第5章 身份认证与访问控制.ppt

1. 访问控制的概念(2) 访问控制是系统保密性、完整性、可用性和合法使用性的基础，是网络安全防范和保护的主要策略。其主要任务是保证网络资源不被非法使用和非法访问，也是维护网络系统安全、保护网络资源的重要手段。 访问控制是主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。 访问控制包括三个要素，即主体、客体和控制策略。 1. 访问控制的概念(3) 访问控制策略有7种： (1) 入网访问控制策略 (2) 网络的权限控制策略 (3) 目录级安全控制策略 (4) 属性安全控制策略 (5) 网络服务器安全控制策略 (6) 网络监测和锁定控制策略 (7) 网络端口和节点的安全控制策略。 2. 访问控制的内容 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。 访问控制包括认证、控制策略实现和安全审计三个方面的内容。 5.4.2 访问控制的模式及管理 1. 访问控制的层次 一般可以将访问控制分为2个层次：物理访问控制和逻辑访问控制。 通常，物理访问控制包括标准的钥匙、门、锁和设备标签等，而逻辑访问控制则是在数据、应用、系统和网络等层面实现的。 对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。 2. 访问控制的模式 主要的访问控制模式有三种： (1)自主访问控制（DAC） (2)强制访问控制（MAC） (3)基于角色的访问控制（RBAC） 3. 访问控制规则 (1)访问者 主体对客体的访问可以基于身份，也可以基于角色。即“访问者”可以是身份标识，也可以是角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。 (2) 资源 对资源的保护应包括两个层面：物理层和逻辑层。 (3) 访问控制规则 4. 单点登录的访问管理 根据登录的应用类型不同，可以将单点登录SSO分为以下三种类型： (1) 对桌面资源的统一访问管理 (2) Web单点登录 (3) 对传统C/S结构应用的统一访问管理 5.4.3 访问控制的安全策略 1. 安全策略实施原则 (1) 最小特权原则 (2) 最小泄漏原则 (3) 多级安全策略 2. 基于身份的规则的安全策略 建立基于身份安全策略和基于规则安全策略的基础是授权行为。 (1) 基于身份的安全策略 (2) 基于规则的安全策略 3. 综合访问控制策略 访问控制技术的目标是防止对任何资源的非法访问。从应用方面的访问控制策略包括以下几个方面。 (1) 入网访问控制 (2) 网络的权限控制 (3) 目录级安全控制 (4) 属性安全控制 (5) 网络服务器安全控制 (6) 网络监测和锁定控制 (7) 网络端口和节点的安全控制 (8) 防火墙控制 5.4.4 认证服务与访问控制系统 1. AAA技术概述 AAA (Authentication、Authorization和Accounting，简称AAA)是指认证、鉴权和审计，基于AAA技术的中心认证系统正是用于远程用户的管理。 AAA并非一种具体的实现技术，而是一种安全体系结构，它所实现的功能用简单形象的比喻来说，即：它是谁? 可以做什么? 最后做了些什么? AAA系统提供的服务有认证、鉴权、审计3种 。 2. 远程鉴权拨入用户服务 远程鉴权拨入用户服务(Remote Authentication Dial In User Service，简称RADIUS)，主要用于管理通过远程线路拨入企业网络获得相应访问资源的分散用户。 当用户想要通过远程网络与网络接入服务器建立连接时，运行RADIUS协议的网络接入服务器作为客户端负责把用户的认证、鉴权和审计信息发送给事先配置好的RADIUS服务器。 RADIUS服务器同时根据用户的动作进行审计并记录其计费信息。 3. 终端访问控制器访问控制系统 终端访问控制器访问控制系统TACACS（Terminal A