访问控制与审计监控课件.ppt

上传人(卖家):三亚风情 文档编号:3177604 上传时间:2022-07-28 格式:PPT 页数:130 大小:1.76MB
下载 相关 举报
访问控制与审计监控课件.ppt_第1页
第1页 / 共130页
访问控制与审计监控课件.ppt_第2页
第2页 / 共130页
访问控制与审计监控课件.ppt_第3页
第3页 / 共130页
访问控制与审计监控课件.ppt_第4页
第4页 / 共130页
访问控制与审计监控课件.ppt_第5页
第5页 / 共130页
点击查看更多>>
资源描述

1、访问控制与审计监控访问控制与审计监控培训机构名称讲师名字课程内容课程内容2访问控制与访问控制与审计监控审计监控知识体知识体知识域知识域访问控制模型访问控制模型访问控制技术访问控制技术审计和审计和监控技术监控技术知识子域知识子域标识和鉴别技术标识和鉴别技术典型访问控制方法和实现典型访问控制方法和实现强制访问控制模型强制访问控制模型访问控制模型基本概念访问控制模型基本概念自主访问控制模型自主访问控制模型信息安全审计信息安全审计安全监控安全监控知识域:访问控制模型知识域:访问控制模型v知识子域:访问控制基本概念 理解标识、鉴别和授权等访问控制的基本概念 理解各种安全模型的分类和关系3访问控制的概念和

2、目标访问控制的概念和目标v访问控制:针对越权使用资源的防御措施v目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。4访问控制的作用访问控制的作用v未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用 合法用户对系统资源的非法使用v作用:机密性、完整性和可用性5主体与客体主体与客体v主体 发起者,是一个主动的实体,可以操作被动实体的相关信息或数据 用户、程序、进程等v客体 一种被动实体,被操作的对象,规定需要保护的资源 文件、存储介质、程序、进程等6主

3、体与客体之间的关系主体与客体之间的关系v主体:接收客体相关信息和数据,也可能改变客体相关信息v一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们v客体:始终是提供、驻留信息或数据的实体v主体和客体的关系是相对的,角色可以互换7 授授 权权 v规定主体可以对客体执行的操作:读 写 执行 拒绝访问 8标标 识识v标识是实体身份的一种计算机表达,每个实体与计算机内部的一个身份表达绑定v标识的主要作用:访问控制和审计 访问控制:标识用于控制是否允许特定的操作 审计:标识用于跟踪所有操作的参与者,参与者的任何操作都能被明确地标识出来9主体标识的实例主体

4、标识的实例v主体的标识 在UNIX中,主体(用户)的身份标识为0-65535之间的一个整数,称为用户身份号(UID)常见的主体标识还包括用户名、卡、令牌等,也可以是指纹、虹膜等生物特征10客体标识的实例客体标识的实例v客体的标识 文件名 文件描述符或句柄 文件分配表的条目 UNIX中提供了四种不同的文件标识:inode 文件描述符 绝对路径文件名 相对路径文件名11鉴鉴 别别v确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体 口令、挑战-应答、生物特征鉴别v所有其它的安全服务都依赖于该服务v需求:某一成员(声称者)提交一个主体的身份并声称它是那个

5、主体v目的:使别的成员(验证者)获得对声称者所声称的事实的信任12访问控制的两个重要过程访问控制的两个重要过程v第一步:鉴别 检验主体的合法身份v第二步:授权 限制用户对资源的访问权限13访问控制模型访问控制模型主 体客 体访问控制实施访问控制决策提交访问 请求请求决策决 策提出访问 请求14v什么是访问控制模型 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的。v组成访问控制模型的分类访问控制模型的分类访问控制模型强制访问控制模型(MAC)自主访问控制模型(DAC)访问矩阵模型访问控制列表(ACL)权能列表(Capacity List)Bell-Lapudula 模型Bib

6、a 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色访问控制模型(RBAC)混合策略模型15知识域:访问控制模型知识域:访问控制模型v知识子域:自主访问控制模型 理解自主访问控制的含义 了解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)理解基于角色的访问控制模型(RBAC)的特点和优势16自主访问控制的含义自主访问控制的含义v允许客体的属主(创建者)决定主体对该客体的访问权限 灵活地调整安全策略 具有较好的易用性和可扩展性 常用于商业系统 安全性不高17自主访问控制的实现机制和方法自主访问控制的实现机制和方法v实现机制

