《访问控制与审计监控课件》由会员分享,可在线阅读,更多相关《访问控制与审计监控课件(130页珍藏版)》请在金锄头文库上搜索。
1、访问控制与审计监控访问控制与审计监控培训机构名称讲师名字课程内容课程内容2访问控制与访问控制与审计监控审计监控知识体知识体知识域知识域访问控制模型访问控制模型访问控制技术访问控制技术审计和审计和监控技术监控技术知识子域知识子域标识和鉴别技术标识和鉴别技术典型访问控制方法和实现典型访问控制方法和实现强制访问控制模型强制访问控制模型访问控制模型基本概念访问控制模型基本概念自主访问控制模型自主访问控制模型信息安全审计信息安全审计安全监控安全监控知识域:访问控制模型知识域:访问控制模型v知识子域:访问控制基本概念理解标识、鉴别和授权等访问控制的基本概念理解各种安全模型的分类和关系3访问控制的概念和目标
2、访问控制的概念和目标v访问控制:针对越权使用资源的防御措施v目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。4访问控制的作用访问控制的作用v未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用v作用:机密性、完整性和可用性5主体与客体主体与客体v主体发起者,是一个主动的实体,可以操作被动实体的相关信息或数据用户、程序、进程等v客体一种被动实体,被操作的对象,规定需要保护的资源文件、存储介质、程序、进程等6主体与客体之间的
3、关系主体与客体之间的关系v主体:接收客体相关信息和数据,也可能改变客体相关信息v一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们v客体:始终是提供、驻留信息或数据的实体v主体和客体的关系是相对的,角色可以互换7 授授 权权 v规定主体可以对客体执行的操作:读写执行拒绝访问8标标 识识v标识是实体身份的一种计算机表达,每个实体与计算机内部的一个身份表达绑定v标识的主要作用:访问控制和审计访问控制:标识用于控制是否允许特定的操作审计:标识用于跟踪所有操作的参与者,参与者的任何操作都能被明确地标识出来9主体标识的实例主体标识的实例v主体的标识在U
4、NIX中,主体(用户)的身份标识为0-65535之间的一个整数,称为用户身份号(UID)常见的主体标识还包括用户名、卡、令牌等,也可以是指纹、虹膜等生物特征10客体标识的实例客体标识的实例v客体的标识文件名文件描述符或句柄文件分配表的条目UNIX中提供了四种不同的文件标识:inode文件描述符绝对路径文件名相对路径文件名11鉴鉴 别别v确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体口令、挑战-应答、生物特征鉴别v所有其它的安全服务都依赖于该服务v需求:某一成员(声称者)提交一个主体的身份并声称它是那个主体v目的:使别的成员(验证者)获得对声称者
5、所声称的事实的信任12访问控制的两个重要过程访问控制的两个重要过程v第一步:鉴别检验主体的合法身份v第二步:授权限制用户对资源的访问权限13访问控制模型访问控制模型主体客体访问控制实施访问控制决策提交访问请求请求决策决策提出访问请求14v什么是访问控制模型对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的。v组成访问控制模型的分类访问控制模型的分类访问控制模型强制访问控制模型(MAC)自主访问控制模型(DAC)访问矩阵模型访问控制列表(ACL)权能列表(Capacity List)Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wal
6、l 模型保密性 模型完整性 模型基于角色访问控制模型(RBAC)混合策略模型15知识域:访问控制模型知识域:访问控制模型v知识子域:自主访问控制模型理解自主访问控制的含义了解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)理解基于角色的访问控制模型(RBAC)的特点和优势16自主访问控制的含义自主访问控制的含义v允许客体的属主(创建者)决定主体对该客体的访问权限灵活地调整安全策略具有较好的易用性和可扩展性常用于商业系统安全性不高17自主访问控制的实现机制和方法自主访问控制的实现机制和方法v实现机制 访问控制表/矩阵v实现方法 访问控制表(Access Control L
7、ists) 访问能力表(Capacity List) 18访问许可与访问模式访问许可与访问模式v访问许可:描述主体对客体所具有的控制权定义了改变访问模式的能力或向其它主体传送这种能力的能力v访问模式:描述主体对客体所具有的访问权指明主体对客体可进行何种形式的特定访问操作:读/写/运行 19访问许可的类型访问许可的类型v等级型(Hierarchical)v有主型(Owner) 每个客体设置一个拥有者(一般是客体的生成者),拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权v自由型(Laissez-faire)20访问模式的类型访问模式的类型v对文件的访问模式设置如下:读-拷贝
