网络访问控制技术综述

摘要：随着科学的不断进步，计算机技术在各个行业中的运用更加普遍。在计算机技术运用过程中信息安全问题越发重要，网络访问控制技术是保证信息安全的常用方式。本文介绍了研究网络访问控制技术的意义，主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。

关键字：信息安全网络访问控制技术

0．引言

近年来，计算机网络技术在全球范围内应用愈加广泛。计算机网络技术正在深入地渗透到社会的各个领域，并深刻地影响着整个社会。当今社会生活中，随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。在商业、金融和国防等领域的网络应用中，安全问题必须有效得到解决，否则会影响整个网络的发展。一般而言信息安全探讨的课题包括了:入侵检测(Intrusion Deteetion)、加密(Encryption)、认证(Authentieation)、访问控制(Aeeess Control)以及审核(Auditing)等等。作为五大服务之一的访问控制服务，在网络安全体系的结构中具有不可替代的作用。所谓访问控制(Access Control),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。网络访问控制技术是通过对访问主体的身份进行限制，对访问的对象进行保护，并且通过技术限制，禁止访问对象受到入侵和破坏。

1.研究访问控制技术的意义

全球互联网的建立以及信息技术飞快的发展，正式宣告了信息时代的到来。信息网络依然成为信息时代信息传播的神经中枢，网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空，而且还包括看不见、摸不着的网络空间。随着现代社会中交流的加强以及网络技术的发展，各个领域和部门间的协作日益增多。资源共享和信息互访的过程逐越来越多，人们对信息资源的安全问题也越发担忧。因此，如何保证网络中信息资源的安全共享与互相操作，已日益成为人们关注的重要问题。信息要获得更大范围的传播才会更能体现出它的价值，而更多更高效的利用信息是信息时代的主要特征，谁掌握的信息资源更多，

就能更好的做出更正确的判断。是获得这些效果的更重要的前提是，信息是安全的，涉及到商业秘密或国家安全的重要信息会更加注重信息的安全性，否则宁愿牺牲信息的共享。所以我们要找到更好的保证信息安全的方法。访问控制是防止非法用户使用系统和合法用户越权使用系统的关键技术。传统访问控制模型有自主访问控制 DAC(Discretionary Access Control)、强制访问控制MAC(Mandatory Access Control)和基于角色的访问控制RBAC(Role-based Access Control)。访问控制技术是保证信息安全的一项重要技术，发展的已经较为成熟，本文主要介绍当今主流的网络访问控制技术，为今后研究网络中信息传输的安全性进行铺垫。

2.访问控制技术研究现状简介

访问控制技术最早产生于上个世纪 60 年代，发展到现在访问控制技术的研究和应用己经获得了很多成果，建立了目前使用最为广泛的自主访问控制（DiscretionaryAccess Control, DAC）、强制访问控制（MandatoryAccess Control,MAC）、基于角色的访问控制（Role Based Access Control，RBAC）的模型，而且自主访问控制技术和强制访问控制技术已得到了较为普遍的应用。

自主访问控制技术是一种在多用户环境下常用的访问控制技术，最早出现20世纪 70 年代的分时系统中，在目前流行的 UNIX 操作系统中也被普遍应用，允许被授权用户以用户或用户组的身份访问由访问控制策略规定的资源，同时禁止非法用户访问资源。在传统的信息系统中，访问通常基于访问控制链表(Access Control List,ACL)，ACL 与授权系统结合成为一个整体，在允许和拒绝对资源的访问中扮演关键的作用。

强制访问控制技术的主要应用场景是在军事领域中，它是在 DAC 的基础上，增加了对网络中资源安全属性的划分，规定不同属性下主体所拥有的访问权限。MAC 是一种多级访问控制策略，系统事先给访问主体和受控资源分配不同的安全级别的属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，进而再决定访问主体能否访问该受控对象。

基于角色的访问控制技术的概念由 Ferraiolo 和 Kuhn 于 1992 年在美国国家标准技术局举办的计算机安全研讨会中通过一个名为“Role-Based Access Control”的论文中提出。这是 RBAC 系列文献中的第一篇以 RBAC 命名的文章。其后，美国乔治森大学的R.Sandhu 于 1996 年在 IEEE Computer 期刊上发表了 RBAC 的经典文献“Role-Based Access Control Models”，提出了 RBAC96 的著名模型，成为 RBAC 模型发展的基石。更进

一步于 1997 年提出了一种分布式 RBAC 管理模型 ARBAC97，实现了在 RBAC 模型上的分布式管理。随后的 ARBAC99和 ARBAC02都进一步完善了 RBAC 的管理功能。RBAC 的主要特点是分配一个所谓的角色给用户或用户组。角色概念对应于系统中的岗位或者职位。由于角色是访问控制策略的核心，这样极大地简化了安全管理，特别适用于大规模的网络应用。

但是目前基于 DAC、MAC 和 RBAC 的访问控制系统大都以专有的方式实现访问控制和授权，不同的系统都维护各自的单独的一套访问控制策略，部署不同的访问控制技术。这样不仅需要付出高昂的成本来制定和维护这些策略，也不利于信息的交换和共享，且在一个系统中开发的访问控制系统在另一个系统中难以得到重用，更加难以实现本文中的多域跨网络的安全访问。

