第5章 身份认证与访问控制.

1、贾铁军 沈学东 苏庆刚等编著机械工业出版社机械工业出版社 身份认证技术的概念、种类和方法身份认证技术的概念、种类和方法 数字签名技术及应用数字签名技术及应用 访问控制技术及应用访问控制技术及应用 安全审计技术及应用安全审计技术及应用 理解身份认证技术的概念、种类和方法理解身份认证技术的概念、种类和方法 了解登录认证与授权管理了解登录认证与授权管理 掌握数字签名技术及应用掌握数字签名技术及应用 掌握访问控制技术及应用掌握访问控制技术及应用 掌握安全审计技术及应用掌握安全审计技术及应用 5.1 身份认证技术概述身份认证技术概述1. 认证技术的概念认证技术的概念 认证认证（Authenticatio

2、n）是通过对网络系）是通过对网络系统使用过程中的主客体进行鉴别，并经过确认统使用过程中的主客体进行鉴别，并经过确认主客体的身份以后，给这些主客体赋予恰当的主客体的身份以后，给这些主客体赋予恰当的标志、标签、证书等的过程。标志、标签、证书等的过程。 身份认证身份认证（Identity and Authentication Management）是计算机网络系统的用户在进）是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的统确认该用户的身份是否真实、合法和唯一的过程。过程。 2. 身份认证的作用身份认证

3、的作用 身份认证与鉴别是信息安全中的第一道防身份认证与鉴别是信息安全中的第一道防线，线，是保证计算机网络系统安全的重要措施之是保证计算机网络系统安全的重要措施之一一,对信息系统的安全有着重要的意义。对信息系统的安全有着重要的意义。 身份认证可以确保用户身份的真实、合法身份认证可以确保用户身份的真实、合法和唯一性。认证是对用户身份和认证信息的生和唯一性。认证是对用户身份和认证信息的生成、存储、同步、验证和维护的整个过程的管成、存储、同步、验证和维护的整个过程的管理。因此，可以防止非法人员进入系统，防止理。因此，可以防止非法人员进入系统，防止非法人员通过各种违法操作获取不正当利益、非法人员通过各种

4、违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整非法访问受控信息、恶意破坏系统数据的完整性的情况的发生，严防性的情况的发生，严防“病从口入病从口入”关口。关口。 3. 认证技术种类认证技术种类(1)(1) 认证技术是计算机网络安全中的一个重要认证技术是计算机网络安全中的一个重要内容，一般可以分为两种：内容，一般可以分为两种： (1) 消息认证消息认证 (2) 身份认证身份认证： 1) 识别识别 2) 验证验证 常用的身份认证技术主要包括：常用的身份认证技术主要包括： (1) 基于秘密信息的身份认证方法基于秘密信息的身份认证方法 1) 口令认证口令认证 2) 单项认证单项认证 3

5、) 双向认证双向认证 4) 零知识认证零知识认证 (2)基于物理安全的身份认证方法基于物理安全的身份认证方法3. 认证技术种类认证技术种类(2)(2) 基于生物学的认证方案基于生物学的认证方案包括包括基于指纹识基于指纹识别的身份认证别的身份认证、基于声音识别的身份认证基于声音识别的身份认证以以及及基于虹膜识别的身份认证基于虹膜识别的身份认证等技术。等技术。 基于智能卡的身份认证机制基于智能卡的身份认证机制在认证时需在认证时需要一个硬件，称为智能卡。智能卡中存有秘要一个硬件，称为智能卡。智能卡中存有秘密信息，通常是一个随机数，只有持卡人才密信息，通常是一个随机数，只有持卡人才能被认证能被认证。

6、认证技术是信息安全理论与技术的一个重要方面。认证技术是信息安全理论与技术的一个重要方面。用户在访问安全系统之前，首先经过身份认证系统识用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控设备，根据用户的身份和授权别身份，然后访问监控设备，根据用户的身份和授权数据库，决定用户是否能够访问某个资源。数据库，决定用户是否能够访问某个资源。 身份认证在安全系统中的地位极其重要，身份认证在安全系统中的地位极其重要，是最基是最基本的安全服务本的安全服务，其他的安，其他的安全服务都要依赖于对用户全服务都要依赖于对用户身份的认证。身份的认证。一般身份认一般身份认证可分为用户与主机间的证可分为用户

