认证与访问控制（崔永泉）认证与访问控制第一章-概述.ppt

* 可恢复的连接完整性：该服务对一个连接上的所有用户数据的完整性提供保障，而且对任何服务数据单元的修改、插入、删除或重放都可使之复原。? 无恢复的连接完整性：该服务除了不具备恢复功能之外，其余同前。? 选择字段的连接完整性：该服务提供在连接上传送的选择字段的完整性，并能确定所选字段是否已被修改、插入、删除或重放。? 无连接完整性：该服务提供单个无连接的数据单元的完整性，能确定收到的数据单元是否已被修改。? 选择字段无连接完整性：该服务提供单个无连接数据单元中各个选择字段的完整性，能确定选择字段是否被修改。? 数据报文鉴别之———完整性(integrity) * 数据报鉴别之——不可否认性(nonrepudiation) 当发方发送信息时，收方能够证明信息源是合法的； 当收方接到信息时，发方能够证明信息目的地是合法的。 为作到这一点，发放发送信息时要有发方的签名，收方应发收方签名的回执， 不得否认发送：这种服务向数据接收者提供数据源的证据，从而可防止发送者否认发送过这个数据。? 不得否认接收：这种服务向数据发送者提供数据已交付给接收者的证据，因而接收者事后不能否认曾收到此数据。? * Page: * 用户身份认证 在互联网上，没人知道你是一条狗”（On the Internet, nobody knows youre a dog）是一句互联网上的常用语，因为作为《纽约客》1993年7月5日刊登的一则由彼得·施泰纳（Peter Steiner）创作的漫画的标题而变得流行。这则漫画中有两只狗：一只坐在计算机前的一张椅子上，与坐在地板上的另一只狗说漫画的标题：“在互联网上，没人知道你是一条狗”。时至2000年，这一漫画是《纽约客》中被重印最多的一则漫画，施泰纳因为此漫画的重印而赚取了超过50000美元。 * Page: * 用户身份认证解决什么问题？ 在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。 认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员，某个组织的代理、某个软件过程（如交易过程）。 认证( authentication )是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization )不同。 AAAA：安全体系 Account：用户账号 Authentication：认证 Authorization：授权 Audit：审计 * 认证与访问控制 华中科技大学计算机学院 信息安全研究室 崔永泉 办公室：南一楼607 邮箱 电话： * 第一部分：数字鉴别与认证 认证与访问控制概念（2学时） 数字鉴别协议与机制（4学时） 身份鉴别协议与机制（2学时） Kerberos协议（2学时） PKI系统与数字签名（4学时） SSL协议（2学时） * 第二部分：访问控制技术 访问控制基础知识（2学时） 安全策略与安全模型（2学时） 自主访问控制与强制访问控制（4学时） 基于角色访问控制与管理模型（8学时） 访问控制实例（2学时） 多域的访问控制技术（4学时） 总结（2学时） * Page: * 提纲 信息系统面临的主要威胁 信息系统的脆弱性 信息安全的目标与体系结构 信息安全研究的内容 认证与访问控制 * Page: * 网络占据主导地位 故天将降大任于是人也，必先苦其心志，劳其筋骨，饿其体肤，空乏其身，行拂乱其所为，所以动心忍性，曾益其所不能。《生于忧患，死于安乐》 选自《孟子》 天将降大任于斯人，必先卸其QQ，封其微博，删其微信，去其贴吧，收其电脑，夺其手机，摔其ipad，断其wifi，剪其网线，使其百无聊赖。然后静坐、喝茶、思过、锻炼、读书、弹琴、练字、明智、开悟、精进，而后必成大器也。什么？都做不到！ * Page: * 信息系统面临的主要威胁 信息安全包括数据安全和系统安全 数据安全受到多方面的威胁 设信息是从源地址流向目的地址，那么正常的信息流向是： 信息源 信息目的地 * Page: * 信息系统面临的主要威胁 安全威胁的因素分类 主动威胁（攻击） 人为的恶意攻击 被动威胁（攻击） 软硬件故障、用户操作失误 两者对比 主动攻击的威胁程度和防范难度高于被动威胁 相对的 如：因软件编码错误导致的严重后果 * Page: * 信息系统面临的主要威胁 安全威胁的方式分类(1) 窃取 非法用户(甚至合法用户)未经许可却直接或间接获取系统某项资源的访问权，但不对内容作任何修改——属被动攻击 防范措施 运用加密技术，形成加密通道 篡改 未经授权的用户(合法/非法用户)获得对某项资源的访问权之后，对信息的全部或部分进行肆意修改、删除、添加，改变其中内容的次序或形式，改变信息的流