电子商务安全(第二版)第09章电子商务中的身份认证和访问控制_第1页
电子商务安全(第二版)第09章电子商务中的身份认证和访问控制_第2页
电子商务安全(第二版)第09章电子商务中的身份认证和访问控制_第3页
电子商务安全(第二版)第09章电子商务中的身份认证和访问控制_第4页
电子商务安全(第二版)第09章电子商务中的身份认证和访问控制_第5页
已阅读5页,还剩19页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:本章主要内容:)学习目标1熟知安全电子商务系统的逻辑结构2理解身份认证和访问控制的原理3熟悉各种常见的访问控制策略4掌握各种访问控制的实现方式5了解RBAC在公钥密码系统 的实现模型电子商务安全 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模

2、型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.1 身份认证和访问控制概述9.1.1 安全电子商务系统结构 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全

3、电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.1.2 身份认证身份识别是指用户向系统出示自己的身份证明过程。身份认证是系统查核用户身份证明的过程。通常把这两项工作称为身份认证,是判明和确认通信双方真实身份的两个重要环节。身份认证的本质是被认证方有一些信息(无论是一些机密信息,还是一些个人持有的特殊硬件或个人特有的生物学信息),除被认证方自己外,任何第三方(在有些需要认证权威的方案中,认证权威除外)都不能伪造。被认证方能够使认证方相信他确实拥有那些机密(无论是将那些信息出示给认证方或采用零知识证明的方法),则他的身份就得到了认证。 第9章 电子商务中的身份认证和

4、访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.1.2 身份认证一般而言,身份认证的依据可以分为三种:(1)用户所知道的某种信息;(2)用户拥有的某种物品;(3)用户具有的某种特征。身份认证系统的认证过程分为用户与系统间的身份认证和系统与系统之间的认证。身份认证机制主要用于用户与系统之间的身份认证,身份认证协议主要用于系统与系统之

5、间的身份认证,一个身份认证系统的安全性和可靠性是由其采用的身份认证机制和身份认证协议共同决定的。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.1.2 身份认证身份认证机制1. 非密码的认证机制 口令机制提问/应答机制基于智能卡的用户身份认证机制一次性口令2. 基于密码算法的认证机制 基于对称密码技

6、术的 最简单的身份认证基于公开密码算法的认证机制密码校验函数机制 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.1.3 访问控制访问控制的主要过程可具体描述如下:(1)规定需要保护的资源,即系统中被处理、被控制或被访问的对象,也就是确定客体。(2)规定可以访问该资源的实体或主体。(3)规定可对该资源

7、执行的动作,如读、写、执行或不许访问等。(4)通过确定每个实体可对哪些资源执行哪些动作来确定该安全方案。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2 访问控制策略9.2.1自主访问控制策略(DAC)自主是指对其他主体具有授予某种访问控制权限的主体,它可以根据自己的意愿将某个子集授予其他主体或者

8、从其他主体那里收回它所授予的权限。在美国计算机安全标准TCSEC中,关于自主访问控制的定义是这样的:DAC是一种访问机制,它授权系统用户允许或者拒绝其他用户去访问系统控制的目标。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2 访问控制策略9.2.1自主访问控制策略(DAC)DAC的思想是将用户作

9、为客体的拥有者,用户可以自主决定其他的哪些用户可以以哪种方式访问他所拥有的客体。DAC的实现方法一般是建立系统访问控制矩阵,矩阵的行对应系统的主体,矩阵的列对应系统的客体,元素表示主体对客体的访问权限,为了提高系统性能,在实际应用中常常是建立基于行或列的访问控制方法。访问控制列表(ACL)是实现自主访问控制的最好的方法,访问控制系统通过检测ACL来决定访问是否被授权或拒绝。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问

10、控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2 访问控制策略9.2.1自主访问控制策略(DAC)DAC是通过数据用户的判断和选择来完成的。在一个对等结构中共享资源的能力允许用户自由控制,并且尽可能的提供对信息或资源的访问。系统用户允许其他用户进行普通的、无限制的访问,或者他们可以允许特定的人员或者人员组来访问这些资源。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略

11、(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2 访问控制策略DAC的安全隐患DAC是一种比较宽松的访问控制,DAC根据用户的身份及允许访问权限决定其访问操作,这种访问控制机制的灵活性较高,被广泛地用在商业领域,尤其是在操作系统和关系数据库系统上。然而,也正是由于这种灵活性使信息安全性能有所降低。(1)某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限,就可能破坏系统的安全性。(2)一个主体的访问权限具有传递性,即用户先登录,然后启动某个进程为该用户做某个工作,这个进程就继承了该用

12、户的属性,包括访问权限,这种权限的传递可能会给系统带来安全隐患。因为,一旦访问权被传递出去将难以控制,使访问权的管理相当困难,会带来严重的安全问题。(3)DAC机制易受到特洛伊木马的攻击。(4)在大型系统中,主客体的数量巨大,使用DAC将使系统开销大到难以支付的地步。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:

13、电子商务安全9.2.2强制访问控制策略(MAC)1)强制访问控制原理强制访问控制就是一种基于格的访问控制,使用了一种基于格(格(SC)定义:SC是一个离散的安全级的有限集合)的偏序关系实施信息流的单向流动(SC中存在一个最低安全级,记作Low,对于任意ASC,Low A。Low安全级信息允许向任何安全级流动。类似,SC中也存在一个最高安全级,记作High,对于任意ASC,A High。High级信息不能离开安全级High。),从而保证信息的完整性和保密性。MAC最基本的特征是通过给主体和客体指定安全级别,通常由敏感标记来确定主客体的安全级别高低,安全级别包含两个元素:密级和范畴。在主体上的敏感

