鉴别认证及访问控制技术.ppt

第8章鉴别认证及访问控制技术,8.1 身份认证技术概述8.2 登录认证和授权管理8.3 数字签名技术8.4 专用数字签名方法8.5 访问控制技术8.6 安全审计技术,本章要点,身份认证技术的概念、种类和方法 数字签名技术及应用 数字时间戳技术访问控制技术及应用 安全审计技术及应用,8.1 身份认证技术概述,8.1.1 身份认证的概念1.认证技术的概念认证（Authentication）是通过对网络系统使用过程中的主客体进行鉴别，并经过确认主客体的身份以后，给这些主客体赋予恰当的标志、标签、证书等的过程。身份认证（Identity and Authentication Management）是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。认证是为了防止敌方的主动攻击。认证包括三个方面：消息认证身份认证数字签名,8.1.1 身份认证的概念,2.身份认证的作用身份认证与鉴别是信息安全中的第一道防线，是保证计算机网络系统安全的重要措施之一,对信息系统的安全有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一性。认证是对用户身份和认证信息的生成、存储、同步、验证和维护的整个过程的管理。作用：可以防止非法人员进入系统，防止非法人员通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生，严防“病从口入”关口。,8.1.1 身份认证的概念,3.认证技术种类(1)认证技术是计算机网络安全中的一个重要内容，一般可以分为两种：(1)消息认证：用于保证信息的完整性和抗否认性。通常用户确认网上信息的真假及信息是否被修改或伪造，就需要消息认证(2)身份认证：用于鉴别用户身份。包括 识别：明确并区分访问者的身份 验证：对访问者声称的身份进行确认,8.1.1 身份认证的概念,3.认证技术种类(2)常用的身份认证技术主要包括：(1)基于秘密信息的身份认证方法 口令认证 单项认证 双向认证 零知识认证共同特点是：只依赖于用户知道的某个秘密的信息(2)基于物理安全的身份认证方法基于生物学的认证方案包括基于指纹识别的身份认证基于声音识别的身份认证基于虹膜识别的身份认证等技术。基于智能卡的身份认证机制在认证时需要一个硬件，称为智能卡。智能卡中存有秘密信息，通常是一个随机数，只有持卡人才能被认证。,8.1.1 身份认证的概念,4.身份认证系统的组成身份认证系统的组成包括认证服务认证系统用户端软件认证设备身份认证系统主要是通过身份认证协议和有关软硬件实现的。其中身份认证协议有两种：双向认证协议 单向认证协议,8.1.2 身份认证技术方法,认证技术是信息安全理论与技术的一个重要方面。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控设备，根据用户的身份和授权数据库，决定用户是否能够访问某个资源。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其他的安全服务都要依赖于对用户身份的认证。一般身份认证可分为：用户与主机间的认证主机与主机之间的认证。,8.1.2 身份认证技术方法,目前，计算机及网络系统中常用的身份认证方式主要有以下几种：1.用户名及密码方式用户名及密码方式是最简单也是最常用的身份认证方法，由用户自己设定，只有用户本人知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。2.智能卡认证智能卡是一种内置集成的电路芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。,8.1.2 身份认证技术方法,目前，计算机及网络系统中常用的身份认证方式主要有以下几种：3.动态令牌认证动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。采用一次一密的方法。例：建行（见备注）,8.1.2 身份认证技术方法,目前，计算机及网络系统中常用的身份认证方式主要有以下几种：4.USB Key认证 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式。例：建行（见备注）,8.1.2 身份认证技术方法,目前，计算机及网络系统中常用的身份认证方式主要有以下几种：5.生物识别技术生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：签名、语音、行走步态等。