身份认证、访问控制和系统审计.pptx

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,第,8,章,身份认证、访问控制与系统审计,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Network and Information Security,第,8,章,身份认证、访问控制与系统审计,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Network and Information Security,第,8,章 身份认证、访问控

2、制与系统审计,Network and Information Security,第1页,图,8-1,经典安全模型,8.1,计算机安全,模型,Network and Information Security,第2页,经典安全模型包含以下基本要素：,(1),明确定义主体和客体；,(2),描述主体怎样访问客体一个授权数据库；,(3),约束主体对客体访问尝试参考监视器；,(4),识别和验证主体和客体可信子系统；,(5),审计参考监视器活动审计子系统。,Network and Information Security,第3页,能够看出，这里为了实现计算机系统安全所采取基本安全办法，即安全机制有,身份认证

3、访问控制和审计。,参考监视器,是主体,/,角色对客体进行访问桥梁,.,身份识别与验证，即身份认证是主体,/,角色取得访问授权第一步，这也是早期黑客入侵系统突破口。,访问控制,是在主体身份得到认证后，依据安全策略对主体行为进行限制,机制和伎俩。,审计,作为一个安全机制，它在主体访问客体整个过程中都发挥着作用，为安全分析提供了有利证据支持。它贯通于身份认证、访问控制前前后后。,同时，身份认证、访问控制为审计正确性提供保障。,它们之间是互为制约、相互促进。,Network and Information Security,第4页,图,8-2,安全机制,Network and Information

4、 Security,第5页,访问控制模型基本结构,Network and Information Security,第6页,8.2,身份认证,在有安全需求应用系统中，识别用户身份是系统基本要求，身份认证是安全系统中不可缺乏一部分，也是,防范入侵第一道防线,。,身份认证方法各种多样，其安全强度也各不相同，详细方法可归结为,3,类：,依据用户知道什么,拥有什么,是什么来进行认证。,Network and Information Security,第7页,8.2.1,用户名和口令认证,经过用户名和口令进行身份认证是最简单，也是最常见认证方式，不过,认证安全强度不高,。,全部多用户系统、网络服务器、,

5、Web,电子商务等系统都要求提供用户名或标识符（,ID,），还要求提供口令。,系统将,用户输入口令,与,以前保留在系统中该用户口令,进行比较，若完全一致则认为认证经过，不然不能经过认证。,依据处理方式不一样，有,3,种方式：,口令明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令,，这,3,种方式安全强度依次增高，处理复杂度也依次增大。,Network and Information Security,第8页,1,口令以明文形式传送时，没有任何保护,Network and Information Security,第9页,2,为预防口令被窃听，可用单向散列函数处理口令，传输口

6、令散列值，而不传输口令本身。,传输口令散列值也存在不安全原因，黑客即使不知道口令原文，不过他能够,截获口令散列值,，,直接把散列值发送给验证服务器，也能验证经过，这是一个重放攻击。,Network and Information Security,第10页,3,为处理重放攻击，,服务器首先生成一个随机数并发给用户,，用户把口令散列值与该随机数连接或异或后再用单向散列函数处理一遍，把最终散列值发给服务器,。,Network and Information Security,第11页,8.2.2,令牌和,USB key,认证,令牌实际上就是一个智能卡，私钥存放在令牌中，对私钥访问用口令进行控制。,

7、令牌没有物理接口,，无法与计算机连接，使用总是不方便,.,能够用,USB key,代替。,USB key,经过,USB,接口直接连接在计算机上，不需要用户手动键入数据，比令牌方便得多。,Network and Information Security,第12页,8.2.3,生物识别认证,使用生物识别技术身份认证方法，主要是依据用户图像、指纹、气味、声音等作为认证数据。,在安全性要求很高系统中，能够把这,3,种认证方法结合起来，到达最高安全性。,Network and Information Security,第13页,8.3,访,问,控,制,在计算机安全防御办法中，访问控制是极其主要一环，它是

