资源预览内容
第1页 / 共101页
第2页 / 共101页
第3页 / 共101页
第4页 / 共101页
第5页 / 共101页
第6页 / 共101页
第7页 / 共101页
第8页 / 共101页
第9页 / 共101页
第10页 / 共101页
亲,该文档总共101页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
信息安全基础信息安全基础2什么是信息?什么是信息?1、什么是信息、什么是信息?数据数据(data):表征现实世界中实体属性的物理符号(数字、:表征现实世界中实体属性的物理符号(数字、符号、声音、图像、文字等)称为数据。符号、声音、图像、文字等)称为数据。信息信息(information):信息是经过加工:信息是经过加工(获取、推理、分析、计获取、推理、分析、计算、存储等算、存储等)的特定形式数据。的特定形式数据。知识知识(knowledge):许多相关信息集合起来,就形成了知识。:许多相关信息集合起来,就形成了知识。信息的特点:信息的特点:时效性时效性新知性新知性不确定性不确定性 总结:信息是有价值的2、信息化、信息化电脑的不断普及电脑的不断普及露天电影露天电影家庭影院家庭影院银行业务银行业务电话的改变电话的改变邮局业务邮局业务电子邮件电子邮件电子商务电子商务3、信息化出现的新问题、信息化出现的新问题互联网经营模式的问题互联网经营模式的问题网上信息可信度差网上信息可信度差垃圾电子邮件垃圾电子邮件安全安全病毒病毒攻击攻击4、信息安全:、信息安全:信息系统抵御意外事件或恶意行为的能力,这些事件和信息系统抵御意外事件或恶意行为的能力,这些事件和行为将危及所存储、处理或传输的数据,或由这些系统所提行为将危及所存储、处理或传输的数据,或由这些系统所提供的服务的供的服务的可用性、机密性、完整性、非否认性、真实性和可用性、机密性、完整性、非否认性、真实性和可控性。可控性。以上这以上这6个属性刻画了信息安全的基本特征和需求,个属性刻画了信息安全的基本特征和需求,被认为是信息安全的基本属性。被认为是信息安全的基本属性。u可用性(可用性(Availability):):即使在突发事件下,依然能够保障即使在突发事件下,依然能够保障数据和服务的正常使用。数据和服务的正常使用。u机密性机密性(Confidentiality):能够确保敏感或机密数据的传输能够确保敏感或机密数据的传输和存储不遭受未授权的浏览,甚至可以做到不暴露保密通信和存储不遭受未授权的浏览,甚至可以做到不暴露保密通信的事实。的事实。u完整性完整性(Integrity):能够保障被传输、接受或存储的数据是能够保障被传输、接受或存储的数据是完整的和未被篡改的,在被篡改的情况下能够发现篡改的事完整的和未被篡改的,在被篡改的情况下能够发现篡改的事实或篡改的位置实或篡改的位置u非否认性非否认性(Non-repudiation):能够保证信息系统的操作者或能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果,这可以防止参信息的处理者不能否认其行为或者处理结果,这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。与某次操作或通信的一方事后否认该事件曾发生过。u真实性真实性(Authenticity):亦称可认证性,能够确保实体(如人、亦称可认证性,能够确保实体(如人、进程或系统)身份或信息、信息来源的真实性。进程或系统)身份或信息、信息来源的真实性。u可控性可控性(Confidentiality):能够保证掌握和控制信息与信息能够保证掌握和控制信息与信息系统的基本情况,可对信息和信息系统的使用实施可靠的授系统的基本情况,可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源跟踪和监管等控制。权、审计、责任认定、传播源跟踪和监管等控制。网络安全网络安全从其本质上来讲就是网络上的信息安全。从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。究领域。信息安全威胁信息安全威胁信息安全威胁信息安全威胁:是指某人、物、事件、方法或概念等因素对某信息资源是指某人、物、事件、方法或概念等因素对某信息资源或系统的安全使用可能造成的危害。或系统的安全使用可能造成的危害。一般把可能威胁信息安全的行为称为一般把可能威胁信息安全的行为称为攻击。攻击。常见的信息安全威胁:常见的信息安全威胁:泄密泄密:信息被泄露给未授权的实体,如人、接触或系统;信息被泄露给未授权的实体,如人、接触或系统;篡改篡改:攻击者可能改动原有的信息内容,但信息的使用者并不能识别出攻击者可能改动原有的信息内容,但信息的使用者并不能识别出被篡改的事实;被篡改的事实;重放重放:攻击者可能截获并存储合法的通信数据,以后出于非法的目的重攻击者可能截获并存储合法的通信数据,以后出于非法的目的重新发送他们,而接受者可能仍然进行正常的受理,从而被攻击者所利用;新发送他们,而接受者可能仍然进行正常的受理,从而被攻击者所利用;假冒假冒:指一个人或系统谎称是另一个人或系统,但信息系统或其管理者指一个人或系统谎称是另一个人或系统,但信息系统或其管理者可能并不能识别,这可能使得谎称者获得了不该获得的权限。可能并不能识别,这可能使得谎称者获得了不该获得的权限。否认否认:指参与某次通信或信息处理的一方事后可能否认这次通信或相关:指参与某次通信或信息处理的一方事后可能否认这次通信或相关的信息处理曾经发生过,这可能使得这类通信或信息处理的参与者不承的信息处理曾经发生过,这可能使得这类通信或信息处理的参与者不承担应有的责任;担应有的责任;非授权使用非授权使用:指信息资源被某个未授权的人或系统使用,也包括越权:指信息资源被某个未授权的人或系统使用,也包括越权使用的情况;使用的情况;网络与系统攻击网络与系统攻击:攻击者利用网络或主机系统中的漏洞进行恶意的侵:攻击者利用网络或主机系统中的漏洞进行恶意的侵入和破坏,或者通过对某一信息服务资源进行超负荷的使用或干扰,使入和破坏,或者通过对某一信息服务资源进行超负荷的使用或干扰,使系统不能正常工作;系统不能正常工作;恶意代码恶意代码灾害、故障与人为破坏灾害、故障与人为破坏信息安全技术体系信息安全技术体系在互联网时代,信息系统跨越了公用网络和组织内部网络,信息安全的在互联网时代,信息系统跨越了公用网络和组织内部网络,信息安全的内涵在扩展。保密通信和安全认证是解决机密性、真实性、非否认性和内涵在扩展。保密通信和安全认证是解决机密性、真实性、非否认性和完整性的主要手段,但可用性和可控性的要求不能完全依靠他们来解决。完整性的主要手段,但可用性和可控性的要求不能完全依靠他们来解决。信息安全技术的主要目标可以归纳为:信息安全技术的主要目标可以归纳为:在不影响正常业务和通信的情况下,用攻击者有困难的在不影响正常业务和通信的情况下,用攻击者有困难的事去制约攻击者,使攻击者能够做到的事情不能构成信息安事去制约攻击者,使攻击者能够做到的事情不能构成信息安全威胁。