目前采用的有：指纹识别技术、视网膜识别技术、声音识别技术,8.1.2 身份认证技术方法,目前，计算机及网络系统中常用的身份认证方式主要有以下几种：6.CA认证CA(Certification Authority)是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。CA 的作用：是检查证书持有者身份的合法性，并签发证书(用数学方法在证书上签字)，以防证书被伪造或篡改。网络身份证的发放、管理和认证就是一个复杂的过程，也就是CA认证。CA职能管理和维护客户的证书和证书作废表维护自身的安全提供安全审计的依据,8.2 登录认证与授权管理,8.2.1 用户登录认证1.单次登录所面临的挑战单次登录（Single Sign On，简称SSO）是指用户只向网络进行一次身份验证，以后再无需另外验证身份，便可访问所有被授权的网络资源。单次登录技术SSO所面临的挑战包括几个方面。(1)多种应用平台(2)不同的安全机制(3)不同的账户服务系统,8.2.1 用户登录认证,2.单次登录的优点实现单次登录SSO，对于用户的好处主要有：(1)管理更简单(2)管理控制更方便(3)用户使用更快捷(4)更高的网络安全性(5)合并异构网络,8.2.2 认证授权管理,1.认证与授权管理目标用户认证与认证授权管理目标包括以下7个方面：(1)目录服务系统是架构的基础模块(2)身份管理系统是实现不同应用的身份存储统一管理的基础。(3)认证管理系统并非必须，各系统往往自带认证模块。(4)访问管理系统因为系统资源的多样性呈现多种，目前最为成熟的是对Web资源的访问管理（称为Web SSO）(5)集成平台（门户服务器、应用服务器或EAI平台）提供统一入口管理，建议认证管理系统和访问管理系统施加在集成平台上以实现统一认证和授权管理。(6)监控服务可以附加在各类平台（集成平台、认证管理系统、访问管理系统等）中，也可以是独立的产品。(7)采用以上架构，可以提供身份信息的统一存储和统一管理，并实现身份认证及资源访问的集成管理，同时最大程度地保护我行现有的IT投资。,8.2.2 认证授权管理,2.认证授权管理的原则为达成以上的目标模式，应遵循以下的指导原则：(1)统一规划管理，分步部署实施(2)建立统一的信息安全服务平台，提供统一的身份认证和访问管理服务(3)保护现有IT投资，并便于未来扩展,8.3 数字签名技术,8.3.1 数字签名概念及功能1.数字签名的概念数字签名（Digital Signature）是指用户以个人的私钥对原始数据进行加密所得的特殊数字串。专门用于保证信息来源的真实性、数据传输的完整性和防抵赖性。数字签名在电子银行、证券和电子商务等方面应用非常广泛。从法律上讲，签名有两个功能，即标识签名人和表示签名人对文件内容的认可,8.3.1 数字签名概念及功能,2.数字签名的特点 传统签名的基本特点:能与被签的文件在物理上不可分割,不可重用 签名者不能否认自己的签名 签名不能被伪造 容易被验证 数字签名是传统签名的数字化,基本要求:能与所签文件“绑定”签名者不能否认自己的签名 签名不能被伪造 容易被自动验证,8.3.1 数字签名概念及功能,3.数字签名的方法和功能(1)实现电子签名的技术手段有多种，需要在确认了签署者的确切身份即经过认证之后，电子签名承认人们可以用多种不同的方法签署一份电子记录。方法包括：基于PKI 的公钥密码技术的数字签名；用一个独一无二的以生物特征统计学为基础的识别标识；手印、声音印记或视网膜扫描的识别；一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN；基于量子力学的计算机等。但比较成熟的、使用方便具有可操作性的、在世界先进国家和我国普遍使用的电子签名技术还是基于PKI 的数字签名技术,8.3.1 数字签名概念及功能,3.数字签名的方法和功能(2)数字签名的功能：(1)签名是可信的。文件的接受者相信签名者是慎重地在文件上签名的；(2)签名不可抵赖。发送者事后不能抵赖对报文的签名，可以核实；(3)签名不可伪造。签名可以证明是签字者而不是其他人在文件上签字；(4)签名不可重用。签名是文件的一部分，不可能将签名移动到其它的文件上。(5)签名不可变更。签名和文件就不能改变，签名和文件也不可分离。(6)数字签名有一定的处理速度，能够满足所有的应用需求。,8.3.2 数字签名的种类,以方式分 直接数字签名direct digital signature 仲裁数字签名arbitrated digital signature 以安全性分 无条件安全的数字签名 计算上安全的数字签名 以可签名次数分 一次性的数字签名 多次性的数字签名按实现技术分，有5种：,8.3.2 数字签名的种类,1.