8、在身份认证基础上,，依据身份正当性对提出资源访问请求加以,控制,。,Network and Information Security,第14页,8.3.1,基本概念,广义地讲，,全部计算机安全都与访问控制相关,。实际上,RFC 2828,定义计算机安全以下：用来实现和确保计算机系统安全服务办法，,尤其是确保访问控制服务,办法。,访问控制,(Access Control),是指,主体访问客体权限或能力限制，以及限制进入物理区域,(,出入控制,),和限制使用计算机系统和计算机存放数据过程,(,存取控制,),。,在访问控制中，,主体,是访问发起者，访问客体活动资源，通常为,进程、程序或用户。,客体

9、则是指对其访问必须进行控制资源，,客体,普通包含各种,资源，如文件、设备、信号量,等。,访问控制中第三个元素是,保护规则,，它定义了,主体与客体之间可能相互作用路径,。,Network and Information Security,第15页,保护域,概念。每一主体,(,进程,),都在一特定保护域下工作，保护域要求了进程能够访问资源。,每一域,定义了一组客体及能够对客体采取操作,。可对客体操作能力称为访问权,(Access Right),，访问权定义为有序正确形式。,一个域是访问权集合,。如域,X,有访问权，则在域,X,下运行进程可对文件,A,执行读写，但不能执行任何其它操作。,保护域并不是

10、彼此独立。它们能够有,交叉,，即它们能够共享权限。域,X,和域,Y,对打印机都有写权限，从而产生了访问权交叉现象。,Network and Information Security,第16页,图,8-3,有重合保护域,Network and Information Security,第17页,依据访问控制策略不一样，访问控制普通分为,自主访问控制、强制访问控制、基于角色访问控制、基于任务访问控制、使用控制等,。,自主访问控制,是以前计算机系统中实现较多访问控制机制，它是依据访问者,身份和授权,来决定访问模式。,强制访问控制,是将主体和客体分级，然后依据,主体和客体级别标识,来决定访问模式。,“

11、强制”主要表达在系统强制,主体服从,访问控制策略上。,基于角色,访问控制基本思想是：授权给用户访问权限通常由用户在一个组织中,担当角色,来确定。,它依据用户在组织内所处角色作出访问授权和控制，但用户不能自主地将访问权限传给他人。,Network and Information Security,第18页,8.3.2,自主访问控制,自主访问控制又称任意访问控制,(Discretionary Access Control,，,DAC),，是指依据主体身份或者主体所属组身份或者二者结合，对客体访问进行限制一个方法。,它是访问控制办法中惯用一个方法，,这种访问控制方法允许用户能够,自主地,在系统中要求

12、谁能够存取它资源实体,，,即用户,(,包含用户程序和用户进程,),可选择,同其它用户,一起共享某个文件。,Network and Information Security,第19页,在各种以自主访问控制机制进行访问控制系统中，存取模式主要有：,读,(read,),，即允许主体对客体进行读和拷贝操作；,写,(write),，即允许主体写入或修改信息，包含扩展、压缩及删除等；,执行,(execute),，就是允许将客体作为一个可执行文件运行，在一些系统中该模式还需要同时拥有读模式；,空模式,(null),，即主体对客体不含有任何存取权。,自主访问控制缺点,Network and Informati

13、on Security,第20页,自主访问控制详细实施可采取以下四种方法。,(1),目录表,(Directory List),在目录表访问控制方法中借用了系统对文件目录管理机制，为每一个欲实施访问操作,主体,，,建立一个能被其访问“客体目录表,(,文件目录表,)”,。比如某个主体客体目录表可能为：,客体,1:,权限,1,客体,2:,权限,2,客体,n:,权限,n,。,当然，客体目录表中各个客体访问权限修改只能由该客体,正当属主确定,，不允许其它任何用户在客体目录表中进行写操作，不然将可能出现对客体访问权伪造。,操作系统必须在,客体拥有者控制,下维护全部客体目录。,Network and Inf

