訪問控製技術

訪問控製技術

防止對任何資源進行未授權的訪問,從而使電腦系統在合法的範圍內使用。意指,使用者身份及其所歸屬的某項定義組來限製使用者對某些信息項的訪問,或限製對某些控製功能的使用的一種技術,如UniNAC網路準入控製系統的原理就是基于此技術之上。訪問控製通常用于系統管理員控製使用者對伺服器、目錄、檔案等網路資源的訪問。

  • 中文名稱
    訪問控製技術
  • 層    次
    物理訪問控製和邏輯訪問控製
  • 要    素
    主體、客體
  • 功能包括
    合法使用者訪問受權保護網路資源

訪問控製的概念及原理

訪問控製的概念及要素

(Access Control)是指系統對使用者身份及其所屬的預先定義的策略組限製其使用資料資源能力的手段。通常用于系統管理員控製使用者對伺服器、目錄、檔案等網路資源的訪問,如UniNAC網路準入控製系統的原理就是基于此技術之上。防止對任何資源進行未授權的訪問,從而使電腦系統在合法的範圍內使用。

訪問控製是系統保密性、完整性、可用性和合法使用性的重要基礎,是網路安全防範和資源保護的關鍵策略之一,也是主體依據某些控製策略或許可權對客體本身或其資源進行的不同授權訪問。是限製訪問主體對客體的訪問,從而保障資料資源在合法範圍內得以有效使用和管理。為了達到上述目的,訪問控製需要完成兩個任務:識別和確認訪問系統的使用者、決定該使用者可以對某一系統資源進行何種類型的訪問。包括:主體、客體和控製策略。

1. 主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一使用者,也可以是使用者啓動的進程、服務和設備等。

2. 客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、檔案、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。

3. 控製策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。

訪問控製的功能及原理

保證合法使用者訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法使用者對受保護的網路資源進行非授權的訪問。訪問控製首先需要對使用者身份的合法性進行驗證,同時利用控製策略進行選用和管理工作。當使用者身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控製的內容包括識別、控製策略實現和安全審計,其功能及原理如圖1所示。

1. 識別:包括主體對客體的識別及客體對主體的檢驗確認。

2. 控製策略:通過合理地設定控製規則集合,確保使用者對信息資源在授權範圍內的合法使用。既要確保授權使用者的合理使用,又要防止非法使用者侵權進入系統,使重要信息資源泄露。同時對合法使用者,也不能越權行使許可權以外的功能及訪問範圍。

3. 安全審計:系統可以自動根據使用者的訪問許可權,對電腦網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。 圖1 訪問控製功能及原理

訪問控製的類型及機製

訪問控製可以分為:物理訪問控製和邏輯訪問控製。物理訪問控製如符合標準規定的使用者、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控製則是在資料、套用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關註的是二者兼顧,物理訪問控製則主要由其他類型的安全部門負責。

訪問控製的類型

主要的訪問控製類型有:自主訪問控製(DAC)、強製訪問控製(MAC)和基于角色訪問控製(RBAC)。

一、自主訪問控製

自主訪問控製(Discretionary Access Control,DAC)是一種接入控製服務,通過執行基于系統實體身份及其到系統資源的接入授權。包括在檔案,資料夾和共享資源中設定許可。使用者有權對自身所建立的檔案、資料表等訪問對象進行訪問,並可將其訪問權授予其他使用者或收回其訪問許可權。允許訪問對象的屬主製定針對該對象訪問的控製策略,通常,可通過訪問控製列表來限定針對客體可執行的操作。

①每個客體有一個所有者,可按照各自意願將客體訪問控製許可權授予其他主體。

②各客體都擁有一個限定主體對其訪問許可權的訪問控製列表(ACL)。

③每次訪問時都以基于訪問控製列表檢查使用者標志,實現對其訪問許可權控製。

④DAC的有效性依賴于資源的所有者對安全政策的正確理解和有效落實。

DAC提供了適合多種系統環境的靈活方便的資料訪問方式,是套用最廣泛的訪問控製策略。然而,它所提供的安全性可被非法使用者繞過,授權使用者在獲得訪問某資源的許可權後,可能傳送給其他使用者。主要是在自由訪問策略中,使用者獲得檔案訪問後,若不限製對該檔案信息的操作,即沒有限製資料信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。

