身份認證、訪問控制與系統(tǒng)審計ppt課件

1、 第 8 章 身份認證、訪問控制與系統(tǒng)審計Network and Information Security.Network and Information Security圖8-1 經典平安模型 8.1 計算機平安模型 .Network and Information Security經典平安模型包含如下根本要素：(1) 明確定義的主體和客體；(2) 描畫主體如何訪問客體的一個授權數(shù)據庫；(3) 約束主體對客體訪問嘗試的參考監(jiān)視器；(4) 識別和驗證主體和客體的可信子系統(tǒng)；(5) 審計參考監(jiān)視器活動的審計子系統(tǒng)。.Network and Information Security可以看出，這里為

2、了實現(xiàn)計算機系統(tǒng)平安所采取的根本平安措施，即平安機制有身份認證、訪問控制和審計。 參考監(jiān)視器是主體/角色對客體進展訪問的橋梁.身份識別與驗證，即身份認證是主體/角色獲得訪問授權的第一步，這也是早期黑客入侵系統(tǒng)的突破口。訪問控制是在主體身份得到認證后，根據平安戰(zhàn)略對主體行為進展限制的機制和手段。審計作為一種平安機制，它在主體訪問客體的整個過程中都發(fā)揚著作用，為平安分析提供了有利的證據支持。它貫穿于身份認證、訪問控制的前前后后。同時，身份認證、訪問控制為審計的正確性提供保證。它們之間是互為制約、相互促進的。 .Network and Information Security圖8-2 平安機制.Ne

3、twork and Information Security訪問控制模型根本構造.Network and Information Security8.2 身份認證在有平安需求的運用系統(tǒng)中，識別用戶的身份是系統(tǒng)的根本要求，身份認證是平安系統(tǒng)中不可短少的一部分，也是防備入侵的第一道防線。身份認證的方法多種多樣，其平安強度也各不一樣，詳細方法可歸結為3類：根據用戶知道什么,擁有什么,是什么來進展認證。.Network and Information Security8.2.1 用戶名和口令認證經過用戶名和口令進展身份認證是最簡單，也是最常見的認證方式，但是認證的平安強度不高。一切的多用戶系統(tǒng)、網絡效

4、力器、Web的電子商務等系統(tǒng)都要求提供用戶名或標識符ID，還要求提供口令。系統(tǒng)將用戶輸入的口令與以前保管在系統(tǒng)中的該用戶的口令進展比較，假設完全一致那么以為認證經過，否那么不能經過認證。根據處置方式的不同，有3種方式：口令的明文傳送、利用單向散列函數(shù)處置口令、利用單向散列函數(shù)和隨機數(shù)處置口令，這3種方式的平安強度依次增高，處置復雜度也依次增大。.Network and Information Security1口令以明文方式傳送時，沒有任何維護 .Network and Information Security2 為防止口令被竊聽，可用單向散列函數(shù)處置口令，傳輸口令的散列值，而不傳輸口令本身。

5、 傳輸口令的散列值也存在不平安要素，黑客雖然不知道口令的原文，但是他可以截獲口令的散列值，直接把散列值發(fā)送給驗證效力器，也能驗證經過，這是一種重放攻擊。.Network and Information Security3 為處理重放攻擊，效力器首先生成一個隨機數(shù)并發(fā)給用戶，用戶把口令散列值與該隨機數(shù)銜接或異或后再用單向散列函數(shù)處置一遍，把最后的散列值發(fā)給效力器。 .Network and Information Security8.2.2 令牌和USB key認證令牌實踐上就是一種智能卡，私鑰存儲在令牌中，對私鑰的訪問用口令進展控制。令牌沒有物理接口，無法與計算機銜接，運用總是不方便 . 可以

6、用USB key替代。USB key經過USB接口直接銜接在計算機上，不需求用戶手動鍵入數(shù)據，比令牌方便得多。.Network and Information Security8.2.3 生物識別認證運用生物識別技術的身份認證方法 ，主要是根據用戶的圖像、指紋、氣味、聲音等作為認證數(shù)據。在平安性要求很高的系統(tǒng)中，可以把這3種認證方法結合起來，到達最高的平安性。.Network and Information Security8.3 訪 問 控 制 在計算機平安防御措施中，訪問控制是極其重要的一環(huán)，它是在身份認證的根底上，根據身份的合法性對提出的資源訪問懇求加以控制。.Network and I