全威胁。攻击者能做的事:攻击者能做的事:攻击地点攻击地点数据截获数据截获消息收发消息收发利用漏洞和疏忽利用漏洞和疏忽分析和计算分析和计算攻击者有困难的事攻击者有困难的事数字猜测数字猜测破解密码破解密码推知私钥推知私钥越权访问越权访问截获安全信道截获安全信道密码学基础密码学基础密码技术通过密码技术通过信息的变换或编码信息的变换或编码,将机密的敏感消息,将机密的敏感消息变换成变换成“黑客黑客”难以读懂的难以读懂的乱码型乱码型文字,以此达到两个目文字,以此达到两个目的:的:其一,使不知道如何解密的其一,使不知道如何解密的“黑客黑客”不可能由其截获的乱不可能由其截获的乱码中得到任何有意义的信息;码中得到任何有意义的信息;其二,使其二,使“黑客黑客”不可能伪造任何乱码型的信息。不可能伪造任何乱码型的信息。研究密码技术的学科称为密码学。研究密码技术的学科称为密码学。密码学包含两个分支,既密码学包含两个分支,既密码编码学密码编码学和和密码分析学密码分析学。密码编码学密码编码学对信息进行编码实现信息隐蔽;对信息进行编码实现信息隐蔽;密码分析学密码分析学研究分析破译密码的学问。两者相互对立,研究分析破译密码的学问。两者相互对立,而又相互促进。而又相互促进。采用密码方法可以隐蔽和保护机要消息,使未授权者采用密码方法可以隐蔽和保护机要消息,使未授权者不能提取信息。不能提取信息。被隐蔽的消息称作被隐蔽的消息称作明文明文,密码可将明文变换成另一种,密码可将明文变换成另一种隐蔽形式,称为隐蔽形式,称为密文密文。由明文到密文的变换称为由明文到密文的变换称为加密加密。由合法接收者从密文。由合法接收者从密文恢复出明文的过程称为恢复出明文的过程称为解密解密。非法接收者试图从密文分析。非法接收者试图从密文分析出明文的过程称为出明文的过程称为破译破译。对明文进行加密时采用的一组规则称为对明文进行加密时采用的一组规则称为加密算法加密算法。对。对密文解密时采用的一组规则称为密文解密时采用的一组规则称为解密算法解密算法。加密算法和解。加密算法和解密算法是在一组仅有合法用户知道的安全参数(密算法是在一组仅有合法用户知道的安全参数(密钥密钥)的)的控制下进行的,加密和解密过程中使用的密钥分别称为控制下进行的,加密和解密过程中使用的密钥分别称为加加密密钥密密钥和和解密密钥解密密钥。明文明文加密算法加密算法加密密钥加密密钥K1网络信道网络信道解密算法解密算法明文明文解密密钥解密密钥K2密文密文用户用户A用户用户B传送给传送给B的信息的信息B收到信息收到信息窃听者窃听者CC窃听到的信息窃听到的信息!#$%数据安全基于密钥数据安全基于密钥而不是算法的保密!而不是算法的保密!一个密码系统中包括密码算法、明文、密文、密一个密码系统中包括密码算法、明文、密文、密钥及其使用方法的总和,亦常被称为密码体制。钥及其使用方法的总和,亦常被称为密码体制。根据密钥使用方法的不同,可分为:根据密钥使用方法的不同,可分为:私钥密码体制(对称密码体制、单钥密码体制)私钥密码体制(对称密码体制、单钥密码体制)公钥密码体制(非对称密码体制、双钥密码体制)公钥密码体制(非对称密码体制、双钥密码体制)对称密码体制 对称密码对称密码体制就是体制就是加密密钥和解密密钥相同加密密钥和解密密钥相同的密码体的密码体制,又称私钥密码体制或单钥密码体制,它采用的解密算制,又称私钥密码体制或单钥密码体制,它采用的解密算法是加密算法的逆运算。法是加密算法的逆运算。由于加密、解密使用同一个密钥,因此,该密码体制由于加密、解密使用同一个密钥,因此,该密码体制的安全性就是密钥的安全。如果密钥泄露,则此密码系统的安全性就是密钥的安全。如果密钥泄露,则此密码系统便被攻破。此时便被攻破。此时密钥需经过安全的密钥信道由发方传给收密钥需经过安全的密钥信道由发方传给收方。方。 凯撒密码:凯撒密码:将每个字母用该字母后面的第三个字母替换。将每个字母用该字母后面的第三个字母替换。明文:明文:MING CHEN WU DIAN FA DONG FAN GONGMING CHEN WU DIAN FA DONG FAN GONG密文:密文:PLQJ FKHQ ZX GLDQ IDGRQJ IDQ JRQJPLQJ FKHQ ZX GLDQ IDGRQJ IDQ JRQJ对称密码对称密码的优、缺点:的优、缺点:优点:安全性高、加解密速度快;优点:安全性高、加解密速度快;缺点:缺点:1.随着网络规模的扩大,密钥的管理成为一个难随着网络规模的扩大,密钥的管理成为一个难点、点、2.无法解决消息确认问题、无法解决消息确认问题、3.缺乏自动检测密钥泄缺乏自动检测密钥泄露的能力。露的能力。最有影响的最有影响的对称密码对称密码是是1977年美国国家标准局颁布的年美国国家标准局颁布的DES算法;算法;2000年年10月,公布了新的数据加密标准月,公布了新的数据加密标准AES。公钥密码体制公钥密码体制公钥密码体制就是加密密钥与解密密钥不同,或者由公钥密码体制就是加密密钥与解密密钥不同,或者由其中一个很难推出另一个的密码体制,亦称为非对称密码其中一个很难推出另一个的密码体制,亦称为非对称密码体制、双钥密码体制。体制、双钥密码体制。公钥密码体制能够提供信息的保密性、完整性、不可公钥密码体制能够提供信息的保密性、完整性、不可否认性和认证性。否认性和认证性。采用公钥密码技术的每个用户都有一对密钥:一个是可采用公钥密码技术的每个用户都有一对密钥:一个是可以公开的(称为加密密钥或公钥),可以象电话号码一样以公开的(称为加密密钥或公钥),可以象电话号码一样进行注册公布;另一个则是秘密的(称为秘密密钥或解密进行注册公布;另一个则是秘密的(称为秘密密钥或解密密钥或私钥,它由用户严格保密保存)。密钥或私钥,它由用户严格保密保存)。其主要特点是将加密和解密能力分开,因而可以实现多其主要特点是将加密和解密能力分开,因而可以实现多个用户加密的信息只能由一个用户解读,或由一个用户加个用户加密的信息只能由一个用户解读,或由一个用户加密的信息而多个用户可以解读。前者可以用于公共网络中密的信息而多个用户可以解读。前者可以用于公共网络中实现通信保密,而后者可以用于实现对用户的认证。代表实现通信保密,而后者可以用于实现对用户的认证。代表密码有:密码有:RSA,ESIGN,椭圆密码等。,椭圆密码等。