数据安全与隐私保护 课件 第4、5章-数据传输安全、身份认证与访问控制

第4章数据传输安全4.1数据传输安全的概念

数据传输安全是指数据在传输过程中，确保数据的保密性、完整性和可用性，是对数据进行网络传输的安全管理，是数据安全重要的阶段。数据传输也是数据安全事件的频发阶段，如机密数据被泄露、窃取、篡改往往发生在数据传输过程中，因此，保障数据的传输安全，是保证数据安全的重要基础。本章主要介绍保障数据传输安全的相关知识，主要包括网络安全概述、网络安全的关键技术、数据安全传输的核心技术等。4.2网络安全4.2.1网络安全的概念1.网络安全的定义根据《信息安全技术网络安全等级保护基本要求》GB/T22239-2019的定义，网络安全是通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、机密性、可用性的能力。根据网络空间安全管理体系认证ISO/IEC27032的定义，网络安全是对网络的设计、实施和运营等过程中的信息及其相关系统的安全保护。4.2网络安全2.网络安全的内容网络安全的内容主要涉及两个方面，一是网络数据安全，即对网络中的信息资源及消息传输进行保护，确保信息在传输过程中不被破坏；二是网络系统安全，即对网络系统进行保护，保障合法用户能正常访问、阻止非法用户的入侵，最终目标是保护网络数据信息的安全。4.2网络安全3.网络安全的特征网络安全的特征主要表现在保密性、真实性、完整性、可靠性、可用性、不可否认性、可控性等方面。1.保密性保密性是确保网络数据仅限授权用户访问的重要特性，防止数据泄露给未经授权的用户、实体。在网络安全中，保密性是建立在可靠性和可用性基础上的关键属性，保密性包括物理保密和数据加密。4.2网络安全2.真实性确保通信实体的真实性在网络安全中至关重要。在网络服务中，用户声称自己的身份可能并不总是可信的。为了解决这个问题，一般通过使用用户名和密码进行登录，采用双因素认证，使用数字证书认证，或者采用生物识别技术来验证用户的身份。通过这些方法，可以更有效地确保通信实体的真实性，防止身份被冒充，提高网络安全性。4.2网络安全3.完整性完整性是指数据在传输过程中，未经授权不能被篡改的特性，这要求数据在处理过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的状态。4.可靠性可靠性是指网络信息系统在一定条件和时间内完成其预期功能的特性，也是系统安全的基本要求之一，可靠性对网络信息系统的建设和运行至关重要。4.2网络安全5.可用性可用性是指网络信息系统在用户需要时能够及时提供服务的能力，其核心在于网络信息服务能够被授权用户或实体访问并按需求使用，即使在网络部分受损或需要降级使用时，仍能为授权用户提供有效服务。6.不可否认性不可否认性是指在网络环境中，数据交换的双方不能否认其在交换过程中发送数据或接收数据的行为。4.2网络安全7.可控性可控性是指对信息和信息系统的认证授权和监控管理，确保某个实体（用户、进程等）身份的真实性，确保信息内容的安全和合法，确保系统状态可被授权方所控制。4.2网络安全4.2.2网络拓扑结构

网络拓扑结构也称网络拓扑，是根据网络节点的业务需求和信息流特性确定其位置关系和连接方式的一种方案，是通过传输介质将各种设备相互连接的物理布局，这种布局可以是网络成员间的特定物理排列方式，也可以是虚拟排列方式。网络拓扑结构主要分为六种类型，即星型结构、总线型结构、环型结构、树型结构、网型结构和混合型结构。4.2网络安全1.星型拓扑结构星型拓扑结构的主要特征是具有中心控制节点，任意两个节点之间的通信最多需要经过两跳。星型拓扑结构的网络属于集中控制型网络，整个网络由中心节点执行集中式通行控制管理，各节点间的通信都要通过中心节点。每一个要发送数据的节点都要先发送数据到中心节点，再由中心节点负责将数据送到目的地节点。4.2网络安全2.总线型拓扑结构总线型拓扑结构是一种将所有节点连接到一个共享的传输介质（总线）上的拓扑结构。每个节点通过总线进行通信和数据传输。每个节点通过相应的硬件接口连接到总线，每个节点发送的信息都沿着总线双向传输，能够被总线上的所有节点接收，每个节点上的网络接口板硬件具有接收和发送信息的功能。4.2网络安全3.环型拓扑结构环型拓扑结构是一种将节点按环状连接的拓扑结构，每个节点都与其前后相邻的节点直接连接，形成一个闭环，连接至环路的任何节点都具备发送信息的能力。信息在网络中传输时，必须经过所有的环路接口，当信息流中的目的地址与线路中某个节点的地址匹配时，该节点将接收到信息，并将其传送到下一个环路接口，直至信息返回到最初的发送环路接口节点。4.2网络安全4.树型拓扑结构树型拓扑结构是一种层次化的拓扑结构，类似于树的分支结构。树型拓扑结构由一个根节点和多个子节点组成，每个子节点可以进一步分支出更多的子节点。树型拓扑结构被认为是总线型拓扑结构或星型拓扑结构的扩展形式。当总线型拓扑结构加入多条分支但不形成闭合回路时，或者在单方向多级星型拓扑结构中形成单向分支，都能够构成树型拓扑结构。4.2网络安全5.网状拓扑结构网状拓扑结构是指各个节点通过传输线路互相连接起来，每一个节点都至少与其他两个节点相连接。网状拓扑结构是最复杂的网络形式，网络中任何一个节点都会连接着两条或者两条以上线路，从而保持跟两个或者更多的节点相连。网型拓扑结构各个节点跟许多条线路连接着，其可靠性和稳定性都比较强，比较适用于广域网。4.2网络安全6.混合型拓扑结构混合型拓扑结构是将两种单一拓扑结构混合起来，取两者的优点构成的拓扑。一种是星型拓扑和环型拓扑混合而成的星环拓扑，另一种是星型拓扑和总线型拓扑混合而成的星总拓扑。4.2网络安全星型总线型环型树型网状混合型

优点①易于扩展和维护②故障隔离容易③信息传输路径单一④控制简单①结构简单灵活，易于扩展和维护。②设备量少、价格低廉、安装使用方便③易于进行故障诊断和隔离④可以实现广播式信息传输。①结构简单②数据传输延时确定③路径选择简单①易于扩展②故障隔离容易③数据传输路径多样④支持分层管理①高可靠性②高度灵活性③易于扩展④高度适应性混合型拓扑结构更能满足较大网络的拓展，能够解决星型网络在传输距离上的局限，又能够解决总线型网络在连接用户数量上的限制，同时兼顾了星型网与总线型网络的优点，速度较快、安装方便、易于扩展，易于诊断和隔离故障

缺点①成本较高②可靠性较低③信息传输效率较低④需要更多的连接线路①如果总线出现故障，整个网络将无法正常工作②总线型拓扑的传输效率较低，因为所有节点共享总线③可靠性不高④不同的节点之间可能会产生冲突①任何一个节点故障都会导致整个网络瘫痪，可靠性较低②扩充不方便③传输效率较低④单个环网的节点数有限①管理复杂度较高②需要更多的连接设备和线路③网络性能可能会受到影响④需要更多的支持①管理复杂度高②成本高③效率低④安全性差这种结构网络具有总线型网络结构的弱点，网络速率会随着用户的增多而下降。如果总线断，则整个网络也就瘫痪了，再一个就是整个网络非常复杂，维护起来不容易。4.2网络安全4.2.3网络安全面临的威胁