14、ormation Security,第21页,目录表访问控制机制优点是,轻易实现,，每个主体拥有一张客体目录表，这么主体能访问客体及权限就一目了然了，依据该表对主体和客体访问与被访问进行,监督比较简便,。,缺点之一是,系统开销、浪费较大,，这是因为每个用户都有一张目录表，假如某个客体允许全部用户访问，则将给每个用户逐一填写文件目录表，所以会造成系统额外开销；,二是因为这种机制,允许客体属主用户对访问权限实施传递并可屡次进行，造成同一文件可能有,多个属主,情形,，各属主每次传递访问权限也难以相同，甚至可能会把客体改用别名，所以使得能越权访问用户大量存在，在管理上,繁乱易错,。,Network a

15、nd Information Security,第22页,(2),访问控制列表,(Access Control List),访问控制列表策略恰好与目录表访问控制相反,，它是从,客体角度,进行设置、面向客体访问控制。每个客体有一个访问控制列表，用来说明有权访问该客体全部主体及其访问权限。,访问控制列表方式最大,优点,就是能很好地处理,多个主体访问一个客体问题,，不会像目录表访问控制那样因授权繁乱而出现越权访问。,缺点,是因为访问控制列表需,占用存放空间,，而且因为各个客体长度不一样而出现存放空间碎片，造成,浪费,；每个客体被访问时都需要对访问控制列表从头到尾扫描一遍，影响系统运行,速度,和浪费了

16、存放空间,。,Network and Information Security,第23页,(3),访问控制矩阵,(Access Control Matrix),访问控制矩阵是对上述两种方法综合,。存取控制矩阵模型是用状态和状态转换进行定义，系统和状态用矩阵表示，状态转换则用命令来进行描述。,直观地看，访问控制矩阵是一张表格，每行代表一个用户,(,即主体,),，每列代表一个存取目标,(,即客体,),，表中纵横对应项是该用户对该存取客体访问权集合,(,权集,),。,访问控制矩阵原理示意图,Network and Information Security,第24页,抽象地说，系统访问控制矩阵表示了

17、系统一个保护状态，假如系统中用户发生了改变，访问对象发生了改变，或者某一用户对某个对象访问权限发生了改变，都能够看作是系统保护状态发生了改变。,因为访问控制矩阵模型只要求了系统状态迁移必须有规则，而没有要求是什么规则，,所以该模型灵活性很大，但却给系统埋下了潜在安全隐患。,Network and Information Security,第25页,强制访问控制,(Mandatory Access Control,，,MAC),是依据客体中信息敏感标签和访问敏感信息主体访问等级，对客体访问,实施限制,一个方法。,它主要用于保护那些处理尤其敏感数据,(,比如，政府保密信息或企业敏感数据,),系统。

18、在强制访问控制中，,用户权限和客体安全属性,都是,固定,，由系统决定一个用户对某个客体能否进行访问。,所谓“强制”，就是安全属性由,系统管理员人为设置,，或由操作系统自动地按照严格安全策略与规则进行设置，,用户和他们进程不能修改这些属性。,8.3.3,强制访问控制,Network and Information Security,第26页,图,8-7,强制访问控制,Network and Information Security,第27页,8.3.4,基于角色访问控制,基于角色访问控制,(Role-Based Access Control,，,RBAC),关键思想就是：授权给,用户访问权限,

19、通常由用户在一个,组织中担当角色,来确定。,引入了“角色”这一主要概念，所谓“角色”，是指一个或一群用户在组织内可执行操作集合。,这里角色就充当着,主体,(,用户,),和客体之间关系桥梁,。,这是与,传统访问控制策略,最大区分所在。,Network and Information Security,第28页,图,8-8,基于角色访问控制,一个主体能够含有多个角色，一个角色能够分给多个主体；一个角色能够访问多个客体，一个客体能够被多个角色访问,Network and Information Security,第29页,基于角色访问控制有以下五个特点。,1),以角色作为访问控制主体,用户以什么样角

20、色对资源进行访问，决定了用户拥有权限以及可执行何种操作。,2),角色继承,为了提升效率，防止相同权限重复设置，,RBAC,采取了,“,角色继承,”,概念，定义各类角色，它们都有自己属性，但可能还继承其它角色属性和权限。角色继承把角色组织起来，能够很自然地反应组织内部人员之间职权、责任关系。,Network and Information Security,第30页,图,8-8,角色继承,Network and Information Security,第31页,3),最小特权标准,(Least Privilege Theorem),最小特权标准是系统安全中最基本标准之一。所谓最小特权，是指,“