7、访问控制表/矩阵v实现方法 访问控制表(Access Control Lists)访问能力表(Capacity List)18访问许可与访问模式访问许可与访问模式v访问许可:描述主体对客体所具有的控制权 定义了改变访问模式的能力或向其它主体传送这种能力的能力v访问模式:描述主体对客体所具有的访问权 指明主体对客体可进行何种形式的特定访问操作:读/写/运行 19访问许可的类型访问许可的类型v等级型(Hierarchical)v有主型(Owner)每个客体设置一个拥有者(一般是客体的生成者),拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权v自由型(Laissez-faire

8、)20访问模式的类型访问模式的类型v对文件的访问模式设置如下:读-拷贝 写-删除/更改 运行 无效21访问控制矩阵访问控制矩阵v行:主体(用户)v列:客体(文件)v矩阵元素:规定了相应用户对应于相应的文件被准予的访问许可、实施行为客体客体x x客体客体y y客体客体z z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W22访问控制表访问控制表v访问控制矩阵按列:访问控制表v访问控制表:每个客体可以被访问的主体及权限客体y主体b主体dRWOwnRW23访问能力表访问能力表v访问控制矩阵按行:访问能力表v访问能力表:每个主体可访问的客体及权限主体b客体x客体yRRWOwn

9、24访问控制表与访问能力表的比较访问控制表与访问能力表的比较ACLACLCLCL保存位置客体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统25自主访问控制的特点自主访问控制的特点 v优点:根据主体的身份和访问权限进行决策 具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体 灵活性高,被大量采用v缺点:信息在传递过程中其访问权限关系会被改变26知识域:访问控制模型知识域:访问控制模型v知识子域:强制访问控制模型 理解强制访问控制的分类和含义 掌握典型强制访问控制模型:Bell-Lapudula模型、Biba模型、Chinese Wall模型和

10、Clark-Wilson模型27强制访问控制的含义强制访问控制的含义v主体对客体的所有访问请求按照强制访问控制策略进行控制,客体的属主无权控制客体的访问权限,以防止对信息的非法和越权访问 主体和客体分配有一个安全属性 应用于军事等安全要求较高的系统 可与自主访问控制结合使用28常见强制访问控制模型常见强制访问控制模型vBLP模型 1973年提出的多级安全模型,影响了许多其他模型的发展,甚至很大程度上影响了计算机安全技术的发展vBiba模型 1977年,Biba提出的一种在数学上与BLP模型对偶的完整性保护模型vClark-Wilson模型 1987年,David Clark和David Wil

11、son开发的以事物处理为基本操作的完整性模型,该模型应用于多种商业系统vChinese Wall模型 1989年,D.Brewer和M.Nash提出的同等考虑保密性与完整性的安全策略模型,主要用于解决商业中的利益冲突29BLPBLP模型的组成模型的组成v主体集:Sv客体集:Ov安全级:密级和范畴 密级:绝密、机密、秘密、公开 范畴:NUC、EUR、USv偏序关系:支配 安全级L=(C,S)高于安全级L=(C,S),当且仅当满足以下关系:C C,S S30BLPBLP模型规则(一)模型规则(一)v简单安全特性:S可以读O,当且仅当S的安全级可以支配O的安全级,且S对O具有自主型读权限 向下读v*

12、特性:S可以写O,当且仅当O的安全级可以支配S的安全级,且S对O具有自主型写权限 向上写31BLPBLP模型规则(二)模型规则(二)v当一个高等级的主体必须与另一个低等级的主体通信,即高等级的主体写信息到低等级的客体,以便低等级的主体可以读 主体有一个最高安全等级和一个当前安全等级,最高安全等级必须支配当前等级 主体可以从最高安全等级降低下来,以便与低安全等级的实体通信32BLPBLP模型实例模型实例33BibaBiba模型的组成模型的组成v主体集:Sv客体集:Ov完整级:完整级和范畴 完整等级:Crucial,Very Important,Important 范畴:NUC、EUR、USv偏序