数据传输的安全与网络正常、平稳和安全运行密不可分，网络安全是数据安全的前提和基础。计算机网络的飞速发展给人们生产生活带来便利的同时，也给数据安全带了新的挑战，使得网络安全面临着严峻的威胁。根据网络安全威胁的特点，可以归纳为恶意代码、远程入侵、拒绝服务攻击、身份假冒、信息窃取和篡改五大类基本威胁。4.2网络安全1.恶意代码恶意代码是一种指令集或代码，可以独立执行，或者嵌入其它程序中执行。它通过存储介质或者计算机网络传播，采取不合法的形式破坏计算机系统的完整性。恶意代码具有非授权性和破坏性的特点，其功能包括远程控制、进程控制、网络监听、信息窃取、键盘记录、设备控制等，类型包括计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、系统后门、Rootkits、恶意脚本等。4.2网络安全2.远程入侵远程入侵也称为远程攻击，是从网络中某台主机发起，针对网络中其它主机的攻击行为，远程入侵包括非法接入和非法访问两类。非法接入是指非授权人员连接到网络系统内部并获得访问系统内部资源的途径，是远程入侵系统的前奏。攻击者可以通过窃取用户口令、接入交换机端口、远程VPN接入和利用无线局域网接入等方式非法接入目标系统。4.2网络安全3.拒绝服务攻击拒绝服务攻击是指导致目标系统不能提供正常服务的攻击，攻击者利用网络协议的漏洞、系统的漏洞，或者利用各种手段消耗网络带宽及系统资源，使得目标系统不能提供正常服务。常见的拒绝服务攻击有带宽攻击、协议攻击和逻辑攻击。4.2网络安全4.身份假冒身份假冒可分为IP地址假冒和用户假冒。IP地址代表着信息发送者的身份，接收者常常利用IP分组的源IP地址来识别发送者，攻击者利用不存在的或合法用户的IP地址，作为自己发送的IP分组的源IP地址。由于网络的路由协议并不检查IP分组的源IP地址，所以攻击者很容易进行IP欺骗，构成IP地址假冒。在网络中，系统只能利用用户的数字身份对用户进行授权，身份鉴别方法包括短信口令、静态密码、智能卡、生物识别等，攻击者往往通过社会工程学方法或网络监听的方式窃取这些特定数据，利用这些数据欺骗远程系统，达到假冒合法用户的目的，构成用户假冒。4.2网络安全5.信息窃取和篡改信息窃取和篡改是网络传输过程面临的主要安全威胁。信息窃取是攻击者在通信双方的物理线路上安装信号接收装置窃听通信内容，如果信息没有加密，则信息被窃取；如果信息经过适当加密，但是攻击者可以通过分析窃听到的信息模式进行流量分析，推测通信双方的位置和身份、观察信息的频率和长度，这些信息对于猜测传输过程的某些性质很有帮助。信息篡改指对窃取到的信息进行修改、延迟或重排，再发给接收方，达到非授权访问或接入的目的。4.2网络安全2.网络攻击的分类早期的网络攻击主要针对密码破解或利用操作系统漏洞、网络设备等有限的方式，而随着网络应用规模的扩大和信息技术的发展，网络攻击手段呈现出多样化趋势，对网络安全构成了严重威胁。（1）根据ITU-TX.800和RFC2828的定义，网络安全攻击可分为被动攻击和主动攻击两种类型。（2）按照网络攻击方式，可以分为读取攻击、操作攻击、欺骗攻击、泛洪攻击以及Rootkits攻击等多种类型。（3）根据攻击对象或采用的攻击手段，分为服务攻击与非服务攻击两大类型。4.2网络安全3.网络攻击的目标网络攻击的目标是破坏网络系统的保密性、完整性、可用性和可控性等，对数据的网络攻击的目标是篡改和窃取数据信息，具体表现在以下几个方面。（1）窃取敏感信息。攻击者可能旨在获取个人或组织的重要信息，如财务数据、个人身份信息、商业机密等，这些信息通常被用于欺诈、身份盗窃或其他非法活动。（2）破坏或篡改数据。攻击可能旨在破坏系统的正常运行、修改数据或篡改信息，从而对个人或组织的利益造成损害。（3）破坏系统功能。包括使网络服务中断或计算机系统瘫痪，这些行为会对业务运营或关键基础设施造成严重影响。4.2网络安全（4）政治或军事间谍活动。在某些情况下，网络攻击可能出于政治或军事目的，如获取竞争对手的敏感信息或破坏其运营。（5）炫耀技术能力。一些黑客可能出于展示自己的技术能力而实施攻击，尽管这种情况较为少见。（6）经济利益。许多网络攻击背后是出于对经济利益的追求，如通过出售数据、参与勒索软件攻击或其他形式的网络犯罪活动。此外，网络攻击的目的还可能是为了进行网络钓鱼、恶意软件传播、垃圾邮件发送等，这些活动通常旨在获取个人数据或造成其他形式的网络威胁。4.3网络安全关键技术4.3网络安全关键技术网络安全关键技术手段包括入侵检测技术、安全扫描技术、隔离技术、防火墙技术和虚拟专用网络，以及其他安全服务和安全机制策略，主要用于确保网络系统的安全性，防止未经授权的访问或数据篡改等风险。本节主要从入侵检测技术、安全扫描技术、隔离技术、防火墙技术、虚拟专用网络和蜜罐技术六个方面进行介绍。4.3网络安全关键技术4.3.1入侵检测技术1.入侵检测的概念入侵检测是对入侵行为的检测，通过收集和分析网络行为、安全日志、审计数据以及其它网络上可以获得的信息和计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测通过执行以下任务来实现安全防护：①监视、分析用户及系统活动；②系统构造和弱点的审计；③识别反映已知进攻的活动模式并向相关人员报警；④异常行为模式的统计分析；⑤评估重要系统和数据文件的完整性；⑥操作系统的审计跟踪管理，并识别用户违反安全策略的行为。4.3网络安全关键技术

2.入侵检测系统及组成结构入侵检测系统主要由四部分组成，分别为事件发生器、事件分析器、响应单元和事件数据库，其组成结构如图所示。4.3网络安全关键技术

●事件发生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。●事件分析器：接收事件信息，经过分析得到数据，产生分析结果，并将判断结果转变为警告信息。●响应单元：对分析结果作出反应的功能单元，响应策略可以是切断连接、改变文件属性等强烈反应，也可以只是简单的报警。●事件数据库：事件数据库是存放各种中间和最终数据的数据容器，可以是复杂的数据库，也可以是简单的文本文件。4.3网络安全关键技术

3.入侵检测系统的工作流程入侵检测的工作流程主要分为信息收集、信息分析、信息存储和攻击响应四个步骤。第一步：信息收集。信息收集的内容包括系统、网络、数据及用户活动的状态和行为。第二步：信息分析。信息分析是指对收集到的数据信息进行处理分析，一般通过模式匹配、统计分析和完整性分析等几种手段和方法来分析。第三步：信息存储。当入侵检测系统捕获到有攻击发生时，需要将入侵检测系统收集到的信息进行保存，存储到用户指定的日志文件或特定的数据库中。第四步：攻击响应。对攻击信息进行分析并确定攻击类型后，入侵检测系统会根据用户的设置，对攻击行为进行相应的处理。4.3网络安全关键技术

4.入侵检测的分类根据入侵检测数据的来源、数据分析方式和入侵检测设备所处的位置不同，入侵检测可以分为不同的类型。（1）根据数据来源划分，可以分为基于主机的IDS、基于路由器的IDS、基于网络的IDS。①基于主机的IDS：基于主机的IDS检测一般侧重于网络流量分析，以审计记录为基础，监视和分析作用于主机的检测入侵。②基于路由器的IDS：基于路由器的IDS侧重于获取网关有关内容，保护基础信息设施安全，在大型网络计算机群之间建立一个独立的、安全的链接。③基于网络的IDS：基于网络的IDS检测范围是整个网段，通过对来自于公用网络的主机间的通信数据进行侦听，并分析可疑现象。4.3网络安全关键技术

