网络安全9-访问控制技术

访问控制三要素：

访问控制的最基本概念

访问控制系统要素之间的行为关系参见下图：
访问控制过程


访问控制由两个重要过程组成 1、通过认证来检验主体的合法身份； 2、通过授权（Authorization）来限制用户 对资源的访问级别。 在认证和授权后，访问控制机制将根据预先设 定的规则对用户访问的资源进行控制，只有规 则允许的资源才能访问。



基于角色的访问控制
第9章 第2节
9.2 入网认证



入网认证即入网访问控制。它为网络访问 提供了第一层访问控制 入网认证控制哪些用户能够登录到服务器 并获得网络资源，也控制准许用户入网的 时间和准许他们在哪台工作站入网 入网认证实质上就是对用户的身份进行认 证
第9章 第2节
9.2 入网认证
网络安全
刘敏贤 副教授
西南科技大学计算机科学与技术学院
第9章 访问控制技术

本章的主要内容是对入网访问控制、物理隔离、 自主访问控制和强制访问控制等技术的实现原 理进行了详细的论述，并介绍了一些新型访问 控制技术。
第9章 访问控制技术



9.1 访问控制技术概述 9.2 入网认证 9.3 物理隔离措施 9.4 自主访问控制 9.5 强制访问控制 9.6 新型访问控制技术

例：工行、建行（见备注）
身份认证技术方法

目前，计算机及网络系统中常用的身份认证方 式主要有以下几种：
4. USB Key认证



基于USB Key的身份认证方式是近几年发展起来的一种 方便、安全的身份认证技术。它采用软硬件相结合、一 次一密的强双因子认证模式，很好地解决了安全性与易 用性之间的矛盾。 USB Key内置单片机或智能卡芯片，可以存储用户的密 钥或数字证书，利用USB Key内置的密码算法实现对用 户身份的认证。 基于USB Key身份认证系统主要有两种应用模式：一是 基于冲击/响应的认证模式，二是基于PKI体系的认证模 式。

Kerberos , IKE
身份认证技术方法

目前，计算机及网络系统中常用的身份认证方式 主要有以下几种：
1. 用户名及密码方式

用户名及密码方式是最简单也是最常用的身份认证方法， 由用户自己设定，只有用户本人知道。只要能够正确输入 密码，计算机就认为操作者就是合法用户。 智能卡是一种内置集成的电路芯片，芯片中存有与用户身 份相关的数据，智能卡由专门的厂商通过专门的设备生产 ，是不可复制的硬件。 智能卡由合法用户随身携带，登录时必须将智能卡插入专 用的读卡器读取其中的信息，以验证用户的身份。

身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手 的血管和DNA等； 行为特征包括：签名、语音、行走步态等。

目前采用的有：指纹识别技术、视网膜识别技术、声音识别 技术
身份认证技术方法

目前，计算机及网络系统中常用的身份认证方式主 要有以下几种：
6. CA认证



CA (Certification Authority)是认证机构的国际通称，它是对 数字证书的申请者发放、管理、取消数字证书的机构。 CA 的作用：是检查证书持有者身份的合法性，并签发证书(用 数学方法在证书上签字)，以防证书被伪造或篡改。网络身份 证的发放、管理和认证就是一个复杂的过程，也就是CA认证 。 CA职能
第9章 第1节
第9章 访问控制技术


要保证计算机系统实体的安全，必须对计 算机系统的访问进行控制 访问控制的基本任务

防止非法用户即未授权用户进入系统 合法用户即授权用户对系统资源的非法使用
问题提出

老师可以输入考试成绩，只有学生可以对教学质量进行评 价。。。 例2：作为QQ用户，执行同样的登录操作，为什么QQ服务器 可以识别出有的用户花了钱晋升为QQ会员，有的用户开通了 各种钻，更多的只是普通的QQ用户呢？ 例3：论坛规定，发贴或跟贴必须要先注册并登录，而且只 有管理员可以删贴，甚至封贴。
2. 智能卡认证


身份认证技术方法

目前，计算机及网络系统中常用的身份认证方 式主要有以下几种：
3. 动态令牌认证


动态口令技术是一种让用户密码按照时间或使用次数不 断变化、每个密码只能使用一次的技术。它采用一种动 态令牌的专用硬件，内置电源、密码生成芯片和显示屏 ，密码生成芯片运行专门的密码算法，根据当前时间或 使用次数生成当前密码并显示。用户使用时只需要将动 态令牌上显示的当前密码输入客户端计算机，即可实现 身份认证。 采用一次一密的方法。

