何种类型访问的策略。访问控制策略规定网络不同部分允许的数据流向，还会指定那些类型的传输是允许的，其他传输都将被阻塞。访问控制策略有助于保证正确选择防火墙产品。访问控制策略：关键：表达方式（如安全标签）管理方式（如强制式）。

访问控制策略：说明允许使用公司设备进行何种类型访问的策55CCITTRec.X.800/ISO7498-2把访问控制策略分为两类：

1）基于规则的安全策略：被发起者施加在安全域中任何目标上的所有访问请求。根据安全标签含义陈述的，是一种特殊类型。访问决策：发起者和目标安全标签进行比较。授权依赖于敏感性。CCITTRec.X.800/ISO7498-2把访问控56

基于规则的安全策略：安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群或代表用户活动的实体的相应属性进行比较。基于规则的安全策略：572）基于身份的访问控制策略：单个，一群或代表发起者行为的实体或扮演特定角色的原发者的规则。发起者群组或扮演特定角色发起者含义陈述的，是一种类型。对发起者，群组和角色进行组合。2）基于身份的访问控制策略：单个，一群或代表发起者行为的实体58

基于身份的安全策略：安全策略的基础是用户或用户群的身份或属性，或者是代表用户进行活动的实体以及被访问的资源或客体的身份和属性。基于身份的访问控制策略包括基于个人的策略和基于组的策略。基于身份的安全策略：59基于上下文能够修改基于规则或者基于身份的访问控制策略。上下文规则可在实际上定义整体策略，实系统通常使用这两种策略类型的组合。基于上下文能够修改基于规则或者基于身份的访问控制策略。上下文603.访问控制模型有以下几种模型：DACMACRBACTBACOBAC3.访问控制模型有以下几种模型：61访问控制模型：

1.自主访问控制（DiscretionaryAccessControlDAC）：系统资源的拥有者能够对他所有的资源分配不同的访问权限，辨别各用户的基础上实现访问控制。访问控制模型：1.自主访问控制（Discretionary62DAC自主访问控制DAC：

又称任意访问控制。

允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。特点：授权的实施主体自主负责赋予和回收其它主体对客体资源的访问权限。DAC自主访问控制DAC：632.强制访问控制（MandatoryAccessControlMAC）：系统（管理员）来分配访问权限和实施控制，对用户和资源都分配一个特殊的安全属性（访问权限），系统比较用户和资源的安全属性来决定该用户能否可访问该资源。常用敏感标记，实现多级安全控制。2.强制访问控制（MandatoryAccessCon64MAC强制访问控制MAC：

系统强制主体服从访问控制政策。

MAC的访问控制关系：用上读/下写来保证数据完整性用下读/上写来保证数据保密性MAC是多级访问控制策略，主要特点是系统对访问主体和受控对象实行强制访问控制。MAC强制访问控制MAC：65

多级安全信息系统：将敏感信息与通常资源分开隔离的系统。将信息资源按安全属性分级考虑：1有层次的安全级别：TS、S、C、RS、U2无层次的安全级别多级安全信息系统：将敏感信息与通常资源分开隔离的系统。66MAC模型几种主要模型：1Lattice模型：2BellLaPadula模型：主要用于军事，维护保密性。3Biba模型：从完整性角度出发MAC模型几种主要模型：67RBAC基于角色的访问控制RBAC：“角色”：是指执行特定任务的能力。

选择性（基于角色的）访问控制：基于主体或主体所在组的身份。RBAC基于角色的访问控制RBAC：68TBAC基于任务的访问控制模型：TBAC基于任务的访问控制模型：69OBAC基于对象的访问控制模型：OBAC基于对象的访问控制模型：704.访问控制方案访问控制列表（ACL）：访问控制矩阵：权利方案基于标签的方案基于上下文的方案4.访问控制方案访问控制列表（ACL）：71AccessControlMatrixAccessControlMatrix72AccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(fileorresource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilityticketsAccessControlgivensystemhas73

访问控制系统一般包括以下几个实体：主体Subject：进程客体Object：访问权：限制主体对客体的访问权限。访问控制系统一般包括以下几个实体：74数据访问控制操作系统可以通过管理用户文档来控制用户对数据的访问。数据库管理系统则需要对特定的记录或者一部分记录进行访问控制。数据访问控制操作系统可以通过管理用户文档来控制用户对数据的访75

间事未发，而先闻者，间与所告者皆死。

——孙子•用间篇间事未发，而先闻者，间与所告者皆死。765.TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

5.TrustedComputerSystemsinfo77BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asubjectcanonlyappend/writetoanobjectifthecurrentsecuritylevelofthesubjectisdominatedby(<=)theclassificationoftheobjectBellLaPadula(BLP)Modeloneo78

几个要素：主体：客体：访问权：几个要素：79分级安全策略禁止向上读：主体只能读与之同级或比它低的安全级的数据。——简单安全特性禁止向下写：主体只能在同级或比它高的安全级上写数据。——*特性分级安全策略80ReferenceMonitorReferenceMonitor81

参考监控器是硬件和操作系统上的一个控制元，它根据主体和客体上的安全参数（权限、标签）来调控主体对客体的访问。有以下特性：安全性隔离性验证性参考监控器是硬件和操作系统上的一个控制元，它根据主体和客体82

美国国防部1981年在国家安全局推广可信计算机系统的应用为目的建立计算机安全中心。美国国防部1981年在国家安全局推广可信计算机系统的应用为83三、数据(库)安全技术1数据库2数据库安全策略3数据库安全技术4