身份认证访问控与制系统审计

《身份认证访问控与制系统审计》由会员分享，可在线阅读，更多相关《身份认证访问控与制系统审计（88页珍藏版）》请在金锄头文库上搜索。

1、第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计 第 8 章 身份认证、访问控制与系统审计Network and Information SecurityEvaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-1 经典安全模型 8.1 计算机安全计算机安全模型模型 Evaluati

2、on only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security经典安全模型包含如下基本要素：(1) 明确定义的主体和客体；(2) 描述主体如何访问客体的一个授权数据库；(3) 约束主体对客体访问尝试的参考监视器；(4) 识别和验证主体和客体的可信子系统；(5) 审计参考监视器活动的审计子系统。Evaluation only

3、.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security可可以以看看出出，这这里里为为了了实实现现计计算算机机系系统统安安全全所所采采取取的的基基本本安安全措施，即安全机制有全措施，即安全机制有身份认证、访问控制和审计。身份认证、访问控制和审计。 参考监视器参考监视器是主体是主体/ /角色对客体进行访问的桥梁角色对客体进行访问的桥

4、梁. .身份识别与验证，即身份认证是主体身份识别与验证，即身份认证是主体/ /角色获得访问授权的角色获得访问授权的第一步，这也是早期黑客入侵系统的突破口。第一步，这也是早期黑客入侵系统的突破口。访问控制访问控制是在主体身份得到认证后，根据安全策略对主体是在主体身份得到认证后，根据安全策略对主体行为进行限制的行为进行限制的机制和手段。机制和手段。审计审计作为一种安全机制，它在主体访问客体的整个过程中作为一种安全机制，它在主体访问客体的整个过程中都发挥着作用，为安全分析提供了有利的证据支持。它贯都发挥着作用，为安全分析提供了有利的证据支持。它贯穿于身份认证、访问控制的前前后后。穿于身份认证、访问控

5、制的前前后后。同时，身份认证、访问控制为审计的正确性提供保障。同时，身份认证、访问控制为审计的正确性提供保障。它们之间是互为制约、相互促进的。它们之间是互为制约、相互促进的。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-2 安全机制Evaluation only.Created wi

6、th Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security访问控制模型基本结构Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控

7、制与系统审计Network and Information Security8.2 身份认证身份认证在有安全需求的应用系统中，识别用户的身份在有安全需求的应用系统中，识别用户的身份是系统的基本要求，身份认证是安全系统中不是系统的基本要求，身份认证是安全系统中不可缺少的一部分，也是可缺少的一部分，也是防范入侵的第一道防线防范入侵的第一道防线。身份认证的方法多种多样，其安全强度也各不身份认证的方法多种多样，其安全强度也各不相同，具体方法可归结为相同，具体方法可归结为3类：类：根据用户知道什么根据用户知道什么,拥有什么拥有什么,是什么来进行认证。是什么来进行认证。Evaluation only.Cr

8、eated with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.2.1 用户名和口令认证用户名和口令认证通过用户名和口令进行身份认证是最简单，也是最常见的认证通过用户名和口令进行身份认证是最简单，也是最常见的认证方式，但是方式，但是认证的安全强度不高认证的安全强度不高。所有的多用户系统、网络服务器、所有的多用户系统、网络服务器、Web的电子

9、商务等系统都要的电子商务等系统都要求提供用户名或标识符（求提供用户名或标识符（ID），还要求提供口令。），还要求提供口令。系统将系统将用户输入的口令用户输入的口令与与以前保存在系统中的该用户的口令以前保存在系统中的该用户的口令进进行比较，若完全一致则认为认证通过，否则不能通过认证。行比较，若完全一致则认为认证通过，否则不能通过认证。根据处理方式的不同，有根据处理方式的不同，有3种方式：种方式：口令的明文传送、利用单向口令的明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令散列函数处理口令、利用单向散列函数和随机数处理口令，这，这3种方式的安全强度依次增高，处理复杂度也依次增大

10、。种方式的安全强度依次增高，处理复杂度也依次增大。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security1口令以明文形式传送时，没有任何保护口令以明文形式传送时，没有任何保护 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client

11、 Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security2 为防止口令被窃听，可用单向散列函数处理口为防止口令被窃听，可用单向散列函数处理口令，传输口令的散列值，而不传输口令本身。令，传输口令的散列值，而不传输口令本身。 传输口令的散列值也存在不安全因素，黑客虽然不知道口令的传输口令的散列值也存在不安全因素，黑客虽然不知道口令的原文，但是他可以原文，但是他可以截获口令的散列值截获口令的散列值，直接把散列值发送给验直接把散列

12、值发送给验证服务器，也能验证通过，这是一种重放攻击。证服务器，也能验证通过，这是一种重放攻击。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security3 为解决重放攻击，为解决重放攻击，服务器首先生成一个随机数并发给用服务器首先生成一个随机数并发给用户户，用户把口令散列值与该随机数连接或异或后再用单，

13、用户把口令散列值与该随机数连接或异或后再用单向散列函数处理一遍，把最后的散列值发给服务器向散列函数处理一遍，把最后的散列值发给服务器。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.2.2 令牌和令牌和USB key认证认证令牌实际上就是一种智能卡，私钥存储在令牌中，对令牌实际上就是一种

14、智能卡，私钥存储在令牌中，对私钥的访问用口令进行控制。私钥的访问用口令进行控制。令牌没有物理接口令牌没有物理接口，无法与计算机连接，使用总是不，无法与计算机连接，使用总是不方便方便 . 可以用可以用USB key代替。代替。USB key通过通过USB接口直接连接接口直接连接在计算机上，不需要用户手动键入数据，比令牌方便在计算机上，不需要用户手动键入数据，比令牌方便得多。得多。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty

15、Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.2.3 生物识别认证生物识别认证使用生物识别技术的身份认证方法使用生物识别技术的身份认证方法 ，主要是根据用户，主要是根据用户的图像、指纹、气味、声音等作为认证数据。的图像、指纹、气味、声音等作为认证数据。在安全性要求很高的系统中，可以把这在安全性要求很高的系统中，可以把这3种认证方法结种认证方法结合起来，达到最高的安全性。合起来，达到最高的安全性。Evaluation only.Created with Aspose.Slides for .NET 3.5

16、 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.3 访访 问问 控控 制制 在在计计算算机机安安全全防防御御措措施施中中，访访问问控控制制是是极极其其重重要要的的一一环环，它它是是在在身身份份认认证证的的基基础础上上，根根据据身身份份的的合合法法性性对对提提出出的的资资源访问请求加以源访问请求加以控制控制。Evaluation only.Created with Aspose.Slides for

17、 .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.3.1 基本概念基本概念广广义义地地讲讲， 所所有有的的计计算算机机安安全全都都与与访访问问控控制制有有关关。实实际际上上RFC 2828 定定义义计计算算机机安安全全如如下下：用用来来实实现现和和保保证证计计算算机机系统的安全服务的措施，系统的安全服务的措施， 特别是保证访问控制服务特别是保证访问控制服务的措施。的措施。访访问问

18、控控制制(Access Control)是是指指主主体体访访问问客客体体的的权权限限或或能能力力的的限限制制，以以及及限限制制进进入入物物理理区区域域(出出入入控控制制)和和限限制制使使用用计计算算机机系系统统和和计计算算机机存存储储数据的过程数据的过程(存取控制存取控制)。在在访访问问控控制制中中，主主体体是是访访问问的的发发起起者者，访访问问客客体体的的活活动动资资源源，通通常常为为进程、程序或用户。进程、程序或用户。客客体体则则是是指指对对其其访访问问必必须须进进行行控控制制的的资资源源，客客体体一一般般包包括括各各种种资资源源，如文件、设备、信号量如文件、设备、信号量等。等。访访问问控