7、与主机间的认证和主机与主机之间的认证和主机与主机之间的认证。认证。 目前，计算机及网络系统中常用的身份目前，计算机及网络系统中常用的身份认证方式主要有以下几种：认证方式主要有以下几种：1. 用户名及密码方式用户名及密码方式 用户名及密码方式是最简单也是最常用用户名及密码方式是最简单也是最常用的身份认证方法，的身份认证方法，由用户自己设定，只有用由用户自己设定，只有用户本人知道。只要能够正确输入密码，计算户本人知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。机就认为操作者就是合法用户。 2. 智能卡认证智能卡认证 智能卡是一种内置集成的电路芯片，芯智能卡是一种内置集成的电路芯片，芯片

8、中存有与用户身份相关的数据，智能卡由片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复专门的厂商通过专门的设备生产，是不可复制的硬件。制的硬件。 智能卡由合法用户随身携带，登录时必智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。息，以验证用户的身份。3. 动态令牌认证动态令牌认证 动态口令技术动态口令技术是一种让用户密码按照时是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬一次的技术。它采用一种动态

9、令牌的专用硬件，内置电源、密码生成芯片和显示屏，密件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示。用户时间或使用次数生成当前密码并显示。用户使用时只需要将动态令牌上显示的当前密码使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。输入客户端计算机，即可实现身份认证。4. USB Key认证认证 基于基于USB Key的身份认证方式是近几年的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。发展起来的一种方便、安全的身份认证技术。它它采用软硬件相结合、一次一密的强双

10、因子采用软硬件相结合、一次一密的强双因子认证模式，认证模式，很好地解决了安全性与易用性之很好地解决了安全性与易用性之间的矛盾。间的矛盾。 USB Key内置单片机或智能卡芯片，可内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。内置的密码算法实现对用户身份的认证。 基于基于USB Key身份认证系统主要有两种身份认证系统主要有两种应用模式：应用模式：一是基于冲击一是基于冲击/响应的认证模式，响应的认证模式，二是基于二是基于PKI体系的认证模式。体系的认证模式。 5. 生物识别技术生物识别技术 生物识别技术

11、生物识别技术主要是指通过可测量的身主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技体或行为等生物特征进行身份认证的一种技术。术。生物特征是指唯一的可以测量或可自动生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。识别和验证的生理特征或行为方式。 生物特征分为生物特征分为身体特征身体特征和和行为特征行为特征两类。两类。身体特征包括：身体特征包括：指纹、掌型、视网膜、虹膜、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和人体气味、脸型、手的血管和DNA等；等；行为行为特征包括：特征包括：签名、语音、行走步态等。签名、语音、行走步态等。 6. CA认证认证 CA (C

12、ertification Authority)是认证机是认证机构的国际通称，构的国际通称，它是对数字证书的申请者发它是对数字证书的申请者发放、管理、取消数字证书的机构。放、管理、取消数字证书的机构。 CA 的作用的作用是检查证书持有者身份的合是检查证书持有者身份的合法性，并签发证书法性，并签发证书(用数学方法在证书上签用数学方法在证书上签字字)，以防证书被伪造或篡改。网络身份证的，以防证书被伪造或篡改。网络身份证的发放、管理和认证就是一个复杂的过程，也发放、管理和认证就是一个复杂的过程，也就是就是CA认证。认证。 5.2 登录认证与授权管理登录认证与授权管理1. 单次登录所面临的挑战单次登录所

13、面临的挑战 单次登录单次登录（Single Sign On，简称，简称SSO）是指用户只向网络进行一次身份验证，以后再是指用户只向网络进行一次身份验证，以后再无需另外验证身份，便可访问所有被授权的网无需另外验证身份，便可访问所有被授权的网络资源。络资源。 单次登录技术单次登录技术SSO所面临的所面临的挑战包括几个挑战包括几个方面方面。 (1) 多种应用平台多种应用平台 (2) 不同的安全机制不同的安全机制 (3) 不同的账户服务系统不同的账户服务系统 2. 单次登录的优点单次登录的优点实现单次登录实现单次登录SSO，对于用户的好处主要有：，对于用户的好处主要有：(1) 管理更简单管理更简单(2