13、关系:支配 完整级L=(C,S)高于完整级L=(C,S),当且仅当满足以下关系:C C,S S34BibaBiba模型规则与实例模型规则与实例vS可以读O,当且仅当O的完整级支配S的完整级vS可以写O,当且仅当S的完整级支配O的完整级35Clark-WilsonClark-Wilson模型的目标模型的目标v解决商业系统最关心的问题:系统数据的完整性以及对这些操作的完整性v一致性状态:数据满足给定属性,就称数据处于一个一致性状态n实例:今天到目前为止存入金额的总数:D今天到目前为止提取金额的总数:W昨天为止所有账户的金额总数:YB今天到目前为止所有账户的金额总数:TB一致性属性:D+YB-W=T

14、B36Clark-WilsonClark-Wilson模型的组成模型的组成v约束型数据项(CDI):所有从属于完整性控制的数据,如:账户结算v非约束型数据项(UDI):不从属于完整性控制的数据vCDI集合和UDI集合是模型中所有数据集合的划分v完整性验证过程(IVP):检验CDI是否符合完整性约束,如果符合,则称系统处于一个有效状态,如:检查账户的结算v转换过程(TP):将系统数据从一个有效状态转换为另一个有效状态,实现良定义的事物处理,如:存钱、取钱、转账37Clark-WilsonClark-Wilson模型规则(一)模型规则(一)v证明规则1(CR1):当任意一个IVP在运行时,它必须保

15、证所有的CDI都处于有效状态v证明规则2(CR2):对于某些相关联的CDI集合,TP必须将那些CDI从一个有效状态转换到另一个有效状态v实施规则1(ER1):系统必须维护所有的证明关系,且必须保证只有经过证明可以运行该CDI的TP才能操作该CDI38Clark-WilsonClark-Wilson模型规则(二)模型规则(二)v实施规则2(ER2):系统必须将用户与每个TP及一组相关的CDI关联起来。TP可以代表相关用户来访问这些CDI。如果用户没有与特定的TP及CDI相关联,那么这个TP将不能代表那个用户对CDI进行访问v证明规则3(CR3):被允许的关系必须满足职责分离原则所提出的要求v实施

16、规则3(ER3):系统必须对每一个试图执行TP的用户进行认证39Clark-WilsonClark-Wilson模型规则(三)模型规则(三)v证明规则4(CR4):所有的TP必须添加足够多的信息来重构对一个只允许添加的CDI的操作v证明规则5(CR5):任何以UDI为输入的TP,对于该UDI的所有可能值,只能执行有效的转换,或者不进行转换。这种转换要么是拒绝该UDI,要么是将其转化为一个CDIv实施规则4(ER4):只有TP的证明者可以改变与该TP相关的一个实体列表。TP的证明者,或与TP相关的实体的证明者都不会对该实体的执行许可40Chinese WallChinese Wall模型的组成(

17、一)模型的组成(一)v主体集:Sv客体集:O 无害客体:可以公开的数据 有害客体:会产生利益冲突,需要限制的数据vPR(S)表示S曾经读取过的客体集合41Chinese WallChinese Wall模型的组成(二)模型的组成(二)v公司数据集CD:与某家公司相关的若干客体v利益冲突COI:若干相互竞争的公司的数据集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x42Chinese WallChinese Wall模型规则模型规则v CW-简单安全特性:S能读取O,当且仅当以下任一条件满足:(1)存在一个O,它是S曾经访问过的客体,并且 CD(O)=CD(O)(2)对于

18、所有的客体O,O PR(S),则 COI(O)COI(O)(3)O是无害客体v CW-*-特性:S能写O,当且仅当以下任两个条件同时满足:(1)CW-简单安全特性允许S读O (2)对于所有有害客体O,S能读取O,则 CD(O)=CD(O)43Chinese WallChinese Wall模型实例模型实例44自主访问控制与强制访问控制的比较自主访问控制与强制访问控制的比较v自主访问控制n细粒度n灵活性高n配置效率低v强制访问控制n控制粒度大n灵活性不高n安全性强45基于角色的访问控制基于角色的访问控制v由IST的Ferraiolo等人在90年代提出vNIST成立专门机构进行研究v1996年提出