公钥密码基本思想公钥密码基本思想加密算法加密算法EKE解密算法解密算法DKD加密密钥加密密钥KE解密密钥解密密钥KD明文明文m明文明文m公开,其他用户可以像查公开,其他用户可以像查找电话号码一样查到找电话号码一样查到若用户A想向用户B传送一条消息M用户用户A A用户用户B BMM用户用户A A用户用户B BC CKeKd对称密钥加密方法对称密钥加密方法对称密钥加密方法缺点对称密钥加密方法缺点:任何人都能够冒充用户任何人都能够冒充用户A给给B发消息,发消息,B无法察无法察觉,无法保证信息的真实性觉,无法保证信息的真实性用户用户A A用户用户B BC CKeBKdB查找查找找到找到KeB用户用户C C此消息对用户此消息对用户A可能不利可能不利公开密钥加密方法公开密钥加密方法AA查到查到查到查到B B的公开加密钥的公开加密钥的公开加密钥的公开加密钥KEB, ,用它加密用它加密用它加密用它加密MM后得到后得到后得到后得到C,C,将将将将C C发发发发给给给给B B,B B收到收到收到收到C C以后,用自己保密的解密钥以后,用自己保密的解密钥以后,用自己保密的解密钥以后,用自己保密的解密钥KDB解密解密解密解密C,C,得到得到得到得到明文明文明文明文MM用户用户A A用户用户B BC CKEBKDB查找查找找到找到KEB哈希函数哈希函数哈希函数:哈希函数:是一种能够将任意长度的消息是一种能够将任意长度的消息M压缩到某一固定长度压缩到某一固定长度的消息摘要(哈希值)的函数。的消息摘要(哈希值)的函数。消息摘要是消息消息摘要是消息M的所有位的函数并提供错误检测能的所有位的函数并提供错误检测能力:消息中的任何一位或多位的变化都将导致该消息摘要力:消息中的任何一位或多位的变化都将导致该消息摘要的变化。的变化。又称为:杂凑函数、散列函数、数字指纹(又称为:杂凑函数、散列函数、数字指纹(Digitalfingerprint)、压缩(压缩(Compression)函数、紧缩(函数、紧缩(Contraction)函数等。)函数等。h=H(M),):输入为任意长度的消息输入为任意长度的消息M;输出为一个固定长输出为一个固定长度的哈希值度的哈希值h,亦称为消息摘要。,亦称为消息摘要。H公开,哈希值在信源处被附加在消息上。公开,哈希值在信源处被附加在消息上。接收方通过重新计算哈希值来确认消息未被篡改接收方通过重新计算哈希值来确认消息未被篡改如果要提供保密性,需要对哈希值提供另外的加密保护。如果要提供保密性,需要对哈希值提供另外的加密保护。几种常用的几种常用的HASH算法:算法:MD5、SHA-0、SHA-1、RIPEMD-160等等.哈希函数可以提供保密性、认证、数字签名的作用;哈希函数可以提供保密性、认证、数字签名的作用;如果不要求提供保密性,可以采用不对整条消息加密而只如果不要求提供保密性,可以采用不对整条消息加密而只对消息摘要加密的方法。对消息摘要加密的方法。哈希值的不同使用方式:哈希值的不同使用方式:使用对称密码体制对附加了哈希值的消息进行加密(提供使用对称密码体制对附加了哈希值的消息进行加密(提供认证及保密性)认证及保密性)使用对称密码仅对附加了哈希值进行加密(提供认证)使用对称密码仅对附加了哈希值进行加密(提供认证)使用公钥密码体制,只对哈希值进行加密(提供认证及数使用公钥密码体制,只对哈希值进行加密(提供认证及数字签名)字签名)发送者将消息发送者将消息M与通信各方共享的一个秘密值与通信各方共享的一个秘密值S串联后计串联后计算出哈希值,将此值附在消息后发出去,则攻击者无法产算出哈希值,将此值附在消息后发出去,则攻击者无法产生假消息(提供认证)生假消息(提供认证)消息认证码消息认证码消息认证码使用一个密钥生成一个固定大小的小数据块,附加在使用一个密钥生成一个固定大小的小数据块,附加在消息后,称消息后,称MAC(MessageAuthenticationCode)收到消息后,只需要根据密钥和消息来计算收到消息后,只需要根据密钥和消息来计算MAC是否是否等于传过来的等于传过来的MAC。接收者可以确信消息接收者可以确信消息M未被改变。未被改变。接收者可以确信消息来自所声称的发送者;接收者可以确信消息来自所声称的发送者;MAC函数类似于加密函数,但不需要可逆性。因此在数学函数类似于加密函数,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。上比加密算法被攻击的弱点要少。MAC只提供认证,不提供保密和数字签名只提供认证,不提供保密和数字签名为何要使用消息认证码为何要使用消息认证码?根本上根本上,信息加密提供的是保密性而非真实性信息加密提供的是保密性而非真实性加密代价大加密代价大(公钥算法代价更大公钥算法代价更大)认证函数与保密函数的分离能提供功能上的灵活性认证函数与保密函数的分离能提供功能上的灵活性某些信息只需要真实性某些信息只需要真实性,不需要保密性不需要保密性广播的信息难以使用加密广播的信息难以使用加密(信息量大信息量大)网络管理信息等只需要真实性网络管理信息等只需要真实性政府政府/权威部门的公告权威部门的公告MAC算法有密钥参与,其计算结果类似于一个加密的杂凑算法有密钥参与,其计算结果类似于一个加密的杂凑值,攻击者难以在篡改内容后伪造它。因此,值,攻击者难以在篡改内容后伪造它。因此,MAC值可以值可以单独使用,而杂凑值一般在数字签名中使用。单独使用,而杂凑值一般在数字签名中使用。数字签名消息认证用以保护双方之间的数据交换不被第三方侵消息认证用以保护双方之间的数据交换不被第三方侵犯;但它并不保证双方自身的相互欺骗。犯;但它并不保证双方自身的相互欺骗。用户用户A A用户用户B BMACMAC用户用户C C篡改、冒充篡改、冒充假定假定A发送一个认证的信息给发送一个认证的信息给B,双方之间的争议可能,双方之间的争议可能有多种形式:有多种形式:A可以否认发过该消息,可以否认发过该消息,B无法证明无法证明A确实发了该消息。确实发了该消息。B伪造一个不同的消息,但声称是从伪造一个不同的消息,但声称是从A收到的。收到的。用户用户A A用户用户B BMACMAC伪造伪造否认否认例如:对合同书的抵赖;股票交易指令亏损后抵赖例如:对合同书的抵赖;股票交易指令亏损后抵赖所以用到所以用到“数字签名数字签名”这种方式这种方式保证信息的抗否认性保证信息的抗否认性用户用户B BSIGA用户用户A A无法伪造无法伪造SIGA无法抵赖无法抵赖SIGA传统签名的基本特点传统签名的基本特点:能与被签的文件在物理上不可分割能与被签的文件在物理上不可分割签名者不能否认自己的签名签名者不能否认自己的签名签名不能被伪造签名不能被伪造容易被验证容易被验证数字签名是传统签名的数字化数字签名是传统签名的数字化,基本要求基本要求:能与所签文件能与所签文件“绑定绑定”签名者不能否认自己的签名签名者不能否认自己的签名签名不能被伪造,容易被自动验证签名不能被伪造,容易被自动验证存在仲裁机构存在仲裁机构签名者签名者时间时间签名有效签名有效源文件被修改后,签源文件被修改后,签名无效名无效数字签名应具有的性质必须能够验证作者及其签名的日期时间;必须能够验证作者及其签名的日期时间;必须能够认证签名时刻的内容;必须能够认证签名时刻的内容;签名必须能够由第三方验证,以解决争议;签名必须能够由第三方验证,以解决争议;因此,数字签名功能包含了认证的功能因此,数字签名功能包含了认证的功能用户用户A A用户用户B BC CKeBKdB查找查找找到找到KeBKdAKeA查找查找找到找到KeAA A用自己保密的解密钥用自己保密的解密钥K KdAdA解密解密M,M,得到中间密文得到中间密文S S查到查到B B的公开加密钥的公开加密钥K