3.访问控制技术

访问控制系统是一个安全的信息系统中是不可或缺的组成部分，访问控制的目的在于拒绝非法用户的访问并对合法用户的操作行为进行规范。只有经授权的访问主体，才允许访问特定的系统资源。它包括用户能做什么和系统程序根据用户的行为应该怎么做两层含义。访问控制策略是一套限定如何使用受保护的资源的规则库。系统会根据访问控制策略来判定用户对资源的使用是否是合法的。从本质上讲，访问控制就是根据访问控制策略来限制用户对资源的访问的，使用户和资源之间有了一道“墙”，防止了用户对资源的无限制直接访问，任何用户对资源的访问都必须经过这道墙——访问控制系统，访问控制系统根据访问控制策略对访问者的访问请求进行仲裁，这样使得用户对资源采取的任何操作都会处于系统的监控范围内，从而保证系统资源的合法使用。当一个用户对某个资源提出访问请求时，访问控制仲裁就会对用户的请求作出响应，由用户 ID 或可区别的身份特征到安全策略库中查询与该用户相对应的安全策略，如果找到的安全策略允许该用户对特定资源提出的访问请求，则反馈给用户的响应为允许，否则拒绝。系统管理员可以根据用户的身份、职务等将各种权限通过配置安全策略数据库的形式授予不同的用户，这样就制定出适用于不同用户或资源的安全策略。一个正常的访问控制系统主要包含三个要素：访问主体、访问客体、访问策略。访问主体是指发出访问请求的发起者；访问客体是指被主体调用的程序或欲存取的数据，即必须进行控制的资源或目标；安全访问策略往往是指一套规则，被用来判定一个访问主体对所要访问的资源（客体）是否被允许。其中访问主体与访问客体是相对的，当一个访问主体受到另一个访问主体的访问时，该主体便成为了访问客体。

3．1自主访问控制

自主访问控制技术的内容是指主体能够对访问的权限进行自主设置。也就是说，能够赋予其他主体访问权限，也可以对访问权限进行收回。其执行的主体为单个。这样的好处是可以通过矩阵来实现主体客体的排列，虽然不需要将整个矩阵来进行保存，但通过行列来进行访问控制，因此能够让访问的操作更加有效率。而且，自主访问控制能够很直观地将访问客体呈现出来，而且更加迅速的查到所需查询的内容。但同时也暴露出一定的弊端，就是这样的联系方式让整个系统的结构显得更加复杂繁琐。大量的主体要进行访问的时候都需要进行权限的关联。特别是在企业等比较复杂的网络结构中使用这项自主访问控制技术时，因为网络中的信息不仅量大而且关系复杂，网络覆盖整个企业的各个部门，因此管理员不仅要负责对主体的访问权限进行设置，也需要对信息进行管理和发布。不仅需要花费大量的人力和物力，也对整个网络的安全性有一定程度的影响。尤其这样的企业往往网络结构复杂，规模大，用户对网络的需求也各有不同，因此需要对这些方面进行注意。而且，在访问权限的设置上还有一定的问题。网络的所有信息都属于企业，但职员等所属的部门需要对这些信息进行访问，这就存在着怎样让部门的职员能够访问自己领域所需要的信息，但其他部门的信息并不对其进行公开。这就需要管理员在对其进行网络访问授权的时候进行限定，这项工作不仅繁琐，也容易出错。

3．2强制访问控制

强制访问控制是指主体按照系统事先的设置来进行访问。强制访问控制所涉及的信息中，按照信息的保密度分了各种等级，用户则根据权限也有不同的签证。签证能够决定用户对某一级别及其以下的等级信息进行访问，但不能够对级别以上的信息进行访问。这种访问控制技术由于其自身的性质特点，多运用于军事系统中，但其明显的缺点在于，由于是按照等级制度进行访问，但在同级的信息没有能够得到明确的归类之分，因此，在同级间的访问没有限制。

3．3基于角色访问控制

随着对访问控制服务质量的要求不断提高，以上两种访问控制技术已经很难满足这些要求。DAC 将一部分授予或回收访问权限的权力留给了用户，这样使得管理员很难确定到底哪些用户对同一资源拥有权限，不利于实现统一的全局访问控制，并且很容易出现错误，也就更无法实现细粒度访问控制和动态权限扩展。而 MAC 又过于偏重保密性，对其他方面如系统连续工作能力、授权的可管理性考虑不足。二十世纪九十年代以来，随着信息系统规模的扩大，系统用户的增加，角色的概念逐步形成并逐步产生了在信息系统中以角色概念为中心的访问控制模型。基于角色的访问控制是指用户获得的权限是由用户所在的用户组中的角色

来确定的，当系统中的用户被赋予一个角色时，该用户就具有这个角色所具有的所有访问权限。用户首先经认证后获得一个角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。RBAC 从控制主体的角度出发，由整个系统管理中相对比较稳定的职责对角色进行划分，将访问控制权限授予与否与角色用户联系，在这点上 MAC 和 DAC是将权限直接授予相对应的用户，这是基于角色与它们相区别的重要的一点。在RBAC 中角色作为一个桥梁连接访问控制过程发生中的访问控制主体和客体。用RBAC 与 DAC 和 MAC 相比较，可以看出 RBAC 是一种更有效的面向大型的信息系统的访问控制方式，其更具方便性、灵活性和更可靠的安全性。研究人员越来越认识到DAC 和 MAC 已经不能够达到当前复杂的信息系统的安全性需求，而基于角色的访问控制理论近些年来已经不断的完善，并已经逐渐取代了DAC和MAC作为它们的替代访问控制策略。3．4基于任务的访问控制