21、在完成某种操作时所赋予网络中每个主体,(,用户或进程,),必不可少特权”,。,最小特权标准则是指“应限定网络中每个主体所必须最小特权，,确保因为可能事故、错误、网络部件篡改等原因造成损失,最小,”,。,换句话说，,最小特权标准是指用户所拥有权利不能超出他执行工作时所需权限,。,Network and Information Security,第32页,在RBAC中，可以根据组织内规章制度、职员分工等设计拥有不一样权限角色，只有角色执行所需要才授权给角色。,当一个主体需访问某资源时，如果该操作不在主体当前所扮演角色授权操作之内，该访问将被拒绝。,最小特权原则一方面给予主体“必不可少”特权，这就保

22、证了全部主体都能在所赋予特权之下完成所需要完成任务或操作；其次，它只给予主体“必不可少”特权，这就限制了每个主体所能进行操作。,Network and Information Security,第33页,4),职责分离（主体与角色分离）,对于一些特定操作集，某一个角色或用户不可能同时独立地完成全部这些操作。“职责分离”能够有静态和动态两种实现方式。,静态职责分离,：只有当一个角色与用户所属其它角色彼此不互斥时，这个角色才能授权给该用户。,动态职责分离,：只有当一个角色与一主体任何一个当前活跃角色都不互斥时，该角色才能成为该主体另一个活跃角色。,Network and Information S

23、ecurity,第34页,5),角色容量,在创建新角色时，要指定角色容量。,在一个特定时间段内，有一些角色只能由一定人数用户占用。,Network and Information Security,第35页,基于角色访问控制是依据用户在系统里表现,活动性质,而定，这种活动性质表明用户充当了一定角色。,用户访问系统时，系统必须,先检验用户角色,，一个用户能够充当多个角色，一个角色也能够由多个用户担任。,Network and Information Security,第36页,基于角色访问控制机制优,缺,点：,模型优点在于便于,授权管理、角色划分,、,RBAC,能够很轻易地将,组织安全策略映射到

24、信息系统,中，简化安全策略实施、,含有自我管理能力、支持数据抽象和最小特权标准,等。,基于角色访问控制是一个有效而灵活安全办法，当前仍处于深入研究和广泛使用之中。,但也存在缺点，,RBAC,模型是基于主体客体观点,被动,安全模型,它是从系统角度,(,控制环境是静态,),出发保护资源。,授权是静态,不具备动态适应性，这显然使系统面临极大安全威胁，难以适应动态开放网络环境。,Network and Information Security,第37页,8.3.5,基于任务访问控制,(Task-Based Access Control),TBAC,模型是一个基于任务、采取,动态授权主动安全模型,。,它

25、从,应用和企业,角度来处理安全问题。,TBAC,模型采取,面向任务,观点,从任务角度来建立安全模型和实现安全机制,在任务处理过程中提供,实时安全管理,。,它将访问权限与任务相结合,客体访问控制权限并不是静止不变,而是,伴随执行任务上下文环境改变而改变,。,Network and Information Security,第38页,TBAC,基本概念以下,(1),(1),授权步骤（,Authorization Step,）：,是指在一个工作流程中对处理对象,(,如办公流程中原文档,),一次处理过程,。,它是访问控制所能控制最小单元。,授权步由受托人集（,Trustee Set,）和多个许可集（,

26、Permissions Set,）组成。,受托人集,是可,被授予执行授权步,用户集合,，,许可集,则是受托,人,集组员被授予授权步时拥有,访问许可,。,Network and Information Security,第39页,(2),授权单元（,Authorization Unit,）,：,授权单元是由一个或多个授权步骤组成单元，它们在逻辑上是相互联络。,授权单元分为普通授权单元和复合授权单元。,普通授权单元内授权步骤,按次序依次执行,;,复合授权单元内部每个授权步骤紧密联络,，其中任何一个授权步骤失败都会造成整个单元失败。,Network and Information Security,