手写签名或图章的识别即将手写签名或印章作为图像，用光扫描经光电转换后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别的数学计算方法对将两者进行比对，以确认该签名或印章的真伪。2.生物识别技术生物识别技术是利用人体生物特征进行身份认证的一种技术。生物特征个人的唯一表征，可以测量、自动识别和验证。人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进行比对，确定匹配确认,8.3.2 数字签名的种类,3.密码、密码代号或个人识别码是一种传统的对称密钥加/解密的身份识别和签名方法。适用远程网络传输，因对称密钥管理困难，不适用于电子签名。4.基于量子力学的计算机量子计算机是以量子力学原理直接进行计算的计算机，机具有更强大的功能，其计算速度要比现代的计算机快几亿倍。量子计算机是利用一种新的量子密码的编码方法，即利用光子的相位特性编码。,5.3.2 数字签名的种类,5.基于PKI的电子签名数字签名只是电子签名的一种特定形式，基于PKI 的电子签名被称作数字签名。目前，具有实际意义的电子签名只有公钥密码理论。所以，国内外普遍目前使用的还是基于PKI 的数字签名技术。作为公钥基础设施，PKI 可提供多种网上安全服务，如认证、数据保密性、数据完整性和不可否认性,8.3.3 数字签名的技术实现方法,1.身份认证的实现(1)PKI 提供的服务首先是认证，即身份识别与鉴别，就是确认实体即为自己所声明的实体。认证的前提是甲、乙双方都具有第三方CA 所签发的证书。认证分单向认证甲、乙双方在网上通信时，甲只需要认证乙的身份双向认证。,双向认证甲乙双方在网上查询对方证书的有效性及黑名单时，采用LDAP协议(Light Directory Access Protocol)，它是一种轻型目录访问协议，过程如图所示,8.3.3 数字签名的技术实现方法,2.数字签名的原理网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。数字签名的全过程分两大部分，即签名与验证。,散列函数,用于报文鉴别的散列函数具有下列性质：能用于任何长度的数据分组能产生定长的输出对任何给定的分组，散列值容易计算单向性，即对任何给定散列值，求其输入值在计算上不可能的防止强抗冲突，即寻找任意两个分组对，使其散列值相同在计算上不可行。常用的散列函数有MD、MD2、MD4、MD5，SHA-1等如MD5、SHA-1算法处理报文产生摘要的步骤主要有附加填充比特补数据长度初始化MD5参数处理512位（16字节）的报文分组序列输出结果,8.3.3 数字签名的技术实现方法,3.数字签名的操作过程数字签名的操作过程需要有发方的签名证书的私钥及其验证公钥。具体操作过程为：首先是生成被签名的电子文件（电子签名法中称数据电文），然后对电子文件用哈希算法做数字摘要，再对数据摘要用签名方私钥做非对称加密，即做数字签名；之后将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装，形成签名结果发送给收方，待收方验证。,8.3.3 数字签名的技术实现方法,4、原文保密的数据签名的实现方法,显示了整个文件加密传输的10个步骤：,在发送方A，将要传送的信息通过哈希运算，得到一个哈希值，即数据摘要MD。A用自己的私钥PVA,采用RSA算法对MD报文摘要加密，即得数字签名DS。将DS和发送方A的认证证书PBA附在原始信息上打包，使用DES算法生成的对称密钥SK在发送方的计算机上为信息包加密，得到加密信息E。用预先收到的接收方B的公钥PBB为对称密钥SK加密，得到数字信封DE。发送方A将加密信息E和数字信封DE合成一个新的信息包，通过因特网传到接收方的计算机上。接收方B用自己的私钥PVB解密数字信封，得到对称密钥SK。收方B用得到的的对称密钥SK解密加密信息E，得到原始信息、数字签字DS和发送方的认证证书PBA。收方B验证数字签名，先用发方A的公钥(置于发送方的认证证书中)解密数字签字，得到报文摘要MD。将收到的原始信息通过哈什函数变换为报文摘要MD。将第(8)步和第(9)步得到的信息摘要加以比较，以确认信息的完整性。,8.4 专用数字签名方法,数字时间戳盲签名双联签名团体签名不可争辩签名,8.4.1 数字时间戳,问题的提出：甲交给乙一张签名数字支票，乙把支票拿到银行验证签名，然后把钱从甲的账户上转到自己的账户上。过了一段时间，乙将其保存的数字支票的副本拿到银行，银行验证数字支票并在甲不知情的情况下把钱从甲的账户上转到乙的账户上。交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。