7、nformation Security 8.3.1 根本概念廣義地講， 一切的計算機平安都與訪問控制有關。實踐上RFC 2828 定義計算機平安如下：用來實現(xiàn)和保證計算機系統(tǒng)的平安效力的措施， 特別是保證訪問控制效力的措施。訪問控制(Access Control)是指主體訪問客體的權限或才干的限制，以及限制進入物理區(qū)域(出入控制)和限制運用計算機系統(tǒng)和計算機存儲數(shù)據的過程(存取控制)。在訪問控制中，主體是訪問的發(fā)起者，訪問客體的活動資源，通常為進程、程序或用戶?？腕w那么是指對其訪問必需進展控制的資源，客體普通包括各種資源，如文件、設備、信號量等。訪問控制中的第三個元素是維護規(guī)那么，它定義了主體

8、與客體之間能夠的相互作用途徑。.Network and Information Security維護域的概念。每一主體(進程)都在一特定的維護域下任務，維護域規(guī)定了進程可以訪問的資源。每一域定義了一組客體及可以對客體采取的操作。可對客體操作的才干稱為訪問權(Access Right)，訪問權定義為有序對的方式。 一個域是訪問權的集合。如域X有訪問權，那么在域X下運轉的進程可對文件A執(zhí)行讀寫，但不能執(zhí)行任何其它的操作。 維護域并不是彼此獨立的。它們可以有交叉，即它們可以共享權限。域X和域Y對打印機都有寫的權限，從而產生了訪問權交叉景象。.Network and Information Secur

9、ity圖8-3 有重疊的維護域.Network and Information Security 根據訪問控制戰(zhàn)略的不同，訪問控制普通分為自主訪問控制、強迫訪問控制、基于角色的訪問控制、基于義務的訪問控制、運用控制等 。自主訪問控制是以前計算機系統(tǒng)中實現(xiàn)較多的訪問控制機制，它是根據訪問者的身份和授權來決議訪問方式的。強迫訪問控制是將主體和客體分級，然后根據主體和客體的級別標志來決議訪問方式?！皬娖戎饕磉_在系統(tǒng)強迫主體服從訪問控制戰(zhàn)略上?；诮巧脑L問控制的根本思想是：授權給用戶的訪問權限通常由用戶在一個組織中擔當?shù)慕巧珌泶_定。它根據用戶在組織內所處的角色作出訪問授權和控制，但用戶不能自主地將

10、訪問權限傳給他人。.Network and Information Security 8.3.2 自主訪問控制 自主訪問控制又稱恣意訪問控制(Discretionary Access Control，DAC)，是指根據主體身份或者主體所屬組的身份或者二者的結合，對客體訪問進展限制的一種方法。 它是訪問控制措施中常用的一種方法，這種訪問控制方法允許用戶可以自主地在系統(tǒng)中規(guī)定誰可以存取它的資源實體，即用戶(包括用戶程序和用戶進程)可選擇同其它用戶一同共享某個文件。 .Network and Information Security 在各種以自主訪問控制機制進展訪問控制的系統(tǒng)中，存取方式主要有：讀(

11、read)，即允許主體對客體進展讀和拷貝的操作；寫(write)，即允許主體寫入或修正信息，包括擴展、緊縮及刪除等；執(zhí)行(execute)，就是允許將客體作為一種可執(zhí)行文件運轉，在一些系統(tǒng)中該方式還需求同時擁有讀方式；空方式(null)，即主體對客體不具有任何的存取權。 自主訪問控制缺陷.Network and Information Security自主訪問控制的詳細實施可采用以下四種方法。(1) 目錄表(Directory List)在目錄表訪問控制方法中借用了系統(tǒng)對文件的目錄管理機制，為每一個欲實施訪問操作的主體，建立一個能被其訪問的“客體目錄表(文件目錄表)。例如某個主體的客體目錄表能

12、夠為：客體1:權限1 客體2:權限2 客體n:權限n 。當然，客體目錄表中各個客體的訪問權限的修正只能由該客體的合法屬主確定，不允許其它任何用戶在客體目錄表中進展寫操作，否那么將能夠出現(xiàn)對客體訪問權的偽造。操作系統(tǒng)必需在客體的擁有者控制下維護一切的客體目錄。.Network and Information Security目錄表訪問控制機制的優(yōu)點是容易實現(xiàn)，每個主體擁有一張客體目錄表，這樣主體能訪問的客體及權限就一目了然了，根據該表對主體和客體的訪問與被訪問進展監(jiān)視比較簡便。缺陷之一是系統(tǒng)開銷、浪費較大，這是由于每個用戶都有一張目錄表，假設某個客體允許一切用戶訪問，那么將給每個用戶逐一填寫文件

13、目錄表，因此會呵斥系統(tǒng)額外開銷；二是由于這種機制允許客體屬主用戶對訪問權限實施傳送并可多次進展，呵斥同一文件能夠有多個屬主的情形，各屬主每次傳送的訪問權限也難以一樣，甚至能夠會把客體改用別名，因此使得能越權訪問的用戶大量存在，在管理上繁亂易錯。.Network and Information Security(2) 訪問控制列表(Access Control List)訪問控制列表的戰(zhàn)略正好與目錄表訪問控制相反，它是從客體角度進展設置的、面向客體的訪問控制。每個客體有一個訪問控制列表，用來闡明有權訪問該客體的一切主體及其訪問權限。訪問控制列表方式的最大優(yōu)點就是能較好地處理多個主體訪問一個客體的