27、第40页,TBAC,基本概念以下,(2),(3),任务（,Task,）：,任务是工作流程中一个逻辑单元。,它是一个可区分动作，可能与多个用户相关，也可能包含几个子任务。,一个任务包含以下特征：,长久存在；,可能包含多个子任务；,完成一个子任务可能需要不一样人。,Network and Information Security,第41页,(4),依赖（,Dependency,）：,依赖是指授权步骤之间或授权单元之间相互关系，包含,次序依赖、失败依赖、分权依赖和代理依赖。,依赖反应了基于任务访问控制标准。,Network and Information Security,第42页,图,3-3 TB

28、AC,模型,Network and Information Security,第43页,TBAC,优缺点,TBAC,主动、动态等特征,使其广泛应用于工作流、分布式处理、多点访问控制信息处理和事务管理系统决议制订等方面。,尽管,TBAC,具备许多特点,但当应用于复杂企业环境时,就会暴露出本身缺点。,比如在实际企业环境中,角色是一个非常主要概念,但,TBAC,中并没有将,角色与任务清楚地分离开来,也不支持,角色层次,等级，也无法表示,职责分离约束,；,另外,访问控制并非都是主动,也有属于被动形式,但,TBAC,并不支持被动访问控制，同时，,任务划分也不明确,。,Network and Inform

29、ation Security,第44页,2.3.6,基于任务和角色访问控制模型（,T,RBAC,）,T,RBAC,是一个动态授权主动安全模型，它将从,系统角度,出发保护资源,RBAC,模型和,从应用和企业层角度,出发处理安全问题,TBAC,模型结合在一起，,结合二者优点,而构建访问控制模型。,其主要思想是将,角色与任务相关联,然后再给任务赋予相关权限。,这么,在工作流应用访问控制时,权限与任务相关联主要目标是实现对权限动态管理,而,将角色与任务相关联有利于管理人员掌握角色所执行任务和客体之间相关信息,。,在更新角色权限时,以,任务为中介,十分便于管理人员对角色管理。,Network and I

30、nformation Security,第45页,T,RBAC,同时拥有,角色与任务两个同等,主要元素，符合企业环境中职员经过接收任务而进行工作思想。,一定程度上实现了,动静结合,访问控制，使角色,操作、维护和任务,管理变得,简单方便,也使得系统变得更为安全。,Network and Information Security,第46页,TRBAC,基于任务,-,角色层次模型,Network and Information Security,第47页,但,T,RBAC,模型也存在其不足，其,授权策略大都是基于工作流应用环境出发考虑访问控制,。,即使改进了,TRBAC,模型满足了有效性，但对于现今

31、高动态、开放式网络环境还存在很多不足，比如,客体属性更新,不但可能发生在主体,访问客体前,，而且可能在,整个访问过程中和访问后也需要更新,。,主体在访问客体时需要,完成一定操作行为,，系统才允许访问。,或者访问需要满足执行环境和系统状态才能够进行,。,而这些需求在,TRBAC,模型中还不能完全处理，缺乏对当代访问控制领域若干新概念支持。,Network and Information Security,第48页,8.3.8,访问控制小结,访问控制,主要优点,主要缺点,DAC,是基于授权者访问控制伎俩，访问控制灵活,安全可靠性低，会造成存放空间和查找时间浪费,MAC,基于管理信息流控制标准，支持

32、各种级别安全梯度，含有高安全性,授权方式不太灵活，安全级别划分困难,RBAC,是一个策略中立访问控制方式，授权灵活，使用继承和约束概念，能轻易融合新技术,最小权限约束还不够细化，效率低且动态适应性差，只能用于被动访问控制,TBAC,基于活动动态安全模型，访问控制客体是动态改变，且权限使用也是有时效,角色和任务没有分离，且只能进行主动访问控制,TRBAC,是一个动态授权主动安全模型，同时拥有角色与任务两个同等主要元素，实现了动静结合访问控制思想,只针对于工作流来考虑，缺乏对任务特征细化，以及不能适应系统多样性访问控制需求,UCON,是一个将传统访问控制、信任管理和数字版权管理集成一个访问控制框架