8、写-删除/更改运行无效21访问控制矩阵访问控制矩阵v行:主体(用户)v列:客体(文件)v矩阵元素:规定了相应用户对应于相应的文件被准予的访问许可、实施行为客体客体x x客体客体y y客体客体z z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W22访问控制表访问控制表v访问控制矩阵按列:访问控制表v访问控制表:每个客体可以被访问的主体及权限客体y主体b主体dRWOwnRW23访问能力表访问能力表v访问控制矩阵按行:访问能力表v访问能力表:每个主体可访问的客体及权限主体b客体x客体yRRWOwn24访问控制表与访问能力表的比较访问控制表与访问能力表的比较ACLACLCL
9、CL保存位置客体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统25自主访问控制的特点自主访问控制的特点 v优点:根据主体的身份和访问权限进行决策具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体灵活性高,被大量采用v缺点:信息在传递过程中其访问权限关系会被改变26知识域:访问控制模型知识域:访问控制模型v知识子域:强制访问控制模型理解强制访问控制的分类和含义掌握典型强制访问控制模型:Bell-Lapudula模型、Biba模型、Chinese Wall模型和Clark-Wilson模型27强制访问控制的含义强制访问控制的含义v主体对客体的所
10、有访问请求按照强制访问控制策略进行控制,客体的属主无权控制客体的访问权限,以防止对信息的非法和越权访问主体和客体分配有一个安全属性应用于军事等安全要求较高的系统可与自主访问控制结合使用28常见强制访问控制模型常见强制访问控制模型vBLP模型1973年提出的多级安全模型,影响了许多其他模型的发展,甚至很大程度上影响了计算机安全技术的发展vBiba模型1977年,Biba提出的一种在数学上与BLP模型对偶的完整性保护模型vClark-Wilson模型1987年,David Clark和David Wilson开发的以事物处理为基本操作的完整性模型,该模型应用于多种商业系统vChinese Wall
11、模型1989年,D. Brewer和M. Nash提出的同等考虑保密性与完整性的安全策略模型,主要用于解决商业中的利益冲突29BLPBLP模型的组成模型的组成v主体集:Sv客体集:Ov安全级:密级和范畴密级:绝密、机密、秘密、公开范畴:NUC、EUR、USv偏序关系:支配 安全级L=(C,S)高于安全级L=(C,S),当且仅当满足以下关系:C C,S S30BLPBLP模型规则(一)模型规则(一)v简单安全特性:S可以读O,当且仅当S的安全级可以支配O的安全级,且S对O具有自主型读权限向下读v*特性:S可以写O,当且仅当O的安全级可以支配S的安全级,且S对O具有自主型写权限向上写31BLPBL
12、P模型规则(二)模型规则(二)v当一个高等级的主体必须与另一个低等级的主体通信,即高等级的主体写信息到低等级的客体,以便低等级的主体可以读主体有一个最高安全等级和一个当前安全等级,最高安全等级必须支配当前等级主体可以从最高安全等级降低下来,以便与低安全等级的实体通信32BLPBLP模型实例模型实例33BibaBiba模型的组成模型的组成v主体集:Sv客体集:Ov完整级:完整级和范畴完整等级:Crucial,Very Important,Important范畴:NUC、EUR、USv偏序关系:支配 完整级L=(C,S)高于完整级L=(C,S),当且仅当满足以下关系:C C,S S34BibaBi
13、ba模型规则与实例模型规则与实例vS可以读O,当且仅当O的完整级支配S的完整级vS可以写O,当且仅当S的完整级支配O的完整级35Clark-WilsonClark-Wilson模型的目标模型的目标v解决商业系统最关心的问题:系统数据的完整性以及对这些操作的完整性v一致性状态:数据满足给定属性,就称数据处于一个一致性状态n实例:今天到目前为止存入金额的总数:D今天到目前为止提取金额的总数:W昨天为止所有账户的金额总数:YB今天到目前为止所有账户的金额总数:TB一致性属性:D+YB-W=TB36Clark-WilsonClark-Wilson模型的组成模型的组成v约束型数据项(CDI):所有从属于
14、完整性控制的数据,如:账户结算v非约束型数据项(UDI):不从属于完整性控制的数据vCDI集合和UDI集合是模型中所有数据集合的划分v完整性验证过程(IVP):检验CDI是否符合完整性约束,如果符合,则称系统处于一个有效状态,如:检查账户的结算v转换过程(TP):将系统数据从一个有效状态转换为另一个有效状态,实现良定义的事物处理,如:存钱、取钱、转账37Clark-WilsonClark-Wilson模型规则(一)模型规则(一)v证明规则1(CR1):当任意一个IVP在运行时,它必须保证所有的CDI都处于有效状态v证明规则2(CR2) :对于某些相关联的CDI集合,TP必须将那些CDI从一个有
