6 access control
Download
Skip this Video
Download Presentation
第 6章访问控制 - Access Control

Loading in 2 Seconds...

play fullscreen
1 / 42

第 6章访问控制 - Access Control - PowerPoint PPT Presentation


  • 97 Views
  • Uploaded on

第 6章访问控制 - Access Control. 第1章. 设备防盗(加锁、贴标签、机柜、移动设备锁) 机房的三度要求 温度 21℃ 士 3℃ 湿度 40 %~ 60 % 洁净度 灰尘 防静电措施(静电是电子设备的天敌) 电源(依据安全等级,配置 UPS 设备) 防火、防水措施. 补讲知识点:计算机实体安全. 第 2 页. 主要内容:. 6.1 访问控制 6.2 认证 6.3 授权 6.4 小结. 第 3 页. 主要目标:. 掌握访问控制基本原理及技术. 6.1 访问控制. 访问控制:

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '第 6章访问控制 - Access Control' - effie


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
设备防盗(加锁、贴标签、机柜、移动设备锁)

机房的三度要求

温度 21℃士3℃

湿度 40%~60%

洁净度 灰尘

防静电措施(静电是电子设备的天敌)

电源(依据安全等级,配置UPS设备)

防火、防水措施

补讲知识点:计算机实体安全

第2页

slide3
主要内容:

6.1 访问控制

6.2 认证

6.3 授权

6.4 小结

第3页

slide4
主要目标:

掌握访问控制基本原理及技术

slide5
6.1访问控制
  • 访问控制:
  • 该术语表示与系统资源访问相关的问题。
  • 主要有两个主要部分:认证和授权
  • 认证:谁能去做?--两值决定,访问被允许或不允许
  • 授权:是否被允许做某件事?--限制通过认证的用户行为,即处理对不同系统资源访问权限更细化的约束和限制
slide6
访问控制-概念
  • 访问控制是实现安全策略的系统安全技术,它通过某种途径显式地管理着对所有资源的访问请求。
slide7
访问控制的基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资源的非法使用

用户身份的识别和认证—保护用户身份

对访问的控制—控制用户的操作

审计跟踪–-操作记录,事后分析

访问控制-基本任务

第7页

slide8
访问控制的目的

限制主体对访问客体的访问权限,从而使计算机系统在合法范围内使用;

决定用户能做什么,也决定代表一定用户利益的程序能做什么。

第8页

slide9
访问控制

授权数据库

访问监视器

身份认证

访问控制

审计

slide10
访问控制的作用
  • 访问控制对机密性、完整性起直接的作用。
  • 对于可用性,访问控制通过对以下信息的有效控制来实现:
    • 谁可以颁发影响网络可用性的网络管理指令
    • 谁能够滥用资源以达到占用资源的目的
    • 谁能够获得可以用于拒绝服务攻击的信息
slide11
访问控制系统的实体
  • 主体(subject)
    • 发出访问操作、存取请求的主动方,通常可以是用户或用户的某个进程等
  • 客体(object)
    • 被访问的对象,通常可以是被调用的程序、进程,要存取的数据、信息,要访问的文件、系统或各种网络设备、设施等资源
  • 安全访问策略
    • 一套规则,用以确定一个主体是否对客体拥有访问权限。
slide12
授权数据

安全管理员

访问控制

认证

引用监控器

客体

用户

审计

-

访问控制与其他安全服务关系模型

第12页

slide13
访问

客体

主体

控制

实施

功能

决策请求

访问决策

访问控制决策功能

-

访问控制原理图

访问控制规定了哪些主体可以访问,以及访问权限的大小。

第13页

slide14
6.2 认证
  • 认证:

是一个解决确定某个用户(或其他实体)是否被允许访问特定的系统或资源的问题。

通过认证的用户允许访问系统资源,但并没有被给予完全权限去访问所有的系统资源。

slide15
认证的目的(三个)

消息完整性认证,即验证信息在传送或存储过程中是否被篡改;

身份认证,即验证消息的收发者是否持有正确的身份认证符,如口令、密钥等;

消息的序号和操作时间(时间性)等的认证,其目的是防止消息重放或延迟等攻击。

第15页

slide16
身份认证技术

直接身份认证技术,即专门进行身份认证;

间接身份认证技术,在消息签名和加密认证过程中,通过检验收发方是否持有合法的密钥进行的认证;

第16页

slide21
美国应用生物系统公司向公安部捐赠
  • “5.12”地震罹难者身份识别DNA检测仪器和试剂

第21页

6 2 1
6.2.1 认证方法-口令
  • 理想的口令?