客体（object）

访问控制的最基本概念

访问（access）

使信息在主体和客体之间流动的一种交互方式。 对文件客体来说，典型的访问就是读、写、执行和所有； 其中所有权指谁能改变文件的访问权。
主体对客体的访问规则集，这个规则集直接定义了主体对 客体的作用行为和客体对主体的条件约束。 体现了一种授权行为，也就是客体对主体的权限允许，这 种允许不能超越规则集。

用户口令的识别与验证


用户帐号的缺省限制检查

第9章 第2节
9.2 入网认证

口令认证

口令认证也称通行字认证，是一种根据已知事 物验证身份的方法
易记 难以被别人猜中或发现 抗分析能力强 选择方法、使用期限、字符长度、分配和管理 以及在计算机系统内的保护

通行字的选择原则


需要考虑的方面
第9章 第2节
9.2 入网认证

身份认证的评价标准

认证强度


认证强度取决于采用的算法的复杂度以及密钥的长 度 采用更复杂的算法，更长的密钥，将能提高系统的 认证强度，提高系统的安全性
第9章 第2节
9.2 入网认证

身份认证的评价标准

认证粒度


身份认证只决定是否允许用户进入服务应用。之后 如何控制用户访问的内容，以及控制的粒度也是认 证系统的重要标志 有些认证系统仅限于判断用户是否具有合法身份， 有些则按权限等级划分成几个密级，严格控制用户 按照自己所属的密级访问
例1：学校的教务管理系统全校师生都可以使用，但是只有
访问控制的最基本概念

主体（subject）


一个提出请求或要求的实体，是动作的发起者（不一定是 动作的执行者），有时也称为用户或访问者（如被授权使 用计算机的人）； 主体含义广泛，可以是用户、用户组、计算机终端、外设 卡、手持终端设备、一个数据文件甚至是应用服务程序或 进程。 接受其他实体访问的被动实体，凡是可以被操作的信息、 资源、对象都可以作为客体； 通常包括文件和文件系统、磁盘和磁带卷标、远程终端、 信息管理系统的事务处理及其应用、数据库中的数据、应 用资源等。

口令认证技术
安全口令
为了防止攻击者猜测出口令，选择的安全口令应满足以下要求： （1）口令长度适中 （2）不回送显示 （3）记录和报告 （4）自动断开连接 （5）口令存储的安全性 目前，口令的存储有以下两种方法：① 明文存储；② 散列（Hash）函数存储。
2019/2/26
34
第9章 第2节
9.2 入网认证

访问控制的类型

自主访问控制（DAC）

用户可以按自己的意愿对系统参数做适当的修改， 可以决定哪个用户可以访问系统资源 用户和资源都是一个固定的安全属性，系统利用安 全属性来决定一个用户是否可以访问某个资源 由于强制访问控制的安全属性是固定的，因此用户 或用户程序不能修改安全属性

强制访问控制（MAC）

用户身份的识别和认证 对访问的控制

授权 、确定访问权限 、实施访问权限 附加控制

除了对直接的访问进行控制外，还应对信息的流动和推 理攻击施加控制

审计跟踪

对用户使用何种系统资源、使用的时间、执行的操 作等问题进行完整的记录，以备非法事件发生后能 进行有效的追查
第9章 第1节
9.1 访问控制技术概述

管理和维护客户的证书和证书作废表 维护自身的安全 提供安全审计的依据
第9章 第2节
9.2 入网认证

身份认证的评价标准


可行性 认证强度 认证粒度 认证数据正确 不同协议间的适应性
第9章 第2节
9.2 入网认证

身份认证的评价标准

可行性


从用户的观点看，认证方法应该提高用户访问应用 的效率，减少多余的交互认证过程，提供一次性认 证 另外所有用户可访问的资源应该提供友好的界面给 用户访问

访问控制策略（access control policy）


访问控制的最基本概念

访问控制


指主体依据某些控制策略或者权限对客体或其资源 进行的不同的授权访问。 可以限制访问主体（或称为发起者，是一个主动的 实体，如用户、进程、服务等）对访问客体（需要 保护的资源）的访问权限，从而使计算机系统在合 法范围内使用。 主体、客体、访问控制策略。

作用：可以防止非法人员进入系统，防止非法人员 通过各种违法操作获取不正当利益、非法访问受控 信息、恶意破坏系统数据的完整性的情况的发生， 严防“病从口入”关口。
第9章 第2节
9.2 入网认证