15、效状态转换到另一个有效状态v实施规则1(ER1):系统必须维护所有的证明关系,且必须保证只有经过证明可以运行该CDI的TP才能操作该CDI38Clark-WilsonClark-Wilson模型规则(二)模型规则(二)v实施规则2(ER2):系统必须将用户与每个TP及一组相关的CDI关联起来。TP可以代表相关用户来访问这些CDI。如果用户没有与特定的TP及CDI相关联,那么这个TP将不能代表那个用户对CDI进行访问v证明规则3(CR3):被允许的关系必须满足职责分离原则所提出的要求v实施规则3(ER3):系统必须对每一个试图执行TP的用户进行认证39Clark-WilsonClark-Wils
16、on模型规则(三)模型规则(三)v证明规则4(CR4):所有的TP必须添加足够多的信息来重构对一个只允许添加的CDI的操作v证明规则5(CR5):任何以UDI为输入的TP,对于该UDI的所有可能值,只能执行有效的转换,或者不进行转换。这种转换要么是拒绝该UDI,要么是将其转化为一个CDIv实施规则4(ER4):只有TP的证明者可以改变与该TP相关的一个实体列表。TP的证明者,或与TP相关的实体的证明者都不会对该实体的执行许可40Chinese WallChinese Wall模型的组成(一)模型的组成(一)v主体集:Sv客体集:O无害客体:可以公开的数据有害客体:会产生利益冲突,需要限制的数据
17、vPR(S)表示S曾经读取过的客体集合41Chinese WallChinese Wall模型的组成(二)模型的组成(二)v公司数据集CD:与某家公司相关的若干客体v利益冲突COI:若干相互竞争的公司的数据集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x42Chinese WallChinese Wall模型规则模型规则vCW-简单安全特性:S能读取O,当且仅当以下任一条件满足: (1)存在一个O,它是S曾经访问过的客体,并且 CD(O)= CD(O)(2)对于所有的客体O, O PR(S),则 COI(O) COI(O)(3)O是无害客体vCW-*-特性: S能写O,
18、当且仅当以下任两个条件同时满足: (1)CW-简单安全特性允许S读O (2)对于所有有害客体O,S能读取O,则 CD(O)= CD(O)43Chinese WallChinese Wall模型实例模型实例44自主访问控制与强制访问控制的比较自主访问控制与强制访问控制的比较v自主访问控制n细粒度n灵活性高n配置效率低v强制访问控制n控制粒度大n灵活性不高n安全性强45基于角色的访问控制基于角色的访问控制v由IST的Ferraiolo等人在90年代提出vNIST成立专门机构进行研究v1996年提出一个较完善的基于角色的访问控制参考模型RBAC9646RBAC 96RBAC 96的组成的组成vRBA
19、C0: 含有RBAC核心部分vRBAC1: 包含RBAC0,另含角色继承关系(RH)vRBAC2: 包含RBAC0,另含限制(Constraints)vRBAC3: 包含所有层次内容,是一个完整模型47RBAC RBAC 模型的基本思想模型的基本思想vRBAC的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。v一个用户必须扮演某种角色,而且还必须激活这一角色,才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定访问或操作激活48RBAC RBAC 模型的组成(一)模型的组成(一)v用户(User):访问计算机资源的主体,用户集合为 Uv角色(role):一种岗位,代表
20、一种资格、权利和责任,角色集合为 Rv权限(permission):对客体的操作权力,权限集合为 Pv用户分配(User Assignment)n将用户与角色关联。n用户 u与角色 r关联后,将拥有 r的权限49RBAC RBAC 模型的组成(二)模型的组成(二)v权限分配(Permission Assignment)n将角色与权限关联n权限 p与角色 r关联后,角色 r将拥有权限 pv激活角色(Active Role)n角色只有激活才能起作用,否则不起作用n通过会话激活角色v会话(Session)n用户要访问系统资源时,必须先建立一个会话n一次会话仅对应一个用户,一次会话可激活几个角色50R
21、BAC RBAC 模型的基本机制模型的基本机制51RBACRBAC模型实例模型实例52RBACRBAC模型的特点模型的特点v便于授权管理,如系统管理员需要修改系统设置等内容时,必须有几个不同角色的用户到场方能操作,增强了安全性v便于处理工作分级,如文件等资源分级管理v利用安全约束,容易实现各种安全策略,如最小特权、职责分离等v便于任务分担,不同角色完成不同的任务53知识域:访问控制技术知识域:访问控制技术v知识子域:标识和鉴别技术理解账号和口令管理的基本原则了解生物识别技术及其实现(虹膜、指纹、掌纹等)了解其他鉴别技术(令牌、票据等)了解单点登录技术(SSO)及其实现(Kerberos等)54