因此，数字签名经常包括时间标记。,数字时间戳(电子邮戳)DTS,网络安全中，需要对传输资料文件的日期和时间信息采取安全措施，可通过DTS(Digital Time-stamp Service)实现，它对电子文件提供发表时间的安全保护。该服务由专门的网络服务机构提供。解决EC交易中文件签署的日期和时间信息的安全问题,避免文档签名方在时间上欺诈的可能性，具有不可否认性它是一个经过加密形成的凭证文档，组成：(1)需要加载时间戳的文件的摘要；(2)DTS收到文件的日期和时间；(3)DTS的数字签名。加盖时间戳有效阻止了文档签名一方在时间上欺诈的可能性,使信息具有不可否认性.,8.4.1数字时间戳,数字时间戳应当具有以下功能：（1）信息文件加上去的时间戳与存储信息的物理媒介无关；（2）对已加上数字时间戳的信息文件不能作任何改动和伪造；（3）要想在某个信息文件中加上与当前日期和时间不同的时间戳是不可能的,8.4.1数字时间戳,数字时间戳的产生1)发送方对文件产生消息摘要。2)发送方将摘要发送到专门提供数字时间戳服务的权威机构。3)权威机构对原摘要加入时间后，用私钥加密，进行数字签名。4)权威机构将加入时间后的新摘要发送给消息发送方,获得数字时间戳的过程,8.4.2 盲签名,一般数字签名中，总是要先知道文件内容而才签署。而有时需要某人对一个文件签名，但又不让他知道文件的内容，称为盲签名。实现盲签名的原理：A取一文件以一随机值乘之，称此随机值为盲因子；A将此盲文件签名；B对盲文件签名；A以盲因子除之，得到B对原文件的签名,盲变换T,逆盲变换T-1,签名者B签名,SigBT(m),接收者A,接收者A,8.4.3双联签名,在实际商务活动中常出现这种情形，持卡人给商家发送订购信息和自己的付款帐户信息时，既不希望商家看到自己的付款帐户信息，也不希望处理商家付款信息的第三方（如银行）看到订货信息。这就需要用双联签名。,订货信息M1,付款信息M2,H,H,|,Sig(MD),MD1,MD2,商家,银行,M1，MD2，Sig(MD)商家,M2，MD1，Sig(MD)银行,8.4.4 团体签名,问题的提出：公司有一台网络打印机，只允许本部门的人员才能使用打印机。因此，打印前，必须使打印机确信用户是属于该部门的员工；同时，公司想保密，不可以暴露用户的姓名。然而，如果有人在当天结束时发现打印机用得太频繁，主管者必须能够找出是谁滥用了那台打印机，并给他一个帐单。可利用团体签名解决这一问题。团体签名有以下特性：只有该团体内的成员能对消息签名；签名的接收者能够证实消息是该团体的有效签名；签名的接收者不能决定是该团体内哪一个成员签的名；在出现争议时，签名能够被“打开”，以揭示签名者的身份。,8.4.4 团体签名,一个可信仲裁者T的团体签名方案：T生成一大批公开密钥/私钥密钥对，并且给团体内每个成员一个不同的唯一私钥。团体中每个成员的密钥都是不同的；T以随机顺序公开该团体所用的公开密钥，T保持一个哪些密钥属于谁的秘密记录；当团体内成员想对一个文件签名时，他用自己的私钥签名；当有人想验证签名是否属于该团体时，只需查找公钥表并验证其签名；当争议发生时，T知道哪个公钥对应于哪个成员,8.4.5 不可争辩签名,问题的提出：在互联网上，一些文件虽然具有合法的签名，但它易被复制，如电子出版物等具有知识产权的文件。为了防止所签名的文件被复制，引出了不可争辩签名。不可争辩签名的特点和实现 不可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。在签名人合作下才能验证签名，又会给签名者一种机会，在不利于他时可拒绝合作，因而不具有“不可否认性”。,8.4.5不可争辩签名,不可争辩签名除了一般签名体制中的签名算法和验证算法（或协议）外，还需要第三个组成部分，即否认协议；签名者利用不可争辩签名可向法庭或公众证明一个伪造的签名的确是假的；但如果签名者拒绝参与执行否认协议，就表明签名真的由他签署。在这种签名方案中，任何人能够验证签名者实际产生的签名，但签名者的合作者还需要验证该消息是有效的。,数字信封,数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。,数字印章,电子印章技术以先进的数字技术模拟传统实物印章，对电子文档的签章操作，以保证签章电子文档的完整性、真实性、可靠性以及签章实体对其操作的不可抵赖性等。,数字水印,数字水印（Digital Watermark）技术是通过一定的算法将一些标志性信息直接嵌入到多媒体内容当中，但不影响原内容的价值和使用，并且不能被人的知觉系统觉察或注意到，只有通过专用的检测器或阅读器才能提取。