1、Ch07 认证技术与访问控制本章学习目的本章学习目的第一部分第一部分 认证技术认证技术1 概述n认证(Authentication)就是对于证据的辨认、核实、鉴别,以建立某种信任关系。n两类认证:报文认证 身份认证n报文认证,包括报文源、报文内容和报文时间性的认证;2 身份认证n身份认证的概念:证实用户的真实身份与其所声称的身份是否相符的过程 包括:识别、验证3 常见的身份认证技术n生物特征 指纹、虹膜和视网膜、DNA指纹的细节特征 指纹识别主要涉及4个过程:读取指纹图像、提取指纹特征、保存数据和比对。目前已经开发出计算机指纹识别系统,可以比较精确地进行指纹的自动识别了。虹膜识别 虹膜是位于眼
2、睛黑色瞳孔与白色巩膜之间的环形部分。它在总体上呈由里向外的放射状结构,并包含许多相互交错的类似斑点、细丝、冠状、条纹、隐窝等形状的细微特征。这些细微特征信息也被称为虹膜的纹理信息,主要由胚胎发育环境的差异决定,因此对每个人都具有唯一性、稳定性和非侵犯性(非接触性)。虹膜识别系统主要由虹膜图像采集装置、活体虹膜检测算法、特征提取和匹配几个模块组成。DNA识别身份认证的应用:第二部分第二部分 访问控制访问控制1 概述1.1 什么是访问控制1.2 访问控制与其他安全措施的关系1.3 主体与客体1.4 访问权限1.1 什么是访问控制 访问控制可以描述为:主动的主体(Subject)使用某种特定的访问操
3、作去访问一个被动的客体(Object),所使用的特定的访问操作受访问监视器控制,如图:主体主体 身份认证身份认证 访问控制访问控制 客体客体 访问控制决策模块访问控制决策模块 访问请求访问请求 权限权限 访问控制模型访问控制模型 主体和客体都是访问控制系统中的实体。主体是发出访问请求的主动方,通常是用户或用户进程。客体是被访问的对象,通常是被调用的程序、进程,要存取的数据、文件、内存、系统、设备、设施等资源。信息系统的安全目标就是控制和管理主体对客体的访问。安全策略,就是对这些访问进行约束的一组规则和目标,它反映了系统的安全需求,并可以用达到安全目的而采取的步骤进行描述。2 访问控制模型n2.
4、1 自主访问控制n2.2 强制访问控制n2.3 基于角色的访问控制n2.4 基于任务的访问控制2.1 自主访问控制n自主访问控制模型(DAC Model,Discretionary Access Control Model)2.2 强制访问控制n强制访问控制模型(MAC Model:Mandatory Access Control Model)n强制访问控制(MAC)中,系统包含主体集S和客体集O,每个S中的主体s及客体集中的客体o,都属于一固定的安全类SC,安全类SC=包括两个部分:有层次的安全级别和无层次的安全范畴。构成一偏序关系。2.3 基于角色的访问控制n基于角色的访问控制模型(RBAC Model,Role-based Access Control Model):n角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。比如:n系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色,RBAC提供了一种描述用户和权限之间的多对多关系。例如n一般步骤:(所有者、管理员和用户三方参与,体现职责分离)3 访问控制的应用n入网访问控制策略n操作权限n目录安全n属性安全n网络服务器安全n网络监测与锁定n防火墙