19、控制制中中的的第第三三个个元元素素是是保保护护规规则则，它它定定义义了了主主体体与与客客体体之之间间可可能能的相互作用途径的相互作用途径。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security保保护护域域的的概概念念。每每一一主主体体(进进程程)都都在在一一特特定定的的保保护护域域下工作，保护域规定

20、了进程可以访问的资源。下工作，保护域规定了进程可以访问的资源。每每一一域域定定义义了了一一组组客客体体及及可可以以对对客客体体采采取取的的操操作作。可可对对客客体体操操作作的的能能力力称称为为访访问问权权(Access Right)，访访问问权权定义为有序对的形式。定义为有序对的形式。 一一个个域域是是访访问问权权的的集集合合。如如域域X有有访访问问权权，则则在在域域X下下运运行行的的进进程程可可对对文文件件A执执行行读读写写，但但不不能能执执行行任任何何其其它它的操作。的操作。 保保护护域域并并不不是是彼彼此此独独立立的的。它它们们可可以以有有交交叉叉，即即它它们们可可以以共共享享权权限限。

21、域域X和和域域Y对对打打印印机机都都有有写写的的权权限限，从从而产生了访问权交叉现象。而产生了访问权交叉现象。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-3 有重叠的保护域Evaluation only.Created with Aspose.Slides for .NET 3.5

22、Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 根据访问控制策略的不同，访问控制一般分为根据访问控制策略的不同，访问控制一般分为自主访问控自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访制、强制访问控制、基于角色的访问控制、基于任务的访问控制、使用控制等问控制、使用控制等 。自主访问控制自主访问控制是以前计算机系统中实现较多的访问控制机是以前计算机系统中实现较多的访问控制机制，它是根据访问

23、者的制，它是根据访问者的身份和授权身份和授权来决定访问模式的。来决定访问模式的。强制访问控制强制访问控制是将主体和客体分级，然后根据是将主体和客体分级，然后根据主体和客体主体和客体的级别标记的级别标记来决定访问模式。来决定访问模式。“强制强制”主要体现在系统强制主要体现在系统强制主体服从主体服从访问控制策略上。访问控制策略上。基于角色基于角色的访问控制的基本思想是：授权给用户的访问权的访问控制的基本思想是：授权给用户的访问权限通常由用户在一个组织中限通常由用户在一个组织中担当的角色担当的角色来确定。来确定。它根据用户在组织内所处的角色作出访问授权和控制，它根据用户在组织内所处的角色作出访问授权

24、和控制，但用户不能自主地将访问权限传给他人。但用户不能自主地将访问权限传给他人。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.3.2 自主访问控制 自主访问控制又称任意访问控制自主访问控制又称任意访问控制(Discretionary Access Control，DAC)，是指，是指根

25、据主体身份或者主体所属组的身份或者二者根据主体身份或者主体所属组的身份或者二者的结合，对客体访问进行限制的一种方法。的结合，对客体访问进行限制的一种方法。 它是访问控制措施中常用的一种方法，它是访问控制措施中常用的一种方法，这这种访问控制方法允许用户可以种访问控制方法允许用户可以自主地自主地在系统中在系统中规定谁可以存取它的资源实体规定谁可以存取它的资源实体，即用户即用户(包括包括用户程序和用户进程用户程序和用户进程)可选择可选择同其它用户同其它用户一起一起共享某个文件。共享某个文件。 Evaluation only.Created with Aspose.Slides for .NET 3.

26、5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 在各种以自主访问控制机制进行访问控制的系统在各种以自主访问控制机制进行访问控制的系统中，存取模式主要有：中，存取模式主要有：读读(read)，即允许主体对客体进行读和拷贝的操作；，即允许主体对客体进行读和拷贝的操作；写写(write)，即允许主体写入或修改信息，包括扩展、，即允许主体写入或修改信息，包括扩展、压缩及删除等；压缩及删除等；执行执行(ex

27、ecute)，就是允许将客体作为一种可执行文，就是允许将客体作为一种可执行文件运行，在一些系统中该模式还需要同时拥有读模式；件运行，在一些系统中该模式还需要同时拥有读模式；空模式空模式(null)，即主体对客体不具有任何的存取权。，即主体对客体不具有任何的存取权。 自主访问控制缺陷Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and In

28、formation Security自主访问控制的具体实施可采用以下四种方法。自主访问控制的具体实施可采用以下四种方法。(1) (1) 目录表目录表(Directory List)(Directory List)在在目目录录表表访访问问控控制制方方法法中中借借用用了了系系统统对对文文件件的的目目录录管管理理机机制制，为为每每一一个个欲欲实实施施访访问问操操作作的的主主体体，建建立立一一个个能能被被其其访访问问的的“客客体体目目录录表表( (文文件件目目录录表表) )”。例例如如某某个个主主体体的的客客体体目录表可能为：目录表可能为：客体客体1:1:权限权限1 1 客体客体2:2:权限权限2 2

29、 客体客体n:n:权限权限n n 。当当然然，客客体体目目录录表表中中各各个个客客体体的的访访问问权权限限的的修修改改只只能能由由该该客客体体的的合合法法属属主主确确定定，不不允允许许其其它它任任何何用用户户在在客客体体目目录录表表中进行写操作，否则将可能出现对客体访问权的伪造。中进行写操作，否则将可能出现对客体访问权的伪造。操作系统必须在操作系统必须在客体的拥有者控制客体的拥有者控制下维护所有的客体目录。下维护所有的客体目录。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyr

30、ight 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security目目录录表表访访问问控控制制机机制制的的优优点点是是容容易易实实现现，每每个个主主体体拥拥有有一一张张客客体体目目录录表表，这这样样主主体体能能访访问问的的客客体体及及权权限限就就一一目目了了然然了了，依据该表对主体和客体的访问与被访问进行依据该表对主体和客体的访问与被访问进行监督比较简便监督比较简便。缺点之一是缺点之一是系统开销、浪费较大系统开销、浪费较大，这是由于每个用户都有一，这是由于每个用户都有一张目录

31、表，如果某个客体允许所有用户访问，则将给每个用张目录表，如果某个客体允许所有用户访问，则将给每个用户逐一填写文件目录表，因此会造成系统额外开销；户逐一填写文件目录表，因此会造成系统额外开销；二是由于这种机制二是由于这种机制允许客体属主用户对访问权限实施传递并允许客体属主用户对访问权限实施传递并可多次进行，造成同一文件可能有可多次进行，造成同一文件可能有多个属主多个属主的情形的情形，各属主，各属主每次传递的访问权限也难以相同，甚至可能会把客体改用别每次传递的访问权限也难以相同，甚至可能会把客体改用别名，因此使得能越权访问的用户大量存在，在管理上名，因此使得能越权访问的用户大量存在，在管理上繁乱易

32、繁乱易错错。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(2) (2) 访问控制列表访问控制列表(Access Control List)(Access Control List)访访问问控控制制列列表表的的策策略略正正好好与与目目录录表表访访问问控控制制相相反反，它它是是从从客客体体角角

33、度度进进行行设设置置的的、面面向向客客体体的的访访问问控控制制。每每个个客客体体有有一一个个访访问问控控制制列列表表，用用来来说说明明有有权权访访问问该该客客体的所有主体及其访问权限。体的所有主体及其访问权限。访问控制列表方式的最大访问控制列表方式的最大优点优点就是能较好地解决就是能较好地解决多个多个主体访问一个客体的问题主体访问一个客体的问题，不会像目录表访问控制那，不会像目录表访问控制那样因授权繁乱而出现越权访问。样因授权繁乱而出现越权访问。缺点缺点是由于访问控制列表需是由于访问控制列表需占用存储空间占用存储空间，并且由于，并且由于各个客体的长度不同而出现存放空间碎片，造成各个客体的长度不