19、一个较完善的基于角色的访问控制参考模型RBAC9646RBAC 96RBAC 96的组成的组成vRBAC0:含有RBAC核心部分vRBAC1:包含RBAC0,另含角色继承关系(RH)vRBAC2:包含RBAC0,另含限制(Constraints)vRBAC3:包含所有层次内容,是一个完整模型47RBAC RBAC 模型的基本思想模型的基本思想vRBAC的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。v一个用户必须扮演某种角色,而且还必须激活这一角色,才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定访问或操作激活48RBAC RBAC 模型的组成(一)模型的组成(

20、一)v用户(User):访问计算机资源的主体,用户集合为 Uv角色(role):一种岗位,代表一种资格、权利和责任,角色集合为 Rv权限(permission):对客体的操作权力,权限集合为 Pv用户分配(User Assignment)n将用户与角色关联。n用户 u与角色 r关联后,将拥有 r的权限49RBAC RBAC 模型的组成(二)模型的组成(二)v权限分配(Permission Assignment)n将角色与权限关联n权限 p与角色 r关联后,角色 r将拥有权限 pv激活角色(Active Role)n角色只有激活才能起作用,否则不起作用n通过会话激活角色v会话(Session)n

21、用户要访问系统资源时,必须先建立一个会话n一次会话仅对应一个用户,一次会话可激活几个角色50RBAC RBAC 模型的基本机制模型的基本机制51RBACRBAC模型实例模型实例52RBACRBAC模型的特点模型的特点v便于授权管理,如系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,增强了安全性v便于处理工作分级,如文件等资源分级管理v利用安全约束,容易实现各种安全策略,如最小特权、职责分离等v便于任务分担,不同角色完成不同的任务53知识域:访问控制技术知识域:访问控制技术v知识子域:标识和鉴别技术 理解账号和口令管理的基本原则 了解生物识别技术及其实现(虹膜、指纹、掌

22、纹等)了解其他鉴别技术(令牌、票据等)了解单点登录技术(SSO)及其实现(Kerberos等)54标识和鉴别的作用标识和鉴别的作用v作为访问控制的一种必要支持,访问控制的执行依赖于确知的身份 访问控制直接对机密性、完整性、可用性及合法使用资源提供支持v作为数据源认证的一种方法 与数据完整性机制结合起来使用v作为审计追踪的支持 在审计追踪记录时,提供与某一活动关联的确知身份55鉴别的分类鉴别的分类v本地鉴别和远程鉴别 本地鉴别:实体在本地环境的初始化鉴别 远程鉴别:连接远程设备、实体和环境的实体鉴别v单向鉴别和双向鉴别 单向鉴别:通信双方中只有一方向另一方进行鉴别 双向鉴别:通信双方相互进行鉴别

23、56鉴别系统的组成鉴别系统的组成v被验证者P(Prover):出示身份标识的人,又称声称者(Claimant)v验证者V(Verifier):检验声称者提出的身份标识的正确性和合法性,决定是否满足要求v可信赖者TP(Trusted Third Party):参与鉴别的第三方,参与调解纠纷P VTP57鉴别的基本途径鉴别的基本途径v基于你所知道的(What you know)知识、口令、密码v基于你所拥有的(What you have)身份证、信用卡、钥匙、智能卡、令牌等v基于你的个人特征(What you are)指纹,笔迹,声音,手型,脸型,视网膜,虹膜v双因素、多因素认证58常见的鉴别技术

24、常见的鉴别技术v基于口令的身份认证v基于生物特征的身份认证v基于个人令牌的身份认证vKerberos身份认证协议59基于口令的身份认证基于口令的身份认证v口令是使用最广泛的身份鉴别方法v选择原则:易记、难猜测、抗分析能力强v口令提供弱鉴别,面临的威胁:口令猜测 线路窃听 重放攻击 60防止口令猜测防止口令猜测v严格限制登录的次数v限制最小长度,至少6至8字节以上v防止使用用户特征相关的口令v定期改变口令v使用机器生成的口令61防止线路窃听防止线路窃听v使用保护口令机制:单向函数v攻击者很容易构造一张q与p对应的表,表中的p尽可能包含所期望的值 解决办法:在口令后使用随机数62一次性口令机制一次