14、問題，不會像目錄表訪問控制那樣因授權繁亂而出現(xiàn)越權訪問。缺陷是由于訪問控制列表需占用存儲空間，并且由于各個客體的長度不同而出現(xiàn)存放空間碎片，呵斥浪費；每個客體被訪問時都需求對訪問控制列表從頭到尾掃描一遍，影響系統(tǒng)運轉速度和浪費了存儲空間。 .Network and Information Security(3) 訪問控制矩陣(Access Control Matrix)訪問控制矩陣是對上述兩種方法的綜合。存取控制矩陣模型是用形狀和形狀轉換進展定義的，系統(tǒng)和形狀用矩陣表示，形狀的轉換那么用命令來進展描畫。直觀地看，訪問控制矩陣是一張表格，每行代表一個用戶(即主體)，每列代表一個存取目的(即客體)

15、，表中縱橫對應的項是該用戶對該存取客體的訪問權集合(權集)。訪問控制矩陣原理表示圖 .Network and Information Security籠統(tǒng)地說，系統(tǒng)的訪問控制矩陣表示了系統(tǒng)的一種維護形狀，假設系統(tǒng)中用戶發(fā)生了變化，訪問對象發(fā)生了變化，或者某一用戶對某個對象的訪問權限發(fā)生了變化，都可以看作是系統(tǒng)的維護形狀發(fā)生了變化。由于訪問控制矩陣模型只規(guī)定了系統(tǒng)形狀的遷移必需有規(guī)那么，而沒有規(guī)定是什么規(guī)那么，因此該模型的靈敏性很大，但卻給系統(tǒng)埋下了潛在的平安隱患。 .Network and Information Security強迫訪問控制(Mandatory Access Control，

16、MAC)是根據客體中信息的敏感標簽和訪問敏感信息的主體的訪問等級，對客體的訪問實行限制的一種方法。它主要用于維護那些處置特別敏感數(shù)據(例如，政府嚴密信息或企業(yè)敏感數(shù)據)的系統(tǒng)。在強迫訪問控制中，用戶的權限和客體的平安屬性都是固定的，由系統(tǒng)決議一個用戶對某個客體能否進展訪問。所謂“強迫，就是平安屬性由系統(tǒng)管理員人為設置，或由操作系統(tǒng)自動地按照嚴厲的平安戰(zhàn)略與規(guī)那么進展設置，用戶和他們的進程不能修正這些屬性。 8.3.3 強迫訪問控制.Network and Information Security圖8-7 強迫訪問控制.Network and Information Security 8.3.4

17、 基于角色的訪問控制基于角色的訪問控制(Role-Based Access Control，RBAC)的中心思想就是：授權給用戶的訪問權限通常由用戶在一個組織中擔當?shù)慕巧珌泶_定。 引入了“角色這一重要的概念，所謂“角色，是指一個或一群用戶在組織內可執(zhí)行的操作的集合。這里的角色就充任著主體(用戶)和客體之間的關系的橋梁。這是與傳統(tǒng)的訪問控制戰(zhàn)略的最大區(qū)別所在。.Network and Information Security圖8-8 基于角色的訪問控制一個主體可以具有多個角色，一個角色可以分給多個主體；一個角色可以訪問多個客體，一個客體可以被多個角色訪問 .Network and Informa

18、tion Security 基于角色的訪問控制有以下五個特點。 1) 以角色作為訪問控制的主體 用戶以什么樣的角色對資源進展訪問，決議了用戶擁有的權限以及可執(zhí)行何種操作。 2) 角色承繼 為了提高效率，防止一樣權限的反復設置，RBAC采用了“角色承繼的概念，定義的各類角色，它們都有本人的屬性，但能夠還承繼其它角色的屬性和權限。角色承繼把角色組織起來，可以很自然地反映組織內部人員之間的職權、責任關系。 .Network and Information Security圖8-8 角色承繼.Network and Information Security 3) 最小特權原那么(Least Privi

19、lege Theorem) 最小特權原那么是系統(tǒng)平安中最根本的原那么之一。所謂最小特權，是指“在完成某種操作時所賦予網絡中每個主體(用戶或進程)的必不可少的特權。 最小特權原那么那么是指“應限定網絡中每個主體所必需的最小特權，確保由于能夠的事故、錯誤、網絡部件的篡改等緣由呵斥的損失最小。 換句話說，最小特權原那么是指用戶所擁有的權益不能超越他執(zhí)行任務時所需的權限。 .Network and Information Security在RBAC中，可以根據組織內的規(guī)章制度、職員的分工等設計擁有不同權限的角色，只需角色執(zhí)行所需求的才授權給角色。 當一個主體需訪問某資源時，假設該操作不在主體當前所扮演