（2）根据检测分析方式划分，可以分为误用检测IDS和异常检测IDS。①误用检测IDS：误用检测技术需要建立一个入侵规则库，对每一种入侵形成一个规则描述，只要发生的事件符合某个规则就被认为是入侵。②异常检测IDS：异常检测是对正常事件的样本建立一个正常事件模型，如果发生的事件偏离这个模型的程度超过一定范围就被认为是入侵。4.3网络安全关键技术

5.入侵检测系统的主要功能入侵检测系统通过传感器监测网络流量和系统日志，使用分析引擎分析和检测入侵行为，生成报警并采取相应的响应措施，它的主要功能有以下几方面。●监测并分析用户和系统的活动：通过监视和分析网络流量或主机系统上的活动，IDS能够识别潜在的安全威胁。●核查系统配置和漏洞：IDS检查系统的配置和识别已知的安全漏洞，评估系统安全性。●评估系统关键资源和数据文件的完整性：通过检查文件的一致性和完整性，IDS能够检测未经授权的修改。●识别已知的攻击行为：IDS能够识别已知的攻击模式，如恶意及时发出警报。●统计分析异常行为：通过分析用户活动，IDS能够识别出与正常行为模式偏离的异常行为，这可能是攻击的迹象。4.3网络安全关键技术4.3.2安全扫描技术1.安全扫描技术的定义安全扫描技术是一种基于Internet远程检测目标网络或本地主机安全性弱点的安全扫描技术。安全扫描技术可以分为两类，即主机安全扫描技术和网络安全扫描技术。网络管理员能够根据扫描结果，更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。一次完整的网络安全扫描分为3个阶段：第1阶段：主机扫描，发现目标主机或网络。第2阶段：端口扫描，发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。第3阶段：漏洞扫描，根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。4.3网络安全关键技术2.安全扫描技术的作用网络安全管理员依据网络扫描技术来定期监测网络情况，及时发现潜在的安全隐患，以防范可能存在的恶意攻击和破坏，进一步增强网络和主机的安全性。3.安全扫描技术的分类安全扫描技术包括有Ping扫射、操作系统探测、访问控制规则探测、端口扫描、漏洞扫描等几个类别。Ping扫射工作在第1阶段，能够帮助用户识别系统是否处于活动状态。操作系统探测、访问控制规则探测、端口扫描工作在第2阶段，主要是对目标主机运行的操作系统进行识别，获取被防火墙保护的远端网络的资料，查看该系统处于监听或运行状态的服务。安全扫描第3阶段采用的漏洞扫描，通常在端口扫描的基础上，对得到的信息进行相关处理，进而检测出目标系统存在的安全漏洞4.3网络安全关键技术4.端口扫描技术端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术，广泛运用于当前较成熟的网络扫描器中，如著名的Nmap和Nessus。扫描器是一种能够自动检测远程和本地主机安全性弱点的程序，通过使用扫描器，用户可以不留痕迹地发现远程服务器各种TCP端口的分配及提供的服务。（1）端口扫描技术的原理端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是否处于打开状态，从而获得端口提供的服务或信息。通过端口扫描能够捕获本地主机或服务器的流入流出IP数据包，进而监视本地主机的运行情况。4.3网络安全关键技术（2）端口扫描技术的分类根据扫描方式的特征，端口扫描可以分为纵向、横向和纵横结合3种扫描方式。而根据端口扫描建立连接的方式，端口扫描技术可分为全连接扫描、半连接扫描和无连接扫描。①全连接扫描全连接扫描是TCP端口扫描的基础，现有的全连接扫描有TCPconnect扫描和TCP反向ident扫描等。TCP全连接扫描是由探测方发起的过程，其与目标主机进行TCP三次握手。4.3网络安全关键技术②半连接扫描若端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的指定端口建立连接时候只完成了前两次握手，即目标主机对此响应一个RST+ACK数据包，表明该端口处于关闭状态，如图所示。则在第三步时，扫描主机通过发送RST数据包来终止与目标主机的连接，以保持扫描的隐秘性。这样的端口扫描称为半连接扫描，也称为间接扫描。4.3网络安全关键技术③无连接扫描无连接扫描主要指UDP端口扫描。UDP扫描通过向目标主机发送UDP包，根据目标主机的响应情况来判断目标是否在线。如果目标主机不存活或者目标主机存活且端口开放，则目标系统不会有响应；如果端口关闭，则目标系统会通过发送ICMPportunreachable数据包来响应端口不可达。无连接扫描过程示意图如图所示。由于UDP协议是面向无连接的，对UDP端口的探测也就不像TCP端口的探测那样依赖于连接建立过程，这使得UDP端口扫描的可靠性并不高。4.3网络安全关键技术5.漏洞扫描技术漏洞扫描是基于漏洞数据库、通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为。漏洞扫描技术是一种重要的网络安全技术，它和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。（1）漏洞扫描技术的工作原理漏洞扫描主要通过匹配漏洞库，发现漏洞和模拟攻击方式，检测漏洞来检查目标主机是否存在漏洞。（2）漏洞扫描的作用对漏洞扫描，能够了解网络安全状况、发现存在的安全隐患，预测黑客的攻击目标，漏洞扫描的作用主要有以下三个方面：扫描被测系统存在的安全漏洞；为网络管理人员提供信息；预测黑客的攻击目标。4.3网络安全关键技术（3）漏洞扫描技术的分类根据漏洞扫描的工作原理，漏洞扫描技术可以分为基于漏洞匹配的方法和基于模拟攻击的方法。①基于漏洞匹配的方法基于漏洞匹配方法的关键是所使用的漏洞库，漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能，漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。②基于模拟攻击的方法基于模拟攻击的方法是通过使用插件进行模拟攻击，发现漏洞。插件是由脚本语言编写的子程序，扫描程序可以通过调用它来执行漏洞扫描，检测出系统中存在的一个或多个漏洞。4.3网络安全关键技术4.3.3隔离技术1.隔离技术的概念隔离技术主要指网络隔离技术，是一种在两个或更多计算机或网络之间断开连接的基础上，实现信息交换和资源共享的技术。网络隔离技术允许两个网络在物理上相互隔离，同时在安全的网络环境中进行数据交换。2.隔离技术的发展历程网络隔离技术通过不可路由的协议（如IPX/SPX），能够实现两个或两个以上可路由网络的数据交换，由于采用了不同的协议，因此也称为协议隔离。网络隔离技术的发展经历了完全隔离、硬件隔离、数据隔离、空气开关隔离和安全通道隔离5个阶段4.3网络安全关键技术3.隔离技术的工作原理网络隔离技术是根据安全策略，通过对网络进行物理或逻辑隔离，将内部网络与外部网络隔离开来，限制非法访问和恶意渗透，防止敏感数据泄露和恶意代码的传播，提高网络安全。4.隔离技术的分类目前，网络隔离技术主要包括双机双网隔离、双硬盘隔离、单硬盘隔离、集线器级隔离和服务器端隔离几种类型。4.3网络安全关键技术4.3.4防火墙技术1.防火墙技术的概念防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是连接内部网络和外部网络之间的桥梁，同时对进出网络边界的数据进行保护，防止恶意攻击入侵，以保障内部网络数据安全，防火墙示意图如图所示。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，能够安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。4.3网络安全关键技术2.防火墙技术的实现原则防火墙是在内部网络与外部网络之间，实施安全防范的系统，它属于一种访问控制机制，用来确定哪些外部服务允许内部访问、哪些内部服务允许外部访问。防火墙的实现遵循以下两个原则。①一切未被允许的即为禁止。②一切未被禁止的即为允许。4.3网络安全关键技术3.防火墙技术的主要功能防火墙主要是借助硬件和软件的作用，在内部和外部网络的环境间产生一种保护屏障,从而实现对计算机不安全网络因素的阻断。防火墙的主要功能有以下几方面。①防止来自被保护区域外部的攻击。②防止信息外泄和屏蔽有害信息。③集中安全管理。④安全审计和告警。⑤访问控制和其他安全作用等。4.3网络安全关键技术4.防火墙技术的分类常见的防火墙可分为包过滤防火墙、代理服务防火墙、状态检测防火墙、应用层网关防火墙和自适应代理防火墙。①包过滤防火墙包过滤是在网络层中根据事先设置的过滤规则，检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息,确定是否允许该数据包通过。4.3网络安全关键技术②代理服务防火墙代理服务是运行在防火墙主机上的一些特定的应用程序或者服务器程序，这些程序将用户对互联网络的服务请求依据已制定的安全规则向外提交。代理服务防火墙的主要功能是阻隔网络通信的数据流，借助专门的代理程序，对应用层通信流进行监视和控制，进而达到确保网络安全的目的，代理服务防火墙的结构如图所示。4.3网络安全关键技术③状态检测防火墙状态检测防火墙工作在网络层，与包过滤和应用代理防火墙不同，它们是根据数据信息提取相应的行为规则为基础建立相应的安全模型，而状态检测防火墙则是预置安全模型，将新建立的连接的全部分散的数据包作为连续对象通过散列算法进行检测，如图所示。