14、) 管理控制更方便管理控制更方便(3) 用户使用更快捷用户使用更快捷(4) 更高的网络安全性更高的网络安全性(5) 合并异构网络合并异构网络 1. 认证与授权管理目标认证与授权管理目标(1)(1) 用户认证与认证授权管理目标包括以下用户认证与认证授权管理目标包括以下7个方面：个方面： (1) 目录服务系统是架构的基础模块目录服务系统是架构的基础模块 (2) 身份管理系统是实现不同应用的身份身份管理系统是实现不同应用的身份存储统一管理的基础。存储统一管理的基础。 (3) 认证管理系统并非必须，各系统往往认证管理系统并非必须，各系统往往自带认证模块自带认证模块 。 (4) 访问管理系统因为系统资源

15、的多样性访问管理系统因为系统资源的多样性呈现多种，目前最为成熟的是对呈现多种，目前最为成熟的是对Web资源的访资源的访问管理（称为问管理（称为Web SSO） 1. 认证与授权管理目标认证与授权管理目标(2)(2) (5) 集成平台（门户服务器、应用服务器或集成平台（门户服务器、应用服务器或EAI平台）提供统一入口管理，建议认证管理平台）提供统一入口管理，建议认证管理系统和访问管理系统施加在集成平台上以实现系统和访问管理系统施加在集成平台上以实现统一认证和授权管理。统一认证和授权管理。 (6) 监控服务可以附加在各类平台（集成平监控服务可以附加在各类平台（集成平台、认证管理系统、访问管理系统等

16、）中，也台、认证管理系统、访问管理系统等）中，也可以是独立的产品。可以是独立的产品。 (7) 采用以上架构，可以提供身份信息的统采用以上架构，可以提供身份信息的统一存储和统一管理，并实现身份认证及资源访一存储和统一管理，并实现身份认证及资源访问的集成管理，同时最大程度地保护我行现有问的集成管理，同时最大程度地保护我行现有的的IT投资。投资。 2. 认证授权管理的原则认证授权管理的原则 为达成以上的目标模式，应遵循以下的指为达成以上的目标模式，应遵循以下的指导原则：导原则： (1) 统一规划管理，分步部署实施统一规划管理，分步部署实施 (2) 建立统一的信息安全服务平台，提供统建立统一的信息安全

17、服务平台，提供统一的身份认证和访问管理服务一的身份认证和访问管理服务 (3) 保护现有保护现有IT投资，并便于未来扩展投资，并便于未来扩展5.3.1 数字签名概念及功能数字签名概念及功能1. 数字签名的概念数字签名的概念 数字签名数字签名（Digital Signature）是指用户）是指用户以个人的私钥对原始数据进行加密所得的特殊以个人的私钥对原始数据进行加密所得的特殊数字串。专门用于保证信息来源的真实性、数数字串。专门用于保证信息来源的真实性、数据传输的完整性和防抵赖性。据传输的完整性和防抵赖性。 数字签名在电子银行、证券和电子商务等数字签名在电子银行、证券和电子商务等方面应用非常广泛。方

18、面应用非常广泛。 从法律上讲，从法律上讲，签名有两个功能签名有两个功能，即标识签，即标识签名人和表示签名人对文件内容的认可。名人和表示签名人对文件内容的认可。 2. 数字签名的方法和功能数字签名的方法和功能(1)(1) 实现电子签名的技术手段有多种，需要在实现电子签名的技术手段有多种，需要在确认了签署者的确切身份即经过认证之后，电确认了签署者的确切身份即经过认证之后，电子签名承认人们可以用多种不同的方法签署一子签名承认人们可以用多种不同的方法签署一份电子记录。份电子记录。方法包括：方法包括：基于基于PKI 的公钥密码的公钥密码技术的数字签名；用一个独一无二的以生物特技术的数字签名；用一个独一无