20、的角色授權操作之內，該訪問將被回絕。 最小特權原那么一方面給予主體“必不可少的特權，這就保證了一切的主體都能在所賦予的特權之下完成所需求完成的義務或操作；另一方面，它只給予主體“必不可少的特權，這就限制了每個主體所能進展的操作。 .Network and Information Security 4) 職責分別主體與角色的分別 對于某些特定的操作集，某一個角色或用戶不能夠同時獨立地完成一切這些操作。“職責分別可以有靜態(tài)和動態(tài)兩種實現(xiàn)方式。靜態(tài)職責分別：只需當一個角色與用戶所屬的其它角色彼此不互斥時，這個角色才干授權給該用戶。動態(tài)職責分別：只需當一個角色與一主體的任何一個當前活潑角色都不互斥時，

21、該角色才干成為該主體的另一個活潑角色。.Network and Information Security 5) 角色容量 在創(chuàng)建新的角色時，要指定角色的容量。在一個特定的時間段內，有一些角色只能由一定人數(shù)的用戶占用。.Network and Information Security 基于角色的訪問控制是根據用戶在系統(tǒng)里表現(xiàn)的活動性質而定的，這種活動性質闡明用戶充任了一定的角色。 用戶訪問系統(tǒng)時，系統(tǒng)必需先檢查用戶的角色，一個用戶可以充任多個角色，一個角色也可以由多個用戶擔任。.Network and Information Security基于角色的訪問控制機制優(yōu)缺陷：模型的優(yōu)點在于便于授權管

22、理、角色劃分、RBAC可以很容易地將組織的平安戰(zhàn)略映射到信息系統(tǒng)中，簡化平安戰(zhàn)略的實施、具有自我管理才干、支持數(shù)據籠統(tǒng)和最小特權原那么等。 基于角色的訪問控制是一種有效而靈敏的平安措施，目前仍處在深化研討和廣泛運用之中。但也存在缺陷，RBAC模型是基于主體客體觀念的被動平安模型,它是從系統(tǒng)的角度(控制環(huán)境是靜態(tài)的)出發(fā)維護資源。授權是靜態(tài)的,不具備動態(tài)順應性，這顯然使系統(tǒng)面臨極大的平安要挾，難以順應動態(tài)開放的網絡環(huán)境。 .Network and Information Security8.3.5基于義務的訪問控制(Task-Based Access Control)TBAC模型是一種基于義務、

23、采用動態(tài)授權的自動平安模型。它從運用和企業(yè)的角度來處理平安問題。TBAC模型采用面向義務的觀念,從義務的角度來建立平安模型和實現(xiàn)平安機制,在義務處置的過程中提供實時的平安管理。它將訪問權限與義務相結合, 客體的訪問控制權限并不是靜止不變的,而是隨著執(zhí)行義務的上下文環(huán)境的變化而變化。.Network and Information SecurityTBAC 的根本概念如下(1)(1)授權步驟Authorization Step：是指在一個任務流程中對處置對象(如辦公流程中的原文檔)的一次處置過程。它是訪問控制所能控制的最小單元。授權步由受托人集Trustee Set和多個答應集Permissio

24、ns Set組成。受托人集是可被授予執(zhí)行授權步的用戶的集合，答應集那么是受托人集的成員被授予授權步時擁有的訪問答應。.Network and Information Security(2)授權單元Authorization Unit：授權單元是由一個或多個授權步驟組成的單元，它們在邏輯上是相互聯(lián)絡的。授權單元分為普通授權單元和復合授權單元。普通授權單元內的授權步驟按順序依次執(zhí)行;復合授權單元內部的每個授權步驟嚴密聯(lián)絡，其中任何一個授權步驟失敗都會導致整個單元的失敗。.Network and Information SecurityTBAC 的根本概念如下(2)(3)義務Task：義務是任務流程

25、中的一個邏輯單元。它是一個可區(qū)分的動作，能夠與多個用戶相關，也能夠包括幾個子義務。一個義務包含如下特征：長期存在；能夠包括多個子義務；完成一個子義務能夠需求不同的人。.Network and Information Security(4)依賴Dependency：依賴是指授權步驟之間或授權單元之間的相互關系，包括順序依賴、失敗依賴、分權依賴和代理依賴。依賴反映了基于義務的訪問控制的原那么。.Network and Information Security圖3-3 TBAC模型.Network and Information SecurityTBAC 的優(yōu)缺陷TBAC的自動、動態(tài)等特性,使其廣泛