基于任务的访问控制TBAC（Task-Based Access Control，TBAC）是一种新型的访问控制和授权管理模式，是近年来才开始的一种访问控制技术，它非常适合多点访问控制的分布式计算和信息处理活动以及决策制定系统。TBAC采取面向任务，而不是传统的面向主体对象访问控制方法。如果实现TBAC思想，权限体系的生成就会更及时，而且这些权限是执行操作时所需的，这一点在包含事务和工作流的应用环境中尤其适用。TBAC方法还将使自我管理的访问控制模型提升到更高程度，从而降低总体费用。TBAC模型现在还处于一种高度抽象的概念层次，还没有具体化，离实用阶段还有一段距离。但它有很广的潜在应用性，从对客户——服务器交互这样精细活动实施访问控制，到对跨部门和组织边界的分布式应用和工作流这样的粗单元实施访问控制都适用。TBAC访问控制涉及到与一定应用逻辑一致的任务完成过程中不同点的授权，这一点在其他的主体对象访问控制方法中不能得到满足。相比之下，在传统访问控制中，访问控制决策制定太简单了，本质上与高层应用程序语义和要求脱节。TBAC从基于任务的角度来实现访问控制，能有效解决提前授权问题，是一种主动访问控制模型。它给出了动态授权的概念。所谓动态授权，就是将授权不仅同用户、角色联系，还同任务相关。当任务即将执行时，才对用户授权；当任务执行完就撤销用户的权限。这样就可以保证权限只有在用户需要时才得到，满足最小特权原则。TBAC在完成任务的过程中，要监视权限的状态，按照进行中的任务状态确定权限是活动状态或非活动状态，因此它是积极参与访问控制管理的。

4访问控制技术在网络安全中的应用

4.1入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制着哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。

4.2权限访问控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。

4.3目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。

4.4属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。

4.5服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据。可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

4.6网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。

4.7网络端口和节点的安全控制

端口是虚拟的“门户”，信息通过它进入和驻留于计算机中，网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。

4.8防火墙控制

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

5.结语

对主流的访问控制技术有了一定的概念，了解网络访问控制技术在网络安全中的应用并认识了研究网络访问控制技术的意义。

自主访问控制综述

自主访问控制综述摘要：访问控制是安全操作系统必备的功能之一，它的作用主要是决定谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。而自主访问控制（Discretionary Access Control, DAC）则是最早的访问控制策略之一，至今已发展出多种改进的访问控制策略。本文首先从一般访问控制技术入手，介绍访问控制的基本要素和模型，以及自主访问控制的主要过程；然后介绍了包括传统DAC 策略在内的多种自主访问控制策略；接下来列举了四种自主访问控制的实现技术和他们的优劣之处；最后对自主访问控制的现状进行总结并简略介绍其发展趋势。 1自主访问控制基本概念访问控制是指控制系统中主体（例如进程）对客体（例如文件目录等）的访问（例如读、写和执行等）。自主访问控制中主体对客体的访问权限是由客体的属主决定的，也就是说系统允许主体（客体的拥有者）可以按照自己的意愿去制定谁以何种访问模式去访问该客体。 1.1访问控制基本要素访问控制由最基本的三要素组成： ●主体（Subject）：可以对其他实体施加动作的主动实体，如用户、进程、 I/O设备等。 ●客体（Object）：接受其他实体访问的被动实体，如文件、共享内存、管道等。 ●控制策略（Control Strategy）：主体对客体的操作行为集和约束条件集，如访问矩阵、访问控制表等。 1.2访问控制基本模型自从1969年，B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象，经过多年的扩充和改造，现在已有多种访问控制模型及其变种。本文介绍的是访问控制研究中的两个基本理论模型：一是引用监控器，这是安全操作系统的基本模型，进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系；二是访问矩阵，这是访问控制技术最基本的抽象模型。

谈谈网络安全技术

谈谈网络安全技术篇一：网络安全技术论文：浅析网络安全技术网络安全技术论文：浅析网络安全技术摘要:：随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,安全性已经成为网络安全技术中最关键的问题。本文主要介绍常见防火墙技术的分类及其主要特征。关键词: 防火墙技术特征网络安全 1 引言计算机网络的普及和网络技术的发展深刻地改变了传统的生产、经营、管理和生活方式,在构建信息防卫系统时,应着力发展自己独特的安全产品,要想真正解决网络安全问题,要从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。通过运用多种网络安全技术,如数据加密技术、访问控制、认证授权、防火墙、入侵检测和防病毒等来实现信息安全。计算机网络的高速发展带给了人类巨大利益的同时,也带来了许多负面的影响,在网络安全体系中,为了弥补TCP/IP协议等各种安全漏洞,防火墙技术是很常用、很有效的防御系统,是网络安全防护的重要组成部分。 2 防火墙防火墙是设置在不同网络或者不同网络安全域之间的一系列控

制装置的组合。防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,它有效地监控了所要保护的内部网和外部公共网络之间的任何活动。从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。对网络之间传输的数据包依照一定的安全策略进行检查,用于确定网络哪些内部服务允许外部访问,以及内部网络主机访问哪些外部服务等,从而保证了所要保护的内部计算机网络的稳定正常运行以及内部网络上数据和信息资源的完整性、可用性和保密性。不同技术的防火墙实现的功能的侧重点不同,防火墙实际上代表了一个网络的访问控制原则。防火墙的种类从技术上看,防火墙有包过滤型、代理服务器型等几种基本类型。它们之间各有所长,具体使用哪一种或是否混合使用,要根据具体需求确定。包过滤型包过滤型防火墙是建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型产品是防火墙的初级产品,网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、