34、同而出现存放空间碎片，造成浪费浪费；每个客体被访问时都需要对访问控制列表从头到尾扫每个客体被访问时都需要对访问控制列表从头到尾扫描一遍，影响系统运行描一遍，影响系统运行速度速度和浪费了和浪费了存储空间存储空间。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(3) (3) 访问控制矩阵访问控

35、制矩阵(Access Control Matrix)(Access Control Matrix)访访问问控控制制矩矩阵阵是是对对上上述述两两种种方方法法的的综综合合。存存取取控控制制矩矩阵阵模模型型是是用用状状态态和和状状态态转转换换进进行行定定义义的的，系系统统和和状状态态用用矩阵表示，状态的转换则用命令来进行描述。矩阵表示，状态的转换则用命令来进行描述。直直观观地地看看，访访问问控控制制矩矩阵阵是是一一张张表表格格，每每行行代代表表一一个个用用户户( (即即主主体体) )，每每列列代代表表一一个个存存取取目目标标( (即即客客体体) )，表表中中纵纵横横对对应应的的项项是是该该用用户户对

36、对该该存存取取客客体体的的访访问问权权集集合合( (权权集集) )。访问控制矩阵原理示意图 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security抽象地说，系统的访问控制矩阵表示了系统的一种保抽象地说，系统的访问控制矩阵表示了系统的一种保护状态，如果系统中用户发生了变化，访问对象发生护状态，如果系统

37、中用户发生了变化，访问对象发生了变化，或者某一用户对某个对象的访问权限发生了了变化，或者某一用户对某个对象的访问权限发生了变化，都可以看作是系统的保护状态发生了变化。变化，都可以看作是系统的保护状态发生了变化。由于访问控制矩阵模型只规定了系统状态的迁移必须由于访问控制矩阵模型只规定了系统状态的迁移必须有规则，而没有规定是什么规则，有规则，而没有规定是什么规则，因此该模型的灵活因此该模型的灵活性很大，但却给系统埋下了潜在的安全隐患。性很大，但却给系统埋下了潜在的安全隐患。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client

38、 Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security强强制制访访问问控控制制(Mandatory (Mandatory Access Access ControlControl，MAC)MAC)是是根根据据客客体体中中信信息息的的敏敏感感标标签签和和访访问问敏敏感感信信息息的的主主体体的的访访问问等等级级，对客体的访问对客体的访问实行限制实行限制的一种方法。的一种方法。它主要用于保护那些处理特别敏感数据它主要用于保护那

39、些处理特别敏感数据( (例如，政府保密信例如，政府保密信息或企业敏感数据息或企业敏感数据) )的系统。的系统。在强制访问控制中，在强制访问控制中，用户的权限和客体的安全属性用户的权限和客体的安全属性都是都是固固定的定的，由系统决定一个用户对某个客体能否进行访问。，由系统决定一个用户对某个客体能否进行访问。所谓所谓“强制强制”，就是安全属性由，就是安全属性由系统管理员人为设置系统管理员人为设置，或，或由操作系统自动地按照严格的安全策略与规则进行设置，由操作系统自动地按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性。用户和他们的进程不能修改这些属性。 8.3.3 强制访问控制强制

40、访问控制Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-7 强制访问控制Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pt

41、y Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.3.4 基于角色的访问控制基于角色的访问控制基于角色的访问控制基于角色的访问控制(Role-Based Access Control，RBAC)的核心思想就是：授权给的核心思想就是：授权给用户的访问权限用户的访问权限通常由用户在一个通常由用户在一个组织中担当的角色组织中担当的角色来确定。来确定。 引入了引入了“角色角色”这一重要的概念，所谓这一重要的概念，所谓“角色角色”，是指一个，是指一个或一群用户在组织内可执行的操作的集合。或一群用户在组织内可执行

42、的操作的集合。这里的角色就充当着这里的角色就充当着主体主体(用户用户)和客体之间的关系的桥梁和客体之间的关系的桥梁。这是与这是与传统的访问控制策略传统的访问控制策略的最大区别所在。的最大区别所在。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-8 基于角色的访问控制一个主体可以具有多个角

43、色，一个角色可以分给多个主体；一个角色可以访问多个客体，一个客体可以被多个角色访问 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 基于角色的访问控制有以下五个特点。 1) 以角色作为访问控制的主体 用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执行何种操作。 2) 角色继承

44、为了提高效率，避免相同权限的重复设置，RBAC采用了“角色继承”的概念，定义的各类角色，它们都有自己的属性，但可能还继承其它角色的属性和权限。角色继承把角色组织起来，能够很自然地反映组织内部人员之间的职权、责任关系。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图8-8 角色继承Evalu

45、ation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 3) 3) 最小特权原则最小特权原则(Least Privilege Theorem)(Least Privilege Theorem) 最小特权原则是系统安全中最基本的原则之一。最小特权原则是系统安全中最基本的原则之一。所谓最小特权，是指所谓最小特权，

46、是指“在完成某种操作时所赋予网络在完成某种操作时所赋予网络中每个主体中每个主体( (用户或进程用户或进程) )的必不可少的特权的必不可少的特权”。 最小特权原则则是指最小特权原则则是指“应限定网络中每个主体所应限定网络中每个主体所必须的最小特权，必须的最小特权，确保由于可能的事故、错误、网络确保由于可能的事故、错误、网络部件的篡改等原因造成的损失部件的篡改等原因造成的损失最小最小”。 换句话说，换句话说，最小特权原则是指用户所拥有的权利不最小特权原则是指用户所拥有的权利不能超过他执行工作时所需的权限能超过他执行工作时所需的权限。 Evaluation only.Created with Asp

47、ose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security在RBAC中，可以根据组织内的规章制度、职员的分工等设计拥有不同权限的角色，只有角色执行所需要的才授权给角色。 当一个主体需访问某资源时，如果该操作不在主体当前所扮演的角色授权操作之内，该访问将被拒绝。 最小特权原则一方面给予主体“必不可少”的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任

48、务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 4) 4) 职责分离（主体与角色的分离）职责分离（主体与角色的分离） 对对于于某某些些特特定定的的操操作作集集，某某一一个个角角色色或或用用户户不不可可能能

49、同同时时独独立立地地完完成成所所有有这这些些操操作作。“职职责责分分离离”可以有静态和动态两种实现方式。可以有静态和动态两种实现方式。静静态态职职责责分分离离：只只有有当当一一个个角角色色与与用用户户所所属属的的其其它它角角色色彼彼此此不不互互斥斥时时，这这个个角角色色才才能能授授权权给给该用户。该用户。动动态态职职责责分分离离：只只有有当当一一个个角角色色与与一一主主体体的的任任何何一一个个当当前前活活跃跃角角色色都都不不互互斥斥时时，该该角角色色才才能能成为该主体的另一个活跃角色。成为该主体的另一个活跃角色。Evaluation only.Created with Aspose.Slide

50、s for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 5) 角色容量角色容量 在在创创建建新新的的角角色色时时，要要指指定定角角色色的的容容量量。在在一一个个特特定定的的时时间间段段内内，有有一一些些角角色色只只能能由由一一定定人数的用户占用。人数的用户占用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Clie