26、運用于任務流、分布式處置、多點訪問控制的信息處置和事務管理系統(tǒng)的決策制定等方面。雖然TBAC具備許多特點,但當運用于復雜的企業(yè)環(huán)境時,就會暴顯露本身的缺陷。例如在實踐的企業(yè)環(huán)境中,角色是一個非常重要的概念,但TBAC中并沒有將角色與義務清楚地別分開來,也不支持角色的層次等級，也無法表示職責分別約束；另外,訪問控制并非都是自動的,也有屬于被動方式的,但TBAC并不支持被動訪問控制，同時，義務的劃分也不明確。.Network and Information Security2.3.6基于義務和角色的訪問控制模型TRBACTRBAC是一種動態(tài)授權的自動平安模型，它將從系統(tǒng)角度出發(fā)維護資源的RBAC模

27、型和從運用和企業(yè)層角度出發(fā)處理平安問題的TBAC模型結合在一同，結合二者的優(yōu)點而構建的訪問控制模型。其主要思想是將角色與義務相關聯(lián),然后再給義務賦予相關的權限。這樣,在任務流運用訪問控制時,權限與義務相關聯(lián)的主要目的是實現(xiàn)對權限的動態(tài)管理,而將角色與義務相關聯(lián)有利于管理人員掌握角色所執(zhí)行的義務和客體之間的相關信息。在更新角色的權限時,以義務為中介非常便于管理人員對角色的管理。.Network and Information SecurityTRBAC同時擁有角色與義務兩個同等重要元素，符合企業(yè)環(huán)境中職員經過接受義務而進展任務的思想。一定程度上實現(xiàn)了動靜結合的訪問控制，使角色的操作、維護和義務的

28、管理變得簡一方便, 也使得系統(tǒng)變得更為平安。.Network and Information SecurityTRBAC基于義務-角色層次模型 .Network and Information Security但TRBAC模型也存在其缺乏，其授權戰(zhàn)略大都是基于任務流運用環(huán)境出發(fā)思索的訪問控制。雖然改良了的TRBAC模型滿足了有效性，但對于現(xiàn)今高動態(tài)、開放式的網絡環(huán)境還存在諸多缺乏，例如客體屬性的更新不僅能夠發(fā)生在主體訪問客體前，而且能夠在整個訪問的過程中和訪問后也需求更新。主體在訪問客體時需求完成一定的操作行為，系統(tǒng)才允許訪問?；蛘咴L問需求滿足執(zhí)行環(huán)境和系統(tǒng)形狀才可以進展。而這些需求在TRBA

29、C模型中還不能完全處理，短少對現(xiàn)代訪問控制領域的假設干新概念的支持。.Network and Information Security8.3.8 訪問控制小結 訪問控制主要優(yōu)點主要缺點DAC是基于授權者的訪問控制手段，訪問控制靈活安全可靠性低，會造成存儲空間和查找時間的浪費MAC基于管理的信息流控制原則，支持多種級別的安全梯度，具有高安全性授權方式不太靈活，安全級別劃分困難RBAC是一種策略中立的訪問控制方式，授權靈活，使用繼承和約束的概念，能容易的融合新技術最小權限約束還不夠細化，效率低且動態(tài)適應性差，只能用于被動訪問控制TBAC基于活動的動態(tài)安全模型，訪問控制的客體是動態(tài)變化的，且權限的使

30、用也是有時效的角色和任務沒有分離，且只能進行主動的訪問控制TRBAC是一種動態(tài)授權的主動安全模型，同時擁有角色與任務兩個同等重要元素，實現(xiàn)了動靜結合的訪問控制思想只針對于工作流來考慮，缺少對任務特性的細化，以及不能適應系統(tǒng)的多樣性訪問控制需求UCON是一種將傳統(tǒng)的訪問控制、信任管理和數(shù)字版權管理集成的一個訪問控制框架。在定義了授權、義務、和條件的同時提出了連續(xù)性易變性兩大特性。豐富和完善了訪問控制，適用于現(xiàn)代開放式網絡環(huán)境。還只是一種高度抽象的參考性的基本框架模型，它闡述了使用控制中最基本的問題，但是不涉及到管理，委托授權，以及其它后期工作中出現(xiàn)的諸如并發(fā)性等重要問題.Network and

31、Information Security8.4 案例：企業(yè)Web系統(tǒng)中的RBAC 這個簡單的例子包括3個模塊：模塊管理、角色管理和用戶管理，采用以角色為中心的平安模型。此模型將系統(tǒng)的模塊權限和用戶分開，運用角色作為一個中間層。用戶訪問模塊時，經過其所對應的角色對該模塊的訪問權限來獲得訪問模塊的權限，經過這種分層的管理方式可以實現(xiàn)有效的訪問控制。.Network and Information Security角色1角色2部門1部門2部門3部門4用戶1用戶2用戶3模塊1模塊2模塊3模塊4圖8-10 用戶、角色和模塊間的關系.Network and Information Security闡明角色