数字水印技术侧重于解决电子印章打印出来之后印章的防伪问题。用来识别文件、图像或音乐制品的来源、版本、原作者、拥有者、发行人、合法使用人对数字产品的拥有权。,8.5 访问控制技术,8.5.1 访问控制概述1.访问控制的概念访问控制（Visit Control）是指对网络中的某些资源访问进行的控制，只有被授予不同权限的用户，才有资格访问特定的资源、程序或数据。为了保护数据的安全性，还可限定一些数据资源的读写范围。是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制。访问控制是系统保密性、完整性、可用性和合法使用性的基础，是网络安全防范和保护的主要策略。其主要任务是保证网络资源不被非法使用和非法访问，也是维护网络系统安全、保护网络资源的重要手段。访问控制是主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即主体、客体和控制策略。,8.5.1 访问控制概述,2.访问控制策略有7种：(1)入网访问控制策略(2)网络的权限控制策略(3)目录级安全控制策略(4)属性安全控制策略(5)网络服务器安全控制策略(6)网络监测和锁定控制策略(7)网络端口和节点的安全控制策略。,8.5.1 访问控制概述,3.访问控制的内容访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。访问控制包括认证、控制策略实现和安全审计三个方面的内容认证：包括主体对客体的识别认证和客体对主体的检验认证控制策略实现：如何庙宇规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄露。安全审计：使系统自动记录网络中的“正常”操作、“非正常”操作及使用时间、敏感信息等。如同飞机上“黑匣子”,8.5.2 访问控制的模式及管理,1.访问控制的层次一般可以将访问控制分为2个层次：物理访问控制和逻辑访问控制。通常，物理访问控制包括标准的钥匙、门、锁和设备标签等，而逻辑访问控制则是在数据、应用、系统和网络等层面实现的。对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。,8.5.2 访问控制的模式及管理,2.访问控制的模式主要的访问控制模式有三种：(1)自主访问控制（DAC）指由资源的所有者决定是否允许特定的人访问资源。(2)强制访问控制（MAC）指定义几个特定的信息安全级别，将资源归属于这些安全级别中。(3)基于角色的访问控制（RBAC）指主体基于特定的角色访问客体，操作权限定义在角色当中。一个主体可以有多个角色，一个角色可以赋予多个主体。其基于的前提是主体是变化频繁的，而角色变化并不频繁,8.5.2 访问控制的模式及管理,3.访问控制规则(1)访问者主体对客体的访问可以基于身份，也可以基于角色。即“访问者”可以是身份标识，也可以是角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。(2)资源对资源的保护应包括两个层面：物理层和逻辑层。(3)访问控制规则,8.5.3 访问控制的安全策略,1.安全策略实施原则(1)最小特权原则指主体执行操作时，按照主体所需权利的最小化原则分配给主体权力。其优点是最大限度地限制了主体实施授权行为，可避免来自突发事件、错误和示授权主体的危险。(2)最小泄漏原则指主体执行任务时，按照主体所需要知道的信息最小化的原则分配主体权力(3)多级安全策略指主体和客体间的数据流向和权限控制按照安全级别的绝密TS、秘密S、机密C、限制RS和无级别U 5级来划分。其优点是避免敏感信息的扩散。,8.5.3 访问控制的安全策略,2.基于身份的规则的安全策略建立基于身份安全策略和基于规则安全策略的基础是授权行为。(1)基于身份的安全策略是过滤对数据或资源的访问，只有通过认证的那些主体才有可能正常使用客体的资源。(2)基于规则的安全策略该策略中的授权通常依赖于敏感性。,8.5.3 访问控制的安全策略,3.综合访问控制策略访问控制技术的目标是防止对任何资源的非法访问。从应用方面的访问控制策略包括以下几个方面。(1)入网访问控制(2)网络的权限控制(3)目录级安全控制(4)属性安全控制(5)网络服务器安全控制(6)网络监测和锁定控制(7)网络端口和节点的安全控制(8)防火墙控制,8.5.4 认证服务与访问控制系统,1.AAA技术概述AAA(Authentication、Authorization和Accounting，简称AAA)是指认证、鉴权和审计，基于AAA技术的中心认证系统正是用于远程用户的管理。AAA并非一种具体的实现技术，而是一种安全体系结构，它所实现的功能用简单形象的比喻来说，即：它是谁?