51、nt Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 基基于于角角色色的的访访问问控控制制是是根根据据用用户户在在系系统统里里表表现现的的活活动动性性质质而而定定的的，这这种种活活动动性性质质表表明明用用户户充当了一定的角色。充当了一定的角色。 用用户户访访问问系系统统时时，系系统统必必须须先先检检查查用用户户的的角角色色，一一个个用用户户可可以以充充当当多多个个角角色色，一一个个角角色色也也可以由多个用户担任。可

52、以由多个用户担任。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security基于角色的访问控制机制优缺缺点：模型的优点在于便于模型的优点在于便于授权管理、角色划分授权管理、角色划分、RBACRBAC能够很容易地能够很容易地将将组织的安全策略映射到信息系统组织的安全策略映射到信息系统中，简化安全策略的实施

53、、中，简化安全策略的实施、具有自我管理能力、支持数据抽象和最小特权原则具有自我管理能力、支持数据抽象和最小特权原则等。等。 基于角色的访问控制是一种有效而灵活的安全措施，目前仍处基于角色的访问控制是一种有效而灵活的安全措施，目前仍处在深入研究和广泛使用之中。在深入研究和广泛使用之中。但也存在缺点，RBAC模型是基于主体客体观点的被动安全模型,它是从系统的角度(控制环境是静态的)出发保护资源。授权是静态的,不具备动态适应性，这显然使系统面临极大的安全威胁，难以适应动态开放的网络环境。 Evaluation only.Created with Aspose.Slides for .NET 3.5

54、Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.3.5基于任务的访问控制基于任务的访问控制(Task-Based Access Control)TBACTBAC模型是一种基于任务、采用模型是一种基于任务、采用动态授权的主动安全模型动态授权的主动安全模型。它从它从应用和企业应用和企业的角度来解决安全问题。的角度来解决安全问题。TBACTBAC模型采用模型采用面向任务面向任务的观点的观点, ,从任务的角

55、度来建立安全从任务的角度来建立安全模型和实现安全机制模型和实现安全机制, ,在任务处理的过程中提供在任务处理的过程中提供实时的安实时的安全管理全管理。它将访问权限与任务相结合它将访问权限与任务相结合, , 客体的访问控制权限并不是客体的访问控制权限并不是静止不变的静止不变的, ,而是而是随着执行任务的上下文环境的变化而变随着执行任务的上下文环境的变化而变化化。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份

56、认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTBAC 的基本概念如下的基本概念如下(1)(1)授权步骤（授权步骤（Authorization Step）：）：是指在一个工作流程中对处理对象是指在一个工作流程中对处理对象(如办公流程中的原文档如办公流程中的原文档)的一次处理过程的一次处理过程。它是访问控制所能控制的最小单元。它是访问控制所能控制的最小单元。授权步由受托人集（授权步由受托人集（Trustee Set）和多个许可集）和多个许可集（Permissions Set）组成。）组成。受托人集受托人集是可是可被授予执行授权

57、步被授予执行授权步的的用户的集合用户的集合，许可集许可集则是则是受托受托人人集的成员被授予授权步时拥有的集的成员被授予授权步时拥有的访问许可访问许可。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(2)授权单元（授权单元（Authorization Unit）：授权单元是由一个或多个授权步骤

58、组成的单元，授权单元是由一个或多个授权步骤组成的单元，它们在逻辑上是相互联系的。它们在逻辑上是相互联系的。授权单元分为一般授权单元和复合授权单元。授权单元分为一般授权单元和复合授权单元。一般授权单元内的授权步骤一般授权单元内的授权步骤按顺序依次执行按顺序依次执行;复合授权单元内部的每个授权步骤紧密联系复合授权单元内部的每个授权步骤紧密联系，其中任何一个授权步骤失败都会导致整个单元其中任何一个授权步骤失败都会导致整个单元的失败。的失败。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Co

59、pyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTBAC 的基本概念如下的基本概念如下(2)(3)(3)任务（任务（TaskTask）：）：任务是工作流程中的一个逻辑单元。任务是工作流程中的一个逻辑单元。它是一个可区分的动作，可能与多个用户相关，也可能包它是一个可区分的动作，可能与多个用户相关，也可能包括几个子任务。括几个子任务。一个任务包含如下特征：一个任务包含如下特征：长期存在；长期存在；可能包括多个子任务；可能包括多个子任务；完成一个子任务可能需

60、要不同的人。完成一个子任务可能需要不同的人。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security(4)依赖（依赖（Dependency）：）：依赖是指授权步骤之间或授权单元之间的相互关依赖是指授权步骤之间或授权单元之间的相互关系，包括系，包括顺序依赖、失败依赖、分权依赖和代顺序依赖、失败依赖、分权

61、依赖和代理依赖。理依赖。依赖反映了基于任务的访问控制的原则。依赖反映了基于任务的访问控制的原则。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security图3-3 TBAC模型Evaluation only.Created with Aspose.Slides for .NET 3.5 Client P

62、rofile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTBAC 的优缺点的优缺点TBACTBAC的的主动、动态等特性主动、动态等特性, ,使其广泛应用于工作流、分布式处使其广泛应用于工作流、分布式处理、多点访问控制的信息处理和事务管理系统的决策制定等方理、多点访问控制的信息处理和事务管理系统的决策制定等方面。面。尽管尽管TBACTBAC具备许多特点具备许多特点, ,但当应用于复杂的企业环境时但当应用于复杂的企业环境时, ,就

63、会暴就会暴露出自身的缺陷。露出自身的缺陷。例如在实际的企业环境中例如在实际的企业环境中, ,角色是一个非常重要的概念角色是一个非常重要的概念, ,但但TBACTBAC中并没有将中并没有将角色与任务清楚地分离开来角色与任务清楚地分离开来, ,也不支持也不支持角色的层次角色的层次等级，也无法表示等级，也无法表示职责分离约束职责分离约束；另外另外, ,访问控制并非都是主动的访问控制并非都是主动的, ,也有属于被动形式的也有属于被动形式的, ,但但TBACTBAC并不支持被动访问控制，同时，并不支持被动访问控制，同时，任务的划分也不明确任务的划分也不明确。Evaluation only.Created

64、 with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security2.3.6基于任务和角色的访问控制模型（基于任务和角色的访问控制模型（TRBAC）T TRBACRBAC是一种动态授权的主动安全模型，它将从是一种动态授权的主动安全模型，它将从系统角度系统角度出发出发保护资源的保护资源的RBACRBAC模型和模型和从应用和企业层角度从应用和企业层角度出发解决

65、安全问题的出发解决安全问题的TBACTBAC模型结合在一起，模型结合在一起，结合二者的优点结合二者的优点而构建的访问控制模型。而构建的访问控制模型。其主要思想是将其主要思想是将角色与任务相关联角色与任务相关联, ,然后再给任务赋予相关的权然后再给任务赋予相关的权限。限。这样,在工作流应用访问控制时,权限与任务相关联的主要目的是实现对权限的动态管理,而将角色与任务相关联有利于管理人员掌握角色所执行的任务和客体之间的相关信息。在更新角色的权限时在更新角色的权限时, ,以以任务为中介任务为中介十分便于管理人员对角色的十分便于管理人员对角色的管理。管理。Evaluation only.Created

66、with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityT TRBACRBAC同时拥有同时拥有角色与任务两个同等角色与任务两个同等重要元素，符合重要元素，符合企业环境中职员通过接受任务而进行工作的思想。企业环境中职员通过接受任务而进行工作的思想。一定程度上实现了一定程度上实现了动静结合动静结合的访问控制，使角色的的访问控制，使角色的操作、操作、维护