14、标记称为安全许可,在客体上的敏感标记称为安全类别。主体的安全级别用于反映主体的可信度,客体的安全级别反映客体所含信息的敏感程度。MAC的本质是基于格的非循环单向信息流政策,通过无法回避的存取限制来阻止直接或间接的非法入侵。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2.2强制访问控制策略(MAC

15、)2)MAC的控制原则MAC的控制原则为:不向上读和不向下写。即对于读操作,仅当主体的安全类别包含客体的安全类别且主体的安全等级大于或等于客体的安全等级时,主体才能对客体进行读操作;对于写操作,仅当主体的安全类别包含客体的安全类别且主体的安全等级小于或等于客体的安全等级时,主体才能对客体进行写操作。访问模式包括:下读(read down):主体的安全级别大于客体安全级别的读操作;上读(read up):主体的安全级别小于客体安全级别的读操作;上写(write up):主体的安全级别小于客体安全级别的写操作;下写(write down):主体的安全级别等于客体安全级别的写操作。MAC的控制原则是

16、不允许低信任级别的用户读高敏感度的信息,也不允许高敏感度的信息写入低敏感度的区域,即禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全的方式实现信息的单向流通。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2.2强制访问控制策略(MAC)3)MAC的缺陷MAC同样有一些弱点:对用户恶意泄露信

17、息无能为力;虽然MAC增强了信息的机密性,但不能实施完整性控制,而网络应用对信息的完整性有较高的要求,因此,MAC可能无法胜任某些网络应用;在MAC系统中,实现单向信息流的前提是系统中不存在逆向潜通道,否则会导致信息违反规则的流动,这就给信息留下了安全的漏洞;此外,MAC过于强调保密性,对系统的授权管理不便,不够灵活。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统

18、结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2.3 基于角色的访问控制策略(RBAC)RBAC的基本思想是:将用户划分成与其职能和职位相符合的角色,将权限授予角色而不是授予主体,主体通过角色分派得到客体操作权限,从而实现授权。在RBAC中,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系,角色可以根据实际的工作需要生成或取消,而用户可以根据自己的需要动态的激活自己拥有的角色,这样就减少了授权管理的复杂性,降低了管理开销,为管理员提供了一个比较好的实现安全政策的环境。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公

19、钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2.3 基于角色的访问控制策略(RBAC)核心RBAC模型(core RBAC)是最基本的RBAC模型,如图97所示,是其他RBAC模型的基础。它定义了RBAC模型的基本元素和各元素之间的关系。其中,用户:U;角色:R;权限:P。用户角色分配UA和角色权限分配PA都可以是多对多关系,即同一个用户可以有多个角色,一个角色可分配给多个用户;同

20、时,一个角色可以拥有多个权限,一个权限可被多个角色所拥有。用双箭头表示多对多关系。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2.3 基于角色的访问控制策略(RBAC)RBAC96模型 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合

21、PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.2.3 基于角色的访问控制策略(RBAC)分布式角色管理模型ARBAC97 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认

22、证和访问控制概述复习思考题身份认证:目录:电子商务安全9.3 访问控制实现9.3.1 RBAC的实现RBAC是一个概念模型,在实现时可以有多种方式,并且常在以下几个层次实现:(1)操作系统(2)数据库(3)应用程序(4)Web方式下的实现。在企业环境中的访问控制方法(1)自主型访问控制方法。目前在我国大多数的信息系统中的访问控制模块中基本是借助于自主型访问控制方法中的访问控制列表(ACLs)。(2)强制型访问控制方法。用于多层次安全级别的军事应用。(3)基于角色的访问控制方法(RBAC),是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是:减小授权管理的复杂性,降低管理开

23、销。灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.3.2 结合PKI的RBAC实现方式在我们构建和实施一个电子商务安全系统时,主要解决的是五大安全问题:身份认证服务,访问控制服务,数据保密性服务,数据完整性服务,不可否认服务。其中,身份认证和

24、访问控制完成的是如何安全有效的对系统中的资源进行保护。PKI系统很好地解决了身份认证、数据保密性、数据完整性和不可否认服务等问题;RBAC技术则有效地解决了访问控制问题,将两者有机的结合起来就为解决电子商务系统中的安全问题提供了一个有效的途径。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.3.2

25、结合PKI的RBAC实现方式 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.4* RBAC在公钥密码系统的实现模型9.4.1 权限系统权限系统的核心由三部分构成:创造权限、分配权限和使用权限。系统各部分的主要参与者对照如下:创造权限creator创造;分配权限administrator分配;使用权限

26、user使用。 第9章 电子商务中的身份认证和访问控制本章小结访问控制实现授权管理设施模型RBAC在公钥密码系统的实现模型结合PKI的RBAC实现方式权限系统RBAC的实现强制访问控制策略(MAC)自主访问控制策略(DAC)基于角色的访问控制策略(RBAC)访问控制策略访问控制安全电子商务系统结构身份认证和访问控制概述复习思考题身份认证:目录:电子商务安全9.4.2授权管理设施模型授权管理基础设施PMI(privilege management infrastructure)是国家信息安全基础设施(national information security infrastructure,NISI)的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。授权管理基础设施PMI是一个由属性证书、属性权威、属性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论