19、二的以生物特征统计学为基础的识别标识；手印、声音印记征统计学为基础的识别标识；手印、声音印记或视网膜扫描的识别；一个让收件人能识别发或视网膜扫描的识别；一个让收件人能识别发件人身份的密码代号、密码或个人识别码件人身份的密码代号、密码或个人识别码PIN；基于量子力学的计算机等。基于量子力学的计算机等。 但比较成熟的、使用方便具有可操作性的、但比较成熟的、使用方便具有可操作性的、在世界先进国家和我国普遍使用的电子签名技在世界先进国家和我国普遍使用的电子签名技术还是术还是基于基于PKI 的数字签名技术。的数字签名技术。 2. 数字签名的方法和功能数字签名的方法和功能(2)(2) 数字签名的功能：数字

20、签名的功能： (1)签名是可信的签名是可信的。文件的接受者相信签名。文件的接受者相信签名者是慎重地在文件上签名的；者是慎重地在文件上签名的； (2)签名不可抵赖签名不可抵赖。发送者事后不能抵赖对。发送者事后不能抵赖对报文的签名，可以核实；报文的签名，可以核实； (3)签名不可伪造签名不可伪造。签名可以证明是签字者。签名可以证明是签字者而不是其他人在文件上签字；而不是其他人在文件上签字； (4)签名不可重用签名不可重用。签名是文件的一部分，。签名是文件的一部分，不可能将签名移动到其它的文件上。不可能将签名移动到其它的文件上。 (5)签名不可变更签名不可变更。签名和文件就不能改变。签名和文件就不能

21、改变，签名和文件也不可分离。，签名和文件也不可分离。 (6)数字签名有一定的处理速度数字签名有一定的处理速度，能够满足，能够满足所有的应用需求。所有的应用需求。1. 手写签名或图章的识别手写签名或图章的识别 即将手写签名或印章作为图像，用光扫描即将手写签名或印章作为图像，用光扫描经光电转换后在数据库中加以存储，当验证此经光电转换后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别的将原数据库中的对应图像调出，用模式识别的数学计算方法对将两者进行比对，以确认该签数学计算方法对将两者进行比对，以确认该签

22、名或印章的真伪。名或印章的真伪。 2. 生物识别技术生物识别技术 生物识别技术是利用人体生物特征进行身生物识别技术是利用人体生物特征进行身份认证的一种技术。份认证的一种技术。 生物特征个人的唯一表征生物特征个人的唯一表征，可以测量、自，可以测量、自动识别和验证。动识别和验证。 人们同识别系统交互进行身份认证时，识人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进别系统获取其特征并与数据库中的特征模板进行比对，确定匹配确认。行比对，确定匹配确认。 3. 密码、密码代号或个人识别码密码、密码代号或个人识别码 是一种传统的对称密钥加是一种传统的对称密钥加/解密的身份识解密的

23、身份识别和签名方法。适用远程网络传输，因对称密别和签名方法。适用远程网络传输，因对称密钥管理困难，不适用于电子签名。钥管理困难，不适用于电子签名。4. 基于量子力学的计算机基于量子力学的计算机 量子计算机是以量子力学原理直接进行计量子计算机是以量子力学原理直接进行计算的计算机，机具有更强大的功能，其计算速算的计算机，机具有更强大的功能，其计算速度要比现代的计算机快几亿倍。量子计算机是度要比现代的计算机快几亿倍。量子计算机是利用一种新的量子密码的编码方法，即利用光利用一种新的量子密码的编码方法，即利用光子的相位特性编码。子的相位特性编码。 5. 基于基于PKI的电子签名的电子签名 数字签名只是电

24、子签名的一种特定形式，数字签名只是电子签名的一种特定形式，基于基于PKI 的电子签名被称作数字签名。的电子签名被称作数字签名。 目前，具有实际意义的电子签名只有公钥目前，具有实际意义的电子签名只有公钥密码理论。所以，国内外普遍目前使用的还是密码理论。所以，国内外普遍目前使用的还是基于基于PKI 的数字签名技术。作为公钥基础设施，的数字签名技术。作为公钥基础设施，PKI 可提供多种网上安全服务，如认证、数据可提供多种网上安全服务，如认证、数据保密性、数据完整性和不可否认性。保密性、数据完整性和不可否认性。 1. 身份认证的实现身份认证的实现(1)(1) PKI 提供的服务首先是认证，即身份识别提