67、和任务维护和任务的管理变得的管理变得简单方便简单方便, , 也使得系统变得更为也使得系统变得更为安全。安全。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityTRBAC基于任务基于任务-角色层次模型角色层次模型 Evaluation only.Created with Aspose.Slides

68、 for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security但但T TRBACRBAC模型也存在其不足，其模型也存在其不足，其授权策略大都是基于工作流应授权策略大都是基于工作流应用环境出发考虑的访问控制用环境出发考虑的访问控制。虽然改进了的虽然改进了的TRBACTRBAC模型满足了有效性，但对于现今高动态、开模型满足了有效性，但对于现今高动态、开放式的网络环境还存在诸多不足，例如放式的网

69、络环境还存在诸多不足，例如客体属性的更新客体属性的更新不仅可不仅可能发生在主体能发生在主体访问客体前访问客体前，而且可能在，而且可能在整个访问的过程中和访整个访问的过程中和访问后也需要更新问后也需要更新。主体在访问客体时需要主体在访问客体时需要完成一定的操作行为完成一定的操作行为，系统才允许访问。，系统才允许访问。或者访问需要满足执行环境和系统状态才可以进行或者访问需要满足执行环境和系统状态才可以进行。而这些需求在而这些需求在TRBACTRBAC模型中还不能完全解决，缺少对现代访问控模型中还不能完全解决，缺少对现代访问控制领域的若干新概念的支持。制领域的若干新概念的支持。Evaluation

70、only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.3.8 访问控制小结访问控制小结 访问控控制制主要主要优点点主要缺点主要缺点DAC是基于授是基于授权者的者的访问控制手段，控制手段，访问控制灵控制灵活活安全可靠性低，会造成存安全可靠性低，会造成存储空空间和和查找找时间的浪的浪费MAC基于管理的信息流控制原基于管理

71、的信息流控制原则，支持多种，支持多种级别的安全梯度，具有高安全性的安全梯度，具有高安全性授授权方式不太灵活，安全方式不太灵活，安全级别划划分困分困难RBAC是一种策略中立的是一种策略中立的访问控制方式，授控制方式，授权灵活，灵活，使用使用继承和承和约束的概念，能容易的融合新技束的概念，能容易的融合新技术最小最小权限限约束束还不不够细化，效率化，效率低且低且动态适适应性差，只能用于被性差，只能用于被动访问控制控制TBAC基于活基于活动的的动态安全模型，安全模型，访问控制的客体控制的客体是是动态变化的，且化的，且权限的使用也是有限的使用也是有时效的效的角色和任角色和任务没有分离，且只能没有分离，且

72、只能进行主行主动的的访问控制控制TRBAC是一种是一种动态授授权的主的主动安全模型，安全模型，同时拥有同时拥有角色与任务两个同等重要元素，实现了动静角色与任务两个同等重要元素，实现了动静结合的访问控制思想结合的访问控制思想只只针对于工作流来考于工作流来考虑，缺少，缺少对任任务特性的特性的细化，以及不能适化，以及不能适应系系统的多的多样性性访问控制需求控制需求UCON是一种是一种将将传统的的访问控制、信任管理和数字控制、信任管理和数字版版权管理集成的一个管理集成的一个访问控制框架。在定控制框架。在定义了授了授权、义务、和条件的同、和条件的同时提出了提出了连续性性易易变性两大特性。丰富和完善了性两

73、大特性。丰富和完善了访问控制，控制，适用于适用于现代开放式网代开放式网络环境。境。还只是一种高度抽象的参考性的只是一种高度抽象的参考性的基本框架模型，它基本框架模型，它阐述了使用控述了使用控制中最基本的制中最基本的问题，但是不涉及，但是不涉及到管理，委托授到管理，委托授权，以及其它后，以及其它后期工作中出期工作中出现的的诸如并如并发性等重性等重要要问题Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访

74、问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.4 案例：企业Web系统中的RBAC 这个简单的例子包括这个简单的例子包括3个模块：个模块：模块管理、角色管模块管理、角色管理和用户管理理和用户管理，采用以角色为中心的安全模型。，采用以角色为中心的安全模型。此模型将系统的此模型将系统的模块权限和用户分开模块权限和用户分开，使用角色作，使用角色作为一个中间层。为一个中间层。用户访问模块时，通过其所用户访问模块时，通过其所对应的角色对应的角色对对该模块的该模块的访问权限来获得访问模块的权限访问权限来获得访问模块的权限，通过这种分层的，通

75、过这种分层的管理模式可以实现有效的访问控制。管理模式可以实现有效的访问控制。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security角色1角色2部门1部门2部门3部门4用户1用户2用户3模块1模块2模块3模块4图8-10 用户、角色和模块间的关系Evaluation only.Created with

76、 Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security说明说明角色是为系统安全而设计的抽象层，角色是为系统安全而设计的抽象层，同一角色里的成员具有同一角色里的成员具有相同的模块操作权限。相同的模块操作权限。但是角色不像机构部门那样有固定成员和组织结构，但是角色不像机构部门那样有固定成员和组织结构，并非真并非真正的实体正的实体，可以根据需求任意地建立和删除

77、角色。角色的成，可以根据需求任意地建立和删除角色。角色的成员为部门员工，角色的成员也可以不受限制进行任意组合。员为部门员工，角色的成员也可以不受限制进行任意组合。通过这种设计思想形成三层安全模型，通过这种设计思想形成三层安全模型，第一层为用户，第二第一层为用户，第二层为角色，第三层为系统模块层为角色，第三层为系统模块。用户和角色之间建立关系，角色和模块权限之间建立关系，用户和角色之间建立关系，角色和模块权限之间建立关系，而用户和模块权限之间没有直接的关系而用户和模块权限之间没有直接的关系。 Evaluation only.Created with Aspose.Slides for .NET

78、3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security用户、角色和模块数据访问结构图用户、角色和模块数据访问结构图用户信息用户角色关系信息角色信息角色模块信息模块信息数据库数据库Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd

79、.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.5 系统审计系统审计 美美国国国国防防部部(DOD)在在20世世纪纪70年年代代支支持持的的一一项项内内容容广广泛泛的的研研究究计计划划，该该计计划划研研究究安安全全策策略略、安安全全指指南和南和“可信系统可信系统”的控制。的控制。可可信信系系统统定定义义为为：“能能够够提提供供足足够够的的硬硬件件和和软软件件，以以确确保保系系统统同同时时处处理理一一定定范范围围内内的的敏敏感感或或分分级级信信息息”。审审计计机机制制被被纳纳入入可可信信计计算算机机系系统统评评估

80、估准准则则(“橙皮书橙皮书”)中中。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.5.1 审计及审计跟踪审计及审计跟踪 审审计计(Audit)是是指指产产生生、记记录录并并检检查查按按时时间间顺顺序序排排列列的的系系统统事事件件记记录录的的过过程程，它它是是一一个个被被信信任任的的机机

81、制制 。同同时时，它它也也是是计计算算机机系系统统安安全全机机制制的的一一个个不不可可或或缺缺的的部部分分，对对于于C2及及其其以以上上安安全全级级别别的的计计算算机机系系统来讲，审计功能是其必备的安全机制。统来讲，审计功能是其必备的安全机制。而而且且，审审计计是是其其它它安安全全机机制制的的有有力力补补充充，它它贯贯穿穿计计算算机机安安全全机机制制实实现现的的整整个个过过程程，从从身身份份认认证证到到访问控制这些都离不开审计。访问控制这些都离不开审计。同同时时，审审计计还还是是后后来来人人们们研研究究的的入入侵侵检检测测系系统统的的前提。前提。Evaluation only.Created