22、标识和鉴别的作用标识和鉴别的作用v作为访问控制的一种必要支持,访问控制的执行依赖于确知的身份访问控制直接对机密性、完整性、可用性及合法使用资源提供支持v作为数据源认证的一种方法与数据完整性机制结合起来使用v作为审计追踪的支持在审计追踪记录时,提供与某一活动关联的确知身份55鉴别的分类鉴别的分类v本地鉴别和远程鉴别本地鉴别:实体在本地环境的初始化鉴别远程鉴别:连接远程设备、实体和环境的实体鉴别v单向鉴别和双向鉴别单向鉴别:通信双方中只有一方向另一方进行鉴别双向鉴别:通信双方相互进行鉴别56鉴别系统的组成鉴别系统的组成v被验证者P(Prover):出示身份标识的人,又称声称者(Claimant)v
23、验证者V(Verifier):检验声称者提出的身份标识的正确性和合法性,决定是否满足要求v可信赖者TP(Trusted Third Party):参与鉴别的第三方,参与调解纠纷PVTP57鉴别的基本途径鉴别的基本途径v基于你所知道的(What you know )知识、口令、密码v基于你所拥有的(What you have )身份证、信用卡、钥匙、智能卡、令牌等v基于你的个人特征(What you are)指纹,笔迹,声音,手型,脸型,视网膜,虹膜v双因素、多因素认证58常见的鉴别技术常见的鉴别技术v基于口令的身份认证v基于生物特征的身份认证v基于个人令牌的身份认证vKerberos身份认证协
24、议59基于口令的身份认证基于口令的身份认证v口令是使用最广泛的身份鉴别方法v选择原则:易记、难猜测、抗分析能力强v口令提供弱鉴别,面临的威胁:口令猜测线路窃听重放攻击60防止口令猜测防止口令猜测v严格限制登录的次数v限制最小长度,至少6至8字节以上v防止使用用户特征相关的口令v定期改变口令v使用机器生成的口令61防止线路窃听防止线路窃听v使用保护口令机制:单向函数v攻击者很容易构造一张q与p对应的表,表中的p尽可能包含所期望的值解决办法:在口令后使用随机数62一次性口令机制一次性口令机制v确保在每次鉴别中所使用的口令不同,以对付重放攻击v口令的确定方法:两端共同拥有一串随机口令,在该串的某一位
25、置保持同步两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步使用时间戳,两端维持同步的时钟63双因素动态口令卡双因素动态口令卡v基于密钥/时间双因素的身份鉴别机制v用户登录口令随时间变化,口令一次性使用,无法预测,可以有效抵御密码窃取和重放攻击64双因素动态口令的强度双因素动态口令的强度v没有器件而知道口令p,不能导致一个简单的攻击v拥有器件而不知道口令p,不能导致一个简单的攻击v除非攻击者也能进行时间同步,否则难以实现重放攻击v知道q而不知道设备安全值dsv,不能导致一个简单的攻击65基于生物特征的身份认证(一)基于生物特征的身份认证(一)v每个人所具有的唯一生理特征指纹,视网膜,
26、声音,视网膜、虹膜、语音、面部、签名等v指纹一些曲线和分叉以及一些非常微小的特征提取指纹中的一些特征并且存储这些特征信息:节省资源,快速查询v手掌、手型 手掌有折痕,起皱,还有凹槽还包括每个手指的指纹 人手的形状(手的长度,宽度和手指)表示了手的几何特征 66基于生物特征的身份认证(二)基于生物特征的身份认证(二)v视网膜扫描 扫描眼球后方的视网膜上面的血管的图案;v虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分虹膜有其独有的图案,分叉,颜色,环状,光环以及皱褶v语音识别 记录时说几个不同的单词,然后识别系统将这些单词混杂在一起,让他再次读出给出的一系列单词v面部扫描 人都有不同的骨骼结构
27、,鼻梁,眼眶,额头和下颚形状67指纹识别的实现原理指纹识别的实现原理v通过特殊的光电扫描和计算机图像处理技术,对指纹进行采集、分析和比对,自动、迅速、准确地认证出个人身份。v指纹识别的过程按照用户和姓名等信息将其存在指纹数据库中的模板指纹调出来,然后再用用户输入的指纹与该模板的指纹相匹配,以确定这两幅指纹是否出于同一幅指纹。指纹图象指纹图象采集仪采集仪图象输入图象输入通道通道指纹细节指纹细节匹配匹配认证结果认证结果68虹膜识别的实现原理(一)虹膜识别的实现原理(一)v虹膜是环绕在瞳孔四周有色彩的部分每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的
28、结构每一个人的虹膜各不相同,一个人的左眼和右眼就可能不一样,即使是双胞胎的虹膜也可能不一样人的虹膜在出生后6-18个月成型后终生不再发生变化69虹膜识别的实现原理(二)虹膜识别的实现原理(二)70基于生物特征的认证系统的误判基于生物特征的认证系统的误判v第一类错误:错误拒绝率(FRR)v第二类错误:错误接受率(FAR)v交叉错判率(CER):FRR=FAR的交叉点vCER用来反映系统的准确度%安全性FAR(II)FRR(I)CER71基于个人令牌的身份认证基于个人令牌的身份认证v集成电路卡(Integrated Circuit Card)简称IC卡,其中镶嵌集成电路芯片vIC卡的分类IC卡接口