33、在定义了授权、义务、和条件同时提出了连续性易变性两大特征。丰富和完善了访问控制，适适用于当代开放式网络环境。,还只是一个高度抽象参考性基本框架模型，它阐述了使用控制中最基本问题，不过不包括到管理，委托授权，以及其它后期工作中出现诸如并发性等主要问题,Network and Information Security,第49页,8.4,案例：企业,Web,系统中,RBAC,这个简单例子包含,3,个模块：,模块管理、角色管理和用户管理,，采取以角色为中心安全模型。,此模型将系统,模块权限和用户分开,，使用角色作为一个中间层。,用户访问模块时，经过其所,对应角色,对,该模块访问权限来取得访问模块权限

34、经过这种分层管理模式能够实现有效访问控制。,Network and Information Security,第50页,角色,1,角色,2,部门,1,部门,2,部门,3,部门,4,用户,1,用户,2,用户,3,模块,1,模块,2,模块,3,模块,4,图,8-10,用户、角色和模块间关系,Network and Information Security,第51页,说明,角色是为系统安全而设计抽象层，,同一角色里组员含有相同模块操作权限。,不过角色不像机构部门那样有固定组员和组织结构，,并非真正实体,，能够依据需求任意地建立和删除角色。角色组员为部门员工，角色组员也能够不受限制进行任意组合。,

35、经过这种设计思想形成三层安全模型，,第一层为用户，第二层为角色，第三层为系统模块,。,用户和角色之间建立关系，角色和模块权限之间建立关系，而用户和模块权限之间没有直接关系,。,Network and Information Security,第52页,用户、角色和模块数据访问结构图,用户信息,用户角色关系信息,角色信息,角色模块信息,模块信息,数据库,Network and Information Security,第53页,8.5,系统审计,美国国防部,(DOD),在,20,世纪,70,年代支持一项内容广泛研究计划，该计划研究安全策略、安全指南和“,可信系统,”控制。,可信系统定义为：“能够

36、提供足够硬件和软件，以确保系统同时处理一定范围内敏感或分级信息”。,审计机制被纳入,可信计算机系统评定准则,(“,橙皮书”,),中,。,Network and Information Security,第54页,8.5.1,审计及审计跟踪,审计,(Audit),是指,产生、统计并检验按时间次序排列系统事件统计过程,，它是一个被信任机制。,同时，它也是计算机系统,安全机制一个不可或缺部分,，对于,C2,及其以上安全级别计算机系统来讲，审计功效是其必备安全机制。,而且，审计是其它安全机制,有力补充,，它贯通计算机安全机制实现整个过程，从身份认证到访问控制这些都离不开审计。,同时，审计还是以后人们研

37、究,入侵检测系统前提。,Network and Information Security,第55页,审计跟踪,(Audit Trail,）是系统活动统计，这些统计足以,重构、评定、审查环境和活动次序,，这些环境和活动是同一项事务开始到最终结束期间围绕或造成一项操作、一个过程或一个事件相关。,从这个意义来讲，审计跟踪可用来实现：,确定和保持系统活动中每个人责任；重建事件；评定损失；监测系统问题区；提供有效灾难恢复；阻止系统不正当使用等。,Network and Information Security,第56页,作为一个安全机制，计算机系统审计机制安全目标有：,审查基于每个,目标或每个用户访问模

38、式,，并使用系统保护机制。,发觉试图,绕过,保护机制外部人员和内部人员。,发觉用户,从低等级到高等级,访问权限转移。,阻止用户企图绕过,系统保护机制尝试。,作为另一个机制确保统计并发觉用户企图绕过保护尝试，为损失控制提供足够信息。,Network and Information Security,第57页,8.5.2,安全审计,审计是,统计,用户使用计算机网络系统进行,全部活动过程,，它是提升安全性主要工具。,安全审计跟踪机制价值在于：,经过事后安全审计能够检测和调查安全漏洞。,(1),它不但能够,识别谁,访问了系统，还能指出系统,正被怎样使用,。,(2),对于确定,是否有网络攻击,情况，审计