82、with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 审审计计跟跟踪踪(Audit (Audit Trail Trail ）是是系系统统活活动动的的记记录录，这这些些记记录录足足以以重重构构、评评估估、审审查查环环境境和和活活动动的的次次序序，这这些些环环境境和和活活动动是是同同一一项项事事务务的的开开始始到到最最后后结结束束期期间间围围绕绕或

83、或导导致致一一项项操操作作、一一个个过过程程或或一一个个事件相关的。事件相关的。 从从这这个个意意义义来来讲讲，审审计计跟跟踪踪可可用用来来实实现现：确确定定和和保保持持系系统统活活动动中中每每个个人人的的责责任任；重重建建事事件件；评评估估损损失失；监监测测系系统统问问题题区区；提提供供有有效效的的灾灾难难恢恢复复；阻止系统的不正当使用等。阻止系统的不正当使用等。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8

84、章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 作作为为一一种种安安全全机机制制，计计算算机机系系统统的的审审计计机机制制的的安安全全目目标有：标有： 审审查查基基于于每每个个目目标标或或每每个个用用户户的的访访问问模模式式，并并使使用用系统的保护机制。系统的保护机制。 发现试图发现试图绕过绕过保护机制的外部人员和内部人员。保护机制的外部人员和内部人员。 发现用户发现用户从低等级到高等级从低等级到高等级的访问权限转移。的访问权限转移。 制止用户企图绕过制止用户企图绕过系统保护机制的尝试。系统保护机制的尝试。 作作为为另

85、另一一种种机机制制确确保保记记录录并并发发现现用用户户企企图图绕绕过过保保护护的尝试，为损失控制提供足够的信息。的尝试，为损失控制提供足够的信息。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 8.5.2 安全审计安全审计审审计计是是记记录录用用户户使使用用计计算算机机网网络络系系统统进进行

86、行所所有有活动的过程活动的过程，它是提高安全性的重要工具。，它是提高安全性的重要工具。安安全全审审计计跟跟踪踪机机制制的的价价值值在在于于：经经过过事事后后的的安安全审计可以检测和调查安全漏洞。全审计可以检测和调查安全漏洞。 (1) 它它不不仅仅能能够够识识别别谁谁访访问问了了系系统统，还还能能指指出出系统系统正被怎样的使用正被怎样的使用。 (2) 对对于于确确定定是是否否有有网网络络攻攻击击的的情情况况，审审计计信息对于确定信息对于确定问题和攻击源问题和攻击源很重要。很重要。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Cl

87、ient Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security (3) (3) 系系统统事事件件的的记记录录能能够够更更迅迅速速和和系系统统地地识识别别问题问题，并且它是后面阶段事故处理的重要依据。，并且它是后面阶段事故处理的重要依据。 (4) (4) 通通过过对对安安全全事事件件的的不不断断收收集集与与积积累累并并且且加加以以分分析析，有有选选择择性性地地对对其其中中的的某某些些站站点点或或用用户户进进行行审审计计跟跟

88、踪踪，以以提提供供发发现现可可能能产产生生破破坏坏性性行行为的有力证据。为的有力证据。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 安安全全审审计计就就是是对对系系统统的的记记录录与与行行为为进进行行独独立立的的品品评考查，目的是：评考查，目的是： (1) 测测试试系系统统的的控控制制是是

89、否否恰恰当当，保保证证与与既既定定安安全全策略和操作能够协调一致。策略和操作能够协调一致。 (2) 有助于作出损害评估。有助于作出损害评估。 (3) 对控制、策略与规程中特定的改变作出评价。对控制、策略与规程中特定的改变作出评价。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 安全审计跟踪

90、将考虑： 1) 要选择记录什么信息 审计记录必须包括网络中任何用户、进程、实体获得某一级别的安全等级的尝试：包括注册、注销，超级用户的访问，产生的各种票据，其它各种访问状态的改变，并特别注意公共服务器上的匿名或客人账号。 实际收集的数据随站点和访问类型的不同而不同。通常要收集的数据包括：用户名和主机名，权限的变更情况，时间戳，被访问的对象和资源。当然这也依赖于系统的空间。(注意不要收集口令信息)Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 As

91、pose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 2) 在什么条件下记录信息在什么条件下记录信息 3) 为了交换安全审计跟踪信息所采用的语法和语义定义 收收集集审审计计跟跟踪踪的的信信息息，通通过过列列举举被被记记录录的的安安全全事事件件的的类类别别(例例如如明明显显违违反反安安全全要要求求的的或或成成功功完完成成操操作作的的)，应应能能适适应应各各种种不不同同的的需需要要。已已知知安安全全审审计计的的存存在在可可对对某某些些潜潜在在的的侵侵犯犯安安全全的攻击源起到威摄作用。的攻击源起到威摄

92、作用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 审审计计是是系系统统安安全全策策略略的的一一个个重重要要组组成成部部分分，它它贯贯穿穿整整个个系系统统不不同同安安全全机机制制的的实实现现过过程程，它它为为其其它它安安全策略的改进和完善提供了必要的信息。全策略的改进和完善提供了必要的信息

93、。而而且且，它它的的深深入入研研究究为为后后来来的的一一些些安安全全策策略略的的诞诞生生和发展提供了契机。和发展提供了契机。后后来来发发展展起起来来的的入入侵侵检检测测系系统统就就是是在在审审计计机机制制的的基基础上得到启示而迅速发展起来的。础上得到启示而迅速发展起来的。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Informa

94、tion Security8.6 PMI访问控制就是控制用户访问资源的权限，如何证明用户所访问控制就是控制用户访问资源的权限，如何证明用户所具有的权具有的权限正是限正是PMI要做的事情。要做的事情。8.6.1 PMI概述概述授权管理基础设施授权管理基础设施PMI(Privilege Management Infrastructure)是国家是国家信息安全基础设施信息安全基础设施(National Information Security Infrastructure，NISI)的一个重要组成部分。目标是：的一个重要组成部分。目标是：向向用户和应用程序用户和应用程序提供提供授权管理服务授权管理服

95、务 提供提供用户身份到应用授权用户身份到应用授权的的映射映射功能功能提供与实际应用处理模式相对应的、与提供与实际应用处理模式相对应的、与具体应用系统开发和管理无具体应用系统开发和管理无关的授权和访问控制关的授权和访问控制机制机制简化简化具体应用系统的开发与维护。具体应用系统的开发与维护。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and

96、 Information Security属性证书属性证书授权管理基础设施授权管理基础设施PMI是一个由是一个由属性证书属性证书(Attribute Certificate,AC)、属性权威属性权威(Attribute Authority,AA)、属性证书库属性证书库等部件构成的综合系统，用来实现权限和等部件构成的综合系统，用来实现权限和证书的证书的产生、管理、存储、分发和撤销产生、管理、存储、分发和撤销等功能。等功能。PMI使用属性证书表示和容纳权限信息，通过使用属性证书表示和容纳权限信息，通过管理证管理证书的生命周期书的生命周期实现对实现对权限生命周期权限生命周期的管理。的管理。属性证书属

97、性证书的申请、签发、撤销、验证流程的申请、签发、撤销、验证流程对应着对应着权限权限的的申请、发放、撤销、使用和验证的过程。申请、发放、撤销、使用和验证的过程。而且，而且，使用属性证书进行权限管理使得权限的管理使用属性证书进行权限管理使得权限的管理不不必依赖必依赖某个具体的应用某个具体的应用，而且利于权限的安全分布式，而且利于权限的安全分布式应用。应用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访