KeBeBA A用用K KeBeB加密加密S S得到得到C CA A发发C C给给B BS=D(M,KS=D(M,KdAdA) )C=E(S, KC=E(S, KeBeB) )用户用户A AB B用自己保密的解密钥用自己保密的解密钥K KdBdB解密解密C,C,得到中间密文得到中间密文S SB B接收接收C C用用K KeAeA加密加密S S得到得到M M查到查到A A的公开加密钥的公开加密钥K KeAeA用户用户B BD(C,KD(C,KdBdB)=S)=SE(S,KE(S,KeAeA)=M)=M保证了数据的秘密性和真实性保证了数据的秘密性和真实性实际使用过程将要签名的消息作为散列函数的输入,产生定长的散列码将要签名的消息作为散列函数的输入,产生定长的散列码对散列码进行签名,并将签名附在消息后面对散列码进行签名,并将签名附在消息后面验证者解密(验证)签名验证者解密(验证)签名计算出消息的散列码,和解密后的数据相比较(认证)计算出消息的散列码,和解密后的数据相比较(认证)密钥管理密钥管理所有的密码技术都依赖于密钥所有的密码技术都依赖于密钥, ,因此,在密码应用中必须因此,在密码应用中必须对密钥从生成到注销的整个过程进行管理。对密钥从生成到注销的整个过程进行管理。密钥管理是保证密码体制安全的关键点。密钥管理是保证密码体制安全的关键点。密钥管理方法因所使用的密码体制(对称密码体制和公钥密钥管理方法因所使用的密码体制(对称密码体制和公钥密码体制)而异。密码体制)而异。密钥具有生命周期。密钥具有生命周期。 密钥管理的目的密钥管理的目的: : 维持系统中各实体之间的密钥关系,以抗击各种可能维持系统中各实体之间的密钥关系,以抗击各种可能的威胁:的威胁:密钥的泄露密钥的泄露秘密密钥或公开密钥的身份的真实性丧失秘密密钥或公开密钥的身份的真实性丧失未经授权使用未经授权使用 密钥管理涉及密钥的生成、使用、存储、备份、恢复以及密钥管理涉及密钥的生成、使用、存储、备份、恢复以及销毁等,涵盖了密钥的整个生存周期。销毁等,涵盖了密钥的整个生存周期。 1密钥的生成和登记密钥的生成和登记 密钥的生成一般与生成的算法有关,大部分密钥生成算法密钥的生成一般与生成的算法有关,大部分密钥生成算法采用随机或伪随机过程来产生随机密钥。采用随机或伪随机过程来产生随机密钥。各类密码体制中均存在安全性较差的密钥,在实际的密钥各类密码体制中均存在安全性较差的密钥,在实际的密钥生成中需要避免生成它们。生成中需要避免生成它们。密钥登记是将产生的密钥和特定的应用或使用者捆绑在一密钥登记是将产生的密钥和特定的应用或使用者捆绑在一起,一般由权威机构或人员来完成。起,一般由权威机构或人员来完成。2密钥的分配和协商密钥的分配和协商 任何密码系统的实施都需要提前分配密钥,即任何密码系统的实施都需要提前分配密钥,即将密钥安全地发放给合法用户使用。将密钥安全地发放给合法用户使用。 密钥分配方法:密钥分配方法:l人工分配;人工分配;l用其他密钥加密分配密钥,一般称为分级密钥保护。用其他密钥加密分配密钥,一般称为分级密钥保护。在任何密码体制下,密钥都有在任何密码体制下,密钥都有一个安全生存期,一般一个安全生存期,一般认为,仅加密少量数据的密钥的安全生存期更长,而加密认为,仅加密少量数据的密钥的安全生存期更长,而加密大量数据的对称密钥需要经常更换,后者一般称为会话密大量数据的对称密钥需要经常更换,后者一般称为会话密钥。钥。因此,当前用于认证的签名密钥更新周期较长,一般因此,当前用于认证的签名密钥更新周期较长,一般通过密钥分配的方式发放给用户,而加密大量数据的对称通过密钥分配的方式发放给用户,而加密大量数据的对称密钥每次通过收发双方在认证后协商。密钥每次通过收发双方在认证后协商。3密钥的保护:密钥的保护:密钥在分配、使用和存储中需要保护。密钥在分配、使用和存储中需要保护。最直接的保护方法是在物理上安全或环境可靠的地方最直接的保护方法是在物理上安全或环境可靠的地方保存和使用,或将密钥保存在单位的保密室中或移动介质保存和使用,或将密钥保存在单位的保密室中或移动介质中,或委托可信方管理密钥。中,或委托可信方管理密钥。 密钥的保护还可以采用秘密共享方案,亦称为门限方密钥的保护还可以采用秘密共享方案,亦称为门限方案,其基本原理是:将密钥案,其基本原理是:将密钥k分成分成n各部分各部分k1 k2 k3 kn ,满足:满足:l已知任意已知任意t个个ki 容易计算出容易计算出 k ;l已知任意(已知任意( t-1)个个ki 不容易计算出不容易计算出 k。 然后将然后将 k1 k2 k3 kn 分别分配给分别分配给n各用户保管,使各用户保管,使得攻击者至少需要获得得攻击者至少需要获得 t个个ki 才能获得密钥。才能获得密钥。4密钥的撤销和销毁密钥的撤销和销毁 密钥的撤销是指停止已分配密钥的使用。如已到安全密钥的撤销是指停止已分配密钥的使用。如已到安全使用期的密钥使用期的密钥、被怀疑泄露的密钥,其使用者已退出、被怀疑泄露的密钥,其使用者已退出系统的密钥都需要撤销。系统的密钥都需要撤销。 密钥的销毁是指:密钥使用完后,立即在存储中或内密钥的销毁是指:密钥使用完后,立即在存储中或内存中消除密钥留下的痕迹,这在计算机设备存在系统漏洞存中消除密钥留下的痕迹,这在计算机设备存在系统漏洞时能够保护密钥信息不被窃取。时能够保护密钥信息不被窃取。标识与认证技术标识与认证技术标识标识是信息安全系统中实体(人、进程、系统或设备)是信息安全系统中实体(人、进程、系统或设备)的数字化表示。的数字化表示。实体往往存在静态和动态两种形式,如可执行文件和实体往往存在静态和动态两种形式,如可执行文件和运行程序;文件和打开的文件;用户和登陆用户等。实体运行程序;文件和打开的文件;用户和登陆用户等。实体还可以对应相关的算法、安全属性或管理策略等概念,为还可以对应相关的算法、安全属性或管理策略等概念,为了建立信息安全系统,不同性质、类别和形式的实体需要了建立信息安全系统,不同性质、类别和形式的实体需要不同的标识。不同的标识。对信息安全相关实体对信息安全相关实体建立标识体系建立标识体系是构建信息安全系是构建信息安全系统的基础工作之一。统的基础工作之一。1)系统资源标识)系统资源标识信息系统资源包括文件、数据库和程序等,它们在各信息系统资源包括文件、数据库和程序等,它们在各种状态下有相应的标识。种状态下有相应的标识。操作系统中,文件通常以文件名和存储路径为标识,操作系统中,文件通常以文件名和存储路径为标识,当文件被打开后,操作系统生成文件描述符或句柄作为打当文件被打开后,操作系统生成文件描述符或句柄作为打开实例的标识。开实例的标识。2)用户、组和角色标识)用户、组和角色标识操作系统或信息系统的用户一般以用户名或账户名为标操作系统或信息系统的用户一般以用户名或账户名为标识,在用户登录后,系统一般分配相应的内部标识。这些内识,在用户登录后,系统一般分配相应的内部标识。这些内部标识记录或对应了登录用户的访问权限信息。部标识记录或对应了登录用户的访问权限信息。