二、強製訪問控製

強製訪問控製(MAC)是系統強製主體服從訪問控製策略。是由系統對使用者所建立的對象,按照規定的規則控製使用者許可權及操作對象的訪問。主要特征是對所有主體及其所控製的進程、檔案、段、設備等客體實施強製訪問控製。

在MAC中,每個使用者及檔案都被賦予一定的安全級別,隻有系統管理員才可確定使用者和組的訪問許可權,使用者不能改變自身或任何客體的安全級別。系統通過比較使用者和訪問檔案的安全級別,決定使用者是否可以訪問該檔案。此外,MAC不允許通過進程生成已分享檔案,以通過已分享檔案將信息在進程中傳遞。

MAC可通過使用敏感標簽對所有使用者和資源強製執行安全策略,一般採用3種方法:限製訪問控製、過程控製和系統限製。MAC常用于多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。

MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(使用者,進程)和客體(檔案,資料)都分配安全標簽,以標識安全等級。

通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限製。一個主體隻有通過自主與強製性訪問限製檢查後,才能訪問其客體。使用者可利用DAC來防範其他使用者對自己客體的攻擊,由于使用者不能直接改變強製訪問控製屬性,所以強製訪問控製提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。

三、基于角色的訪問控製

(Role)是一定數量的許可權的集合,指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個使用者與許可權的代理層,表示為許可權和使用者的關系,所有的授權應該給予角色而不是直接給使用者或使用者組。

基于角色的訪問控製(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控製。使許可權與角色相關聯,使用者通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作建立角色,使用者可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的彈性。

RBAC模型的,主要有3種:

①根據任務需要定義具體不同的角色。

②為不同角色分配資源和操作許可權。

③給一個使用者組(Group,許可權分配的單位與載體)指定一個角色。

RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和資料抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控製一些操作,如財務操作可用借款、存款等抽象許可權,而不用作業系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。

訪問控製機製

訪問控製機製是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在檔案系統中廣泛套用的安全防護方法,一般在作業系統的控製下,按照事先確定的規則決定是否允許主體訪問客體,貫穿于系統全過程。

(Access Contro1 Matrix)是最初實現訪問控製機製的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。

通過引用監控器協調客體對主體訪問,實現識別與訪問控製的分離。在實際套用中,對于較大系統,由于訪問控製矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下:

1. 訪問控製列表

訪問控製列表(Access Control List,ACL)是套用在路由器接口的指令列表,用于路由器利用源地址、目的地址、連線埠號等的特定指示條件對封包的抉擇。是以檔案為中心建立訪問許可權表,表中記載了該檔案的訪問使用者名稱和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。

基于ACL的訪問控製策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控製方法。許多通用的作業系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。

2. 能力關系表

能力關系表(Capabilities List)是以使用者為中心建立訪問許可權表。與ACL相反,表中規定了該使用者可訪問的檔案名稱及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。

單點登入的訪問管理

通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲使用者身份信息,使用者隻需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路使用者的效率,減少網路操作的成本,增強網路安全性。根據登入的套用類型不同,可將SSO分為。

1)對桌面資源的統一訪問管理

對桌面資源的訪問管理,包括兩個方面:

①登入Windows後統一訪問Microsoft套用資源。Windows本身就是一個“SSO”系統。隨著.NET技術的發展,“Microsoft SSO”將成為現實。通過Active Directory的使用者組策略並結合SMS工具,可實現桌面策略的統一製定和統一管理。

②登入Windows後訪問其他套用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連線。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他套用的使用者信息,間接實現對這些套用的SSO服務。

2)Web單點登入

由于Web技術體系架構便捷,對Web資源的統一訪問管理易于實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案

3)傳統C/S 結構套用的統一訪問管理

在傳統C/S 結構套用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。

在後台集成方面,可以利用基于集成平台的安全服務組件或不基于集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。

在不同的套用系統之間,同時傳遞身份識別和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行識別和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構套用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。