29、类型接触式IC卡非接触式IC卡双界面卡嵌入集成电路芯片的形式和类型非加密存储卡逻辑加密卡CPU卡(又称智能卡)72智能卡的安全特性智能卡的安全特性v硬件与外界通信前,先完成智能卡与终端间的认证加入安全传感器,防止在数据被读出或写入时被修改发生异常,智能卡复位,或者置标志位,使智能卡操作系统做出相应反应存储器加密,不保存任何明文v软件使用需要通过双因素认证,进入操作智能卡的安全状态信息采用文件系统进行保存,依据类型或密钥的不同,提供不同的访问操作支持DES、3DES和RSA等密码算法73基于智能卡的身份认证基于智能卡的身份认证74智能卡客户端服务端发出登录请求要求用户完成身份认证请求读出公钥证书
30、要求验证PIN输入PIN完成验证,读出证书发送证书,服务器验证证书有效性签名正确,发出随机数N请求对N用私钥签名返回私钥签名的结果签名结果作为响应,服务器验证签名验证正确,允许用户登录单点登录技术单点登录技术v单点登录(SSO,Single Sign-on)用户只需在登录时进行一次注册,就可以访问多个系统,不必重复输入用户名和密码来确定身份实质是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享v单点登录的优点方便用户方便管理员简化应用系统开发75KerberosKerberos认证协议认证协议v美国麻省理工学院(MIT)为Athena项
31、目开发的一种身份鉴别协议v“Kerberos”的本意是希腊神话中守护地狱之门的守护者 vKerberos提供了一个网络环境下的身份认证框架结构实现采用对称密钥加密技术公开发布的Kerberos版本包括版本4和版本5 安全性、可靠性、可伸缩性、透明性76KerberosKerberos认证协议使用条件认证协议使用条件v有一个时钟基本同步的环境v客户机与KDC( Key Distribution Center ), KDC与服务器在协议工作前已经有了各自的共享密钥v组成密钥分发中心(KDC):由两个独立的逻辑部分组成认证服务器AS(Authentication Server)票据授权服务器TGS(
32、Ticket Granting Server)票据授权票据TGT77获得票据许可票据获得票据许可票据78v第一步:获得票据许可票据用户登录客户机请求主机服务认证服务器(AS)在数据库中验证用户的访问权限,生成票据许可票据和会话密钥,它们用由用户口令导出的密钥进行加密AS客户机客户机请求票据许可票据请求票据许可票据票据票据+会话密钥会话密钥获得服务许可票据获得服务许可票据79v第二步:获得服务许可票据客户机提示用户输入口令来对收到的报文进行解密,然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往票据授权服务器TGS票据授权服务器TGS对票据和鉴别符进行解密,验证请求,然后生成请求服务
33、许可票据TGS客户机客户机请求服务许可票据请求服务许可票据票据票据+会话密钥会话密钥获得服务获得服务80v第三步:获得服务客户机将票据和鉴别符发给服务器服务器验证票据和鉴别符中的匹配,然后许可访问服务。如果需要双向鉴别,服务器返回一个鉴别符服务器服务器客户机客户机请求服务请求服务提供服务器鉴别符提供服务器鉴别符KerberosKerberos认证协议的特点认证协议的特点v优点单点登录,只要用户拿到了TGT并且该TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码 与授权机制相结合支持双向的身份认证通过交换“跨域密钥”实现分布式网络环境下的认证v缺点AS和TGS
34、是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全时钟同步问题身份认证采用的是对称加密机制,随用户数量增加,密钥管理较复杂81知识域:访问控制技术知识域:访问控制技术v知识子域:典型访问控制方法和实现理解集中访问控制的基本概念及其实现(RADIUS、TACACS、TACACS+和Diameter等)理解非集中访问控制的基本概念及其实现(域等)82集中访问控制的基本概念及实现集中访问控制的基本概念及实现vRADIUS协议vTACACS协议vTACACS+协议vDiameter协议83RADIUSRADIUS协议协议v远程用户拨号认证系统(Remote Authent
35、ication Dial In User Service)最初由Livingston公司提出,为拨号用户进行认证和计费,经多次改进,形成了一项通用的认证计费协议RADIUS是一种C/S结构的协议,它的客户端最初就是NAS (Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端基本设计组件有认证、授权和记账84RADIUSRADIUS协议的基本消息交互流程协议的基本消息交互流程v基本交互步骤如下:用户输入用户名和口令radius 客户端根据获取的用户名和口令,向radius 服务器发送认证请求包(access-request)rad