网络安全技术第1章网络安全概述习题及答案

第1章网络安全概述练习题 1.选择题（1）在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了（ C ）。 A．机密性B．完整性 C．可用性D．可控性（2）Alice向Bob发送数字签名的消息M，则不正确的说法是( A ) 。 A．Alice可以保证Bob收到消息M B．Alice不能否认发送消息M C．Bob不能编造或改变消息M D．Bob可以验证消息M确实来源于Alice （3）入侵检测系统(IDS，Intrusion Detection System)是对( D )的合理补充，帮助系统对付网络攻击。 A．交换机B．路由器C．服务器D．防火墙（4）根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。下面的措施中，无助于提高局域网内安全性的措施是( D )。 A．使用防病毒软件B．使用日志审计系统 C．使用入侵检测系统D．使用防火墙防止内部攻击 2. 填空题（1）网络安全的基本要素主要包括机密性、完整性、可用性、可控性与不可抵赖性。（2）网络安全是指在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容遭到破坏、更改、泄露，或网络服务中断或拒绝服务或被非授权使用和篡改。（3）网络钓鱼是近年来兴起的另一种新型网络攻击手段，黑客建立一个网站，通过模仿银行、购物网站、炒股网站、彩票网站等，诱骗用户访问。（4）防火墙是网络的第一道防线，它是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的入侵，（5）入侵检测是网络的第二道防线，入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。

访问控制技术及发展趋势

马红红信息安全2011级2班一．访问控制技术计算机系统的活动主要是在主体（进程、用户)和客体（资源、数据）之间进行的。计算机安全的核心问题是确保主体对客体的访问的合法性，即通过对数据、程序读出、写入、修改、删除和执行等的管理，确保主体对客体的访问是授权的，并拒绝非授权的访问，以保证信息的机密性、完整性和可用性。访问控制是对进入系统的控制，通常作为对资源访问处理的一部分，它的作用是对需要访问系统及其数据的人进行识别，并检查其合法身份。 1.访问控制主要有两种不同的类型：自由访问控制和强制访问控制 1)自主访问控制（又称任选访问控制）自主访问控制是应用得很广泛的访问控制方法，用这种方法，资源的所有者（也往往是创建者）可任意规定谁可以访问他们的资源。这样，用户或用户进程就可有选择的与其他用户共享资源，它是一种对单个用户执行访问控制的过程和措施。 ①方法（是基于矩阵的行或列来表达访问控制信息） a.基于行的自主访问控制：是在每个主体上都附加一个该主体可访问的客体的明细表。按照表内信息的不同，可分为3种形式。权利表（权能表），根据该表可决定用户是否可以对客体进行访问，以及可以进行何种访问；前缀表，包括受保护的客体名和主体对它的访问权；口令，主体对客体进行访问前，必须向操作系统提供该客体的口令。 b.基于列的自主访问控制：是对每个客体附加一份可访问它的主体的明细表，有两种形式。保护位，它不能完备的表达访问控制矩阵，但可对所有主体、主体组以及该客体的拥有者指明一个访问模式集合，拥有者是唯一能够改变客体保护位的主体；访问控制表，每个客体都有一张访问控制表（ACL）记录该客体可被哪些主体访问以及访问的形式。主体访问控制表可以决定任何一个特定的主体是否可对某一客体进行访问，它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的，表中的每一项包括主体的身份和对该客体的访问权。 ②类型 a.等级型：可将对修改客体访问控制表的能力的控制组织成等级型的。优点是可通过选择值得信任的人担任各级领导，使得可用最可信的方式对客体实施控制，缺点是会同时有多个主体有能力修改它的访问控制表。 b.有主型：是对客体设置一个拥有者，它是唯一有权访问客体访问控制表的主体。拥有者对其拥有的客体具有全部控制权，但无权将客体的控制权分配给其它主体。 c.自由型：一个客体的生成者可对任何一个主体分配对它拥有的客体的访问控制表的修改权，还可使其对其它主体具有分配这种权利的能力。 2) 强制访问控制（MAC) 在强制访问控制中，系统给主体和客体分配了不同的安全属性，用户不能改变自身或任何客体的安全属性，即不允许单个用户确定访问权限，只有系统管理员可确定用户和用户组的访问权限。系统通过比较客体和主体的安全属性来决定主体是否可访问客体。此外，强制访问控制不允许一个进程生成共享文件，从而防止进程通过共享文件将信息从一个进程传送到另一个进程。MAC可通过使用敏感标号对所有用户和资源强制执行安全策略，即实现强制访问控制。MAC可抵御特洛依木马和用户滥用职权等攻击，当敏感数据需在多种环境下受到保护时，就需要使用MAC。强制访问控制是比自主访问控制功能更强的访问控制机制，但是这种机制也给合法用户带来许多不便。例如，在用户共享数据方面不灵活且受到限制。因此，一般在保护敏感信息时使用MAC，需对用户提供灵活的保护且更多的考虑共享信息时，使用MAC。 2.基于角色的访问控制（RBAC)