25、性口令机制v确保在每次鉴别中所使用的口令不同,以对付重放攻击v口令的确定方法:两端共同拥有一串随机口令,在该串的某一位置保持同步 两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步 使用时间戳,两端维持同步的时钟63双因素动态口令卡双因素动态口令卡v基于密钥/时间双因素的身份鉴别机制v用户登录口令随时间变化,口令一次性使用,无法预测,可以有效抵御密码窃取和重放攻击64双因素动态口令的强度双因素动态口令的强度v没有器件而知道口令p,不能导致一个简单的攻击v拥有器件而不知道口令p,不能导致一个简单的攻击v除非攻击者也能进行时间同步,否则难以实现重放攻击v知道q而不知道设备安全值dsv,不

26、能导致一个简单的攻击65基于生物特征的身份认证(一)基于生物特征的身份认证(一)v每个人所具有的唯一生理特征 指纹,视网膜,声音,视网膜、虹膜、语音、面部、签名等v指纹 一些曲线和分叉以及一些非常微小的特征 提取指纹中的一些特征并且存储这些特征信息:节省资源,快速查询v手掌、手型 手掌有折痕,起皱,还有凹槽 还包括每个手指的指纹 人手的形状(手的长度,宽度和手指)表示了手的几何特征 66基于生物特征的身份认证(二)基于生物特征的身份认证(二)v视网膜扫描 扫描眼球后方的视网膜上面的血管的图案;v虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分 虹膜有其独有的图案,分叉,颜色,环状,光环以及皱

27、褶v语音识别 记录时说几个不同的单词,然后识别系统将这些单词混杂在一起,让他再次读出给出的一系列单词v面部扫描 人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚形状67指纹识别的实现原理指纹识别的实现原理v通过特殊的光电扫描和计算机图像处理技术,对指纹进行采集、分析和比对,自动、迅速、准确地认证出个人身份。v指纹识别的过程 按照用户和姓名等信息将其存在指纹数据库中的模板指纹调出来,然后再用用户输入的指纹与该模板的指纹相匹配,以确定这两幅指纹是否出于同一幅指纹。指纹图象指纹图象采集仪采集仪图象输入图象输入通道通道指纹细节指纹细节匹配匹配认证结果认证结果68虹膜识别的实现原理(一)虹膜识别的实现原理(

28、一)v虹膜是环绕在瞳孔四周有色彩的部分 每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构 每一个人的虹膜各不相同,一个人的左眼和右眼就可能不一样,即使是双胞胎的虹膜也可能不一样 人的虹膜在出生后6-18个月成型后终生不再发生变化69虹膜识别的实现原理(二)虹膜识别的实现原理(二)70基于生物特征的认证系统的误判基于生物特征的认证系统的误判v第一类错误:错误拒绝率(FRR)v第二类错误:错误接受率(FAR)v交叉错判率(CER):FRR=FAR的交叉点vCER用来反映系统的准确度%安全性FAR(II)FRR(I)CER71基于个人令牌的身份认证

29、基于个人令牌的身份认证v集成电路卡(Integrated Circuit Card)简称IC卡,其中镶嵌集成电路芯片vIC卡的分类 IC卡接口类型 接触式IC卡 非接触式IC卡 双界面卡 嵌入集成电路芯片的形式和类型 非加密存储卡 逻辑加密卡 CPU卡(又称智能卡)72智能卡的安全特性智能卡的安全特性v硬件 与外界通信前,先完成智能卡与终端间的认证 加入安全传感器,防止在数据被读出或写入时被修改 发生异常,智能卡复位,或者置标志位,使智能卡操作系统做出相应反应 存储器加密,不保存任何明文v软件 使用需要通过双因素认证,进入操作智能卡的安全状态 信息采用文件系统进行保存,依据类型或密钥的不同,提

30、供不同的访问操作 支持DES、3DES和RSA等密码算法73基于智能卡的身份认证基于智能卡的身份认证74智能卡客户端服务端发出登录请求要求用户完成身份认证请求读出公钥证书要求验证PIN输入PIN完成验证,读出证书发送证书,服务器验证证书有效性签名正确,发出随机数N请求对N用私钥签名返回私钥签名的结果签名结果作为响应,服务器验证签名验证正确,允许用户登录单点登录技术单点登录技术v单点登录(SSO,Single Sign-on)用户只需在登录时进行一次注册,就可以访问多个系统,不必重复输入用户名和密码来确定身份 实质是安全上下文(Security Context)或凭证(Credential)在多