39、信息对于确定,问题和攻击源,很主要。,Network and Information Security,第58页,(3),系统事件统计能够更,快速和系统地识别问题,，而且它是后面阶段事故处理主要依据。,(4),经过对安全事件不停搜集与积累而且加以分析，,有选择性地对其中一些站点或用户进行审计跟踪,，以提供发觉可能产生破坏性行为有力证据。,Network and Information Security,第59页,安全审计就是对系统统计与行为进行独立品评考查，目标是：,(1),测试系统控制是否恰当，确保与既定安全策略和操作能够协调一致。,(2),有利于作出损害评定。,(3),对控制、策略与规程中

40、特定改变作出评价。,Network and Information Security,第60页,安全审计跟踪将考虑：,1),要选择统计什么信息,审计统计必须包含网络中任何用户、进程、实体取得某一级别安全等级尝试：,包含注册、注销，超级用户访问，产生各种票据，其它各种访问状态改变,，并尤其注意公共服务器上匿名或客人账号。,实际搜集数据随站点和访问类型不一样而不一样。通常要搜集数据包含：用户名和主机名，权限变更情况，时间戳，被访问对象和资源。当然这也依赖于系统空间。,(,注意不要搜集口令信息,),Network and Information Security,第61页,2),在什么条件下统计信息

41、3),为了交换安全审计跟踪信息所采取语法和语义定义,搜集审计跟踪信息，经过列举被统计安全事件类别,(,比如显著违反安全要求或成功完成操作,),，应能适应各种不一样需要。已知安全审计存在可对一些潜在侵犯安全攻击源起到威摄作用。,Network and Information Security,第62页,审计是系统安全策略一个主要组成部分，它贯通整个系统不一样安全机制实现过程，它为其它安全策略改进和完善提供了必要信息。,而且，它深入研究为以后一些安全策略诞生和发展提供了契机。,以后发展起来,入侵检测系统就是在审计机制基础上得到启示而快速发展起来。,Network and Information

42、Security,第63页,8.6,PMI,访问控制就是控制用户访问资源权限，怎样证实用户所,含有权限正是,PMI,要做事情。,8.6.1 PMI,概述,授权管理基础设施,PMI(Privilege Management Infrastructure),是国家信息安全基础设施,(National Information Security Infrastructure,，,NISI),一个主要组成部分。目标是：,向,用户和应用程序,提供,授权管理服务,提供,用户身份到应用授权,映射,功效,提供与实际应用处理模式相对应、与,详细应用系统开发和管理无关授权和访问控制,机制,简化,详细应用系统开发与维

43、护。,Network and Information Security,第64页,属性证书,授权管理基础设施,PMI,是一个由,属性证书,(,Attribute Certificate,AC),、,属性权威,(Attribute Authority,AA),、,属性证书库,等部件组成综合系统，用来实现权限和证书,产生、管理、存放、分发和撤消,等功效。,PMI,使用属性证书表示和容纳权限信息，经过,管理证书生命周期,实现对,权限生命周期,管理。,属性证书,申请、签发、撤消、验证流程,对应着,权限,申请、发放、撤消、使用和验证过程。,而且，,使用属性证书进行权限管理使得权限管理,无须依赖,某个详细

44、应用,，而且利于权限安全分布式应用。,Network and Information Security,第65页,PMI,与,PKI,比较,授权管理基础设施,PMI,以资源管理为关键，对,资源访问控制权,统一交由,授权机构,统一处理。,同公钥基础设施,PKI,相比，二者主要区分在于：,PKI,证实用户是谁,，,而,PMI,证实这个用户有什么权限,，能干什么，而且授权管理基础设施,PMI,需要公钥基础设施,PKI,为其提供身份认证。,PMI,与,PKI,在结构上是非常相同。信任基础都是相关权威机构，由他们决定建立,身份认证,系统和,属性特权,机构。,Network and Information