36、ius 服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius 客户端;如果认证失败,则返回access-reject 响应包。radius 客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则radius 客户端向radius 服务器发送计费开始请求包(accounting-request)radius 服务器返回计费开始响应包(accounting-response)radius 客户端向radius 服务器发送计费停止请求包(accounting-request)radius 服务器返
37、回计费结束响应包(accounting-response)85RADIUSRADIUS协议的特点协议的特点v简单明确,可扩充v使用UDP端口1812,1813;v不足:口令传输一般为明文;可使用MD5进行加密;授权作为认证的一部分;属性值空间有限;最多支持255个并发请求;最多支持255个厂商定义属性值;单向RADIUSServerPSTN/ISDNCorporateNetwork86TACACSTACACS协议协议v终端访问控制器访问控制系统( Terminal Access Controller Access-Control System )允许远程访问服务器传送用户登录密码给认证服务器,
38、认证服务器决定该用户是否可以登录系统基于UDP协议87TACACS+TACACS+协议协议v终端访问控制器访问控制系统( Terminal Access Controller Access-Control System )TACACS+是TACACS 的最新版本基于TCP协议。客户/服务器型协议:TACACS+客户机通常是一个NAS;而TACACS+服务器是一个监控程序,监听49号端口。基本设计组件有认证、授权和记账88TACACS+TACACS+认证包类型认证包类型vTACACS+认证用到3种类型的包:START :TACACS+客户机发送给TACACS+服务器CONTINUE:TACACS
39、+客户机发送给TACACS+服务器。 REPLY:TACACS+服务器发送给TACACS+客户机 89TACACS+TACACS+认证过程认证过程v客户机发送一个START包给服务器。START包的内容包括被执行的认证类型 (明文口令、PPP PAP或PPP CHAP等 ),还可能包括用户名等其他认证数据 。START包只在一个认证会话开始时使用一次,序列号永远是1。v服务器收到START包以后,回送一个REPLY包,指示认证继续还是结束。如果认证继续,REPLY包还需要指出需要哪些新信息。v如果客户机收到认证结束的REPLY包,则认证结束;如果收到认证继续的REPLY包,则向服务器发送CON
40、TINUE包 ,其中包括服务器要求的信息,如此反复,直到认证结束。90TACACS+TACACS+授权过程授权过程vTACACS+授权过程分为以下两步:客户端向服务器发送一个REQUEST包,内容包括用户和过程的真实性、请求授权的服务和选项。服务器回复客户端一个RESPONSE包。91TACACS+TACACS+协议的特点协议的特点v基于TCP端口49v提供比RADIUS更多的授权选项v支持Auto-commandv支持多种协议v支持数据报文加密v不足:有限的厂商支持有限的服务器选项TACACS+ServerTACACS+ClientAlicePSTN/ISDNCorporateNetwork
41、DiameterDiameter协议协议vDiameter协议作为下一代的AAA协议标准,是RADIUS协议的升级版本v它包括基本协议、NAS(网络接入服务)协议、EAP(可扩展鉴别)协议、MIP(移动IP)协议、CMS(密码消息语法)协议等93DiameterDiameter协议的基本内容协议的基本内容vDiameter基础协议为移动IP(Mobile IP)、网络接入服务(NAS)等应用提供最基本的服务,如用户会话、计费等,具有能力协商、差错通知等功能vDiameter的NAS协议处理用户MN的接入请求vDiameter的EAP协议 供了一个支持各种鉴别方法的标准机制vDiameter的C
42、MS协议实现了协议数据的端到端加密vDiameter的MIP协议允许用户漫游到外部域,并在经过鉴权后接受外部域服务器和代理提供的服务。94DIAMETERDIAMETER协议的特点协议的特点v提供向后的兼容性;v解决RADIUS的不足;双向最多可支持232个vendor-specific attributes属性;无限个并发请求;通过Acknowledgement和Keepalive机制提高弹性;提供加密保证消息的机密性和完整性;非集中访问控制非集中访问控制v域:一个信任范围,或者是共享共同安全策略的主体和客体的集合每个域的访问控制与其它域保持独立跨域访问必须建立信任关系,用户可以从一个域访问