31、个应用系统之间的传递或共享v单点登录的优点 方便用户 方便管理员 简化应用系统开发75KerberosKerberos认证协议认证协议v美国麻省理工学院(MIT)为Athena项目开发的一种身份鉴别协议v“Kerberos”的本意是希腊神话中守护地狱之门的守护者 vKerberos提供了一个网络环境下的身份认证框架结构 实现采用对称密钥加密技术 公开发布的Kerberos版本包括版本4和版本5 安全性、可靠性、可伸缩性、透明性76KerberosKerberos认证协议使用条件认证协议使用条件v有一个时钟基本同步的环境v客户机与KDC(Key Distribution Center),KDC与

32、服务器在协议工作前已经有了各自的共享密钥v组成 密钥分发中心(KDC):由两个独立的逻辑部分组成 认证服务器AS(Authentication Server)票据授权服务器TGS(Ticket Granting Server)票据授权票据TGT77获得票据许可票据获得票据许可票据78v 第一步:获得票据许可票据 用户登录客户机请求主机服务 认证服务器(AS)在数据库中验证用户的访问权限,生成票据许可票据和会话密钥,它们用由用户口令导出的密钥进行加密AS客户机客户机请求票据许可票据请求票据许可票据票据票据+会话密钥会话密钥获得服务许可票据获得服务许可票据79v 第二步:获得服务许可票据 客户机提

33、示用户输入口令来对收到的报文进行解密,然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往票据授权服务器TGS 票据授权服务器TGS对票据和鉴别符进行解密,验证请求,然后生成请求服务许可票据TGS客户机客户机请求服务许可票据请求服务许可票据票据票据+会话密钥会话密钥获得服务获得服务80v第三步:获得服务 客户机将票据和鉴别符发给服务器 服务器验证票据和鉴别符中的匹配,然后许可访问服务。如果需要双向鉴别,服务器返回一个鉴别符服务器服务器客户机客户机请求服务请求服务提供服务器鉴别符提供服务器鉴别符KerberosKerberos认证协议的特点认证协议的特点v优点 单点登录,只要用户拿到了

34、TGT并且该TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码 与授权机制相结合 支持双向的身份认证 通过交换“跨域密钥”实现分布式网络环境下的认证v缺点 AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全 时钟同步问题 身份认证采用的是对称加密机制,随用户数量增加,密钥管理较复杂81知识域:访问控制技术知识域:访问控制技术v知识子域:典型访问控制方法和实现 理解集中访问控制的基本概念及其实现(RADIUS、TACACS、TACACS+和Diameter等)理解非集中访问控制的基本概念及其实现(域等)82集中访问控制

35、的基本概念及实现集中访问控制的基本概念及实现vRADIUS协议vTACACS协议vTACACS+协议vDiameter协议83RADIUSRADIUS协议协议v远程用户拨号认证系统(Remote Authentication Dial In User Service)最初由Livingston公司提出,为拨号用户进行认证和计费,经多次改进,形成了一项通用的认证计费协议 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端 基本设计组件有认证、授权和记账84RADIUSR

36、ADIUS协议的基本消息交互流程协议的基本消息交互流程v 基本交互步骤如下:用户输入用户名和口令 radius 客户端根据获取的用户名和口令,向radius 服务器发送认证请求包(access-request)radius 服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius 客户端;如果认证失败,则返回access-reject 响应包。radius 客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则radius 客户端向radius 服务器发送计费开始请求包(accounting-r

37、equest)radius 服务器返回计费开始响应包(accounting-response)radius 客户端向radius 服务器发送计费停止请求包(accounting-request)radius 服务器返回计费结束响应包(accounting-response)85RADIUSRADIUS协议的特点协议的特点v简单明确,可扩充v使用UDP端口1812,1813;v不足:口令传输一般为明文;可使用MD5进行加密;授权作为认证的一部分;属性值空间有限;最多支持255个并发请求;最多支持255个厂商定义属性值;单向RADIUSServerPSTN/ISDNCorporateNetwork

38、86TACACSTACACS协议协议v终端访问控制器访问控制系统(Terminal Access Controller Access-Control System)允许远程访问服务器传送用户登录密码给认证服务器,认证服务器决定该用户是否可以登录系统 基于UDP协议87TACACS+TACACS+协议协议v终端访问控制器访问控制系统(Terminal Access Controller Access-Control System)TACACS+是TACACS 的最新版本 基于TCP 协议。客户/服务器型协议:TACACS+客户机通常是一个NAS;而TACACS+服务器是一个监控程序,监听49号端