25、供的服务首先是认证，即身份识别与鉴别，就是确认实体即为自己所声明的实与鉴别，就是确认实体即为自己所声明的实体。认证的前提是甲、乙双方都具有第三方体。认证的前提是甲、乙双方都具有第三方CA 所签发的证书。所签发的证书。 认证分单向认证和双向认证。认证分单向认证和双向认证。 1. 身份认证的实现身份认证的实现(2)(2) 双向认证。甲乙双方在网上查询对方证书双向认证。甲乙双方在网上查询对方证书的有效性及黑名单时，采用的有效性及黑名单时，采用LDAP协议协议(Light Directory Access Protocol)，它是一种轻型，它是一种轻型目录访问协议，过程如图所示。目录访问协议，过程如图

26、所示。 2. 数字签名与验证数字签名与验证 网上通信的双方，在互相认证身份之后，网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。即可发送签名的数据电文。 数字签名的全过程分两大部分，即签名与数字签名的全过程分两大部分，即签名与验证。验证。3. 数字签名的操作过程数字签名的操作过程 数字签名的操作过程需要有发方的签名证数字签名的操作过程需要有发方的签名证书的私钥及其验证公钥。书的私钥及其验证公钥。 1. 访问控制的概念访问控制的概念(1)(1) 访问控制访问控制（Visit Control）是指对网络中）是指对网络中的某些资源访问进行的控制，只有被授予不同的某些资源访问进行的控制，只

27、有被授予不同权限的用户，才有资格访问特定的资源、程序权限的用户，才有资格访问特定的资源、程序或数据。为了保护数据的安全性，还可限定一或数据。为了保护数据的安全性，还可限定一些数据资源的读写范围。是在保障授权用户能些数据资源的读写范围。是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机获取所需资源的同时拒绝非授权用户的安全机制。制。网络的访问控制技术是通过对访问的申请、网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制批准和撤销的全过程进行有效的控制。 1. 访问控制的概念访问控制的概念(2)(2) 访问控制是系统保密性、完整性、可用性访问控制是系统保密性、完整性、可

28、用性和合法使用性的基础，是网络安全防范和保护和合法使用性的基础，是网络安全防范和保护的主要策略。其的主要策略。其主要任务主要任务是保证网络资源不被是保证网络资源不被非法使用和非法访问，也是维护网络系统安全、非法使用和非法访问，也是维护网络系统安全、保护网络资源的重要手段。保护网络资源的重要手段。 访问控制是主体依据某些控制策略或权限访问控制是主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。对客体本身或是其资源进行的不同授权访问。 访问控制包括三个要素，即主体、客体和访问控制包括三个要素，即主体、客体和控制策略。控制策略。 1. 访问控制的概念访问控制的概念(3)(3)访问控制

29、策略有访问控制策略有7种种：(1) 入网访问控制策略入网访问控制策略(2) 网络的权限控制策略网络的权限控制策略(3) 目录级安全控制策略目录级安全控制策略(4) 属性安全控制策略属性安全控制策略(5) 网络服务器安全控制策略网络服务器安全控制策略(6) 网络监测和锁定控制策略网络监测和锁定控制策略(7) 网络端口和节点的安全控制策略。网络端口和节点的安全控制策略。 2. 访问控制的内容访问控制的内容 访问控制的实现首先要考虑对合法用户进访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。后要对

30、非法用户或是越权操作进行管理。 访问控制包括认证、控制策略实现和安访问控制包括认证、控制策略实现和安全审计三个方面的内容。全审计三个方面的内容。 1. 访问控制的层次访问控制的层次 一般可以将访问控制分为一般可以将访问控制分为2个层次：个层次：物理物理访问控制和逻辑访问控制访问控制和逻辑访问控制。 通常，通常，物理访问控制物理访问控制包括标准的钥匙、门包括标准的钥匙、门、锁和设备标签等，而、锁和设备标签等，而逻辑访问控制逻辑访问控制则是在数则是在数据、应用、系统和网络等层面实现的。据、应用、系统和网络等层面实现的。 对于银行、证券等重要金融机构的网站，对于银行、证券等重要金融机构的网站，网络信