角色代表一组用户,具有相同角色的用户和进程具有相角色代表一组用户,具有相同角色的用户和进程具有相应的组属性,系统管理员能够同时对这一组用户进行管理。应的组属性,系统管理员能够同时对这一组用户进行管理。3)主机和网络标识)主机和网络标识主机标识用于在网络中定位特定的主机,在主机标识用于在网络中定位特定的主机,在Internet中,中,可以采用可以采用IP地址或域名地址做标识,需要注意的是:域名地地址或域名地址做标识,需要注意的是:域名地址需要域名服务器将其解析为址需要域名服务器将其解析为IP地址。地址。4)网络资源标识)网络资源标识网络资源标识一般需要指明网络通信协议、主机地址和网络资源标识一般需要指明网络通信协议、主机地址和资源名称,在资源名称,在Internet中,这类标识被称为中,这类标识被称为URL(统一资源(统一资源定位符)。定位符)。5)连接及其状态标识)连接及其状态标识主机需要提供网络服务时,需要公开其连接端主机需要提供网络服务时,需要公开其连接端口,这样使用该服务的用户可以向特定的主机和端口,这样使用该服务的用户可以向特定的主机和端口发起连接,因此,端口也常用于标识网络服务,口发起连接,因此,端口也常用于标识网络服务,如如Internet中,中,Web服务的端口是服务的端口是80,Ftp服务的端服务的端口是口是21。主机内部还记录通信连接的状态,如与安全相主机内部还记录通信连接的状态,如与安全相关的信息。关的信息。认证包括认证包括身份认证身份认证和和数据起源数据起源的认证的认证身份认证身份认证技术是在计算机网络系统中确认操作者身份方法,技术是在计算机网络系统中确认操作者身份方法,一般用特定信息对用户身份的真实性进行确认。一般用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的,如口令、密用于鉴别的信息一般是非公开的、难以仿造的,如口令、密码、智能卡、指纹、声音、视网膜、签字、笔迹等。码、智能卡、指纹、声音、视网膜、签字、笔迹等。身份认证可分为用户与主机间的认证和主机与主机之间身份认证可分为用户与主机间的认证和主机与主机之间的认证,这里主要指用户与主机间的认证,即主机对操作者的认证,这里主要指用户与主机间的认证,即主机对操作者身份的识别,在有些应用环境下,如电子商务环境中,还需身份的识别,在有些应用环境下,如电子商务环境中,还需要提供用户对主机身份的识别,以防止网络钓鱼类攻击的发要提供用户对主机身份的识别,以防止网络钓鱼类攻击的发生。生。身份认证技术身份认证技术身份认证身份认证的实现的实现包括用户管理和用户鉴别两部分包括用户管理和用户鉴别两部分:用户管理用户管理访问用户首先需要在系统中进行标识(注册)成为系访问用户首先需要在系统中进行标识(注册)成为系统的合法用户,并获得系统内的唯一性标识,如唯一的统的合法用户,并获得系统内的唯一性标识,如唯一的ID、用户名等。用户名等。系统应提供对用户的标识进行管理的功能:能对系统内系统应提供对用户的标识进行管理的功能:能对系统内的无效用户标识(如因工作调动而离开的用户)及时清除。的无效用户标识(如因工作调动而离开的用户)及时清除。同时需要确保合法用户信息不被非授权地访问、修改或删同时需要确保合法用户信息不被非授权地访问、修改或删除。所有与用户标识信息相关的访问需进行安全审计。除。所有与用户标识信息相关的访问需进行安全审计。用户鉴别用户鉴别用户访问系统时,由系统对用户身份进行鉴别,判用户访问系统时,由系统对用户身份进行鉴别,判断其是否是系统的合法用户。用户鉴别时,系统首先通过断其是否是系统的合法用户。用户鉴别时,系统首先通过用户标识,鉴别其是否是合法用户,若是合法用户,系统用户标识,鉴别其是否是合法用户,若是合法用户,系统还将通过鉴别用户提交口令、证件或用户的生物特征来识还将通过鉴别用户提交口令、证件或用户的生物特征来识别用户是否是其所声称的合法用户。别用户是否是其所声称的合法用户。身份认证系统还应提供鉴别失败处理:为不成功的身份认证系统还应提供鉴别失败处理:为不成功的鉴别尝试(包括尝试次数和时间的阈值)定义一个值,并鉴别尝试(包括尝试次数和时间的阈值)定义一个值,并明确规定达到该值时所应采取的动作。明确规定达到该值时所应采取的动作。常见的身份认证技术常见的身份认证技术用户名用户名/密码方式密码方式用户名用户名/密码(即口令)是最简单也是最常用的身份认密码(即口令)是最简单也是最常用的身份认证方法,所面临的安全威胁也最多,如证方法,所面临的安全威胁也最多,如:口令泄露口令泄露口令攻击口令攻击线路窃听线路窃听对验证方的攻击对验证方的攻击ID=zxjPwd=dkdfID=zxjPwd=dkdf成功成功返回应用数据基于地址的认证基于地址的认证在网络通信中,通信数据中包括发送者的源地址,这在网络通信中,通信数据中包括发送者的源地址,这为认证提供了一种机制或补充。例如,在为认证提供了一种机制或补充。例如,在Internet网络中,网络中,通信数据包的包头中包含发送者的通信数据包的包头中包含发送者的IP地址;在局域网中,地址;在局域网中,包头中也包含发送者的网卡地址。一般来说,欺诈者伪造包头中也包含发送者的网卡地址。一般来说,欺诈者伪造这些数据是不便的。从应用的角度来看,很多情况下,一这些数据是不便的。从应用的角度来看,很多情况下,一些系统用户所处的网络地址范围代表了他们的身份,可以些系统用户所处的网络地址范围代表了他们的身份,可以授予相关的访问权限。授予相关的访问权限。生物特征认证生物特征认证主要的生物认证有指纹识别、声音识别、人眼虹膜识别主要的生物认证有指纹识别、声音识别、人眼虹膜识别等。等。理论上说,生物特征认证是最可靠的身份认证方式,因理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。但是,认证需要为系统用户部署生物特征采不可能被仿冒。但是,认证需要为系统用户部署生物特征采集和识别设备,这在某些情况下是不方便的。集和识别设备,这在某些情况下是不方便的。数字证书认证数字证书认证数字证书就是个人或单位在网络通讯中的身份证,由数字证书就是个人或单位在网络通讯中的身份证,由权威公正的第三方机构即权威公正的第三方机构即CA中心签发。中心签发。以数字证书为核心的加密技术可以对网络上传输的信以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。名信息的不可否认性,从而保障网络应用的安全性。数字证书主要用于发送安全电子邮件、访问安全站点、数字证书主要用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活费、网上税务等网上安全电子事务处理和安全电子交易活动。动。双因子认证双因子认证双因子认证是指结合密码以及实物(信用卡、双因子认证是指结合密码以及实物(信用卡、SMS手手机、令牌或指纹等生物标志)两种条件对用户进行认证的机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。