Ch07 认证技术与访问控制

1、网络和信息安全保障，Ch07身份验证技术和接入控制，2，本章学习目的是了解消息身份验证的类型把握身份识别身份验证的概念，常用的身份识别身份验证技术在身份认证的应用(PPP，AAA认证) 理解接入控制和分类，理解接入控制的应用环境，3，第一部分身份验证技术，4，1概述，身份验证是对证据的认识、验证和身份验证。 两种身份验证：消息身份验证身份身份验证消息身份验证。 包括消息来源、消息内容和消息时间性身份验证在内的5、2身份识别身份验证、身份识别身份验证的概念：验证用户的真实身份识别与其主张的身份识别是否一致的过程， 包括身份识别身份验证系统的三个部分：身份验证服务器身份验证系统的客户认证设备身份验

2、证协议双向、单向、其他协议(简称)、6、3常见的身份认证技术、生物特征指纹、虹膜与视网膜、DNA零知识证明对话、非对话、7、指纹细节特征、指纹认证主要有4个过程现在，计算机指纹识别系统已经研制出来，能够比较正确地进行指纹的自动识别。 虹膜识别虹膜是位于眼睛黑色瞳孔和白色巩膜之间的环状部分。 它整体上由内而外呈放射状结构，包括相互交错的斑点、丝状体、冠状、条纹、隐窝等形状的细微特征。 这些个的精细特征信息又称虹膜肌理构成信息，主要由胚胎发育环境的差异决定，每个人都具有唯一性、稳定性、不可侵犯性(非接触性)。 虹膜识别系统主要由虹膜图像采集装置、生物虹膜检测算法、特征提取与匹配的几个模块组成。 9

3、、DNA能识别脱氧核糖核酸，生物的所有遗传信息DNA分子中积蓄的基因是DNA全长的3%-10%，随机检测两人的DNA图谱，其概率不过是三千亿分之一，也许是未来的主流？ 不确定、1.0、身份身份验证的应用：在PPP中身份验证定义提供了两种可选的身份验证方法PAP，CHAP EAP是反应历程AAA身份验证系统及其应用AAA的含义：身份验证、授权、审核的好处，11、第二部分访问控制，12、 1概述1.1接入控制1.2接入控制与其他保密工作措施的关系1.3本代理和对象1.4网站数据库权、1.3、1.1接入控制和接入控制、访问控制是限制信息系统资源访问范围和方式的战略。 简单来说，就是防止合法用户的非法

4、操作。 身份证是造访者合法解决了有木有，但身份证合法就不是什么都可以做的。 另外，通过造访者规定了接入控制可以分别网站数据库到哪个资源，以及可以网站数据库的资源使用怎样的方法(阅读)。 写？ 实行吗？ 确定要删除吗？ 等)访问。1.4、接入控制使用活动主体的特定网站数据库操作网站数据库到被动的对象，所使用的特定网站数据库操作受网站数据库监视器控制，图：主体、身份验证、访问控制、对象、访问控制决定模块：访问请求、权限、 接入控制模型，1.2主体和对象，1.5，主体和对象可以描述为接入控制系统中的实体。 主体是提交网站数据库请求的主体，通常是用户或用户进程。 对象是被网站数据库的对象，并且是诸如通

5、常被调用的计程仪项、进程、所网站数据库的数据、文件、存储器、系统、解老虎钳、设施等的资源。 情报系统的安全目标是控制管理向对象的本代理的网站数据库。 保密工作策略是限制这些个网站数据库的规则和目标定径套，可以按照反映系统保密工作要求和实现保密工作目标的步骤编写。、1.6、2接入控制模型、2.1自主接入控制2.2基于强制访问控制2.3角色基于化学基的接入控制2.4基于塔斯克的访问控制、17、2.1自主访问控制、自主访问控制模型(DAC Model，discretionary access control model )定义：主体或主体自主：主体可以自主按照自各儿意愿适当修改系统的残奥表，决定哪些

6、用户可以网站数据库该文件。 接入控制沉积基质的缺点：网站数据库权的授予是可以传递的。1.8、2.2强制访问控制、强制访问控制模型(MAC model:mandatoryaccesscontrolmodel ) MAC是多级接入控制策略，数据所有者无权决定文件的网站数据库权限，权限由执行操作系统决定， 权限所有者有可能基于保密工作属性实现：在事先给网站数据库主体和受控对象分配不同的保密工作级属性，实施接入控制时，系统首先将网站数据库主体与受控的安全级属性进行比较，决定访问主体是否能访问其受控。 MAC是识别网站数据库主体和受控对象的两个保密工作标记：一个是具有偏置关系的保密工作级标记，另一个是非

7、等级分类标记。 BLP模型是一个例子。 在1.9、呼叫、强制访问控制(MAC )中，系统包括男公关定径套s和对象定径套o，每个s的男公关s及对象定径套的对象o属于固定的安全类SC，安全类SC=包括分级安全级和非分级安全类别这两个部分构成偏差关系。 保密的简单安全特性(无上读) :仅对于SC(o)SC(s )，s可读取o *-特性(无下写) :仅对于SC(s) SC(o )，s可修改Biba :保证完全性定(即仅在SC(s) SC(o )的情况下行政许可读取动作，行政许可SC(s) SC(o )、写入动作，2.0、自主接入控制构成的粒度小的构成的工作量多，效率低的强制访问控制构成的粒度缺乏灵活性

8、，2.1、基于2.3作用的接入控制、 基于角色的接入控制模型(RBAC model ) role-basedaccesscontrolmodel:RBAC模型的基本思维方法是，通过将网站数据库行政许可分配给一定的角色，用户就可以扮演不同的角色来获得角色所具有的网站数据库行政许可。 在许多实际应用中，每个用户在部门中负责的角色来确定不是用户可网站数据库的目标信息资源的所有者(这些个信息属于企业或公司)的接入控制。 例如，一个学校可用于教职工、老师、学生、其他管理员等。2.2、角色可视为一系列操作的集合，不同的角色具有不同的操作定径套，这些个的操作定径套由系统管理员分配。 例如，Tch1、Tch2

9、、Tch3Tchi是对应的人民教师，Stud1、Stud 2、Stud3 Studj是对应的学生，Mng1、Mng 2、Mng 3Mngk是教务所管理者的老师的权限以TchMN=查询成绩， 假设上传授课成绩的学生权限是Stud MN=查询成绩，反映意见的教务管理者权限是MngMN=查询，成绩的修改，成绩清单的打印根据角色的不同而不同，各个主体只能执行自各儿作成的网站数据库功能。 用户在一定的部门有一定的作用。 其执行的操作与其作用相一致。 2.3 .系统管理员有责任授予用户各种角色的成员资格，或者撤销用户所拥有的角色。 RBAC提供了解释用户和权限之间关系的多对多关系。 例如，如果学校采用新人民教师Tchx，系统管理员可以向角色为人民教师的成员添加Tchx而不改变访问控制表。 同一用户可以是多个角色的成员。 也就是说，同一个用户可以扮演多个角色。 例如，用户可以是老师，也可以是培训学生。 同样，角色可以有多个用户成员。 这符合现实，一个人可以在同一部门担任多个职务，担任同一职务的可能有多个人。角色可以分为不同的等级，通过角色等级关系反映组织的职权和责任关系，这种关系具有反身性、传递性和非对称性的特征，通过继承行为形成了一种偏见关系，如MngMNTchM