32、是為系統(tǒng)平安而設計的籠統(tǒng)層，同一角色里的成員具有一樣的模塊操作權限。但是角色不像機構部門那樣有固定成員和組織構造，并非真正的實體，可以根據需求恣意地建立和刪除角色。角色的成員為部門員工，角色的成員也可以不受限制進展恣意組合。經過這種設計思想構成三層平安模型，第一層為用戶，第二層為角色，第三層為系統(tǒng)模塊。用戶和角色之間建立關系，角色和模塊權限之間建立關系，而用戶和模塊權限之間沒有直接的關系。 .Network and Information Security用戶、角色和模塊數(shù)據訪問構造圖用戶信息用戶角色關系信息角色信息角色模塊信息模塊信息數(shù)據庫.Network and Information S

33、ecurity8.5 系統(tǒng)審計 美國國防部(DOD)在20世紀70年代支持的一項內容廣泛的研討方案，該方案研討平安戰(zhàn)略、平安指南和“可信系統(tǒng)的控制?？尚畔到y(tǒng)定義為：“可以提供足夠的硬件和軟件，以確保系統(tǒng)同時處置一定范圍內的敏感或分級信息。審計機制被納入(“橙皮書)中。.Network and Information Security 8.5.1 審計及審計跟蹤 審計(Audit)是指產生、記錄并檢查按時間順序陳列的系統(tǒng)事件記錄的過程，它是一個被信任的機制 。同時，它也是計算機系統(tǒng)平安機制的一個不可或缺的部分，對于C2及其以上平安級別的計算機系統(tǒng)來講，審計功能是其必備的平安機制。而且，審計是其它

34、平安機制的有力補充，它貫穿計算機平安機制實現(xiàn)的整個過程，從身份認證到訪問控制這些都離不開審計。同時，審計還是后來人們研討的入侵檢測系統(tǒng)的前提。.Network and Information Security 審計跟蹤(Audit Trail 是系統(tǒng)活動的記錄，這些記錄足以重構、評價、審查環(huán)境和活動的次序，這些環(huán)境和活動是同一項事務的開場到最后終了期間圍繞或導致一項操作、一個過程或一個事件相關的。 從這個意義來講，審計跟蹤可用來實現(xiàn)：確定和堅持系統(tǒng)活動中每個人的責任；重建事件；評價損失；監(jiān)測系統(tǒng)問題區(qū)；提供有效的災難恢復；阻止系統(tǒng)的不正當運用等。.Network and Information

35、 Security 作為一種平安機制，計算機系統(tǒng)的審計機制的平安目的有： 審查基于每個目的或每個用戶的訪問方式，并運用系統(tǒng)的維護機制。 發(fā)現(xiàn)試圖繞過維護機制的外部人員和內部人員。 發(fā)現(xiàn)用戶從低等級到高等級的訪問權限轉移。 制止用戶企圖繞過系統(tǒng)維護機制的嘗試。 作為另一種機制確保記錄并發(fā)現(xiàn)用戶企圖繞過維護的嘗試，為損失控制提供足夠的信息。.Network and Information Security 8.5.2 平安審計審計是記錄用戶運用計算機網絡系統(tǒng)進展一切活動的過程，它是提高平安性的重要工具。平安審計跟蹤機制的價值在于：經過事后的平安審計可以檢測和調查平安破綻。 (1) 它不僅可以識別誰

36、訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣的運用。 (2) 對于確定能否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。 .Network and Information Security (3) 系統(tǒng)事件的記錄可以更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處置的重要根據。 (4) 經過對平安事件的不斷搜集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進展審計跟蹤，以提供發(fā)現(xiàn)能夠產生破壞性行為的有力證據。.Network and Information Security 平安審計就是對系統(tǒng)的記錄與行為進展獨立的品評調查，目的是： (1) 測試系統(tǒng)的控制能否恰當，保證與既定平安戰(zhàn)略和操作可以

37、協(xié)調一致。 (2) 有助于作出損害評價。 (3) 對控制、戰(zhàn)略與規(guī)程中特定的改動作出評價。 .Network and Information Security 平安審計跟蹤將思索： 1) 要選擇記錄什么信息 審計記錄必需包括網絡中任何用戶、進程、實體獲得某一級別的平安等級的嘗試：包括注冊、注銷，超級用戶的訪問，產生的各種票據，其它各種訪問形狀的改動，并特別留意公共效力器上的匿名或客人賬號。 實踐搜集的數(shù)據隨站點和訪問類型的不同而不同。通常要搜集的數(shù)據包括：用戶名和主機名，權限的變卦情況，時間戳，被訪問的對象和資源。當然這也依賴于系統(tǒng)的空間。(留意不要搜集口令信息).Network and In