方法。多种认证技术手段的融合认证方法也称为多因子认证。多种认证技术手段的融合认证方法也称为多因子认证。USBKey认证认证USBKey是一种是一种USB接口的硬件设备。它内置单片机接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用以及数字证书,利用USBKey内置的公钥算法实现对用户内置的公钥算法实现对用户身份的认证。用户使用时,需要将身份的认证。用户使用时,需要将USBKey连入电脑,并连入电脑,并输入密码。输入密码。PKI(PublicKeyInfrastructure,公钥基础设施,公钥基础设施)PKI采用数字证书进行公钥管理,通过第三方的可信任采用数字证书进行公钥管理,通过第三方的可信任机构(认证中心,即机构(认证中心,即CA),把用户的公钥和用户的其他标识),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在以在Internet网上验证用户的身份。网上验证用户的身份。PKI把公钥密码和对称密把公钥密码和对称密码结合起来,在码结合起来,在Internet网上实现密钥的自动管理,保证网网上实现密钥的自动管理,保证网上数据的安全传输。上数据的安全传输。PKI的主要目的是通过自动管理密钥和证书,为用户建的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。密性、完整性、有效性。证书机构证书机构CA是是PKI的信任基础,它管理公钥的整个生命周期,的信任基础,它管理公钥的整个生命周期,其作用包括:发放证书、规定证书的有效期和通过发布证书其作用包括:发放证书、规定证书的有效期和通过发布证书废除列表(废除列表(CRL)确保必要时可以废除证书。)确保必要时可以废除证书。注册机构注册机构RA主要完成收集用户信息和确认用户身份的功能。主要完成收集用户信息和确认用户身份的功能。用户是指向认证中心(即用户是指向认证中心(即CA)申请数字证书的客户,可以是)申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等。个人,也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即注册管理一般由一个独立的注册机构(即RA)来承担。)来承担。它接受用户的注册申请,审查用户的申请资格,并决定是否它接受用户的注册申请,审查用户的申请资格,并决定是否同意同意CA给其签发数字证书。给其签发数字证书。注册机构并不给用户签发证书,注册机构并不给用户签发证书,而只是对用户进行资格审查而只是对用户进行资格审查。因此,。因此,RA可以设置在直接面对可以设置在直接面对客户的业务部门,如银行的营业部、机构认识部门等。客户的业务部门,如银行的营业部、机构认识部门等。证书发布系统证书发布系统负责证书的发放,如可以通过用户自己,或是负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现存的,也可通过目录服务。目录服务器可以是一个组织中现存的,也可以是以是PKI方案中提供的。方案中提供的。PKI安全策略安全策略建立和定义了一个组织信息安全方面的指导方建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。它包括针,同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息,根据风险的级别定一个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控制的级别。如:可以确认某一义安全控制的级别。如:可以确认某一CA是在是在Internet上的上的公有公有CA,还是某一企业内部的私有,还是某一企业内部的私有CA统一身份认证技术统一身份认证技术统一身份认证统一身份认证,就是用户基于最初访问的一次身,就是用户基于最初访问的一次身份认证,就能对其被授权的资源进行无缝访问。统份认证,就能对其被授权的资源进行无缝访问。统一身份认证的有助于实现各业务系统用户身份的统一身份认证的有助于实现各业务系统用户身份的统一认证和单点登录,改变原有各系统中的分散式身一认证和单点登录,改变原有各系统中的分散式身份认证,实现对用户的集中认证和授权管理,简化份认证,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有一次身份认证过程就可以访问具有相应权限的所有资源。资源。统一身份认证应包括以下功能:统一身份认证应包括以下功能:集中的用户信息管理集中的用户信息管理:实现用户资料、认证信息的集中:实现用户资料、认证信息的集中统一管理,在一个用户核心数据库中(统一管理,在一个用户核心数据库中(LDAP数据库数据库/关关系数据库)完成所有用户的资料操作,从而保证数据的系数据库)完成所有用户的资料操作,从而保证数据的一致性和完整性。一致性和完整性。账号关联账号关联:如果用户之前已经在相关的应用系统中拥有:如果用户之前已经在相关的应用系统中拥有账号,同时也已经设置了相应的权限,那么用户能够将账号,同时也已经设置了相应的权限,那么用户能够将这些应用系统的账号与统一身份认证服务的账号进行关这些应用系统的账号与统一身份认证服务的账号进行关联,使得用户登录统一身份认证服务之后,就能够自动联,使得用户登录统一身份认证服务之后,就能够自动使用相关的应用系统用户来访问应用系统。使用相关的应用系统用户来访问应用系统。统一的身份认证服务,将各应用系统的身份认证集中到统一的身份认证服务,将各应用系统的身份认证集中到一个认证服务系统完成,该系统能根据用户的角色、身一个认证服务系统完成,该系统能根据用户的角色、身份、访问范围等对访问用户进行身份认证、服务授权或份、访问范围等对访问用户进行身份认证、服务授权或取消授权,并能支持多种不同的认证方式,保证安全性。取消授权,并能支持多种不同的认证方式,保证安全性。此外,用户授权管理、日志管理等服务,可此外,用户授权管理、日志管理等服务,可根据不同系统的要求进行选择。根据不同系统的要求进行选择。访问控制技术访问控制技术现实生活中,企业的正常运行很大程度上依赖于建立一现实生活中,企业的正常运行很大程度上依赖于建立一套行之有效的套行之有效的“权限权限”划分和管理体制,无论是政务机关按划分和管理体制,无论是政务机关按照行政级别划分照行政级别划分“纵向纵向”职能定位,还是业务部门按照业务职能定位,还是业务部门按照业务性质划分的部门结构,以及性质划分的部门结构,以及“首长负责制首长负责制”所定义的权限,所定义的权限,“权限管理权限管理”都是企业正常运行的基本安全保证。计算机系都是企业正常运行的基本安全保证。计算机系统必须保证统必须保证“权限权限”分配和管理得到了良好的实现。事实上,分配和管理得到了良好的实现。事实上,绕过绕过“权限权限”控制和管理是许多攻击者攻击成功的关键一步。