45、 Security,第66页,在,PKI,中，由相关部门建立并管理根,CA,，下设各级,CA,、,RA,和其它机构；在,PMI,中，由相关部门建立权威源点,SOA(Source Of Authority),，下设分布式,AA,和其它机构。,PMI,实际上提出了一个新信息保护基础设施，能够与,PKI,和目录服务紧密地集成，并系统地建立起对认可用户特定授权，对权限管理进行了系统定义和描述，完整地提供了授权服务所需过程。,Network and Information Security,第67页,8.6.2 PMI,技术授权管理模式及其优点,授权服务体系主要是为网络空间提供用户操作授权管理，即在虚拟

46、网络空间中,用户角色与最终应用系统中用户,操作权限,之间建立一个映射关系。,当前建立授权服务体系关键技术主要是授权管理基础设施,PMI,技术。,PMI,技术经过数字证书机制来管理用户授权信息，并将授权管理功效从传统应用系统中分离出来，以独立服务方式面向应用系统提供授权管理服务。,Network and Information Security,第68页,因为,数字证书,机制提供了对,授权信息安全保护,功效，所以，作为,用户授权信息存放载体,属性证书,一样能够经过公开方式对外公布。,在,PMI,中主要使用基于角色访问控制。其中角色提供了间接分配权限方法。,在实际应用中，个人被,签发角色分配证书,

47、使之含有一个或多个对应角色，而每个角色含有权限经过角色定义来说明，而不是将,权限,放在,属性证书,中分配给个人。,这种间接权限分配方式使得角色权限更新时，无须撤消每一个,属性证书,，极大地减小了管理开销。,Network and Information Security,第69页,基于,PMI,技术授权管理模式主要存在以下三个方面优势：,1.,授权管理灵活性,基于,PMI,技术授权管理模式能够经过属性证书,使用期,以及,委托授权机制,来灵活地进行授权管理，从而实现了传统访问控制技术领域中强制访问控制模式与自主访问控制模式有机结合，其灵活性是传统授权管理模式所无法比拟。,2.,授权操作与业务操作

48、相分离,基于,授权服务体系,授权管理模式将,业务管理工作与授权管理工作完全分离,，愈加明确了,业务管理员,和,安全管理员,之间职责分工，能够有效地防止因为业务管理人员参加到授权管理活动中而可能带来一些问题。加强了授权管理,可信度,。,3.,多授权模型灵活支持,基于,PMI,技术授权管理模式将,整个授权管理体系,从,应用系统,中分离出来，,授权管理模块本身维护和更新,操作将与详细应用系统无关。,Network and Information Security,第70页,8.6.3 PMI,系统架构,PMI,授权服务体系,以高度集中方式管理用户和为用户授权，而且采取适当用户身份信息来实现用户认证，

49、主要是,PKI,体系下,数字证书,，也包含动态口令或者指纹认证技术。,安全平台,将授权管理功效,从应用系统中,分离,出来，以独立和集中服务方式面向整个网络，,统一为各应用系统提供授权管理服务,。,PMI,在体系上能够分为三级，分别是,信任源点,SOA,中心,、,属性权威机构,AA,中心,和,AA,代理点,。,在实际应用中，这种分级体系能够依据需要进行灵活配置，能够是三级、二级或一级。,Network and Information Security,第71页,图,8.18,授权管理系统总体架构示意图,SOA,AA,AA,AA,代理,点,AA,代理,点,AA,代理,点,AA,代理,点,访问控制执

50、行者,Network and Information Security,第72页,授权管理系统说明,1.,权威源点,SOA,权威源点,(SOA,中心,),是整个,授权管理体系,中心业务,节点，也是整个,PMI,最终信任源和最高管理机构,。,SOA,中心职责主要包含：,授权管理策略管理、应用授权受理、,AA,中心设置审核及管理和授权管理体系业务规范化,等。,Network and Information Security,第73页,授权管理系统说明,2.,属性权威机构,AA,属性权威机构,AA,中心是,PMI,关键服务,节点，是对应于详细应用系统,授权管理分系统,，由含有设置,AA,中心业务需求