43、另一个域中的资源信任可以是单向的,也可以是双向的96知识域:审计和监控技术知识域:审计和监控技术v知识子域:信息安全审计了解安全审计的基本概念理解安全审计的作用和目标了解审计系统的组成结构v知识子域:安全监控了解常用安全监控技术掌握内容审计系统模型以及网络不良信息内容监控方法97安全审计安全审计v安全审计的基本概念v安全审计的作用v安全审计的目标v审计系统的组成结构98安全审计的概念安全审计的概念v日志日志就是记录的事件或统计数据,这些事件或统计数据能提供关于系统使用及性能方面的信息。v审计审计就是对日志记录的分析,并以清晰的、能理解的方式表述系统信息。审计使得系统分析员可以评审资源的使用模式
44、,以便评价保护机制的有效性。99安全审计的作用安全审计的作用v记录系统被访问的过程以及系统保护机制的运行状态;v发现试图绕过保护机制的行为;v及时发现用户身份的变化;v报告并阻碍绕过保护机制的行为并纪录相关过程,为灾难恢复提供信息。100安全审计的目标安全审计的目标v必须提供足够的信息使得安全人员能够将问题限制于局部,而信息量不足以以此为基础进行攻击;v优化审计记录的内容,审计分析机制应可以对一些特定资源辨认正常的行为。101审计系统的组成结构审计系统的组成结构v审计系统包含三个部分:日志记录器、分析器、通告器,分别用于收集数据、分析数据及通报结果。日志记录器:日志机制可以把信息记录成二进制形
45、式或可读的形式。系统会提供一个日志浏览工具。用户能使用工具检查原始数据或用文本处理工具来编辑数据。分析器:分析器以日志作为输入,然后分析日志数据。分析的结果可能会改变正在记录的数据,也可能只是检测一些事件或问题。102审计系统的组成结构(续)审计系统的组成结构(续) 通告器:分析器把分析结果传送到通告器。通告器把审计结果通知系统管理员和其他实体。这些实体可能执行一些操作来响应通告结果。103安全监控的常用技术安全监控的常用技术v恶意行为监控蜜网网站挂马监测网站被黑监测P2P监测v内容监控网络舆情分析104蜜网技术蜜网技术v蜜网的概念v蜜网的功能v蜜网的核心需求105蜜网的概念蜜网的概念v“蜜网
46、项目组”( The Honeynet Project )的创始人Lance Spitzner给出了蜜网的权威定义。蜜网是一种安全资源,其价值在于被扫描、攻击和攻陷。v蜜网的核心价值在于对攻击活动进行监视、检测和分析。106蜜网的功能蜜网的功能v吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来,进而评估黑客攻击的目的、使用的工具、运用的手段、造成的后果v可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击v也可以进行攻击检测和报警107蜜网的核心需求蜜网的核心需求v蜜网有着三大核心需求:即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻
47、蜜网架设的风险;数据捕获技术能够检测并审计黑客攻击的所有行为数据;而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。108互联网舆情分析互联网舆情分析v互联网舆情分析要做什么?v互联网舆情分析技术信息采集文本索引与检索深度信息处理功能109互联网舆情分析要做什么?互联网舆情分析要做什么?v从互联网这个巨大的数据来源中获取信息v萃取为针对特定社会公共事务的情况概览v为公共事务管理者提供决策参考110互联网舆情分析技术互联网舆情分析技术v互联网舆情分析与信息处理技术显然存在密不可分的关系v与搜索相关的各种技术信息采集:网页爬虫、Twitter / IM / SN
48、S信息抓取文本索引与检索:中文分词、文本分类聚类、自动摘要、检索排序深度信息处理功能:热点追踪、人物追踪、倾向性分析、事件趋势预测111信息采集信息采集v信息采集工作是网络舆情分析的数据来源更多的数据来源:博客、Twitter、Facebook、IM、QQ群更精确的数据初筛机制:网页正文提取技术内容去重技术论坛、博客的结构化数据抽取及结构化存储和表示112文本索引与检索文本索引与检索v传统搜索引擎所做的主要工作中文分词:分词的质量直接影响了检索的质量字符串匹配、基于统计的机器学习分词海量数据的快速索引和检索倒排索引技术索引快速增删机制检索打分机制传统的基于词袋的模型语言模型(Language