浅谈计算机网络安全技术

浅谈计算机网络安全技术近年来，随着计算机在社会生活各个领域的广泛运用，网络已成为一个无处不在、无所不用的工具。然而，网络安全问题也越来越突出，特别是计算机病毒以及计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性、网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通，我们必须不断加强和提高网络安全防范意识。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。网络安全应具有以下四个方面的特征：（1）保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（2）可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；（3）可控性：对信息的传播及内容具有控制能力。（4）可审查性：出现的安全问题时提供依据与手段。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题，应该象每家每户

访问控制技术研究及应用

湖南大学硕士学位论文访问控制技术研究及应用姓名：尹绍锋申请学位级别：硕士专业：软件工程指导教师：杨贯中;杨志新 20081001

T f?硕I:学位论文摘要访问控制技术是构成信息安全体系不可缺少的重要组成部分。随着信息化进程的深化，尤其是网络应用的迅速増加，信息系统的用户规模在不断膨胀。传统的访问控制技术采用人工方式实现对访问控制体系运行期的维护。当访问控制体系变得庞大时，这种维护方式错误率会增高、维护变得困难、运行成本也随着增长起来。本文希望构建ー种能够适用于大用户数信息系统的访问控制体系，使之运行期的维护工作变得简化。本文一方面对现有访问控制技术，尤其对基于角色访问控制技术，进行了学习、研究。熟悉掌握了该领域中的各种概念，对比了各种技术在用户管理上的实现模式，分析这些模式对大用户量管理的支持。同时，对访问控制体系的维护管理，尤其是运行期的用户管理与用户授权管理这两项工作进行了研究。从多个角度分析运行期期的维护逻辑与业务逻辑之间的关系，发现在多数.管理信息系统中，用户的权限与业务体系中的信息有着一定的依存关系，提出可以依靠业务系统的信息来驱动访问控制体系的权限分配的思想。基于此，作者提出了一种自适应的访问控制技术，在ー些应用范围内，该技术能够自动适应业务部分的变化，完成用户授权的控制，从而简化访问控制机制运行期的维护管理。通过对基于角色访问控制模型的开放性及可扩展性的分析，以基于角色访问控制模型为基础，构建出自适应访问控制模型。并从技术实现与开发成本等角度分析讨论了该访问控制技术的可行性。最后，将自适应的访问控制技术在ー个高校人事管理系统中进行了应用。该应用以人事业务为基础，对自适应模块进行了实现，使该系统具备了对用户及其权限进行自维护的能力，解决了人工管理可能存在的问题。通过实际应用，一方面，通过实例验证了自适应访问控制技术实现的可行性，同时也明确了访问控制体系下ー步的研究方向。关键词：信息安全；访问控制；维护；自适应 Abstract Access control technology takes a vital part in the safety of information system. With the popularization of the information system and especially the rapid increase or internet application, the size of users m access control system needed to be supervised is increasing fast. So to administrate the large number of users by the traditional pure man-managed way is more and more difficult. And this research is intended to find an

网络互连技术论文-要点

《网络互联技术》 < Network Interconnection Technology> 姓名：何小平 N a m e :He Xiaoping 班级：09级网络技术2班 Grade:Network Technology Class 2 Grade 09

[论文中文摘要］网络互连是指利用一定的技术和方法，由一种或多种通信设备将两个或两个以上的网络连接起来，以构成一个更大的网络系统。通过研究网络互联技术，可以使局域网的建设更为合理、网络传输更为高效、网络更为安全、还可以节约建设成本和维护成本，为更好的选择组建网络所需设备提供理论以及技术支持，从而组建最优网络。［Treatise English Summary］Network interconnection refers to the use of certain techniques and methods, by one or more communications equipment will be two or more networks connected together to form a larger network system. Research network interconnect technology, the construction of the LAN is more reasonable, more efficient network transmission network more secure, you can also save construction costs and maintenance costs, provide a theoretical and technical support required to set up the network for better choice of equipment and thus the formation of the optimal network. [论文关键词］连接;网络;网络技术;传输介质 [Treatise Keyword]Connection ;Network;Network Technology;Transmission Medium 一、网络互连的概述和基础知识网络互连是指利用一定的技术和方法，由一种或多种通信设备将两个或两个以上的网络连接起来，以构成一个更大的网络系统。网络互连允许用户在更大范围内实现信息传输和资源共享，它主要包括两方面的内容：（1）将多个独立的、小范围的网络连接起来构成一个较大范围的网络。（2）将一个节点多、负载重的大型网络分解成若干个小型网络，再利用互连技术把这些小型网络连接起来。在计算机网络中，通常把网络协议相同的网络称为同构网，网络协议不相同的网络称为异构网。网络互连包括了同构网和异构网的连接，主要形式有3种：LAN与LAN互连、LAN 与WAN互连、WAN与WAN。二、常见的网络传输介质传输介质是网络中连接收发双方的物理通路，也是通信中实际传送信息的载体。网络中常用的传输介质有以下4种：双绞线、同轴电缆、光纤电缆、无线与卫星通信信道。双绞线双绞线可以传送信号100米，在局域网中最常用。局域网中所使用的双绞线有两种类型：屏蔽双绞线(Shielded Twisted Pair，STP)和非屏蔽双绞线(UnShielded Twisted Pair，UTP)。非屏蔽双绞线是目前最流行的电缆，有如下标准：（1）1类—— 1Mbps数据传输率，指传统的电话线（2）2类—— 4Mbps数据传输率（3）3类—— 10Mbps以太网的标准线缆

谈谈网络安全技术(一)

