计算机网络安全教程 第6章 身份认证与访问控制.ppt

计算机网络安全教程 身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段，通常是将某个身份与某个主体进行确认并绑定。 重点内容： 身份认证 访问控制 访问控制类型 访问控制机制 第6章 身份认证与访问控制 一、身份认证 通常身份认证由两类实体组成： 用户： 一类实体是用户，他们要向另一类实体证明自己的身份； 验证者： 另一类实体是验证者，他们要验证用户的身份。 验证一个人的身份主要通过三种方式： What you know What you have Who you are 1、身份认证概述 一、身份认证 用户名/密码方式 IC卡认证 生物特征认证 USB Key认证 动态口令/动态密码 数字签名 2、身份认证常用技术 一、身份认证 RADIUS认证机制 基于DCE/Kerberos的认证机制 基于公共密钥的认证机制 基于挑战/应答的认证机制 3、常用身份认证机制 一、身份认证 访问控制技术可以限制对计算机关键资源的访问，防止非法用户进入系统和合法用户对系统资源的非法使用。 访问控制的手段包括： 代码 口令 登录控制 资源授权（例如用户配置文件、资源配置文件和控制列表） 授权核查 日志和审计 1、访问控制概述 二、访问控制 主要目标 机密性要求 完整性要求 可审计性 可用性 三大要素 主体 客体 控制策略 访问控制的实现 认证 控制策略的具体实现 审计 2、访问控制基本要素 二、访问控制 主流访问控制技术有：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC） 自主型访问控制(DAC) 基于个人的策略 基于组的策略 强制型访问控制(MAC) 增加对资源的属性划分 比自主房间控制更加严格的访问控制策略 用户和客体资源都被赋予一定的安全级别 不能有效地抵抗计算机病毒的攻击 基于角色的访问控制(RBAC） 角色继承项目 最小权限原则 职责分离原则 三、访问控制类型 访问控制列表（Access Control List，ACL） 身份 文件属主 用户组 文件属主 及用户组成员对文件的访问权限 能力（Capabilities）机制 读 写 执行 安全标签机制 标签大小限制 如何对主题分配访问权 决定可访问某客体的所有主体 四、访问控制机制 计算机网络安全教程