7第5章 身份认证与访问控制.ppt

4. 身份认证系统的组成 认证服务器 认证系统用户端软件 认证设备 AAA系统（认证、授权、审计）是身份认证系统的关键 2. 双因素安全令牌及认证系统 双因素身份认证系统的组成 安全身份认证服务器（提供数据存储、AAA服务、管理等功能） 双因素安全令牌（动态口令卡） 认证代理 双因素身份认证系统的功能 各种主机系统用户登录身份认证、登录审计 各种网络设备（路由器、交换机等）用户登录身份认证、访问控制、审计 VPN用户的接入身份认证、访问控制、审计 各种应用系统的用户登录身份认证、审计 5.2.2 用户登录认证 1. 单次登录所面临的挑战 单次登录（Single Sign On，简称SSO）是指用户只向网络进行一次身份验证，以后再无需另外验证身份，便可访问所有被授权的网络资源。 单次登录技术SSO所面临的挑战包括几个方面。 (1) 多种应用平台 (2) 不同的安全机制 (3) 不同的账户服务系统 3. 访问控制规则 (1)访问者 主体对客体的访问可以基于身份，也可以基于角色。即“访问者”可以是身份标识，也可以是角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。 (2) 资源 对资源的保护应包括两个层面：物理层和逻辑层。 (3) 访问控制规则 四要素：访问者、资源、访问请求和访问响应。 4. 单点登录的访问管理 根据登录的应用类型不同，可以将单点登录SSO分为以下三种类型： (1) 对桌面资源的统一访问管理 (2) Web单点登录 (3) 对传统C/S结构应用的统一访问管理 5.4.3 访问控制的安全策略 1. 安全策略实施原则 (1) 最小特权原则 (2) 最小泄漏原则 (3) 多级安全策略 2. 基于身份的规则的安全策略 建立基于身份安全策略和基于规则安全策略的基础是授权行为。 (1) 基于身份的安全策略 (2) 基于规则的安全策略 3. 综合访问控制策略 访问控制技术的目标是防止对任何资源的非法访问。从应用方面的访问控制策略包括以下几个方面。 (1) 入网访问控制 (2) 网络的权限控制 (3) 目录级安全控制 (4) 属性安全控制 (5) 网络服务器安全控制 (6) 网络监测和锁定控制 (7) 网络端口和节点的安全控制 (8) 防火墙控制 5.4.4 认证服务与访问控制系统 1. AAA技术概述 AAA (Authentication、Authorization和Accounting，简称AAA)是指认证、鉴权和审计，基于AAA技术的中心认证系统正是用于远程用户的管理。 AAA并非一种具体的实现技术，而是一种安全体系结构，它所实现的功能用简单形象的比喻来说，即：它是谁? 可以做什么? 最后做了些什么? AAA系统提供的服务有认证、鉴权、审计3种 。 2. 远程鉴权拨入用户服务 远程鉴权拨入用户服务(Remote Authentication Dial In User Service，简称RADIUS)，主要用于管理通过远程线路拨入企业网络获得相应访问资源的分散用户。 当用户想要通过远程网络与网络接入服务器建立连接时，运行RADIUS协议的网络接入服务器作为客户端负责把用户的认证、鉴权和审计信息发送给事先配置好的RADIUS服务器。 RADIUS服务器同时根据用户的动作进行审计并记录其计费信息。 3. 终端访问控制器访问控制系统 终端访问控制器访问控制系统TACACS（Terminal Access Controller Access Control System）的功能是通过一个或多个中心服务器为网络设备提供访问控制服务。 TACACS是Cisco私有的协议，它支持独立的身份认证、鉴权和审计功能。 5.5 安全审计技术 5.5.1 安全审计概述 1. 安全审计的概念及目的 计算机网络安全审计（Audit）是通过一定的安全策略，利用记录及分析系统活动和用户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，其中系统活动包括操作系统和应用程序进程的活