4.3网络安全关键技术④应用层网关防火墙应用层网关使用专用软件转发和过滤特定的应用服务，由一个高层的应用网关作为代理器，通常由专门的硬件来承担。代理服务器在接受外来的应用控制的前提下，使用内部网络提供的服务，如图所示。4.3网络安全关键技术⑤自适应代理防火墙自适应代理技术是一种新颖的防火墙技术，在一定程序上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略，动态适应传送中的分组流量。如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性；一旦代理明确了会话的所有细节，其后的数据包就直接到达速度更快的网络层。4.3网络安全关键技术4.3.5虚拟专用网络1.虚拟专用网络的概念虚拟专用网络（VirtualPrivateNetwork，VPN）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供与专用网络具有相同通信功能的安全数据通道。4.3网络安全关键技术2.虚拟专用网的工作原理虚拟专用网的工作原理主要基于在公共网络上创建安全的加密通道，以保护敏感数据在公共网络上的安全传输，其组成结构主要包括公共互联网、VPN服务器、VPN客户端3部分。工作原理示意图如图所示。4.3网络安全关键技术3.虚拟专用网络的关键技术虚拟专用网络主要采用4种技术来保证数据传输安全，即隧道技术、加解密技术、密钥管理技术、身份认证技术。①隧道技术隧道是一种封装技术，它利用一种网络协议来传输另一种网络协议，即利用网络传输协议，将其他协议产生的数据报文封装在自己的报文中，然后在网络中传输。4.3网络安全关键技术②加解密技术虚拟专用网络中的加密与解密技术一般使用对称加密方法或非对称加密方法，目的是防止数据信息在传输过程中被非法窃取或篡改，并对数据的有效性进行验证，如图所示。4.3网络安全关键技术③密钥管理技术密钥管理技术主要是保证密钥在公用数据网上进行安全传递而不被窃取，一般通过公钥算法来实现，如图所示。4.3网络安全关键技术④身份认证技术身份认证技术是VPN网关对接入VPN的用户进行身份认证，保证接入的用户都是合法用户，认证示意图如图所示。4.3网络安全关键技术4.3.6蜜罐技术1.蜜罐技术的概念蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，进而让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。4.3网络安全关键技术2.蜜罐的作用和类型根据蜜罐设置需要的不同，可以分为实系统蜜罐和伪系统蜜罐。蜜罐的主要作用是欺骗攻击者、捕捉攻击行为，它加快了防守方发现自身被攻击的速度，使得防守方转被动为主动，结合多个不同维度的蜜罐以及一些黑客工具自身的漏洞，可以溯源攻击者并反制攻击者，捕获到的告警信息纯度高、数据量小，便于防守方及时、高效的处置，蜜罐不会影响正常业务，不会影响网络架构，但它只是安全架构中重要的一环，不能替代任何的安全产品。4.3网络安全关键技术3.蜜罐的构成蜜罐系统主要由逻辑模块和功能模块两部分构成，逻辑模块主要实现数据控制、数据捕获和数据分析，而功能模块主要实现主机监控、入侵检测和攻击分析。（1）逻辑模块●数据控制：控制攻击者出入蜜网中主机的活动，使攻击者不会以蜜网主机为跳板攻击和危害互联网上其它的主机。●数据捕获：数据捕获包括网络流量数据捕获以及主机上系统行为的捕获，网络流量数据的捕获结合网络入侵检测系统，配置相关敏感信息的检测规则，触发入侵检测规则时立即记录网络流量。●数据分析：数据分析是基于数据捕获技术之上，把收集到的网络数据、主机行为数据保存于数据库中，进而分析攻击者的行为特征。4.3网络安全关键技术（2）功能模块●主机监控：主机监控包括进程监控、文件监控、注册表监控、网络监控等，监控攻击者入侵蜜罐系统后的一切操作，了解入侵目的。●入侵检测：通过入侵检测模块可以准确地检测出攻击者入侵蜜罐的攻击手段，对黑客的入侵过程进行详细的记录。●攻击分析：分析主机监控以及入侵检测两个模块获得的数据，获取攻击者的攻击特征。4.3网络安全关键技术4.不同类型蜜罐的工作原理（1）垃圾邮件蜜罐将伪造的电子邮件地址放置在隐藏位置，只有自动地址收集器才能找到它。由于该地址除垃圾邮件陷阱外，没有任何其他用途，因此可以100%确定发送到该地址的任何邮件都是垃圾邮件。所有与发送到垃圾邮件陷阱的邮件内容相同的邮件都可以被自动阻止，并且发件人的源IP可以添加到黑名单中。4.3网络安全关键技术（2）注入蜜罐设置一个诱饵数据库来监控软件漏洞，并发现利用不安全的系统架构或使用SQL注入、SQL服务漏洞或滥用权限的攻击。（3）恶意软件蜜罐恶意软件蜜罐模仿软件应用程序和API来引诱恶意软件攻击，然后通过分析恶意软件的特征，来开发反恶意软件或封堵API中的漏洞。（4）爬虫蜜罐通过创建只有网络爬虫才能访问的网页和链接来诱捕网络爬虫，帮助用户了解阻止恶意机器人以及广告网络爬虫程序的方法。4.4数据安全传输技术4.4数据安全传输技术数据经过物理介质传输过程中，存在被窃取、篡改、破坏或者假冒身份发出虚假信息的可能性。数据传输环节主要通过数据安全传输技术保障数据的保密性、完整性、有效的身份识别和抗抵赖性。本节主要从数据传输加密、数据传输端点加密、数据传输通道加密、数据传输访问控制和监控审计技术五个方面进行介绍。4.4数据安全传输技术4.4.1数据传输加密1.数据传输的机密性数据传输过程的数据机密性，即传输数据不能以明文的方式传输，是数据传输安全最基本的要求。常用的数据加解密算法有对称加解密算法，国内算法有SM1、SM4，国际算法有DES、3DES、AES；非对称加解密算法，国内算法有SM2，国际算法有RSA；以及哈希算法，国内算法有SM3，国际算法有SHA512。4.4数据安全传输技术2.数据传输的完整性数据传输过程的数据完整性，一般通过校验技术或密码技术来检测，包括鉴别数据、业务数据、审计数据、配置数据、个人敏感信息、网络数据等，确保数据传输正常、不丢包、传输过程未被篡改以及非授权访问。数据传输过程主要通过数据完整性协议来实现数据报文的完整性校验，如数据传输应用TLS、SSH协议，通过MAC来校验，来确认数据传输过程中数据的完整性。4.4数据安全传输技术3.数据传输的可用性数据传输过程的数据可用性是为了保障对数据的持续访问以及当数据遭受意外攻击或破坏时，可以迅速恢复并能投入使用，包括为了避免网络设备以及通信线路出现故障时引起数据通信中断，针对关键链路采用冗余技术设计等手段增强数据访问的可靠性；为保障应用场景下的业务连续性，实现冗余系统的平稳及时切换，快速恢复运行，尽可能减少数据传输的中断时间，通过磁盘阵列、数据备份、异地容灾等手段，以规避硬件故障、软件故障、人为故障、自然灾害等风险，确保合法用户可以对数据资源的顺利使用。4.4数据安全传输技术4.4.2数据传输端点加密虽然使用数据加密技术能够有效确保数据存储安全，但是在实践应用中对所有数据存储使用加密解密技术，会影响业务数据访问时效性，尤其是数据高频交互和数据传输。因此，通过对数据传输端点搭建有效的安全防护体系，选取关键增强点进行加密，也是确保数据安全性、主动防御数据不被篡改或泄露的重要手段，如图所示。4.4数据安全传输技术1.应用服务器到数据库的端点加密数据可分为结构化数据和非结构化数据，结构化数据存储于数据库，例如，人事资料、财务数据、销售采购数据等，一般会存储于数据库。数据库是一个应用系统、平台系统中最核心的部分，随着数据的资产化，组织机构最重要的资产在于数据库。应用服务器数据流转到数据库，可以进行前置代理加密以及后置代理加密，在数据出口第一时间进行数据加密。2.应用服务器到互联网的端点加密常见的应用服务器系统有Web服务器、FTP服务器以及邮件服务器，这些服务器都需要发布到互联网让用户进行访问。Web服务器通过HTTP协议规范了浏览器和Web服务器通信数据的格式，FTP服务器通过FTP协议实现服务器与客户端之间的文件传输及共享，邮件服务器则通过SMTP及POP协议与客户端进行收发邮件。4.4数据安全传输技术3.应用服务器到终端的端点加密除了通过安全通信协议来确保应用服务器到互联网的数据传输安全之外，还可以通过安全代理网关来进一步加强访问终端与应用服务器之间的传输安全。常用的安全代理网关，如CASB代理网关，利用云访问安全机制的委托式安全代理技术，通过适配目标应用，对客户端请求进行解析，并分析出包含的敏感数据，结合用户身份，通过安全策略对访问请求进行脱敏等控制来进行数据传输的安全管控。4.4数据安全传输技术4.4.3数据传输通道加密数据传输通道加密是指对在网络中两个节点之间传输的数据进行加密，在受保护的路由上，任意一对节点和相应的调制解调器之间都安装相应的密码机，并配置相应的密钥，对两个网络节点之间的数据传输通道进行保护，如图所示。4.4数据安全传输技术1.代理服务器到终端的传输通道加密基于SSL协议的传输加密技术主要应用于传输层的安全，采用密码算法和数字证书认证技术，能够在代理服务器到终端之间建立一条安全的数据传输通道，确保登录用户的身份安全可信，以及数据传输的机密性、完整性，满足固定终端、移动用户、移动智能终端等不同场景、不同平台的可信数据传输需求。4.4数据安全传输技术2.代理服务器到互联网的传输通道加密Https在Http的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密，能够在代理服务器到互联网之间建立一条安全的数据传输通道。可信安全SSL站点证书用于标识网站真实身份，能够实现网站身份验证，确保用户访问网站的真实性，确保用户所浏览的信息是真实的网站信息，能有效防范假冒网站和钓鱼网站。4.4数据安全传输技术3.