身份认证的依据

用户所知道的

密码

用户所拥有的

智能卡
生物学上的属性

用户的特征


根据特定地点（或特定时间） 通过信任的第三方
第9章 第2节
9.2 入网认证

身份认证的评价标准

认证数据正确




消息的接受者能够验证消息的合法性、真实性和完 整性 消息的发送者对所发的消息不可抵赖 除了合法的消息发送者外，任何其他人不能伪造合 法的消息 当通信双方（或多方）发生争执时，有公正权威的 第3方解决纠纷
第9章 第2节
9.2 入网认证

例：工行、建行（见备注）
身份认证技术方法

目前，计算机及网络系统中常用的身份认证方式主 要有以下几种：
5. 生物识别技术


生物识别技术主要是指通过可测量的身体或行为等生物特征 进行身份认证的一种技术。生物特征是指唯一的可以测量或 可自动识别和验证的生理特征或行为方式。 生物特征分为身体特征和行为特征两类。
访问控制技术概述




访问控制是从计算机系统的处理能力方面 对信息提供保护 它按照事先确定的规则决定主体对客体的 访问是否合法 当一主体试图非法使用一个未经授权的资 源时，访问控制机制将拒绝这一企图，并 将这一事件报告给审计跟踪系统 审计跟踪系统将给出报警，并记入日志档 案
第9章 第1节
9.1 访问控制技术概述
访问控制是从计算机系统的处理能力方面对信息提供保护它按照事先确定的规则决定主体对客体的访问是否合法当一主体试图非法使用一个未经授权的资源时访问控制机制将拒绝这一企图并将这一事件报告给审计跟踪系统网络的访问主要采用基于争用和定时两种方法基于争用的方法意味着网上所有站点按先来先服务原则争用带宽对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用访问控制要对访问的申请批准和撤消的全过程进行有效的控制除了对直接的访问进行控制外还应对信息的流动和推理攻击施加控制对用户使用何种系统资源使用的时间执行的操作等问题进行完整的记录以备非法事件发生后能进行有效的追查用户可以按自己的意愿对系统参数做适当的修改可以决定哪个用户可以访问系统资源用户和资源都是一个固定的安全属性系统利用安全属性来决定一个用户是否可以访问某个资源由于强制访问控制的安全属性是固定的因此用户或用户程序不能修改安全属性入网认证即入网访问控制




网络的访问主要采用基于争用和定时两种 方法 基于争用的方法意味着网上所有站点按先 来先服务原则争用带宽 对网络的访问控制是为了防止非法用户进 入系统和合法用户对系统的非法使用 访问控制要对访问的申请、批准和撤消的 全过程进行有效的控制
第9章 第1节
9.1 访问控制技术概述

访问控制的内容包括
访问控制过程


பைடு நூலகம்
这种控制通过监控器进行，每一次用户对系统 内目标进行访问时，都由这个监控器来进行调 节 控制过程：用户对系统进行访问时，监控器便 依据访问控制策略，以确定准备进行访问的用 户是否确实得到了进行此项访问的许可。
访问控制过程

严格区分身份认证和访问控制很重要！ 原因：正确建立用户的身份是认证服务的责任， 而访问控制则假定在通过监控器实施访问控制 前，用户的身份就已经得到了验证；因而，访 问控制的有效性取决于用户的正确识别，同时 也取决于监控器正确的控制。

身份认证的评价标准

不同协议间的适应性


认证系统应该对所有协议的应用进行有效的身份识 别 除了HTTP以外，安全Email访问（包括认证SMTP、 POP或者IMAP）也应该包含在认证系统中
第9章 第2节
9.2 入网认证

口令认证的一般过程

用户名的识别与验证

确定是否存在该用户的信息 确定用户输入的口令是否正确 确定该用户帐号是否可用，以及能够进行哪些操作、 访问哪些资源等用户的权限

身份认证


身份认证过程指的是当用户试图访问资源的时 候，系统确定用户的身份是否真实的过程 认证对所有需要安全的服务来说是至关重要的， 因为认证是访问控制执行的前提，是判断用户 是否有权访问信息的先决条件，同时也为日后 追究责任提供不可抵赖的证据
身份认证的概念
身份认证的作用


身份认证与鉴别是信息安全中的第一道防线，是保证计 算机网络系统安全的重要措施之一,对信息系统的安全有 着重要的意义。 身份认证可以确保用户身份的真实、合法和唯一性。 认证是对用户身份和认证信息的生成、存储、同步、验 证和维护的整个过程的管理。