信息安全导论ppt 第11章 身份认证与访问控制.pptVIP

强制访问控制机制的特点： 强制性，除了系统管理员都不能直接或间接改变安全属性。 限制性，系统通过比较主体和客体的安全属性来决定主体能否以他所希望的模式访问一个客体，同时也不可避免的要对用户自己的客体施加一些严格的限制。 返回本节 信息流模型是重要的安全模型，是依据主体对客体存取权限的控制进行建模，它针对客体之间实际的信息传递，主要组成部分是： （1）客体集合：表示信息的存放处，如文件、程序、变量及字位（bit）等。 （2）进程集合：表示与信息流有关活动的实体。 （3）安全类集合：与互不相关的离散的信息类相对应。 返回本节 （4）一个辅助交互类复合操作符：确定在两类信息上的任何二进制操作所产生的信息。 （5）一个流关系：用于决定任何一对安全类之间，信息是否能从一个安全类流向另一个安全类。 返回本节 存取控制模型和信息流模型是计算机系统安全模型中最主要的两类，代表了计算机系统安全的两种策略。 存取控制策略制定了主体对客体的权限； 信息流向策略制定了客体所能包含的信息类别及客体之间的关系。 两种策略相互补充、相互依赖。 返回本节 1．产品安全功能 （1）提供对口令字的管理和控制功能； （2）防止入侵者对口令字的探测； （3）监测用户对某一分区或域的存取； （4）提供系统主体对客体访问权限的控制。 返回本节 2．产品举例 （1）SunScreen SunScreen（SPF-100）是由Sun Microsystems开发的网络系统，它具有先进的过滤、鉴别和保密技术而且管理简单。它与网络、协议、应用无关，功能强且使用容易。 （2）WebST安全平台 WebST是为企业网络提供统一管理的安全平台, 其主要机制是身份主授权访问控制、数据保密和数据完整性以及集中的安全管理、分布的时间记录和审计，它使原来不具有安全性能的应用系统也能具有安全控制的能力。 (3) HP Praesidium授权服务器 HP Praesidium授权服务器是由惠普和世界上最大的银行共同开发的。该产品加强了Web网站、Internet和Intranet应用的安全性，简化了管理和编程。 (4) NetKey网络安全认证系统 基于NetKey的身份认证系统，是海信防火墙系统的组成部分。它既是防火墙强大的功能之一，也可自成体系，单独应用在服务器、台式机及笔记本电脑上，实现强有力的身份认证和操作管理功能，具有强大的灵活性和实用性。 （5）Cisco NetRanger NetRanger是一种企业级规模的实时入侵检测系统，用于检测、报告和终止整个网络中未经授权的活动。NetRanger可以在Internet和内部网环境中操作，保护企业的整个网络。 返回本节 1．简述身份识别技术可分为哪几类? 它们有什么特点? 2．简述指纹识别、语音识别和网膜识别等技术各自的性能与特点。指出上述几种个人特征识别技术如何推广应用的。 3．简述一次性口令的安全原理和协议。 4．身份识别的过程可分为哪几个阶段? 在这几个阶段中应着重考虑的因素是什么? 5．什么是访问控制? 访问控制的目的和核心是什么? 6．信息流模型和存取控制模型有什么不同? 返回本章首页 2. 对识别系统的要求 (1) 第一类错误率小于1％； (2) 第二类错误率小于2％; (3) 每分钟能识别4个对象。 返回本节 1. 语音识别过程 (1) 首先，被测对象显示身份，然后为应答系统讲20个不重复的四字短语。这些短语经过处理形成样本文件； (2) 要求被测者读4个由系统选择的短语，并进行4次识别尝试； (3) 最后用一种不同于前面的判断策略进行判断，被测者要按要求读短语直至被确认。 返回本节 2. 测试结果 第一阶段 第二阶段 野外测试 第一类错误率（％） O.92 0.20 1.06 第二类错误率（％） 0.99 4.40 3.26 验证时间（s） 6.54 5.85 6.21 返回本节 1. 登记过程 (1) 每个对象需要书写总共3个（后增至9个）签名，其中5个用于构成标准参考样本 ； (2) 9组测量数据构成每个对象的参考样本。实际上若为区别对象的身份仅需接受3个中的一个签名就够了； (3) 对象要签名到被接受为止，失败尝试限制为3次，若超过此数识别就被否认。 返回本节 2. 测试结果 第一阶段 第二阶段 野外测试 第一类错误率（％） 6.25 3.20 1.88 第二类错误率（％） 2.97 1.71 5.63 验证时间（s） 14.42 13.03 13.49 返回本节 1. 指纹识别过程 (1) 用仪器扫描手指，记录位置和纹脉的走向及分叉; (2) 这些参数经数字化储存起来以形成对象的参考样本; 返