代理服务器到代理服务器的传输通道加密基于IPSEC协议的传输加密技术主要应用于网络层IP包传输的安全，包括传输模式和隧道模式，即网络层的安全传输，能够在代理服务器之间建立一条安全的数据传输通道。采用密码算法对用户报文数据进行加密，采用ESP协议对用户报文进行重新封装，确保用户数据信息传输安全。4.4数据安全传输技术4.4.4数据传输访问控制除了数据传输过程中对数据本身的安全考量，对数据进行访问控制管理，也能够有效控制数据传输安全。数据传输访问控制可以防止非授权人员访问、修改、篡改以及破坏系统资源，防止数据遭到恶意破坏。访问控制主要有身份认证，权限限制和端口开放访问控制三种实现方式。4.4数据安全传输技术1.身份认证身份认证访问控制是指通过身份认证技术限制用户对数据或资源的访问。常用的身份认证方式有口令认证技术、双因素身份认证技术、数字证书的身份认证技术、基于生物特征的身份认证技术、Kerberos身份认证机制、协同签名技术、标识认证技术等。4.4数据安全传输技术2.权限限制权限限制访问控制是指基于最小特权原则、最小泄露原则、多级安全策略来限制用户对数据或资源的访问。权限限制访问控制方式主要包括访问控制表、访问控制矩阵、访问控制能力列表、访问控制安全标签列表等，例如，通过对比用户的安全级别和客体资源的安全级别（绝密、秘密、机密、限制以及无级别）来判断用户是否有权限访问相应数据。4.4数据安全传输技术3.端口开放访问控制服务器传输数据过程，除了需要目标IP地址外，还需要开放一些服务端口。通过系统的端口，能够使运行不同操作系统的计算机应用进程互相通讯。端口分为默认端口和动态端口。默认端口是用于明确某种服务的协议，例如默认情况2端口是分配给FTP服务，25端口分配给SMTP服务，80端口分配给HTTP服务；动态端口则是用于动态分配给一些系统进程或应用程序。4.4数据安全传输技术4.4.5监控审计技术监控审计技术在数据传输安全中具有非常重要的意义，通过监控审计能够有效防范数据泄露、数据篡改、数据违规操作等安全事件，并为后续事件溯源及加固工作提供支撑。监控审计技术包括安全监控和安全审计。4.4数据安全传输技术1.安全监控安全监控通过监视网络活动，审计系统的配置和安全漏洞，分析网络用户和系统的行为，并定期进行分析统计，进而评估网络的安全性和敏感数据的完整性，发现潜在的安全威胁，识别攻击行为。（1）安全监控的功能●网络安全控制：主要实现访问控制、入侵检测等功能。●细粒度的控制：除了以数据报头为依据外，还包括对应用层协议和包内容进行过滤。●网络审计：对所有的网络活动能够跟踪和对应用层协议（HTTP、FTP、SMTP、POP3、TELNET等）会话过程进行实时与历史的重现。●其他功能：包括日志、报警、报告、拦截功能。4.4数据安全传输技术（2）安全监控的内容●网络状态监控：查看网络中受控主机当前活动的网络连接、开放的系统服务以及端口，全面了解网络状态。●网络连接监控：网络连接监控主要对非法接入的主机进行识别、报警和隔离，对合法主机网络行为的管控，包括网络地址端口控制、网络URL控制、邮件控制、拨号连接控制、网络共享控制等。4.4数据安全传输技术（3）监控数据的分析与处理●网络数据的分析与处理：通过对网络数据的分析和处理，找出明显的网络攻击，还原应用层会话，方便以后取证工作。●系统数据的分析与处理：通过对系统数据的分析与处理，掌握服务器运行状况，发现服务器出现的异常。对系统数据的分析主要基于统计的方法，如通过对服务器中进程的个数变化和端口通信的频繁程度来判断系统的异常。●日志数据的分析与处理：通过分析日志文件，掌握用户对服务器的访问情况，如一些非法的登录和恶意的访问。4.4数据安全传输技术2.安全审计安全审计是指对网络安全活动进行识别、记录、存储和分析，以查证是否发生安全事件的一种信息安全技术。（1）安全审计的功能●记录关键事件。由安全管理人员提前设定网络攻击的评价体系、策略，确定记入审计日志的内容。●提供可集中处理审计日志的数据形式。以标准的、可使用的格式输出安全审计信息，使安全管理人员能够直接利用软件工具处理这些事件。●提供易于使用的工具。为了能立即发现违反安全规定的事件，需为安全管理人员提供一套易于使用的基本分析工具。●实时安全报警。扩展现有管理工作的能力，并将它们与数据链路驱动程序和本地审计能力结合起来，当发生与安全有关的事件时，安全管理人员就会接到报警。4.4数据安全传输技术（2）安全审计的目的安全审计是系统记录和活动的独立检查和验证，其目的包括三个方面，一是辅助辨识和分析未经授权的活动或攻击，帮助保证相应实体对非授权活动进行响应和处理；二是促进开发改进的损伤控制处理程序，评估与已建立的安全策略的一致性；三是报告可能与系统控制不相适应的信息，辨识对控制、策略和处理程序的改变行为。（3）安全报警安全报警是由用户或进程发出的警告，以指示发生了情况，以及可能需要及时采取行动。安全审计与报警是不可分割的，安全报警的目的包括：●报告实际的或明显的违背安全的企图。●报告各种与安全相关的事件。●报告到达一定门限（阈值）后触发产生的事件。4.5案例分析数字金融建设中数据安全传输解决方案1.数字金融建设总体情况金融数据随着数字经济的创新发展呈现爆发式增长，数据采集渠道和维度多元化，数据价值密度高、应用价值大的特点更加突出。金融数据的泄露、滥用、篡改等安全威胁影响重大，涉及用户个人隐私和企业商业机密，关乎国家安全和社会稳定。加强金融数据安全能力建设既是金融机构发展的内生需求，也是行业强监管的客观要求。4.5案例分析2.数字金融建设中数据传输场景及安全解决方案数字金融数据传输安全应用场景主要分为面向内部协同、面向金融服务、面向外部合作和面向跨境流动的4种数据传输场景。为保障金融数据的传输安全，需要根据应用场景、数据类型和传输网络等因素，采用数据加密、去标识化、安全通道等技术措施保障数据安全。如在公共网络传输时，需要采用安全通道、数据加密、去标识化等安全技术进行传输，保障传输过程中数据的保密性和安全性；对于支付账号等敏感信息，需要采用支付标记化技术来进行脱敏处理，保证数据传输的保密性；对于高级别数据需要通过数据加密、过滤等安全传输保障手段来保证数据的保密性和安全性。如何根据不同应用场景，选择安全的数据传输方式是金融数据传输中亟需解决的问题。4.5案例分析（1）面向内部协同的数据传输场景①数据传输安全需求内部协同是通过金融机构及其各分、子公司的数据整合共享，实现机构内部跨层级、跨地域、跨部门、跨系统的高效业务协同。数据发送方和接收方均为金融机构及各分、子公司内部人员，传输的数据为金融机构内部整合共享的业务数据、金融数据等，具有主体数量较为有限，范围相对固定的特点。4.5案例分析②数据传输安全解决方案对于数据传输通道受到破坏的风险，一方面，通过部署防火墙等安全设备，应对外部攻击，同时做好内部网络的漏洞扫描、主动防御等，不同网络区域或者安全域之间应进行安全隔离和访问控制，并对传输通道进行加密，保证传输通道的安全。另一方面，建立内部网络和专线安全管理规范，明确内部网络和专线的安全管理要求。4.5案例分析（2）面向金融服务的数据传输场景①数据传输安全需求金融服务是指金融机构通过金融服务平台，为金融客户提供融资、投资、储蓄、信贷、结算、证券买卖、商业保险和金融信息咨询等服务。发送方为金融客户，接收方为金融机构相关业务部门，传输的数据为账户信息、金融交易信息、身份信息、财产信息、借贷信息等客户金融数据，传输具有及时性，且发送方具有请求量大、分布范围广泛的特点。4.5案例分析②数据传输安全解决方案对于恶意客户端接入、恶意服务器调用风险，一方面，对传输双方身份采用数字签名、时间戳等方式进行鉴别和认证。终端采取准入控制、终端鉴别等技术措施，防止非法或未授权终端接入。建立日常数据泄露、数据篡改、数据窃取、数据非法使用的风险监控机制，主动预防、发现和终止数据泄露异常行为。4.5案例分析（3）面向外部合作的数据传输场景①数据传输安全需求外部合作是指金融机构与其他数据供应方、业务合作机构、政府及监管机构等外部机构之间的合作，传输的数据为金融信息、风控信息、业务信息和公务信息等，具有传输主体数量较为有限，范围相对固定的特点。金融机构与外部机构之间，通常采用机构专线或VPN进行数据传输，业务流程图如图所示。4.5案例分析②数据传输安全解决方案对于传输通道受到破坏的风险，一方面，通过部署防火墙等安全设备，应对外部攻击，做好内部网络的漏洞扫描、主动防御等，保证传输通道的安全，并对传输通道进行加密。另一方面，建立专用网络和专线安全管理规范，明确专用网络和专线的安全管理要求。4.5案例分析（4）面向跨境流动的数据传输场景①数据传输安全需求跨境流动是指金融机构因业务需要与其海外分支机构或总部、其他境外金融机构、第三方数据处理服务商、境外监管机构或行政与司法部门等之间进行数据跨境传输，传输的数据为包括个人金融信息、企业金融信息以及金融机构运营的业务数据等在内的金融数据，具有高敏感性和高价值性。4.5案例分析②数据传输安全解决方案对于传输通道受到破坏的风险，采用防火墙、入侵检测等安全技术或设备，确保数据传输网络的安全性，并对传输通道进行加密，保证传输通道的安全。建立传输网络管理规范，明确专用传输网络安全管理要求。对于数据传输过程中发生泄露、窃取、篡改等风险，一方面，加强自身信息技术能力建设，提高数据风险识别和管理能力。数据传输前，根据法律法规和行业标准对业务数据进行脱敏处理及审批授权，数据应采取数据加密、安全传输通道或安全传输协议进行数据传输，并保留本地备份和转移记录。另一方面，数据传输严格遵守国家和地方颁布的法律法规和规章以及行业规范。在向境外提供数据前，应进行风险自评估，并针对可能发生的风险制订应急响应预案，及时处置数据安全事件告警，并在重大事件发生时立即启动应急响应。本章结束第5章身份认证与访问控制5.1问题导入