98、问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityPMI与PKI的比较授权管理基础设施授权管理基础设施PMI以资源管理为核心，对以资源管理为核心，对资源的资源的访问控制权访问控制权统一交由统一交由授权机构授权机构统一处理。统一处理。同公钥基础设施同公钥基础设施PKI相比，两者主要区别在于：相比，两者主要区别在于：PKI证证明用户是谁明用户是谁，而而PMI证明这个用户有什么权限证明这个用户有什么权限，能干，能干什么，而且授权管理基础设施什么，而且授权管理基础设施PMI需要公钥基础设施需要公钥基础设施PKI为其提供身份认证。为其提供身份认证

99、。PMI与与PKI在结构上是非常相似的。信任的基础都是有在结构上是非常相似的。信任的基础都是有关权威机构，由他们决定建立关权威机构，由他们决定建立身份认证身份认证系统和系统和属性特属性特权权机构。机构。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security在在PKI中，由有关部门建立并管理根中，由有

100、关部门建立并管理根CA，下设各级，下设各级CA、RA和其它机构；在和其它机构；在PMI中，由有关部门建立权威源点中，由有关部门建立权威源点SOA(Source Of Authority)，下设分布式的，下设分布式的AA和其它和其它机构。机构。PMI实际上提出了一个新的信息保护基础设施，能够实际上提出了一个新的信息保护基础设施，能够与与PKI和目录服务紧密地集成，并系统地建立起对认可和目录服务紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行了系统的定义和描用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程。述，完整地提供了授权服务所需过程。Evaluat

101、ion only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.6.2 PMI技术的授权管理模式及其优点授权服务体系主要是为网络空间提供用户操作授权授权服务体系主要是为网络空间提供用户操作授权的管理，即在虚拟网络空间中的的管理，即在虚拟网络空间中的用户角色与最终应用户角色与最终应用系统中用户用系统中用户的的操作权限操作

102、权限之间建立一种映射关系。之间建立一种映射关系。目前建立授权服务体系的关键技术主要是授权管理目前建立授权服务体系的关键技术主要是授权管理基础设施基础设施PMI技术。技术。PMI技术通过数字证书机制来管理用户的授权信息，技术通过数字证书机制来管理用户的授权信息，并将授权管理功能从传统的应用系统中分离出来，并将授权管理功能从传统的应用系统中分离出来，以独立服务的方式面向应用系统提供授权管理服务。以独立服务的方式面向应用系统提供授权管理服务。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.C

103、opyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security由于由于数字证书数字证书机制提供了对机制提供了对授权信息的安全保护授权信息的安全保护功能，功能，因此，作为因此，作为用户授权信息存放载体用户授权信息存放载体的的属性证书属性证书同样可同样可以通过公开方式对外发布。以通过公开方式对外发布。 在在PMI中主要使用基于角色的访问控制。其中角色提中主要使用基于角色的访问控制。其中角色提供了间接分配权限的方法。供了间接分配权限的方法。在实际应用中，个人被在实际应用

104、中，个人被签发角色分配证书签发角色分配证书使之具有一使之具有一个或多个对应的角色，而每个角色具有的权限通过角个或多个对应的角色，而每个角色具有的权限通过角色定义来说明，而不是将色定义来说明，而不是将权限权限放在放在属性证书属性证书中分配给中分配给个人。个人。这种间接的权限分配方式使得角色权限更新时，不必这种间接的权限分配方式使得角色权限更新时，不必撤销每一个撤销每一个属性证书属性证书，极大地减小了管理开销。，极大地减小了管理开销。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copy

105、right 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security基于基于PMI技术的授权管理模式主要存在以下三个方面的优势：技术的授权管理模式主要存在以下三个方面的优势：1.授权管理的灵活性授权管理的灵活性基于基于PMI技术的授权管理模式可以通过属性证书的技术的授权管理模式可以通过属性证书的有效期有效期以及以及委托授权机委托授权机制制来灵活地进行授权管理，从而实现了传统的访问控制技术领域中的强制来灵活地进行授权管理，从而实现了传统的访问控制技术领域中的强制访问控制模式与自

106、主访问控制模式的有机结合，其灵活性是传统的授权管访问控制模式与自主访问控制模式的有机结合，其灵活性是传统的授权管理模式所无法比拟的。理模式所无法比拟的。 2.授权操作与业务操作相分离授权操作与业务操作相分离基于基于授权服务体系授权服务体系的授权管理模式将的授权管理模式将业务管理工作与授权管理工作完全分业务管理工作与授权管理工作完全分离离，更加明确了，更加明确了业务管理员业务管理员和和安全管理员安全管理员之间的职责分工，可以有效地避之间的职责分工，可以有效地避免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。加强免由于业务管理人员参与到授权管理活动中而可能带来的一些问题。加强了授权管理

107、的了授权管理的可信度可信度。3.多授权模型的灵活支持多授权模型的灵活支持基于基于PMI技术的授权管理模式将技术的授权管理模式将整个授权管理体系整个授权管理体系从从应用系统应用系统中分离出来，中分离出来，授权管理模块自身的维护和更新授权管理模块自身的维护和更新操作将与具体的应用系统无关。操作将与具体的应用系统无关。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统

108、审计Network and Information Security8.6.3 PMI系统的架构PMI授权服务体系授权服务体系以高度集中的方式管理用户和为用户授权，并以高度集中的方式管理用户和为用户授权，并且采用适当的用户身份信息来实现用户认证，主要是且采用适当的用户身份信息来实现用户认证，主要是PKI体系下体系下的的数字证书数字证书，也包括动态口令或者指纹认证技术。，也包括动态口令或者指纹认证技术。安全平台安全平台将授权管理功能将授权管理功能从应用系统中从应用系统中分离分离出来，以独立和集中出来，以独立和集中服务的方式面向整个网络，服务的方式面向整个网络，统一为各应用系统提供授权管理服务统一

109、为各应用系统提供授权管理服务。PMI在体系上可以分为三级，分别是在体系上可以分为三级，分别是信任源点信任源点SOA中心中心、属性权属性权威机构威机构AA中心中心和和AA代理点代理点。在实际应用中，这种分级体系可以根据需要进行灵活配置，可以在实际应用中，这种分级体系可以根据需要进行灵活配置，可以是三级、二级或一级。是三级、二级或一级。 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身

110、份认证、访问控制与系统审计Network and Information Security图8.18 授权管理系统的总体架构示意图SOAAAAAAA代理点AA代理点AA代理点AA代理点访问控制执行者Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security授权管理系统说明授权管理系统说明 1.权威源点权

111、威源点SOA权威源点权威源点(SOA中心中心)是整个是整个授权管理体系授权管理体系的的中心业务中心业务节节点，也是整个点，也是整个PMI的的最终信任源和最高管理机构最终信任源和最高管理机构。SOA中心的职责主要包括：中心的职责主要包括：授权管理策略的管理、应授权管理策略的管理、应用授权受理、用授权受理、AA中心的设立审核及管理和授权管理体中心的设立审核及管理和授权管理体系业务的规范化系业务的规范化等。等。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-20

112、11 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security授权管理系统说明授权管理系统说明 2.属性权威机构属性权威机构AA属性权威机构属性权威机构AA中心是中心是PMI的的核心服务核心服务节点，是对应于具体节点，是对应于具体应用系统的应用系统的授权管理分系统授权管理分系统，由具有设立，由具有设立AA中心业务需求的中心业务需求的各应用单位负责建设各应用单位负责建设，并与，并与SOA中心通过中心通过业务协议达成相互业务协议达成相互的信任关系的信任关系。AA中心的职责主要包括：中心的职责主要包括