38、formation Security 2) 在什么條件下記錄信息 3) 為了交換平安審計跟蹤信息所采用的語法和語義定義 搜集審計跟蹤的信息，經過列舉被記錄的平安事件的類別(例如明顯違反平安要求的或勝利完成操作的)，應能順應各種不同的需求。知平安審計的存在可對某些潛在的進犯平安的攻擊源起到威攝作用。.Network and Information Security 審計是系統(tǒng)平安戰(zhàn)略的一個重要組成部分，它貫穿整個系統(tǒng)不同平安機制的實現(xiàn)過程，它為其它平安戰(zhàn)略的改良和完善提供了必要的信息。而且，它的深化研討為后來的一些平安戰(zhàn)略的誕生和開展提供了契機。后來開展起來的入侵檢測系統(tǒng)就是在審計機制的根底上得

39、到啟示而迅速開展起來的。.Network and Information Security8.6 PMI訪問控制就是控制用戶訪問資源的權限，如何證明用戶所具有的權限正是PMI要做的事情。8.6.1 PMI概述授權管理根底設備PMI(Privilege Management Infrastructure)是國家信息平安根底設備(National Information Security Infrastructure，NISI)的一個重要組成部分。目的是：向用戶和運用程序提供授權管理效力 提供用戶身份到運用授權的映射功能提供與實踐運用途置方式相對應的、與詳細運用系統(tǒng)開發(fā)和管理無關的授權和訪問控制機

40、制簡化詳細運用系統(tǒng)的開發(fā)與維護。.Network and Information Security屬性證書授權管理根底設備PMI是一個由屬性證書(Attribute Certificate,AC)、屬性權威(Attribute Authority,AA)、屬性證書庫等部件構成的綜合系統(tǒng)，用來實現(xiàn)權限和證書的產生、管理、存儲、分發(fā)和撤銷等功能。PMI運用屬性證書表示和包容權限信息，經過管理證書的生命周期實現(xiàn)對權限生命周期的管理。屬性證書的懇求、簽發(fā)、撤銷、驗證流程對應著權限的懇求、發(fā)放、撤銷、運用和驗證的過程。而且，運用屬性證書進展權限管理使得權限的管理不用依賴某個詳細的運用，而且利于權限的平安

41、分布式運用。.Network and Information SecurityPMI與PKI的比較授權管理根底設備PMI以資源管理為中心，對資源的訪問控制權一致交由授權機構一致處置。同公鑰根底設備PKI相比，兩者主要區(qū)別在于：PKI證明用戶是誰，而PMI證明這個用戶有什么權限，能干什么，而且授權管理根底設備PMI需求公鑰根底設備PKI為其提供身份認證。PMI與PKI在構造上是非常類似的。信任的根底都是有關權威機構，由他們決議建立身份認證系統(tǒng)和屬性特權機構。.Network and Information Security在PKI中，由有關部門建立并管理根CA，下設各級CA、RA和其它機構；在P

42、MI中，由有關部門建立權威源點SOA(Source Of Authority)，下設分布式的AA和其它機構。PMI實踐上提出了一個新的信息維護根底設備，可以與PKI和目錄效力嚴密地集成，并系統(tǒng)地建立起對認可用戶的特定授權，對權限管理進展了系統(tǒng)的定義和描畫，完好地提供了授權效力所需過程。.Network and Information Security8.6.2 PMI技術的授權管理方式及其優(yōu)點授權效力體系主要是為網絡空間提供用戶操作授權的管理，即在虛擬網絡空間中的用戶角色與最終運用系統(tǒng)中用戶的操作權限之間建立一種映射關系。目前建立授權效力體系的關鍵技術主要是授權管理根底設備PMI技術。PMI技

43、術經過數(shù)字證書機制來管理用戶的授權信息，并將授權管理功能從傳統(tǒng)的運用系統(tǒng)中分別出來，以獨立效力的方式面向運用系統(tǒng)提供授權管理效力。.Network and Information Security由于數(shù)字證書機制提供了對授權信息的平安維護功能，因此，作為用戶授權信息存放載體的屬性證書同樣可以經過公開方式對外發(fā)布。 在PMI中主要運用基于角色的訪問控制。其中角色提供了間接分配權限的方法。在實踐運用中，個人被簽發(fā)角色分配證書使之具有一個或多個對應的角色，而每個角色具有的權限經過角色定義來闡明，而不是將權限放在屬性證書中分配給個人。這種間接的權限分配方式使得角色權限更新時，不用撤銷每一個屬性證書，極