可以做什么?最后做了些什么?AAA系统提供的服务有认证、鉴权、审计3种。认证：是验证用户的身份好整以暇可使用的网络服务授权：是依据认证结果开放网络服务给用户审计：是记录用户对各种网络服务的用量，并提供给计费系统。,8.5.4 认证服务与访问控制系统,2.远程鉴权拨入用户服务远程鉴权拨入用户服务(Remote Authentication Dial In User Service，简称RADIUS)，主要用于管理通过远程线路拨入企业网络获得相应访问资源的分散用户。当用户想要通过远程网络与网络接入服务器建立连接时，运行RADIUS协议的网络接入服务器作为客户端负责把用户的认证、鉴权和审计信息发送给事先配置好的RADIUS服务器。RADIUS服务器同时根据用户的动作进行审计并记录其计费信息,8.5.4 认证服务与访问控制系统,3.终端访问控制器访问控制系统终端访问控制器访问控制系统TACACS（Terminal Access Controller Access Control System）的功能是通过一个或多个中心服务器为网络设备提供访问控制服务。TACACS是Cisco私有的协议，它支持独立的身份认证、鉴权和审计功能,8.6 安全审计技术,8.6.1 安全审计概述1.安全审计的概念及目的 计算机网络安全审计（Audit）是通过一定的安全策略，利用记录及分析系统活动和用户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，其中系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动，如用户使用何种资源、使用的时间、执行何种操作等方面，发现系统的漏洞和入侵现为并改进系统的性能和安全。安全审计就是对系统的记录与行为进行独立的审查与估计。目的在于：,8.6.1 安全审计概述,1.安全审计的概念及目的 安全审计就是对系统的记录与行为进行独立的审查与估计。目的在于：对潜在的攻击者起到重大震慑和警告作用测试系统的控制是否恰当，以便进行调整，保证与既定安全策略和操作协调一致对已发生的破坏行为，作出损害评估并提供有效的灾难恢复依据和追究责任的证据对系统控制、安全策略与规程中特定的改变作出评价和反馈，便于修订决策和部署为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞,8.6.1 安全审计概述,2.安全审计的类型安全审计有三种类型：(1)系统级审计主要包括登录情况、登录识别号、每次登录尝试的日期和具体时间、每次退出的日期和时间、所使用的设备、登录后运行的内容(2)应用级审计审计的内容包括打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作及打印报告之类的用户活动。可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息(3)用户级审计该审计通常包括：用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。,8.6.1 安全审计概述,3.安全审计系统的基本结构安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图所示,8.6.2 系统日记审计,1.系统日志的内容系统日志的内容包括日志系统可根据安全的强度要求，选择记录下列部分或全部的事件。(1)审计功能的启动和关闭。(2)使用身份验证机制。(3)将客体引入主体的地址空间。(4)删除客体。(5)管理员、安全员、审计员和一般操作人员的操作。(6)其他专门定义的可审计事件,8.6.2 系统日记审计,2.日志分析日志分析就是在日志中寻找模式，主要内容如下：(1)潜在侵害分析(2)基于异常检测的轮廓(3)简单攻击探测(4)复杂攻击探测,8.6.2 系统日记审计,3.审计事件查阅 审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次保证查阅的安全：(1)审计查阅(2)有限审计查阅(3)可选审计查阅,8.6.2 系统日记审计,4.审计事件存储 审计事件的存储也有安全要求，具体有如下几种情况。(1)受保护的审计踪迹存储(2)审计数据的可用性保证(3)防止审计数据丢失,思考题,用户认证与认证授权的目标是什么？简述数字签名技术的实现过程？功能是什么？数字签名能够解决网络通信中哪些特有的安全问题？加了数字时间戳的信息应包含的内容有哪些？数字印章的概念和作用？专用数字签名方案常有哪些？身份认证的技术方法有哪些？安全审计的目的和类型是什么？,