39、口。基本设计组件有认证、授权和记账88TACACS+TACACS+认证包类型认证包类型vTACACS+认证用到3种类型的包:START:TACACS+客户机发送给TACACS+服务器 CONTINUE:TACACS+客户机发送给TACACS+服务器。REPLY:TACACS+服务器发送给TACACS+客户机 89TACACS+TACACS+认证过程认证过程v客户机发送一个START包给服务器。START包的内容包括被执行的认证类型(明文口令、PPP PAP或PPP CHAP等),还可能包括用户名等其他认证数据。START包只在一个认证会话开始时使用一次,序列号永远是1。v服务器收到START包

40、以后,回送一个REPLY包,指示认证继续还是结束。如果认证继续,REPLY包还需要指出需要哪些新信息。v如果客户机收到认证结束的REPLY包,则认证结束;如果收到认证继续的REPLY包,则向服务器发送CONTINUE包,其中包括服务器要求的信息,如此反复,直到认证结束。90TACACS+TACACS+授权过程授权过程vTACACS+授权过程分为以下两步:客户端向服务器发送一个REQUEST包,内容包括用户和过程的真实性、请求授权的服务和选项。服务器回复客户端一个RESPONSE包。91TACACS+TACACS+协议的特点协议的特点v基于TCP端口49v提供比RADIUS更多的授权选项v支持A

41、uto-commandv支持多种协议v支持数据报文加密v不足:有限的厂商支持 有限的服务器选项TACACS+ServerTACACS+ClientAlicePSTN/ISDNCorporateNetworkDiameterDiameter协议协议vDiameter协议作为下一代的AAA协议标准,是RADIUS协议的升级版本v它包括基本协议、NAS(网络接入服务)协议、EAP(可扩展鉴别)协议、MIP(移动IP)协议、CMS(密码消息语法)协议等93DiameterDiameter协议的基本内容协议的基本内容vDiameter基础协议 为移动IP(Mobile IP)、网络接入服务(NAS)等应

42、用提供最基本的服务,如用户会话、计费等,具有能力协商、差错通知等功能vDiameter的NAS协议 处理用户MN的接入请求vDiameter的EAP协议 供了一个支持各种鉴别方法的标准机制vDiameter的CMS协议 实现了协议数据的端到端加密vDiameter的MIP协议 允许用户漫游到外部域,并在经过鉴权后接受外部域服务器和代理提供的服务。94DIAMETERDIAMETER协议的特点协议的特点v提供向后的兼容性;v解决RADIUS的不足;双向 最多可支持232个vendor-specific attributes属性;无限个并发请求;通过Acknowledgement和Keepaliv

43、e机制提高弹性;提供加密保证消息的机密性和完整性;非集中访问控制非集中访问控制v域:一个信任范围,或者是共享共同安全策略的主体和客体的集合 每个域的访问控制与其它域保持独立 跨域访问必须建立信任关系,用户可以从一个域访问另一个域中的资源 信任可以是单向的,也可以是双向的96知识域:审计和监控技术知识域:审计和监控技术v知识子域:信息安全审计 了解安全审计的基本概念 理解安全审计的作用和目标 了解审计系统的组成结构v知识子域:安全监控 了解常用安全监控技术 掌握内容审计系统模型以及网络不良信息内容监控方法97安全审计安全审计v安全审计的基本概念v安全审计的作用v安全审计的目标v审计系统的组成结构

44、98安全审计的概念安全审计的概念v日志 日志就是记录的事件或统计数据,这些事件或统计数据能提供关于系统使用及性能方面的信息。v审计 审计就是对日志记录的分析,并以清晰的、能理解的方式表述系统信息。审计使得系统分析员可以评审资源的使用模式,以便评价保护机制的有效性。99安全审计的作用安全审计的作用v记录系统被访问的过程以及系统保护机制的运行状态;v发现试图绕过保护机制的行为;v及时发现用户身份的变化;v报告并阻碍绕过保护机制的行为并纪录相关过程,为灾难恢复提供信息。100安全审计的目标安全审计的目标v必须提供足够的信息使得安全人员能够将问题限制于局部,而信息量不足以以此为基础进行攻击;v优化审计