是你所知道的,计算机也可以验证它的确是你所知道的,而且是其他任何人都猜不到的。

弱口令非常容易被破译。

解决口令安全问题的一个方法是:采用随机生成的秘鈅作为口令。

口令作为认证方法受欢迎的原因是:低成本、方便。

slide23
口令选择

不安全的口令

frank

Fido

password

4444

Pikachu

102560

AustinStamp

较好的口令?

jfIej,43j-EmmL+y

09864376537263

P0kem0N

FSa7Yago

0nceuP0nAt1m8

PokeGCTall150

slide24
口令实验

将用户分为三组,分别给出口令选择建议

A组:选择包括至少六个字符,其中至少一个不是字母的口令

B组:选择短语作为口令

C组:选择包括8个随机的字符作为口令

slide25
口令实验

实验者试图破译每组用户的口令,结果如下

A组:大概30%口令很容易破解,口令容易记忆

B组:大概10%口令被破译,口令容易记忆

C组:大概10%口令被破译,口令难以记忆

slide26
口令实验

得出结论如下

无论是否有口令建议,大概总有10%的口令可能很容易被破译

如果允许用户自己选择口令,建议选择短语作为口令

定期更换口令

slide27
口令破译

口令破译仅是口令问题中的一部分:

大部分用户如今需要多个口令,但用户不可能记住一大堆口令,这就导致口令的重复使用

当攻击者找到了你的一个口令,他将会在其他每个你使用口令的地方进行尝试

社会工程学

slide28
口令破译工具

目前有很多流行的口令破译工具:

LOphtCrack(Windows下使用)

John the Ripper(UNIX下使用)

这些工具提供预配置的字典,并且非常容易产生定制的字典,这些工具对于黑客来说很有用。

slide29
基于生物统计学的认证:

自动脸部识别

语音识别

指纹等。

6.2.2 认证方法-生物统计学

slide30
举例:

拇指指纹鼠标

为安全进入禁地而设计的掌纹识别系统

打开车门所使用的指纹识别仪等。

存在的生物认证系统

slide31
从理论上:

指纹特征可能是独一无二的

指纹不会随着时间而改变

应用于计算机生物认证方法-指纹

环状 (双)

涡纹

拱形

slide34
从理论上:

基于生物统计学的认证中最好的方法是虹膜扫描

对于孪生子或一个人的两只眼睛,测量模式都是无关联的

在人的一生中虹膜的模式是不变的

计算机生物认证方法-虹膜扫描

slide35
虹膜扫描

有没有可能攻击虹膜扫描系统 ?

假设Bob有一张Alice眼睛的照片且很清晰,那么他可以宣称是Alice并试图使用该照片去欺骗系统认证他为Alice,这并不是不可能的。

为了避免这种攻击,虹膜扫描系统首先会在照相前将一束光打到眼睛上来验证瞳孔。

slide36
结论

基于生物统计学的认证的结论:

具有明显的巨大潜在优势

虽然不能完全杜绝伪造,但一般而言生物认证很难伪造

系统成本高,至今没有被广泛使用

slide37
智能卡包括小部分内存和计算资源

如:网银进行身份认证的Ukey

如:口令生成器

6.2.3 认证方法-智能卡

1. “I’m Alice”

3. PIN, R

2. R

4.h(K,R)

5. h(K,R)

Alice

Bob, K

slide38
6.3 授权
  • 授权:

是指访问控制中涉及到限制认证用户的行为的部分。

传统的方式中,授权要解决:Alice已通过认证,要对允许其做的操作进行限制。

新的访问控制形式:防火墙是网络的访问控制形式、入侵检测系统等

6 3 1
6.3.1 访问控制的实现方法
  • 访问控制矩阵(Access Control Matrix,ACM)-- 是最初实现访问控制技术的概念模型。
  • 访问能力表
  • 访问控制表
  • 授权关系表
slide40
访问控制矩阵
  • 任何访问控制策略最终均可被模型化为访问矩阵形式。用户(不一定是人)--“主体”,系统资源 --“客体”。
  • 访问控制矩阵中,每个主体对应一行,每个客体对应一列。
  • 允许主体对客体的访问存放在对应的行列交叉点处。
  • X、r和w分别表示执行、读和写权限
slide41
Subjects (users) index the rows

Objects (resources) index the columns

访问控制矩阵

会计

程序

保险

数据

会计

数据

薪水

数据

OS

Bob

Alice

Sam

会计

程序

ad