谈谈网络安全技术(一) 随着Internet的迅速发展，电子商务已成为潮流，人们可以通过互联网进行网上购物、银行转账等许多商业活动。现在商业贸易、金融财务和其他经济行为中，不少已经以数字化信息的方式在网上流动着。在下个世纪伴随着电子商务的不断发展和普及，全球电子交易一体化将成为可能。“数字化经济”(DigitalEconomy)初具规模，电子银行及电子货币的研究、实施和标准化开始普及。然而，开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。一、防火墙技术和SET规范防火墙技术和数据加密传输技术将继续沿用并发展，多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全，五者综合应用。在产品及功能上，将摆脱目前对子网或内部网管理方式的依赖，向远程上网集中管理方式发展，并逐渐具备强大的病毒扫除功能；适应IP加密的需求，开发新型安全协议，建立专用网（VPN）；推广单向防火墙；增强对网络攻击的检测和预警功能；完善安全管理工具，特别是可疑活动的日志分析工具，这是新一代防火墙在编程技术上的革新。理论上，防火墙就是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。在逻辑上它是一个限制器，也是一个分析器，能有效地监控内部网和Internet之间的活动，保证内部网络的安全。由于硬件技术的进步，基于高速Internet上的新一代防火墙，还将更加注重发挥全网的效能，安全策略会更加明晰化、合理化、规范化。由140家高技术公司、大学和美国政府开发的高速网络Internet2是21世纪互联网的雏形，其主干网之一——Abilene横跨10，000英里，网络速度高达秒。技术的进步将进一步减少时延、提高网络效能。目前，全球连入Internet的计算机中约有1/3是处于防火墙保护之下，而到了下个世纪这个比率会大幅提升。电子商务运作全球化是21世纪的一个特色，由电子钱包（e－WALLET）、电子通道（e－POS）、电子银行（e－BANK）、认证机构（CertificateAuthority）组成的网上支付系统将被推广应用。高效、安全的新版本SET协议将承担起保证传输数据的安全重任。SET(SecureElectronicTransaction)即安全电子交易协议，它是由VISA和MASTERCARD所开发，是为了在Internet上进行在线交易时保证用卡支付的安全而设立的一个开放的规范。目前SET11．0版本已经公布并可应用于任何银行支付服务。SET规范得到了IBM、HP、Micro－soft、NetScape、VeriFone、GTE、VeriSign等很多大公司的支持，已形成了事实上的工业标准，并获取了IETF标准的认可。就连大名鼎鼎的微软公司亦宣称将来要将其加入到Windows 的核心中。符合SET规范的产品会越来越多，SET必将成为21世纪电子商务的基础。二、生物识别技术人类在追寻文档、交易及物品的安全保护的有效性与方便性经历了三个阶段的发展。第一阶段也就是最初的方法，是采用大家早已熟悉的各种机械钥匙。第二阶段是由机械钥匙发展到数字密钥，如登录上网的个人密码（Password）以及使用银行自动提款机所需的身份识别码（PIN－PersonalIdentificationNumber）、身份证（IDCards）或条形码等，它是当今数字化生活中较为流行的一种安全密钥系统。随着21世纪的来临，一种更加便捷、先进的信息安全技术将全球带进了电子商务时代，它就是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术——生物识别技术。生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案，由于人体特征具有不

网络互连技术知识总结

1.互联网概述计算机网络就是通信线路和通信设备将分布在不同地点的具有独立功能的多个计算机系统互相连接起来，在网络软件的支持下实现彼此之间的数据通信和资源共享的系统。 OSI七层模型开放系统互连参考模型简称OSI为开放式互连信息系统提供了一种功能结构的框架。Osi开放系统互连参考模型是一种协议规范，用来规范网络协议的设计与实现。引入osi参考模型的主要作用是为了实现各个厂家网络设备能够互连互通 OSI简介：OSI采用了分层的结构化技术，共分七层，物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。它从低到高分别是：物理层：接受来自数据链路层的帧，将0和1编码成数字信号，以便在网络介质上传输数据链路层：在网络层实体间提供数据发送和接收的功能和过程；提供数据链路的流控。网络层：提供逻辑地址和路由选择功能传输层：提供建立、维护和拆除传送连接的功能；选择网络层提供最合适的服务；在系统之间提供可靠的透明的数据传送，提供端到端的错误恢复和流量控制。会话层：提供两进程之间建立、维护和结束会话连接的功能；提供交互会话的管理功能，如三种数据流方向的控制，即一路交互、两路交替和两路同时会话模式。表示层：代表应用进程协商数据表示；完成数据转换、格式化和文本压缩。应用层：负责寻找服务器提供的网络资源，并提供流量控制和错误控制功能核心层：尽可能快速的传输一般不进行路由选择，访问列表控制，包过滤

接入层：把终端设备接入网络，提供本地服务分布层：接入层的汇聚点流量控制广播、组播域介质转换安全远程接入访问面向应用的上层面向端到端的数据流数据流层作用： Network：提供逻辑地址，是路由器用来路径确定 Datalink：组合位到字节并把字节组合成帧分层的优点：把网络任务分层，并定义标准的层间接口，可使各个独立的协议或者层更简洁便于学习和讨论协议规范的很多细节层次的标准接口便于工程模块化，使每个产品可以只完成某几层的功能创建一个更好的互操作环境便于定位和排除故障 Osi间通信：同一计算机相邻间通信发送数据：从高层到底层接受数据：从底层到高层封装数据—把每一层的数据放在包头和包尾之间，然后发送给下一层