49、Model)基于网页结构的模型PageRank113文本索引与检索(续)文本索引与检索(续)文本聚类支持向量机模型(Support Vector Machine)基于语言模型的聚类自动摘要技术基于文档结构抽取与文档中心词最相关的句子形成摘要利用搜索引擎的用户行为数据辅助提高检索质量的技术伪相关反馈学习关键词协同过滤推荐114深度信息处理功能深度信息处理功能v话题跟踪技术Topic Detection and Tracking话题的模型化话题/报道的相似度计算聚类/分类策略v人物跟踪技术从网络上获取特定人物的活动和关系信息人名识别、重名鉴别、链接关系人立方115深度信息处理功能(续)深度信息处理
50、功能(续)v观点倾向性分析针对特定事件,鉴别某篇文档的观点倾向性常用的技术手段:基于情感词库的标注基于机器学习SVM分类准确度都难以达到实用效果v事件趋势预测针对某一舆论话题事件,预测其传播的可能影响范围目前研究还仅处于模型阶段116内容安全内容安全v概述v网络信息内容审计系统模型v网络不良信息内容监控方法117概述概述v网络信息内容审计的内涵与外延v网络信息内容安全的形势与对策v网络信息内容审计功能118内涵与外延内涵与外延v网络信息内容审计是指通过采取一定的技术手段,监管网络中不良文本、图片、视频等各类信息的传播行为,以保证网络所传播的各类信息内容的健康性、合法性,提供干净的网络信息环境。
51、v网络信息内容审计侧重于理解网络所传播的信息内容,判断信息内容的性质,并根据相关的安全策略,对非法、不良等各类网络信息进行有效控制和管理,是网络安全中保障信息资源安全性的重要组成部分。119网络信息内容安全的形势与对策网络信息内容安全的形势与对策v形势淫秽、暴力等信息内容在互联网上肆意传播;非法信息、反动言论给国家安全稳定和社会和谐带来了隐患;不法分子利用互联网发布谣言信息。v对策1996年英国颁布三R互联网安全规则,旨在消除网络上的色情内容;美国出台儿童在线保护法电子通信隐私法等法规加强对网络言论的规范和保护;我国在2000年9月颁布了互联网信息服务管理办法等多个涉及互联网的法律文件,对非法
52、网络信息内容作出了明确的规定。120网络信息内容审计功能网络信息内容审计功能v根据不同应用需求的网络环境,网络信息内容审计的任务与功能也不尽相同。概括来讲,内容审计应完成以下主要功能:部署方式灵活方便,可应对海量网络信息环境。网络流量诊断、统计与监控。网络应用事件记录与还原。灵活控制网络应用,支持多种报警方式。提供多维审计策略和审计方式。网络热点话题的发现与跟踪。网络舆情监管。日志、查询、统计、报表功能。121网络信息内容审计系统模型网络信息内容审计系统模型v审计系统工作原理v审计系统体系架构v审计系统涉及的主要技术v审计系统的分类122审计系统工作原理审计系统工作原理v网络信息审计系统包括对
53、网络信息报文格式的完整性与合法性进行形式化审查及对报文类型与内容审查两部分。v内容审计系统主要在应用层对信息内容进行审计分析,发现可疑行为,并对这些行为采取相应的措施,如记录、报警和阻断等,实现对网络信息内容的检测与控制。123审计系统体系架构审计系统体系架构v负载均衡模块v包捕获模块v协议还原分析模块v数据过滤与分流模块v内容处理模块v结果反馈查询模块124审计系统涉及的主要技术审计系统涉及的主要技术v网络信息内容的获取技术(也称为嗅探技术),主要研究如何在大规模网络环境中快速获取各种协议的信息内容;v网络内容还原分析技术,主要是将获取的数据包还原,并分析其中的信息内容。125审计系统的分类
54、审计系统的分类v根据具体需求和资源限制,内容审计系统可以分为流水线模型和分段模型两种过程模型:流水线是一种可使两个或多个操作在执行时发生重叠的技术。在流水线操作中,一个任务被分解为多个子任务。在执行时,多个子任务相互重叠。根据处理流量不同,流水线处理过程中各个时期的延时均不相同,但应保证延时的平均值不会随时间的推移而增大。因此,流水线处理要求各个部分处理速度基本相同。126审计系统的分类(续)审计系统的分类(续)v分段式处理模型的基本思想是先收集某个网段一定时间内的数据,然后进行离线式分析。此模型分为实时处理和离线处理两部分。包捕获以前的部分设计为实时处理部分,协议分析还原部分设计为离线处理部
55、分。与流水线模型相比,分段式处理模型的瓶颈在于其包捕获处理能力。分段式处理模型仅能对部分时间段内的高速流量进行处理。127网络不良信息内容监控方法网络不良信息内容监控方法v网址过滤技术,即通过封锁网址来达到控制访问的目的,这种方法实现简单,在明确判定网站性质时有较好的控制效果。但这种方法需要定期搜索更新不良信息网站地址,具有滞后性,不能适应动态变化;v网页内容过滤技术,通过在网页文字中搜索设定的关键字来判断是否有不良信息。由于文本内容审计的局限性,当网络中不包含敏感文字时,会造成不良站点被漏过以及合法站点被屏蔽等。128网络不良信息内容监控方法(续)网络不良信息内容监控方法(续)v图像内容过滤方式,即利用图像识别技术来判断网页中是否含有不良图像。由于不良网站中通常存在大量不良图片,这种技术已经成为研究热点。v网址过滤技术和基于文本的过滤技术自身具有一定的局限性,对不良信息识别方面准确率不够高。在网络不良信息的传播中,不良图像、视频较之文本信息,其危害性更为严重。所以,对网络中的不良图片及视频等进行分析具有更现实的意义。129谢谢,请提问题!谢谢,请提问题!
