身份认证与访问控制
1.身份认证
身份认证是信息安全中最前沿的一道防线,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源
常用网络身份认证方式
静态口令(password)
基于口令的认证方式是较常用的一种技术。 用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中,这个口令一般是长期有效的,因此也称为静态口令。 基于静态口令的身份认证技术因其简单和低成本而得到了广泛使用。但这种方式存在严重的安全问题, 安全性仅依赖于口令,口令一旦泄露,用户就可能被假冒。
动态口令(one time password)
为克服静态口令带来的种种安全隐患,动态口令认证逐渐成为口令认证的主流技术。 用户每次登录系统的口令都不一样,具有“一次一密”的特点,有效保证了用户身份的安全性。 在银行支付、网上银行转账、交易时一般采用静态口令+动态口令组合的方式进行认证,这种双重保障的方式可以大大提高使用的安全性。
USB Key认证
采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式.其身份认证系统有两种认证模式:基于PKI体系的认证模式、基于冲击/响应模式。
生物识别技术
是指通过可测量的身体或行为等生物特征信息进行身份认证的技术。
指纹识别技术。
视网膜识别技术。
声音识别技术。
CA认证系统
CA(Certification Authority)认证是对网络用户身份证的发放、管理和确认验证的过程。
CA的主要职能体现在3个方面:
(1)管理和维护客户的证书和证书作废表(CRL)。
(2)维护整个认证过程的安全。
(3)提供安全审计的依据。
2.访问控制
访问控制(Access Control)指针对越权使用资源的防御措施,即判断使用者是否有权限使用或更改某一项资源,并防止非授权使用者滥用资源。目的是限制访问主体对访问客体的访问权限。
访问控制包含三方面含义:一是机密性控制,保证数据资源不被非法读出;二是完整性控制,保证数据资源不被非法增加、改写、删除和生成;三是有效性控制,保证资源不被非法访问主体使用和破坏。主要任务是保证网络资源不被非法使用,也是保护网络系统和资源安全的重要手段。访问控制三个要素:
(1)主体S(Subject).指提出访问资源具体请求方.
(2)客体O(Object). 指被访问资源的实体。
(3)控制策略A(Attribution)。主体对客体的访问控制规则。
访问控制的功能和内容
访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制的内容包括三个方面:
(1)认证:包括主体对客体的识别认证和客体对主体检验认证
(2)控制策略的具体实现:如何设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。
(3)安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。
访问控制的模式
主要的访问控制模式有三种:
(1)自主访问控制(DAC).在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。
(2)强制访问控制(MAC)
(3)基于角色的访问控制(RBAC)
访问控制规则
(1)访问者
主体对客体访问可以基于身份,也可基于角色。即“访问者”可以是身份标识或角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。
(2) 资源保护
对资源保护包括两个层面:物理层和逻辑层。
(3) 访问控制规则
四要素:访问者(主体),资源(客体),访问请求和访问响应。
访问控制安全策略的实现
访问控制安全策略三种实现方式:
(1)基于身份的安全策略
基于身份的安全策略是过滤对数据或资源的访问,只有通过认证的主体才能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略,主要有两种基本的实现方法:能力表和访问控制表。
(2)基于规则的安全策略
策略中的授权通常依赖于敏感性。在安全策略系统中,所有数据和资源都标注了安全标记,用户的活动进程与其原发者具有相同的安全标记。
(3)综合访问控制策略
综合访问控制策略(HAC)继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性,保证授权主体能访问客体和拒绝非授权访问.特点:具有良好灵活性、可维护性,可管理性、更精准的访问控制性和更高安全性。
HAC主要包括:
(1)入网访问控制。
(2)网络(资源-服务)权限控制。
(3)目录级安全控制。
(4)属性安全控制。
(5)网络服务器安全控制。
(6)网络监控和锁定控制。
(7)网络端口和结点的安全控制。
(8)防火墙控制
2227
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
