访问控制技术的认证服务

访问控制技术是什么？~

访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。 访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。访问控制包括三个要素：主体、客体和控制策略。（1）主体S（Subject）。是指提出访问资源具体请求。是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。（2）客体O（Object）。是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无限通信中的终端，甚至可以包含另外一个客体。（3）控制策略A（Attribution）。是主体对客体的相关访问规则集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认。 访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括认证、控制策略实现和安全审计，其功能及原理如图1所示。（1）认证。包括主体对客体的识别及客体对主体的检验确认。（2）控制策略。通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用，又要防止非法用户侵权进入系统，使重要信息资源泄露。同时对合法用户，也不能越权行使权限以外的功能及访问范围。（3）安全审计。系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。 图1 访问控制功能及原理

在信息化社会新的网络应用环境下，虚拟专用网（VPN）、远程拨号、移动办公室等网络移动接入应用非常广泛，传统用户身份认证和访问控制机制已经无法满足广大用户需求，由此产生了AAA认证授权机制。
AAA认证系统的功能，主要包括以下3个部分：
（1）认证：经过对网络用户身份进行识别后，才允许远程登入访问网络资源。
（2）鉴权：为远程访问控制提供方法，如一次性授权或给予特定命令或服务的鉴权。
（3）审计：主要用于网络计费、审计和制作报表。
AAA一般运行于网络接入服务器，提供一个有力的认证、鉴权、审计信息采集和配置系统。网络管理者可根据需要选用适合需要的具体网络协议及认证系统。 远程鉴权拨入用户服务（Remote Authentication Dial In User Service，RADIUS）主要用于管理远程用户的网络登入。主要基于C/S架构，客户端最初是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可成为其客户端。RADIUS协议认证机制灵活，可采用PAP、CHAP或Unix登入认证等多种方式。此协议规定了网络接入服务器与RADIUS服务器之间的消息格式。此服务器接受用户的连接请求，根据其账户和密码完成验证后，将用户所需的配置信息返回网络接入服务器。该服务器同时根据用户的动作进行审计并记录其计费信息。
1）RADIUS协议主要工作过程
（1）远程用户通过PSTN网络连接到接入服务器，并将登入信息发送到其服务器；
（2）RADIUS服务器根据用户输入的账户和密码对用户进行身份认证，并判断是否允许用户接入。请求批准后，其服务器还要对用户进行相应的鉴权；
（3）鉴权完成后，服务器将响应信息传递给网络接入服务器和计费服务器，网络接入服务器根据当前配置来决定针对用户的相应策略。
RADIUS协议的认证端口号为1812或1645，计费端口号为1813或1646。RADIUS通过统一的用户数据库存储用户信息进行验证与授权工作。
2）RADIUS的加密方法
对于重要的数据包和用户口令，RADIUS协议可使用MD5算法对其进行加密，在其客户端（NAS）和服务器端（RADIUS Server）分别存储一个密钥，利用此密钥对数据进行算法加密处理，密钥不宜在网络上传送。
3）RADIUS的重传机制
RADIUS协议规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，则可要求备份服务器重传。由于有多个备份服务器，因此NAS进行重传时，可采用轮询方法。如果备份服务器的密钥与以前密钥不同，则需重新进行认证。 企事业机构网络系统，在安装防火墙、漏洞扫描系统、入侵检测系统和病毒检测软件等安全设施后，仍可能遭受恶意攻击。其主要原因是一些用户不能及时安装系统漏洞补丁和升级病毒库等，为网络系统带来安全隐患。
思科（Cisco）公司在2003年11月，为了应对网络安全中出现的这种情况，率先提出了网络准入控制（Network Admission Control，NAC）和自防御网络（SDN）的概念，并联合Network Associates、Symantec、 Trend Micro及IBM等厂商共同开发和推广NAC。微软公司也迅速做出反应，提供了具有同样功能的网络准许接入保护方案（Network Access Protection，NAP）。思科公司的NAC和微软的NAP其原理和本质是一致的，不仅对用户身份进行认证，还对用户的接入设备进行安全状态评估（包括防病毒软件、系统补丁等），使每个接入点都具有较高的可信度和健壮性，从而保护网络基础设施。
随后，国内外厂商在准入控制技术产品开发方面进行一场激烈的竞争。思科公司于2004年推出准入控制产品解决方案之后，华为公司也紧随其后，于2005年上半年推出了端点准入防御（Endpoint Admission Defense，EAD）产品，SYGATE也于2005年6月公布了SNAC通用解决方案。 思科公司的NAC或微软公司的NAP，还是华为公司的EAD，都是专用的准入控制系统。不同厂商的准入控制方案虽然在原理上基本类似，但是，具体实现方式各不相同。主要区别体现在以下4个方面。
1）选取协议
思科公司及华为公司选择的是EAP协议、RADIUS协议和802.1x协议实现准入控制。微软则选择DHCP和RADIUS协议来实现。
2）身份认证管理方式
思科公司、华为公司和微软公司在后台都选择使用RADIUS服务器作为认证管理平台；华为公司主要以用户名和密码方式进行身份认证，思科公司选择了采用证书方式管理用户身份方式；微软暂时还没有推出具体的产品。
3）策略管理
各厂家都选择了集中式控制管理方式。策略控制和应用策略服务器（通常是RADIUS服务器）和第三方的软件产品（病毒库管理及系统补丁等）协作进行；用户资料和准入策略由统一的管理平台负责。
4）准入控制
思科和华为的准入控制原理大同小异，利用本公司特定的网络设备来实现；微软由于没有控制网络基础设施的产品，选择了通过DHCP服务器来控制准入流程。 身份认证技术的发展过程，从软件到软硬件结合，从单一因子认证到双因素认证，从静态认证到动态认证。目前常用的身份认证方式包括：用户名/密码方式、公钥证书方式、动态口令方式等。无论单独采用哪种方式，都有其优劣。如采用用户名/密码方式，用户名及弱密码容易被窃取或攻击；而采用公钥证书，又涉及到证书生成、发放、撤销等复杂的管理问题；私钥的安全性也取决于个人对私钥的保管。
身份认证技术的安全性，关键在于组织采取的安全策略。身份认证技术必须满足组织机构的对网络安全的具体实际需求，并能够认真完整地执行安全管理策略。
身份认证是网络准入控制的基础。在各种准入控制方案中，都采用了身份认证技术。目前，身份认证管理技术和准入控制进一步融合，向综合管理和集中控制方向发展。 准入控制技术发展很快，并出现各种方案整合的趋势。各主要厂商在突出发展本身准入控制方案的同时也加大了厂商之间的合作力度。思科和微软都承诺支持对方的准入控制计划，并开放自己的API。准入控制标准化工作也在加快进行。在2004年5月，可信计算组织（Trusted Computing Group，TCG）成立了可信网络连接（Trusted Network Connect，TNC）分组，TNC计划为端点准入强制策略开发一个对所有开发商开放的架构规范，从而保证各个开发商端点准入产品的可互操作性。这些规范将利用现存的工业标准，并在需要的时候开发新的标准和协议。
TNC的成立促进了标准化的快速发展，许多重要的网络和安全公司如Foundry、Sygate、Juniper、Trend Micro、Symantec和Zone Labs等都加入了TNC组织。TNC希望通过构建框架和规范保证互操作性，这些规范将包括端点的安全构建之间、端点主机和网络设备之间，以及网络设备之间的软件接口和通信协议。现在，准入控制正在向标准化、软硬件相结合的方向发展。