44、大地減小了管理開銷。.Network and Information Security基于PMI技術的授權管理方式主要存在以下三個方面的優(yōu)勢：1.授權管理的靈敏性基于PMI技術的授權管理方式可以經過屬性證書的有效期以及委托授權機制來靈敏地進展授權管理，從而實現(xiàn)了傳統(tǒng)的訪問控制技術領域中的強迫訪問控制方式與自主訪問控制方式的有機結合，其靈敏性是傳統(tǒng)的授權管理方式所無法比較的。 2.授權操作與業(yè)務操作相分別基于授權效力體系的授權管理方式將業(yè)務管理任務與授權管理任務完全分別，更加明確了業(yè)務管理員和平安管理員之間的職責分工，可以有效地防止由于業(yè)務管理人員參與到授權管理活動中而能夠帶來的一些問題。加強了

45、授權管理的可信度。3.多授權模型的靈敏支持基于PMI技術的授權管理方式將整個授權管理體系從運用系統(tǒng)中分別出來，授權管理模塊本身的維護和更新操作將與詳細的運用系統(tǒng)無關。.Network and Information Security8.6.3 PMI系統(tǒng)的架構PMI授權效力體系以高度集中的方式管理用戶和為用戶授權，并且采用適當?shù)挠脩羯矸菪畔韺崿F(xiàn)用戶認證，主要是PKI體系下的數(shù)字證書，也包括動態(tài)口令或者指紋認證技術。平安平臺將授權管理功能從運用系統(tǒng)中分別出來，以獨立和集中效力的方式面向整個網絡，一致為各運用系統(tǒng)提供授權管理效力。PMI在體系上可以分為三級，分別是信任源點SOA中心、屬性權威機構

46、AA中心和AA代理點。在實踐運用中，這種分級體系可以根據需求進展靈敏配置，可以是三級、二級或一級。 .Network and Information Security圖8.18 授權管理系統(tǒng)的總體架構表示圖SOAAAAAAA代理點AA代理點AA代理點AA代理點訪問控制執(zhí)行者.Network and Information Security授權管理系統(tǒng)闡明 1.權威源點SOA權威源點(SOA中心)是整個授權管理體系的中心業(yè)務節(jié)點，也是整個PMI的最終信任源和最高管理機構。SOA中心的職責主要包括：授權管理戰(zhàn)略的管理、運用授權受理、AA中心的設立審核及管理和授權管理體系業(yè)務的規(guī)范化等。.Netwo

47、rk and Information Security授權管理系統(tǒng)闡明 2.屬性權威機構AA屬性權威機構AA中心是PMI的中心效力節(jié)點，是對應于詳細運用系統(tǒng)的授權管理分系統(tǒng)，由具有設立AA中心業(yè)務需求的各運用單位擔任建立，并與SOA中心經過業(yè)務協(xié)議達成相互的信任關系。AA中心的職責主要包括：運用授權受理、屬性證書的發(fā)放和管理，以及AA代理點的設立審核和管理等。AA中心需求為其所發(fā)放的一切屬性證書維持一個歷史記錄和更新記錄。.Network and Information Security授權管理系統(tǒng)闡明 3.AA代理點AA代理點是PMI的用戶代理節(jié)點，也稱為資源管理中心，是詳細運用用戶的接口。

48、是對應AA中心的附屬機構，接受AA中心的直接納理，由各AA中心擔任建立，報經主管的SOA中心贊同，并簽發(fā)相應的證書。AA代理點的職責主要包括: 運用授權效力代理和運用授權審核代理等，擔任對詳細的用戶運用資源進展授權審核，并將屬性證書的操作懇求提交到AA進展處置。.Network and Information Security授權管理系統(tǒng)闡明 4.訪問控制執(zhí)行者訪問控制執(zhí)行者是指用戶運用系統(tǒng)中詳細對授權驗證效力的調用模塊，因此，實踐上并不屬于PMI，但卻是授權管理體系的重要組成部分。訪問控制執(zhí)行者的主要職責是：將最終用戶針對特定的操作授權所提交的授權信息(屬性證書)連同對應的身份驗證信息(公鑰證書)一同提交到授權效力代理點，并根據授權效力中心前往的授權結果，進展詳細的運用授權處置。.Network and Information Security8.6.4 對PMI系統(tǒng)的要求PMI經過結合授權管理系統(tǒng)和身份認證系統(tǒng)補充了PKI的弱點，提供了將PKI集成到運用計算環(huán)境的模型。PMI權限管理和授權效力根底平臺應該滿足下面的要求： 平臺戰(zhàn)略的定制應該靈敏，可以根據不同的情況定制出不同的戰(zhàn)略。 平臺管理功能的操作應該簡單。 平臺應該具有很好的擴展才干。 平臺應該具有較好的效率，防止決策過