控制和管理是许多攻击者攻击成功的关键一步。访问控制技术是权限管理的基础,它通过不同的手段和访问控制技术是权限管理的基础,它通过不同的手段和策略来实现对网络资源的访问控制,其目的是保护网络资源策略来实现对网络资源的访问控制,其目的是保护网络资源不被非法使用和访问。访问控制规定了主体(访问请求者)不被非法使用和访问。访问控制规定了主体(访问请求者)对客体(被访问资源)进行访问的限制,并在身份识别的基对客体(被访问资源)进行访问的限制,并在身份识别的基础上,根据身份对提出资源访问请求加以控制。访问控制技础上,根据身份对提出资源访问请求加以控制。访问控制技术已广泛应用于操作系统、数据库管理系统、网络安全设备术已广泛应用于操作系统、数据库管理系统、网络安全设备以及各类业务应用系统,成为政府、企业构造网络安全防范以及各类业务应用系统,成为政府、企业构造网络安全防范体系所采用的主要技术之一。体系所采用的主要技术之一。计算机安全系统中各安全级别对访问控制的要求计算机安全系统中各安全级别对访问控制的要求安全安全级别级别实实施的施的访问访问控制机制控制机制D级级几乎没有安全措施几乎没有安全措施C1级级至少具有自主型的至少具有自主型的访问访问控制,允控制,允许许用用户户保保护护私有私有项项目或所有信目或所有信息,防止数据被其它用息,防止数据被其它用户户非法非法读读取或破坏取或破坏C2级级实实施施较较C1级级更更细细致的自主型的致的自主型的访问访问控制,通控制,通过过注册、安全注册、安全时间时间隔离、隔离、资资源隔离等方式使用源隔离等方式使用户户的行的行为为具有个体可具有个体可查查性性B1级级不但具有自主型的不但具有自主型的访问访问控制,而且增加了控制,而且增加了强强制型的制型的访问访问控制,控制,由由组织统组织统一干一干预预每个用每个用户户的的访问权访问权限限B2级级将将强强制制访问访问控制控制扩扩展到展到计计算机的全部主体和全部客体算机的全部主体和全部客体B3级级根据最小根据最小权权限原限原则则,取消特,取消特权权无限大的特无限大的特权权用用户户,将系,将系统统管理管理员员、系、系统统操作操作员员、安全管理、安全管理员员的的职职能分离,各自能分离,各自拥拥有完整有完整职职能能的最小的最小权权限限A1级级安全功能与安全功能与B3级级相同,但需相同,但需对对系系统统的安全性的安全性设计进设计进行形式化的行形式化的验证验证目前访问控制技术主要应用在三个方面:操作系统的访目前访问控制技术主要应用在三个方面:操作系统的访问控制、边界访问控制、应用系统的访问控制。问控制、边界访问控制、应用系统的访问控制。操作系统的访问控制操作系统的访问控制首先是开展对安全操作系统的研究。现在的操作系统的首先是开展对安全操作系统的研究。现在的操作系统的大多数是大多数是C1、C2级,安全操作系统可以达到级,安全操作系统可以达到B1级。目前各级。目前各国都在开展安全操作系统的研究,安全操作系统主要是提高国都在开展安全操作系统的研究,安全操作系统主要是提高了操作系统的强制访问控制能力、安全审计能力、密码存取了操作系统的强制访问控制能力、安全审计能力、密码存取能力,对进程、文件、目录的保护都得到加强。能力,对进程、文件、目录的保护都得到加强。边界访问控制系统边界访问控制系统用来解决内外网之间、内部子网之间的访问控制,可实用来解决内外网之间、内部子网之间的访问控制,可实现信息系统的安全域划分,实现不同安全域的隔离及访问现信息系统的安全域划分,实现不同安全域的隔离及访问控制,能够配置成分布式控制和集中管理。控制,能够配置成分布式控制和集中管理。边界访问控制边界访问控制主要通过防火墙系统、支持主要通过防火墙系统、支持VLAN的网络设备来实现。防火的网络设备来实现。防火墙是最常用的边界访问控制设备,它可以用来集中控制内墙是最常用的边界访问控制设备,它可以用来集中控制内外网之间的数据流动,限制内外网之间的相互访问。外网之间的数据流动,限制内外网之间的相互访问。应用系统的访问控制应用系统的访问控制一般在应用系统开发中单独实现;有时也可以通过调用一般在应用系统开发中单独实现;有时也可以通过调用底层的操作系统访问控制功能或者数据库管理系统访问控制底层的操作系统访问控制功能或者数据库管理系统访问控制功能。随着各行业信息化程度的提高,基于应用的访问控制功能。随着各行业信息化程度的提高,基于应用的访问控制成为各行业亟待解决的难题。成为各行业亟待解决的难题。目前目前4A(即统一安全管理平台解决方案)技术成为解决(即统一安全管理平台解决方案)技术成为解决应用系统访问控制的首选方案。应用系统访问控制的首选方案。访问控制一般包括主体、客体和控制策略三个要素。访问控制一般包括主体、客体和控制策略三个要素。主体主体指发出访问请求的用户或用户的某个进程,即访问者。指发出访问请求的用户或用户的某个进程,即访问者。客体客体指被访问的资源,如数据、计算处理能力、网络通信能指被访问的资源,如数据、计算处理能力、网络通信能力,各种受控的网络服务、网络设备等。力,各种受控的网络服务、网络设备等。控制策略控制策略是主体对客体的操作行为集和约束条件集,它体现了一是主体对客体的操作行为集和约束条件集,它体现了一种授权行为,即主体对客体的操作不允许超越操作行为集和种授权行为,即主体对客体的操作不允许超越操作行为集和约束条件集。典型的在一个信息系统里,控制策略应该定义约束条件集。典型的在一个信息系统里,控制策略应该定义并包含所有用户对所有客体的操作行为和约束条件。并包含所有用户对所有客体的操作行为和约束条件。访问控制三要素间的关系访问控制三要素间的关系系统首先要标识主体和客体,即标识合法用户和所有需系统首先要标识主体和客体,即标识合法用户和所有需要管理的资源,并根据控制策略对合法用户进行授权;要管理的资源,并根据控制策略对合法用户进行授权;合法用户在进行资源访问时,首先进行身份认证,认证合法用户在进行资源访问时,首先进行身份认证,认证通过后,用户才能访问资源,但并不保证其有权对客体进行通过后,用户才能访问资源,但并不保证其有权对客体进行操作;操作;用户对目标资源提出的访问请求首先到达监视器,由监用户对目标资源提出的访问请求首先到达监视器,由监视器根据控制规则集判断是允许还是拒绝访问请求;视器根据控制规则集判断是允许还是拒绝访问请求;用户身份认证及访问资源的全过程,应对用户的行为进用户身份认证及访问资源的全过程,应对用户的行为进行审计,以便进行对非法用户或是越权操作者进行管理。行审计,以便进行对非法用户或是越权操作者进行管理。所以,访问控制应包括认证、控制策略的实现和审计所以,访问控制应包括认证、控制策略的实现和审计3个个方面的内容。方面的内容。实现访问控制的关键是采用何种访问控制策略,即如何实现访问控制的关键是采用何种访问控制策略,即如何向主体授权。目前主要有三种不同类型的访问控制策略:向主体授权。