45、记录的内容,审计分析机制应可以对一些特定资源辨认正常的行为。101审计系统的组成结构审计系统的组成结构v审计系统包含三个部分:日志记录器、分析器、通告器,分别用于收集数据、分析数据及通报结果。日志记录器:日志机制可以把信息记录成二进制形式或可读的形式。系统会提供一个日志浏览工具。用户能使用工具检查原始数据或用文本处理工具来编辑数据。分析器:分析器以日志作为输入,然后分析日志数据。分析的结果可能会改变正在记录的数据,也可能只是检测一些事件或问题。102审计系统的组成结构(续)审计系统的组成结构(续)通告器:分析器把分析结果传送到通告器。通告器把审计结果通知系统管理员和其他实体。这些实体可能执行一

46、些操作来响应通告结果。103安全监控的常用技术安全监控的常用技术v恶意行为监控 蜜网 网站挂马监测 网站被黑监测 P2P监测v内容监控 网络舆情分析104蜜网技术蜜网技术v蜜网的概念v蜜网的功能v蜜网的核心需求105蜜网的概念蜜网的概念v“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了蜜网的权威定义。蜜网是一种安全资源,其价值在于被扫描、攻击和攻陷。v蜜网的核心价值 在于对攻击活动进行监视、检测和分析。106蜜网的功能蜜网的功能v吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来,进而评估黑客攻击的目的、使用的工具、运用的手段、造成

47、的后果v可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击v也可以进行攻击检测和报警107蜜网的核心需求蜜网的核心需求v蜜网有着三大核心需求:即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险;数据捕获技术能够检测并审计黑客攻击的所有行为数据;而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。108互联网舆情分析互联网舆情分析v互联网舆情分析要做什么?v互联网舆情分析技术 信息采集 文本索引与检索 深度信息处理功能109互联网舆情分析要做什么?互联网舆情分析要做什么?v从互联网这个巨大的数据来源

48、中获取信息v萃取为针对特定社会公共事务的情况概览v为公共事务管理者提供决策参考110互联网舆情分析技术互联网舆情分析技术v互联网舆情分析与信息处理技术显然存在密不可分的关系v与搜索相关的各种技术 信息采集:网页爬虫、Twitter/IM/SNS信息抓取 文本索引与检索:中文分词、文本分类聚类、自动摘要、检索排序 深度信息处理功能:热点追踪、人物追踪、倾向性分析、事件趋势预测111信息采集信息采集v信息采集工作是网络舆情分析的数据来源 更多的数据来源:博客、Twitter、Facebook、IM、QQ群 更精确的数据初筛机制:网页正文提取技术 内容去重技术 论坛、博客的结构化数据抽取及结构化存储

49、和表示112文本索引与检索文本索引与检索v传统搜索引擎所做的主要工作 中文分词:分词的质量直接影响了检索的质量 字符串匹配、基于统计的机器学习分词 海量数据的快速索引和检索 倒排索引技术 索引快速增删机制 检索打分机制 传统的基于词袋的模型 语言模型(Language Model)基于网页结构的模型PageRank113文本索引与检索(续)文本索引与检索(续)文本聚类 支持向量机模型(Support Vector Machine)基于语言模型的聚类 自动摘要技术 基于文档结构抽取与文档中心词最相关的句子形成摘要 利用搜索引擎的用户行为数据辅助提高检索质量的技术 伪相关反馈学习 关键词协同过滤推

50、荐114深度信息处理功能深度信息处理功能v话题跟踪技术 Topic Detection and Tracking 话题的模型化 话题/报道的相似度计算 聚类/分类策略v人物跟踪技术 从网络上获取特定人物的活动和关系信息 人名识别、重名鉴别、链接关系 人立方115深度信息处理功能(续)深度信息处理功能(续)v观点倾向性分析 针对特定事件,鉴别某篇文档的观点倾向性 常用的技术手段:基于情感词库的标注 基于机器学习SVM分类 准确度都难以达到实用效果v事件趋势预测 针对某一舆论话题事件,预测其传播的可能影响范围 目前研究还仅处于模型阶段116内容安全内容安全v概述v网络信息内容审计系统模型v网络不良

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(访问控制与审计监控课件.ppt)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|