医疗数据作为国家基础性的战略资源，已经被正式纳入国家发展战略，成为医疗领域的核心资产。借助数据分析工具对医疗数据进行挖掘、分析，能够更加准确地诊断和治疗疾病，预测患者的健康状况，辅助医生进行临床决策，提高工作效率。为了保护医疗数据的安全、防止隐私泄露，如何制定科学合理的医疗数据访问策略，既不能影响医生正常的数据访问，又能防止因授权过度导致一些医生窥探或窃取患者隐私是一个重要问题。5.2常用身份认证技术

身份认证技术是在计算机网络中确认操作者身份的关键过程，它通过一系列方法来验证用户身份，确保操作者是数字身份的合法拥有者，防止未经授权用户的访问和使用。

●根据用户所知道的信息，来证明自己的身份（你知道什么），例如口令、密码等。

●根据用户所拥有的东西，来证明自己的身份（你有什么），例如印章、智能卡等。

●根据用户的生物特征，来证明自己的身份（你是谁），例如指纹、声音、视网膜等身体特征，或签字、笔迹等行为特征。

●运用密码学技术通过第三方，证明自己身份的合法性（中间人），例如数字身份认证。5.2常用身份认证技术

5.2.1静态口令认证1.静态口令认证的概念静态口令认证是较常用的一种技术，它是基于“你知道什么”的验证手段，如图所示。用户首先在系统中注册自己的用户名和登录口令，系统将用户名和口令存储在内部数据库中，这个口令一般是长期有效的。5.2常用身份认证技术