目前主要有三种不同类型的访问控制策略:强制访问控制强制访问控制MAC自主访问控制自主访问控制DAC基于角色的访问控制技术(基于角色的访问控制技术(RBAC)访问控制是用来实施对资源访问加以限制的策略,这种策访问控制是用来实施对资源访问加以限制的策略,这种策略把对资源的访问只限于那些被授权用户。应该建立起申略把对资源的访问只限于那些被授权用户。应该建立起申请,建立,发出和关闭用户授权的严格的制度,以及管理请,建立,发出和关闭用户授权的严格的制度,以及管理和监督用户操作责任的机制。和监督用户操作责任的机制。为了获取系统的安全,授权应该遵守访问控制的三个基本为了获取系统的安全,授权应该遵守访问控制的三个基本原则:原则:最小特权原则最小特权原则多人负责原则多人负责原则职责分离原则职责分离原则最小特权原则最小特权原则所谓最小特权指的是所谓最小特权指的是“在完成某种操作时所赋予网络中在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权每个主体(用户或进程)必不可少的特权”。最小特权原则,。最小特权原则,则是指则是指“应限定网络中每个主体所必须的最小特权,确保可应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小能的事故、错误、网络部件的篡改等原因造成的损失最小”。最小特权原则使得用户所拥有的权力不能超过他执行工最小特权原则使得用户所拥有的权力不能超过他执行工作时所需的权限。作时所需的权限。多人负责原则多人负责原则即授权分散化,对于关键的任务必须在功能上进行划分,即授权分散化,对于关键的任务必须在功能上进行划分,由多人来共同承担,保证没有任何个人具有完成任务的全部由多人来共同承担,保证没有任何个人具有完成任务的全部授权或信息。如将责任作分解使得没有一个人具有重要密钥授权或信息。如将责任作分解使得没有一个人具有重要密钥的完全拷贝。的完全拷贝。职责分离原则职责分离原则职责分离是保障安全的一个基本原则。职责分离是指将职责分离是保障安全的一个基本原则。职责分离是指将不同的责任分派给不同的人员以期达到互相牵制,消除一个不同的责任分派给不同的人员以期达到互相牵制,消除一个人执行两项不相容的工作的风险。例如收款员、出纳员、审人执行两项不相容的工作的风险。例如收款员、出纳员、审计员应由不同的人担任。计算机环境下也要有职责分离,为计员应由不同的人担任。计算机环境下也要有职责分离,为避免安全上的漏洞,有些许可不能同时被同一用户获得。避免安全上的漏洞,有些许可不能同时被同一用户获得。4A随着企业的业务系统的发展,其内部用户数量持续增加,网随着企业的业务系统的发展,其内部用户数量持续增加,网络规模迅速扩大,安全问题不断出现。而每个业务系统分别络规模迅速扩大,安全问题不断出现。而每个业务系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立维护一套用户信息数据,管理本系统内的账号和口令,孤立的以日志形式审计操作者在系统内的操作行为。现有的这种的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。务发展需求,及与国际业务接轨的需求。问题主要表现在以下几方面:问题主要表现在以下几方面:大量的网络设备、主机系统和应用系统分属不同的部门或大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;对多个系统进行操作时,工作复杂度成倍增加;一些设备和业务系统由厂商代维,因缺乏统一监管,安全一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;状况不得而知;各系统分别管理所属的系统资源,为本系统的用户分配访各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;限管理愈发复杂,系统安全难以得到充分保障;个别账号多人共用,扩散范围难以控制,发生安全事故时个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;更难以确定实际使用者;随着系统增多,用户经常需要在各系统间切换,而每次切换随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁;造成对系统安全性的威胁;对各个系统缺乏集中统一的访问审计,无法进行综合分析,对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。因此不能及时发现入侵行为。.由于缺乏统一的安全管理平台,加重了系统管理人员工作负由于缺乏统一的安全管理平台,加重了系统管理人员工作负担,同时,因各业务系统安全策略不一致,实质上也大大降担,同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。低了业务系统的安全系数。采用采用4A统一安全管理平台解决方案能够解决企业当前在账号统一安全管理平台解决方案能够解决企业当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。口令管理、访问控制及审计措施方面所面临的主要问题。4A是指融合是指融合统一用户账号管理统一用户账号管理(账号(账号Account)、)、统一认证统一认证管理管理(认证(认证Authentication)、)、统一授权管理统一授权管理(授权(授权Authorization)和)和统一安全审计统一安全审计(审计(审计Audit)四要素后的)四要素后的解决方案,该方案涵盖单点登录(解决方案,该方案涵盖单点登录(SSO)、统一用户身份认)、统一用户身份认证等安全功能,为客户提供功能完善的、高安全级别的管理。证等安全功能,为客户提供功能完善的、高安全级别的管理。统一账号管理子系统功能统一账号管理子系统功能。统一实现用户单点登陆,各账。统一实现用户单点登陆,各账号同步,统一账号管理与统一认证授权协作。号同步,统一账号管理与统一认证授权协作。统一认证授权子系统功能统一认证授权子系统功能。统一实现身份认证,对账号口。统一实现身份认证,对账号口令集中管理;对网络设备、主机系统、远程接入或令集中管理;对网络设备、主机系统、远程接入或VPN接接入用户、数据库管理员等进行统一的认证和授权。入用户、数据库管理员等进行统一的认证和授权。统一日志审计子系统功能统一日志审计子系统功能。统一实现安全日志采集、多维。统一实现安全日志采集、多维分析、实时展现,以及审计策略配置、审计数据的存储。分析、实时展现,以及审计策略配置、审计数据的存储。网络行为审计子系统功能网络行为审计子系统功能。对各种网络协议、操作系统、。对各种网络协议、操作系统、常用数据库等的各种正常操作及非正常网络行为的审计。常用数据库等的各种正常操作及非正常网络行为的审计。知识回顾知识回顾Knowledge Knowledge ReviewReview
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号