访问控制模型综述

访问控制模型研究综述沈海波1,2,洪帆1 (1.华中科技大学计算机学院,湖北武汉430074; 2.湖北教育学院计算机科学系,湖北武汉430205) 摘要:访问控制是一种重要的信息安全技术。为了提高效益和增强竞争力,许多现代企业采用了此技术来保障其信息管理系统的安全。对传统的访问控制模型、基于角色的访问控制模型、基于任务和工作流的访问控制模型、基于任务和角色的访问控制模型等几种主流模型进行了比较详尽地论述和比较,并简介了有望成为下一代访问控制模型的UCON模型。关键词:角色;任务;访问控制;工作流中图法分类号:TP309 文献标识码: A 文章编号:1001-3695(2005)06-0009-03 Su rvey of Resea rch on Access Con tr ol M odel S HE N Hai-bo1,2,HONG Fa n1 (1.C ollege of Computer,H uazhong Univer sity of Science&Technology,W uhan H ubei430074,China;2.Dept.of C omputer Science,H ubei College of Education,Wuhan H ubei430205,China) Abst ract:Access control is an im port ant inform a tion s ecurity t echnolog y.T o enha nce benefit s and increa se com petitive pow er,m a ny m odern enterprises hav e used this t echnology t o secure their inform ation m ana ge s yst em s.In t his paper,s ev eral m a in acces s cont rol m odels,such as tra dit iona l access control m odels,role-bas ed acces s cont rol m odels,ta sk-ba sed acces s control m odels,t as k-role-based access cont rol m odels,a nd s o on,are discus sed a nd com pa red in deta il.In addit ion,we introduce a new m odel called U CON,w hich m ay be a prom ising m odel for the nex t generation of a ccess control. Key words:Role;Ta sk;Access Cont rol;Workflow 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法。它是针对越权使用系统资源的防御措施,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证系统资源受控地、合法地使用。访问控制的目的在于限制系统内用户的行为和操作,包括用户能做什么和系统程序根据用户的行为应该做什么两个方面。访问控制的核心是授权策略。授权策略是用于确定一个主体是否能对客体拥有访问能力的一套规则。在统一的授权策略下,得到授权的用户就是合法用户,否则就是非法用户。访问控制模型定义了主体、客体、访问是如何表示和操作的,它决定了授权策略的表达能力和灵活性。若以授权策略来划分,访问控制模型可分为:传统的访问控制模型、基于角色的访问控制(RBAC)模型、基于任务和工作流的访问控制(TBAC)模型、基于任务和角色的访问控制(T-RBAC)模型等。 1 传统的访问控制模型传统的访问控制一般被分为两类[1]:自主访问控制DAC (Discret iona ry Acces s Control)和强制访问控制MAC(Mandat ory Acces s C ontrol)。自主访问控制DAC是在确认主体身份以及它们所属组的基础上对访问进行限制的一种方法。自主访问的含义是指访问许可的主体能够向其他主体转让访问权。在基于DAC的系统中,主体的拥有者负责设置访问权限。而作为许多操作系统的副作用,一个或多个特权用户也可以改变主体的控制权限。自主访问控制的一个最大问题是主体的权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。访问控制表(ACL)是DAC中常用的一种安全机制,系统安全管理员通过维护AC L来控制用户访问有关数据。ACL的优点在于它的表述直观、易于理解,而且比较容易查出对某一特定资源拥有访问权限的所有用户,有效地实施授权管理。但当用户数量多、管理数据量大时,AC L就会很庞大。当组织内的人员发生变化、工作职能发生变化时,AC L的维护就变得非常困难。另外,对分布式网络系统,DAC不利于实现统一的全局访问控制。强制访问控制MAC是一种强加给访问主体(即系统强制主体服从访问控制策略)的一种访问方式,它利用上读/下写来保证数据的完整性,利用下读/上写来保证数据的保密性。MAC主要用于多层次安全级别的军事系统中,它通过梯度安全标签实现信息的单向流通,可以有效地阻止特洛伊木马的泄露;其缺陷主要在于实现工作量较大,管理不便,不够灵活,而且它过重强调保密性,对系统连续工作能力、授权的可管理性方面考虑不足。 2基于角色的访问控制模型RBAC 为了克服标准矩阵模型中将访问权直接分配给主体,引起管理困难的缺陷,在访问控制中引进了聚合体(Agg rega tion)概念,如组、角色等。在RBAC(Role-Ba sed Access C ontrol)模型[2]中,就引进了“角色”概念。所谓角色,就是一个或一群用户在组织内可执行的操作的集合。角色意味着用户在组织内的责 ? 9 ? 第6期沈海波等:访问控制模型研究综述收稿日期:2004-04-17;修返日期:2004-06-28