2.静态口令认证的优缺点静态口令认证使用简单，部署和使用成本低。大多数系统都提供了对静态口令认证的支持，使静态口令认证成为一种简单、普遍和可行的方法。然而，用户每次访问系统时都要以明文方式输入口令，口令容易泄露，口令在传输过程中可能被截获；当用户访问多个不同安全级别的系统时，都要求用户提供口令，用户为了便于记忆，往往会采用相同的口令，一旦其中一个系统的口令被破解，就会造成所有口令的泄露。5.2常用身份认证技术

5.2.2短信密码认证1.短信密码认证的概念短信密码认证是指以手机短信形式请求密码后，身份认证系统生成6位随机的动态密码，并以短信形式发送到用户的手机上，用于验证用户身份的一种安全验证方式。如图所示，客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性，它是基于“你有什么”的方法。5.2常用身份认证技术

2.短信密码认证的优缺点由于短信密码生成与使用场景是物理隔离的，因此密码在通路上被截取的概率较低，短信密码认证具有较高的安全性。只要手机能接收短信即可使用，用户收到验证码输入几个数字即可，大大降低短信密码技术的使用门槛，使其成为一种非常方便的身份验证方式。但短信密码认证受限于移动信号覆盖区域，存在通信延迟，有时受手机软件的影响，验证短信可能被作为垃圾短信拦截，影响正常的身份认证。5.2常用身份认证技术

5.2.3智能卡认证1.智能卡认证的概念智能卡是将一个集成电路芯片镶嵌于塑料基片中，封装成卡的形式，其外形与覆盖磁条的磁卡相似。因其超小的体积、先进的集成电路芯片技术以及特殊的保密措施和难以破译及仿造的特点受到人们的普遍欢迎。智能卡的芯片可以用来存储和传输数据，芯片中通常存有与用户身份相关的数据，可以通过验证智能卡中的数据来确认用户身份，如图所示。5.2常用身份认证技术

5.2.4生物认证1.生物认证的概念生物认证技术是指利用计算机将光学、声学、生物统计学原理和生物传感器等高科技手段密切结合，通过人体固有的生物特性（如指纹、面部、虹膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定技术。生物认证系统首先对用户的生物特征进行取样，提取其唯一的特征后转化成数字代码，再组合成特征模板。当用户与认证系统交互进行身份确认时，认证系统获取其特征并与数据库中的特征模板进行比对，以确定是否匹配，从而决定接受或拒绝该用户。5.2常用身份认证技术

2.指纹识别指纹识别技术是把一个人同他的指纹对应起来，通过对他的指纹和预先保存的指纹进行比较，验证他的真实身份，如图所示。相比于其他身份认证技术，指纹识别系统的制造和部署成本较高，涉及到传感器设备、算法软件和数据库的建设与维护。5.2常用身份认证技术

3.声纹识别声纹识别属于生物识别技术，也称为说话人识别，包括说话人辨认和说话人确认，或语音识别。声纹识别技术就是把声信号转换成电信号，再用计算机进行识别，与数据库中已有的声纹样本进行对比，再根据语音特征判断是否是同一个人，如图所示。5.2常用身份认证技术

4.人脸识别人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。面部特征具有稳定性和唯一性，用摄像机或摄像采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，再根据人脸提取出身份特征，最后将该特征与事先已经存储的样本进行比对，从而识别出个人身份，如图所示。人脸识别系统主要包括四个组成部分，即人脸图像采集及检测、人脸图像预处理、人脸图像特征提取、匹配与识别。5.2常用身份认证技术

5.虹膜识别虹膜识别技术是根据人眼中的虹膜部位进行身份认证，如图所示。人眼由虹膜、视网膜和晶状体等构成，虹膜处于眼角膜内部白色巩膜和黑色瞳孔之间，包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等的细节特征。虹膜在人类胚胎发育时期就已经确定，终身保持不变，这些特征决定了虹膜特征的唯一性，同时也决定了身份识别的唯一性，这就是以虹膜为基础的生物识别系统具有有效性的真实原因。5.3数字身份认证

5.3.1数字证书的概念和特点1.数字证书的概念在网络信息系统中，数字身份认证模型起着关键作用，用户申请服务资源，首先通过通信信道将数字证书传输到认证模块，认证模块作为中间人，负责验证用户身份的真实性。5.3数字身份认证

2.数字证书的作用数字证书是一种用于加密和验证数据的安全工具，可以确保数据的安全性、真实性和完整性，保护用户信息不被窃取和篡改，提供更高的保护和安全性。数字证书在现代通信和互联网领域起着重要的作用，主要用于身份认证、数据加密、数据完整性验证、电子签名和网站安全。5.3数字身份认证

3.数字证书的特点数字证书能够为用户提供身份认证服务，主要有安全、便捷、即时、唯一性、不可逆、权限限制和可销毁性的七个特点。基于数字证书的以上特点，数字证书广泛应用于电子商务和电子政务领域，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务、海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。5.3数字身份认证

5.3.2数字证书的工作原理1.数字证书生成生成数字证书的过程有两方要参与，即用户（主体）和签发者（证书机构）。用户向证书机构提交证书申请，由证书机构生成用户的数字证书。生成过程分为以下几个步骤。第一步：密钥生成。第二步：注册。第三步：验证。第四步：证书生成。5.3数字身份认证

2.数字证书验证当用户收到数字证书后，会对数字证书的真实性和完整性进行验证，具体验证过程包括以下几个步骤，如图所示。（1）用户将数字证书中除最后一个字段外的所有字段输入消息摘要算法（哈希算法）。（2）用户从数字证书的最后一个字段中取出证书机构的数字签名，并使用其公钥对该数字签名进行解密，得到证书机构生成的消息摘要MD2。（3）用户比较MD1和MD2的一致性，如果一致，则数字证书是可信的，否则用户不信任该证书并拒绝它。5.3数字身份认证

3.数字证书撤销数字证书是一种用于身份验证和加密通信的数字凭证，它具有一定的有效期。在一些特定情况下，数字证书是可以被撤销的，主要原因包括：①证书持有人的私钥泄露②证书持有人的身份信息变更等③证书颁发机构的撤销决定，或者证书本身存在安全隐患，也可以主动对证书进行撤销。5.3数字身份认证

5.3.3数字证书的分类1.根据主体对象分类根据主题对象的不同，数字证书可分为个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、企业或机构代码签名证书和安全电子邮件证书，这些证书都有各自的特点和适用范围。5.3数字身份认证

2.根据技术角度分类根据数字证书技术的不同，CA中心发放的证书可以分为安全电子交易证书和安全套接层证书。（1）安全电子交易证书也称为SET证书，服务于持卡消费和网上购物。SET证书是采用SET协议，符合X.509标准的数字安全证书。（2）安全套接层证书也称为SSL证书，服务于银行对企业或企业对企业的电子商务活动。SSL证书是采用SSL协议（安全套接字层协议），在浏览器用户端和Web服务器之间建立起安全通道，让网站信息传输加密进行。5.4访问控制核心技术

5.4.1访问控制概述1.访问控制的概念访问控制是实现既定安全策略的系统安全技术，目标是防止对数据资源进行非授权访问。非授权访问包括未经授权的使用、泄露、修改、销毁及颁发指令等。通过访问控制技术可以限制对关键资源的访问，防止非法用户的侵入或因合法用户的不慎操作所造成的破坏。5.4访问控制核心技术

2.访问控制的原理访问控制的主要功能是保证合法用户访问受权保护的网络资源，防止非法的用户进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括身份认证、控制策略的具体实现和安全审计三部分，其原理如图所示。5.4访问控制核心技术