---

弋江区15857375996： 网络安全服务的功能有 a.身份认证 b.访问控制 c.数据保密和完整 d.不可否认性 - ？
巴范风湿： 网络安全服务的功能主要有5项,分别是:鉴别服务、访问控制服务、数据保密性服务、数据完整性服务和可审查性服务.鉴别服务:主要用于网络系统中认定识别实体(含用户及设备等)和数据源等,包括同等实体鉴别和数据源鉴别两种服务...

弋江区15857375996： a.b分别是对哪些类型电子商务安全构成威胁 - ？
巴范风湿： 电子商务安全包括备份技术、密码技术、认证技术以及访问控制技术等. 1. 备份技术.所谓数据库备份与恢复方案,目的是在数据库系统故障并且短时间内难以恢复时,用存储在备份介质中的数据将数据库还原到备份时的状态. 2. 2.认证技术...

弋江区15857375996： 用来对抗未授权者窃取信息的安全服务是 A 访问控制服务 B认证服务 C完整性服务 D机密性服务 - ？
巴范风湿： B

弋江区15857375996： 电子商务安全技术主要有哪些呢? ？
巴范风湿： 面对着诸多的安全挑战,为了促进电子商务更好的发展,更好的为国民经济的发展服务,解决电子商务中的安全问题就成了关键.从安全技术的角度分析,保障措施包括: ...

弋江区15857375996： 加密技术和什么是电子商务和电子政务安全常用的技术 - ？
巴范风湿： 电子商务与电子政务安全技术: 1、加密技术:对称加密;非对称加密;数字信封:对称加密和非对称加密结合的技术. 2、数字摘要技术; 3、数字签名技术; 4、认证技术:认证中心和数字证书; 5、数字时间戳技术. 电子政务系统中的安全防护技术 通常的安全技术涉及到加密技术、鉴别和认证技术、访问控制技术等几个方面的内容. 所以要说答案,可能就是 认证技术 ----云海电子政务OA实施小组