113、：应用授权受理、属性证书的发放和应用授权受理、属性证书的发放和管理，以及管理，以及AA代理点的设立审核和管理代理点的设立审核和管理等。等。AA中心中心需要为其所发放的所有需要为其所发放的所有属性证书属性证书维持一个历史记录和维持一个历史记录和更新记录。更新记录。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information

114、Security授权管理系统说明授权管理系统说明 3.AA代理点代理点AA代理点是代理点是PMI的用户代理节点，也称为资源管理中心，的用户代理节点，也称为资源管理中心，是是具体应用用户的接口具体应用用户的接口。是对应。是对应AA中心的附属机构，接中心的附属机构，接受受AA中心的直接管理，由各中心的直接管理，由各AA中心负责建设，报经主管中心负责建设，报经主管的的SOA中心同意，并签发相应的证书。中心同意，并签发相应的证书。AA代理点的职责主要包括代理点的职责主要包括: 应用授权服务代理和应用授权应用授权服务代理和应用授权审核代理等，负责对具体的用户应用资源进行授权审核，审核代理等，负责对具体的

115、用户应用资源进行授权审核，并将属性证书的操作请求提交到并将属性证书的操作请求提交到AA进行处理进行处理。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security授权管理系统说明授权管理系统说明 4.4.访问控制执行者访问控制执行者访问控制执行者是指用户应用系统中具体对授权验证服务访问控制执行者是指用户

116、应用系统中具体对授权验证服务的调用模块，因此，实际上并不属于的调用模块，因此，实际上并不属于PMIPMI，但却是授权管，但却是授权管理体系的重要组成部分。理体系的重要组成部分。访问控制执行者的主要职责是：访问控制执行者的主要职责是：将最终用户针对特定的操将最终用户针对特定的操作授权所提交的授权信息作授权所提交的授权信息( (属性证书属性证书) )连同对应的身份验证连同对应的身份验证信息信息( (公钥证书公钥证书) )一起提交到授权服务代理点，并根据授权一起提交到授权服务代理点，并根据授权服务中心返回的授权结果，进行具体的应用授权处理服务中心返回的授权结果，进行具体的应用授权处理。Evaluat

117、ion only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security8.6.4 对PMI系统的要求PMI通过结合授权管理系统和身份认证系统补充了通过结合授权管理系统和身份认证系统补充了PKI的弱的弱点，提供了将点，提供了将PKI集成到应用计算环境的模型。集成到应用计算环境的模型。PMI权限管权限管理和授权服务基础平台应该满足下

118、面的要求：理和授权服务基础平台应该满足下面的要求： 平台策略的定制应该灵活，能够根据不同的情况定制出不平台策略的定制应该灵活，能够根据不同的情况定制出不同的策略。同的策略。 平台管理功能的操作应该简单。平台管理功能的操作应该简单。 平台应该具有很好的扩展能力。平台应该具有很好的扩展能力。 平台应该具有较好的效率，避免决策过程明显地影响访问平台应该具有较好的效率，避免决策过程明显地影响访问速度。速度。平台应该独立于任何应用。平台应该独立于任何应用。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.

119、0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityPKI-PMI应用案例：应用案例：深圳电信深圳电信基于PKI/PMI的IP宽带城域网安全应用 随着网络技术的发展和演变，IP宽带城域网已成为宽带网的发展方向目前IP宽带城域网在管理和安全应用方面存在许多问题，如：不能有效识别进入网络用户的合法身份;不能对用户的个人信息实现有效保护;不能有效地解决抗抵赖性问题等。 Evaluation only.Created with Aspose.Slide

120、s for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security问题的原因主要是由于目前IP宽带城域网采用的“用户名+密码”的认证方式只能实现初级的、简单的管理，安全性很不够 要解决用户身份认证、用户的授权管理和用户定位等问题，建立起可信赖的网络环境将数字证书的认证、管理等信息安全技术应用于IP宽带城域网的运营管理中，从而构建一个“可控制、可管理、可经营”的电信级IP宽带城域网，为各种信息

121、化应用提供一个安全可信的基础电信网络平台 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityIP宽带城域网安全应用平台体系架构宽带城域网安全应用平台体系架构 在逻辑上把整个IP宽带城域网安全应用平台由外到里分为三层，分别为 接入认证层接入认证层 汇接层汇接层 核心层核心层Evaluation o

122、nly.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityEvaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证

123、、访问控制与系统审计Network and Information Security 逻辑上又把IP宽带城域网安全应用平台体系架构分为两个平面，即IP宽带城域网平面和智能化安全应用管理平面 Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security安全应用及管理解决方案安全应用及管理解决方案 利用PKI

124、/PMI技术，来构建IP宽带城域网的可信网络环境，采用数字证书的方式来实现IP宽带城域网用户的认证与授权。 “一实体一证” ：由接入认证交换机端口的可控性和后台的认证管理功能，可将证书与端口(也可以包括IP地址)建立灵活的对应关系，并由此决定用户是否可以接入IP宽带城域网Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Informa

125、tion Security通过证书和端口的灵活绑定，构建一个基于证书和端口的IP宽带城域网安全管理模式 将公钥数字证书内嵌在一个实体鉴别密码器(数字证书的物质载体)中，采用USB接口 网络信任域及管理平台对网络中的实体进行管理，确保只有可信的实体，即颁发了有效数字证书的实体才能接入网络“一实体一证、统一发证、分布式逐级管理” Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、

126、访问控制与系统审计Network and Information Security用户上下线流程用户上下线流程 必须凭有效证件到运营商业务受理处申请办理数字证书 用户在需上网的PC上安装登录程序，并配置分配的IP地址，需要上网时，用户插上实体密码鉴别器，启动登录程序，输入实体密码鉴别器的序列号和密码由接入认证交换机和信任与授权服务支撑平台对用户进行基于数字证书的认证，认证通过后用户就可以享受宽带服务Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011

127、Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security 采用身份证书和属性证书，可以方便地对用户采用身份证书和属性证书，可以方便地对用户身份进行安全认证，将用户使用增值业务的情身份进行安全认证，将用户使用增值业务的情况记录在属性证书上，从而解决信息化应用的况记录在属性证书上，从而解决信息化应用的安全、计费等问题，如身份鉴别，预付费等，安全、计费等问题，如身份鉴别，预付费等，为增值服务的开展创造良好的条件。为增值服务的开展创造良好的条件。 Evaluation only.Created with

128、 Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information Security小结三种身份认证方式三种身份认证方式广义的说广义的说, 访问控制涉及网络安全的各个方面访问控制涉及网络安全的各个方面. 自主访问控制机制虽然有着很大的灵活性，但同时也存在着安自主访问控制机制虽然有着很大的灵活性，但同时也存在着安全隐患；强制访问控制机制虽然大大提高了安全性，但是在灵全隐患；强制访问控制

129、机制虽然大大提高了安全性，但是在灵活性上就会大打折扣。活性上就会大打折扣。基于角色的访问控制机制克服了传统的访问控制机制的不足，基于角色的访问控制机制克服了传统的访问控制机制的不足，是一种有效而灵活的安全策略。是一种有效而灵活的安全策略。审计系统记录系统中发生的各种事件，这些记录有助于发现入审计系统记录系统中发生的各种事件，这些记录有助于发现入侵的行为和企图。侵的行为和企图。PMI利用利用属性证书属性证书将用户与其角色将用户与其角色(本质上就是权限本质上就是权限)绑定在一绑定在一起，作为一种安全基础设施，可同时为起，作为一种安全基础设施，可同时为多个应用提供权限管理多个应用提供权限管理服务服务。Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.第8章身份认证、访问控制与系统审计身份认证、访问控制与系统审计Network and Information SecurityThanks！Evaluation only.Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0.Copyright 2004-2011 Aspose Pty Ltd.