5.4.2访问控制策略和机制1.访问控制策略访问控制策略主要有两种：传统的访问控制策略和基于角色的访问控制策略，传统的访问控制策略又分为自主访问控制策略和强制访问控制策略。（1）自主访问控制策略自主访问控制是在确定主体身份以及它们所属组的基础上，根据访问者的身份和授权来决定访问模式，对访问进行限定的一种控制策略。它允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体。拥有客体权限的用户，也可以将该客体的权限分配给其他用户。5.4访问控制核心技术

（2）强制访问控制策略强制访问控制是一种基于强制访问控制策略建立的访问控制类型，根据客体的敏感标记和主体的访问标记对客体访问实行限制的一种方法。它根据访问控制策略，分别赋予主体和客体一个特殊的安全标记，主体的安全标记反映了主体可信的程度，客体的安全标记则与其包含信息的敏感度一致。强制访问控制的“强制”体现在系统独立于主体强制执行访问控制，主体不能修改客体的属性，主体不能将自己的部分权限授予其他主体，由系统或管理员按照严格的安全策略事先设置主体权限和客体安全属性。5.4访问控制核心技术

（3）基于角色访问控制策略自主访问控制策略的优点是具有相当的灵活性，但是安全级别相对较低；强制访问控制策略的优点是管理集中，但是实现工作量较大，管理不便，不适用于主体或客体经常更新的应用环境。基于角色的访问控制策略是实施面向企业安全策略的一种有效的访问控制方式，它对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限，通过管理角色来管理权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。5.4访问控制核心技术

2.访问控制机制访问控制机制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。访问控制机制可以分为基于访问控制表的访问控制机制、基于能力的访问控制机制、基于矩阵的访问控制机制、基于标签的访问控制机制4种类型，一般通过授权、安全标签、口令和证书等鉴别信息、提出访问的时间或路由、以及存放对等实体访问权的方法控制信息库等方法来实现。5.4访问控制核心技术

（1）基于访问控制表的访问控制机制访问控制表是以客体为中心建立的访问权限表，它是从客体角度进行设置的、面向客体的访问控制，每个客体有一个访问控制列表，用来说明有权访问该客体的所有主体及其访问权限，如图所示。5.4访问控制核心技术

（2）基于能力的访问控制机制访问控制能力表（CL,CapabilitiesList）是访问主体拥有的属性标签，它授权持有者以特定的方式访问特定的目标，发起者的访问控制信息是他可以访问的目标和对目标进行的操作。其基本思想是只有某个主体对某个客体拥有准许访问的能力时，才允许其访问该客体。能力是由一种机制保护的客体标签，标记了客体以及访问者对客体的权限，如图所示。5.4访问控制核心技术

（3）基于矩阵的访问控制机制访问控制矩阵（ACM,AccessControlMatrix）是用矩阵的形式描述访问控制策略的机制，矩阵的行表示客体，列表示主体，行和列的交叉点表示某个主体对某个客体的访问权限，即主体可以对客体执行的动作或功能，访问控制矩阵如表所示。通过访问控制矩阵，无论是根据主体还是客体，都可以查到对应的权限。进行访问时，通过访问控制来选择允许或拒绝的操作。访问控制矩阵的每一列都是一个访问控制列表ACL，每一行都是一个访问控制能力表CL。访问控制矩阵易于实现，但是查找和实现起来有一定的难度，如果用户和文件系统要管理的文件很多，访问控制矩阵将变得巨大而臃肿，效率很低。5.4访问控制核心技术

（4）基于标签的访问控制机制基于标签的访问控制机制是最基本的一种网络安全机制，用于保护系统资源免受未经授权的访问，使用安全标签来描述主体和客体的属性，这些属性包括主体或客体的安全级别、组织归属、角色等，通过比较主体和客体的标签属性，可以确定是否允许访问。基于标签的访问控制机制支持多级安全，可以定义不同级别的访问权限，如一个系统包含公开、秘密、机密三个级别，不同级别的主体和客体可以通过比较安全标签来确定是否允许访问。同时，通过调整安全标签，能够动态调整主体对客体的访问权限。5.4访问控制核心技术

5.4.3基于角色访问控制1.角色的概念基于角色的访问控制（RBAC）是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。角色（role）定义为与一个特定活动相关联的一组动作和责任，系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限，用户、角色、权限3者之间的关系如图所示。5.4访问控制核心技术

2.基于角色访问控制的概念基于角色访问控制的基本思想是不直接把对系统操作的各种权限授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限。通过引入角色的概念，无须在每次创建用户时都进行分配权限的操作，只要给用户分配相应的角色就能完成授权。而且角色的权限变更比用户的权限变更更少，极大地简化了对用户的权限管理的复杂度，减少系统的开销。5.4访问控制核心技术

3.基于角色访问控制的原则和特点在基于角色访问控制模型中，通过角色将用户和权限关联起来，简化了权限管理的复杂度。为了保证访问控制的安全性，同时定义了最小权限原则、责任分离原则和角色互斥原则，以防止过度授权、责任集中和角色包含等问题。因此，基于角色访问控制通过角色控制来实现权限的管理和分配，从而来保护数据安全，具有以下三个特点：（1）以角色作为访问控制的主体：用户具有的角色，决定了用户拥有的权限以及可执行的操作。（2）角色继承：基于角色访问控制中利用角色之间的层次关系提高授权效率，避免相同权限的重复设置。（3）最小特权原则：在基于角色访问控制中，可以根据组织机构内的规章制度、职责分工等设计拥有不同权限的角色，只有角色需要执行的操作才授权给角色。5.4访问控制核心技术

4.基于角色访问控制模型的分类基于角色访问控制RBAC模型包括4个模型，即RBAC0、RBAC1、RBAC2、RBAC3，如图所示。5.4访问控制核心技术

5.CoreRABC模型RBAC0模型也称为CoreRABC模型，是RBAC模型的核心模型，模型结构如图所示。在该模型中，定义了基于角色访问控制的5个基本元素——用户、对象、操作、权限、角色，以及一个动态的概念——会话。5.4访问控制核心技术

6.HierarchalRBAC模型RBAC1模型也称为层次RBAC模型、HierarchalRABC模型，是RBAC0模型的扩展模型，模型结构如图所示。RBAC1模型在角色中引入继承的概念，构建了角色层次结构，把角色分成若干个等级，每个等级的角色分配不同的权限，能够实现更细粒度的权限管理。5.4访问控制核心技术

7.ConstraintRBAC模型RBAC2模型也称为约束RBAC模型、ConstraintRABC模型，是RBAC1模型的扩展模型，模型结构如图所示。在RBAC2模型中引入了职责分离机制，用以调节角色之间的权限冲突。5.4访问控制核心技术

5.4.4基于属性访问控制基于属性的访问控制是一种适应于开放环境下的访问控制技术，它通过安全属性来定义授权，而不需要预先知道访问者的身份。安全属性是实体的一些与安全相关的特征，能够较好地适应开放环境。基于属性的访问控制能根据相关实体属性的动态变化，实时更新访问控制策略，提供一种细粒度、更灵活的访问控制方法，能够解决复杂信息系统中的细粒度访问控制和大规模用户动态扩展问题，能够较好地适应开放式环境，模型结构如图所示。5.4访问控制核心技术

5.4.5基于密码学访问控制1.基于密钥管理的访问控制根据访问控制系统所支持的能够发送数据的用户数量，可以分为基于单发送者广播加密的访问控制和基于公钥广播加密的访问控制。（1）基于单发送者广播加密的访问控制广播加密技术是指在一组目标参与方之间安全地建立密钥，只有授权的参与方才能获得密钥来解密数据，未授权的参与方无法获得关于密钥的信息，甚至多个未授权参与方合谋也无法获得密钥来解密数据。（2）基于公钥广播加密的访问控制针对任意接收者集合