31、息安全重点关注的是逻辑访问控制，物网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成理访问控制则主要由其他类型的安全部门完成。 2. 访问控制的模式访问控制的模式主要的访问控制模式有三种：主要的访问控制模式有三种：(1)自主访问控制（自主访问控制（DAC）(2)强制访问控制（强制访问控制（MAC）(3)基于角色的访问控制（基于角色的访问控制（RBAC） 3. 访问控制规则访问控制规则(1)访问者访问者 主体对客体的访问可以基于身份，也可以主体对客体的访问可以基于身份，也可以基于角色。即基于角色。即“访问者访问者”可以是身份标识，也可以是身份标识，也可以是角色。从业

32、务角度对系统进行统一的角可以是角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。色定义是实现统一访问管理的最佳实践。(2) 资源资源 对资源的保护应包括两个层面：物理层和对资源的保护应包括两个层面：物理层和逻辑层。逻辑层。(3) 访问控制规则访问控制规则 4. 单点登录的访问管理单点登录的访问管理 根据登录的应用类型不同，可以将单点登根据登录的应用类型不同，可以将单点登录录SSO分为以下分为以下三种类型三种类型： (1) 对桌面资源的统一访问管理对桌面资源的统一访问管理 (2) Web单点登录单点登录 (3) 对传统对传统C/S结构应用的统一访问管理结构应用的统一访问管理

33、1. 安全策略实施原则安全策略实施原则 (1) 最小特权原则最小特权原则 (2) 最小泄漏原则最小泄漏原则 (3) 多级安全策略多级安全策略2. 基于身份的规则的安全策略基于身份的规则的安全策略 建立基于身份安全策略和基于规则安全策建立基于身份安全策略和基于规则安全策略的基础是授权行为。略的基础是授权行为。 (1) 基于身份的安全策略基于身份的安全策略 (2) 基于规则的安全策略基于规则的安全策略 3. 综合访问控制策略综合访问控制策略 访问控制技术的目标访问控制技术的目标是防止对任何资源的是防止对任何资源的非法访问。从应用方面的访问控制策略包括以非法访问。从应用方面的访问控制策略包括以下几个

34、方面。下几个方面。 (1) 入网访问控制入网访问控制 (2) 网络的权限控制网络的权限控制 (3) 目录级安全控制目录级安全控制 (4) 属性安全控制属性安全控制 (5) 网络服务器安全控制网络服务器安全控制 (6) 网络监测和锁定控制网络监测和锁定控制 (7) 网络端口和节点的安全控制网络端口和节点的安全控制 (8) 防火墙控制防火墙控制 1. AAA技术概述技术概述 AAA (Authentication、Authorization和和Accounting，简称，简称AAA)是指认证、鉴权和审是指认证、鉴权和审计，基于计，基于AAA技术的中心认证系统正是用于远技术的中心认证系统正是用于远程

35、用户的管理。程用户的管理。 AAA并非一种具体的实现技术，并非一种具体的实现技术，而是一种而是一种安全体系结构安全体系结构，它所实现的功能用简单形象的，它所实现的功能用简单形象的比喻来说，即：它是谁比喻来说，即：它是谁? 可以做什么可以做什么? 最后做最后做了些什么了些什么? AAA系统提供的服务有认证、鉴权、审计系统提供的服务有认证、鉴权、审计3种种 。 2. 远程鉴权拨入用户服务远程鉴权拨入用户服务 远程鉴权拨入用户服务远程鉴权拨入用户服务(Remote Authentication Dial In User Service，简称，简称RADIUS)，主要用于管理通过远程线路拨入，主要用于

36、管理通过远程线路拨入企业网络获得相应访问资源的分散用户。企业网络获得相应访问资源的分散用户。 当用户想要通过远程网络与网络接入服务当用户想要通过远程网络与网络接入服务器建立连接时，运行器建立连接时，运行RADIUS协议的网络接入协议的网络接入服务器作为客户端负责把用户的认证、鉴权服务器作为客户端负责把用户的认证、鉴权和审计信息发送给事先配置好的和审计信息发送给事先配置好的RADIUS服务服务器。器。 RADIUS服务器同时根据用户的动作进行服务器同时根据用户的动作进行审计并记录其计费信息。审计并记录其计费信息。 3. 终端访问控制器访问控制系统终端访问控制器访问控制系统 终端访问控制器访问控制