网络安全技术第1章网络安全概述习题及答案

网络安全技术第1章网络安全概述习题及答案 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

浅谈网络安全的重要性

网络安全 ——浅谈网络安全的重要性学院：专业：姓名：学号: 指导教师：沈阳城市学院完成日期：2014年5月3日

浅谈网络安全的重要意义随着计算机网络的发展和因特网的广泛普及，信息已经成为现代社会必不可少的一部分。社会中的每一个领域都涉及到计算机的应用。但是在这个计算机为主流的社会，我们大学生中还有很多计算机的文盲。因此在大二下学期我们接触到了网络安全这门课程，之前对于网络一无所知的自己，对于网络知识也有了重新的认识。知道了网络安全的重要性。我们想要去重视一件事，得先去了解它是什么，有什么用。这样才能更好的去解决。网络的安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。众所周知，Internet是开放的，而开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：（一）每一种安全机制都有一定的应用范围和应用（防火墙：但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的）。（二）安全工具的使用受到人为因素的影响（NT在进行合理的设置后可以达到C2级的安全性，但很少有人能够对NT本身的安全策略进行合理的设置）。（三）系统的后门是传统安全工具难于考虑到的地方（比如说，众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀）。（四）只要有程序，就可能存在BUG。（现在很多程序都存在内存溢出的BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防范）。（五）黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。只要是有漏洞的东西我们就会去弥补，因为我们知道这些漏洞会给我们带来多大的危害。因此我们也需要了解一些维护网络安全的一些基本技术。大概应该有三点：（一）认证（对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息）。（二）加密（分为公钥加密和私钥加密）：通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。（三）防火墙技术（防火墙的安全控制主要是基于IP地址的，难以为

网络安全技术研究的目的、意义和现状

网络安全技术综述研究目的：随着互联网技术的不断发展和广泛应用，计算机网络在现代生活中的作用越来越重要，如今，个人、企业以及政府部门，国家军事部门，不管是天文的还是地理的都依靠网络传递信息，这已成为主流，人们也越来越依赖网络。然而，网络的开放性与共享性容易使它受到外界的攻击与破坏，网络信息的各种入侵行为和犯罪活动接踵而至，信息的安全保密性受到严重影响。因此，网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。在网络技术高速发展的今天，对网络安全技术的研究意义重大，它关系到小至个人的利益，大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境，让网络安全技术更好的为广大用户服务。研究意义：一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。

访问控制技术讲解

第5章身份认证与访问控制技术教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。 1. 身份认证的概念认证（Authentication）是指对主客体身份进行确认的过程。身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。 2. 认证技术的类型认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。从鉴别对象上，分为消息认证和用户身份认证两种。（1）消息认证：用于保证信息的完整性和不可否认性。（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证， 5.1.2 常用的身份认证方式 1. 静态密码方式静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。 2. 动态口令认证动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态

短信密码和动态口令牌（卡）两种方式，口令一次一密。图5-1动态口令牌 3. USB Key认证采用软硬件相结合、一次一密的强双因素（两种认证方法）认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即CA认证过程，如表5-1所示。表5-1 证书的类型与作用证书名称证书类型主要功能描述个人证书个人证书个人网上交易、网上支付、电子邮件等相关网络作业单位证书单位身份证书用于企事业单位网上交易、网上支付等Email证书用于企事业单位内安全电子邮件通信部门证书用于企事业单位内某个部门的身份认证服务器证书企业证书用于服务器、安全站点认证等代码签名证书个人证书用于个人软件开发者对其软件的签名企业证书用于软件开发企业对其软件的签名注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书，并提供各种证书服务，包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面：（1）管理和维护客户的证书和证书作废表（CRL）。（2）维护整个认证过程的安全。（3）提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成

网络互联技术总结.doc

第一章网络互联设备与管理 1、P8 从资源的组成角度来看，典型的计算机网络可分为两大子网：资源子网和通信子网2、P13 双绞线是应用最广泛的传输介质，可分为屏蔽双绞线和非屏蔽双绞线两大类 3、P15 EIA/TIA-568A线序：绿白绿、橙白蓝、蓝白橙、棕白棕 EIA/TIA-568B线序：橙白橙、绿白蓝、蓝白绿、棕白棕 4、P46 路由器的功能：确定最佳路径和通过网络传输信息具体表现： 1.连接不同的网络，在不同的网络之间接受转发送到远程网络的数据包，路由器起到数据包的转发作用； 2.选择最合理的路由，引导不同网络之间的通信； 3.路由器在转发报文的过程中，为了便于传送报文，按照预定的规则，把大的数据包分解成适当大小的数据包，到达目的地后，再把分解的数据包还原； 5、P48 路由器的存储器包括只读内存、随机内存、非易失性RAM和闪存。 1.ROM：只读存储器，不能修改其中存放的代码。 2.RAM：可读写存储器，在系统重启后将被清除。 3.NVRAM：可读写存储器，在系统重新启动后仍能保存数据。 4.Flash：可读写存储器，在系统重新启动后仍能保存数据。第二章网络设备配置和管理 1、P66 网际互联操作系统IOS在网络管理过程中具有如下特点： 1.提供网络协议和网咯服务功能； 2.在设备间提供高速的数据交换； 3.提供安全控制访问； 4.对网络提供很强的可扩展性和容错； 5.提供到网络资源的可靠连接。 2、P67 对网络设备的配置和管理主要借助计算机进行，一般配置访问有以下四种方式： 1.通过PC与网络设备直接相连； 2.通过Telnet对网络设备进行远程管理； 3.通过Web对网络设备进行远程管理； 4.通过SNMP管理工作站对网络设备进行管理。 3、P68、P71、P7 4、P76、P78 命令解释1： 1.Switch>?--------------------------------------列出用户模式下的所有命令 2.Switch#?---------------------------------------列出特权模式下的所有命令 3.Switch>s?--------------------------------------列出用户模式下所有以S开头的命令 4.Switch>show?---------------------------------列出用户模式下show命令后附带的参数 5.Switch>show conf---------------------自动补齐conf后的剩余字母