37、系统终端访问控制器访问控制系统TACACS（Terminal Access Controller Access Control System）的功能是通过一个或多个）的功能是通过一个或多个中心服务器为网络设备提供访问控制服务。中心服务器为网络设备提供访问控制服务。 TACACS是是Cisco私有的协议，它支持独私有的协议，它支持独立的身份认证、鉴权和审计功能。立的身份认证、鉴权和审计功能。 5.5 安全审计技术安全审计技术1. 安全审计的概念及目的安全审计的概念及目的 计算机网络安全审计（计算机网络安全审计（Audit）是通过一）是通过一定的定的安全策略安全策略，利用记录及分析系统活动和用，利

38、用记录及分析系统活动和用户活动的历史操作事件，按照顺序检查、审查户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，其中和检验每个事件的环境及活动，其中系统活动系统活动包括操作系统和应用程序进程的活动；包括操作系统和应用程序进程的活动；用户活用户活动动包括用户在操作系统中和应用程序中的活动，包括用户在操作系统中和应用程序中的活动，如用户使用何种资源、使用的时间、执行何种如用户使用何种资源、使用的时间、执行何种操作等方面，发现系统的漏洞和入侵现为并改操作等方面，发现系统的漏洞和入侵现为并改进系统的性能和安全。进系统的性能和安全。安全审计就是对系统的安全审计就是对系统的记录与行为进

39、行独立的审查与估计。记录与行为进行独立的审查与估计。 2. 安全审计的类型安全审计的类型 安全审计有三种类型：安全审计有三种类型： (1) 系统级审计系统级审计 (2) 应用级审计应用级审计 (3) 用户级审计用户级审计 3. 安全审计系统的基本结构安全审计系统的基本结构 安全审计是通过对所关心的事件进行记录安全审计是通过对所关心的事件进行记录和分析来实现的，因此和分析来实现的，因此审计过程包括审计发生审计过程包括审计发生器、日志记录器、日志分析器和报告机制器、日志记录器、日志分析器和报告机制几部几部分，如图所示。分，如图所示。 1. 系统日志的内容系统日志的内容 系统日志的内容包括日志系统可

40、根据安系统日志的内容包括日志系统可根据安全的强度要求，选择记录下列部分或全部的全的强度要求，选择记录下列部分或全部的事件。事件。 (1) 审计功能的启动和关闭。审计功能的启动和关闭。 (2) 使用身份验证机制。使用身份验证机制。 (3) 将客体引入主体的地址空间。将客体引入主体的地址空间。 (4) 删除客体。删除客体。 (5) 管理员、安全员、审计员和一般操作管理员、安全员、审计员和一般操作人员的操作。人员的操作。 (6) 其他专门定义的可审计事件。其他专门定义的可审计事件。 2. 安全审计的记录机制安全审计的记录机制 不同的系统可以采用不同的机制记录日志。不同的系统可以采用不同的机制记录日志

41、。日志的记录可以由操作系统完成，也可以由应用日志的记录可以由操作系统完成，也可以由应用系统或其他专用记录系统完成。系统或其他专用记录系统完成。 通常，大部分情况都采用系统调用通常，大部分情况都采用系统调用Syslog方式记录日志，也可以用方式记录日志，也可以用SNMP记录。记录。 3. 日志分析日志分析 日志分析就是在日志中寻找模式，主要日志分析就是在日志中寻找模式，主要内容如下：内容如下： (1) 潜在侵害分析潜在侵害分析 (2) 基于异常检测的轮廓基于异常检测的轮廓 (3) 简单攻击探测简单攻击探测 (4) 复杂攻击探测复杂攻击探测 4. 审计事件查阅审计事件查阅 审计系统的安全主要是查阅和存储的安审计系统的安全主要是查阅和存储的安全。全。审计事件的查阅应该受到严格的限制，审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次保不能篡改日志。通常通过以下不同的层次保证查阅的安全：证查阅的安全： (1) 审计查阅审计查阅 (2) 有限审计查阅有限审计查阅 (3) 可选审计查阅可选审计查阅5. 审计事件存储审计事件存储 审计事件的存储也有安全要求，具体有如审计事件的存储也有安全要求，具体有如下几种情况。下几种