訪問控製的安全策略

訪問控製的安全策略是指在某個自治區域內(屬于某個組織的一系列處理和通信資源範疇),用于所有與安全相關活動的一套訪問控製規則。由此安全區域中的安全權力機構建立,並由此安全控製機構來描述和實現。訪問控製的安全策略有:基于身份的安全策略、基于規則的安全策略和綜合訪問控製方式。

安全策略實施原則

集中在主體、客體和安全控製規則集三者之間的關系。

(1)最小特權原則。在主體執行操作時,按照主體所需權利的最小化原則分配給主體權力。優點是最大限度地限製了主體實施授權行為,可避免來自突發事件、操作錯誤和未授權主體等意外情況的危險。為了達到一定目的,主體必須執行一定操作,但隻能做被允許的操作,其他操作除外。這是抑製特洛伊木馬和實現可靠程式的基本措施。

(2)最小泄露原則。主體執行任務時,按其所需最小信息分配許可權,以防泄密。

(3)多級安全策略。主體和客體之間的資料流向和許可權控製,按照安全級別的絕密(TS)、秘密(S)、機密(C)、限製(RS)和無級別(U)5級來劃分。其優點是避免敏感信息擴散。具有安全級別的信息資源,隻有高于安全級別的主體才可訪問。

在訪問控製實現方面,包括8個方面:入網訪問控製、網路許可權限製、目錄級安全控製、屬性安全控製、網路伺服器安全控製、網路監測和鎖定控製、網路連線埠和節點的安全控製和防火牆控製。

基于身份和規則的安全策略

授權行為是建立身份安全策略和規則安全策略的基礎,為:

1)基于身份的安全策略

主要是過濾主體對資料或資源的訪問。隻有通過識別的主體才可以正常使用客體的資源。這種安全策略包括基于個人的安全策略和基于組的安全策略。

(1)基于個人的安全策略。是以使用者個人為中心建立的策略,主要由一些控製列表組成。這些列表針對特定的客體,限定了不同使用者所能實現的不同安全策略的操作行為。

(2)基于組的安全策略。基于個人策略的發展與擴充,主要指系統對一些使用者使用同樣的訪問控製規則,訪問同樣的客體。

2)基于規則的安全策略

在基于規則的安全策略系統中,所有資料和資源都標註了安全標記,使用者的活動進程與其原發者具有相同的安全標記。系統通過比較使用者的安全級別和客體資源的安全級別,判斷是否允許使用者進行訪問。這種安全策略一般具有依賴性與敏感性。

綜合訪問控製策略

綜合訪問控製策略(HAC)繼承和吸取了多種主流訪問控製技術的優點,有效地解決了信息安全領域的訪問控製問題,保護了資料的保密性和完整性,保證授權主體能訪問客體和拒絕非授權訪問。HAC具有良好的彈性、可維護性、可管理性、更細粒度的訪問控製性和更高的安全性,為信息系統設計人員和開發人員提供了訪問控製安全功能的解決方案。主要包括:

1)入網訪問控製

入網訪問控製是網路訪問的第一層訪問控製。對使用者可規定所能登入到的伺服器及獲取的網路資源,控製準許使用者入網的時間和登入入網的工作站點。使用者的入網訪問控製分為使用者名稱和口令的識別與驗證、使用者賬號的默認限製檢查。該使用者若有任何一個環節檢查未通過,就無法登入網路進行訪問。

2)網路的許可權控製

網路的許可權控製是防止網路非法操作而採取的一種安全保護措施。使用者對網路資源的訪問許可權通常用一個訪問控製列表來描述。

從使用者的角度,網路的許可權控製可分為以下3類使用者:

(1)特殊使用者。具有系統管理許可權的系統管理員等。

(2)一般使用者。系統管理員根據實際需要而分配到一定操作許可權的使用者。

(3)審計使用者。專門負責審計網路的安全控製與資源使用情況的人員。

3)目錄級安全控製

目錄級安全控製主要是為了控製使用者對目錄、檔案和設備的訪問,或指定對目錄下的子目錄和檔案的使用許可權。使用者在目錄一級製定的許可權對所有目錄下的檔案仍然有效,還可進一步指定子目錄的許可權。在網路和作業系統中,有:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、建立許可權(Create)、移除許可權(Erase)、修改許可權(Modify)、檔案查找許可權(File Scan)、控製許可權(Access Control)等。一個網路系統管理員應為使用者分配適當的訪問許可權,以控製使用者對伺服器資源的訪問,進一步強化網路和伺服器的安全。

4)屬性安全控製

屬性安全控製可將特定的屬性與網路伺服器的檔案及目錄網路設備相關聯。在許可權安全的基礎上,對屬性安全提供更進一步的安全控製。網路上的資源都應先標示其安全屬性,將使用者對應網路資源的訪問許可權存入訪問控製列表中,記錄使用者對網路資源的訪問能力,以便進行訪問控製。

包括:向某個檔案寫資料、復製一個檔案、移除目錄或檔案、查看目錄和檔案、執行檔案、隱含檔案、共享、系統屬性等。安全屬性可以保護重要的目錄和檔案,防止使用者越權對目錄和檔案的查看、移除和修改等。

5)網路伺服器安全控製

網路伺服器安全控製允許通過伺服器控製台執行的安全控製操作包括:使用者利用控製台裝載和卸載操作模組、安裝和移除軟體等。操作網路伺服器的安全控製還包括設定口令鎖定伺服器控製台,主要防止非法使用者修改、移除重要信息。另外,系統管理員還可通過設定伺服器的登入時間限製、非法訪問者檢測,以及關閉的時間間隔等措施,對網路伺服器進行多方位地安全控製。

6)網路監控和鎖定控製

在網路系統中,通常伺服器自動記錄使用者對網路資源的訪問,如有非法的網路訪問,伺服器將以圖形、文字或聲音等形式向網路管理員報警,以便引起警覺進行審查。對嘗試登入網路者,網路伺服器將自動記錄企圖登入網路的次數,當非法訪問的次數達到設定值時,就會將該使用者的賬戶自動鎖定並進行記載。

7)網路連線埠和結點的安全控製

網路中伺服器的連線埠常用自動回復器、靜默數據機等安全設施進行保護,並以加密的形式來識別結點的身份。自動回復器主要用于防範假冒合法使用者,靜默數據機用于防範黑客利用自動撥號程式進行網路攻擊。還應經常對伺服器端和使用者端進行安全控製,如通過驗證器檢測使用者真實身份,然後,使用者端和伺服器再進行相互驗證。

識別服務與訪問控製系

AAA技術概述

在信息化社會新的網路套用環境下,虛擬專用網(VPN)、遠程撥號、移動辦公室等網路移動接入套用非常廣泛,傳統使用者身份識別和訪問控製機製已經無法滿足廣大使用者需求,由此產生了AAA識別授權機製。

AAA識別系統的功能,主要包括以下3個部分:

(1)識別:經過對網路使用者身份進行識別後,才允許遠程登入訪問網路資源。

(2)鑒權:為遠程訪問控製提供方法,如一次性授權或給予特定命令或服務的鑒權。

(3)審計:主要用于網路計費、審計和製作報表。

AAA一般運行于網路接入伺服器,提供一個有力的識別、鑒權、審計信息採集和配置系統。網路管理者可根據需要選用適合需要的具體網路協定及識別系統。

遠程鑒權撥入使用者服務

遠程鑒權撥入使用者服務(Remote Authentication Dial In User Service,RADIUS)主要用于管理遠程使用者的網路登入。主要基于C/S架構,客戶端最初是NAS(Net Access Server)伺服器,現在任何運行RADIUS客戶端軟體的電腦都可成為其客戶端。RADIUS協定識別機製靈活,可採用PAP、CHAP或Unix登入識別等多種方式。

此協定規定了網路接入伺服器與RADIUS伺服器之間的訊息格式。此伺服器接受使用者的連線請求,根據其賬戶和密碼完成驗證後,將使用者所需的配置信息返回網路接入伺服器。該伺服器同時根據使用者的動作進行審計並記錄其計費信息。

1)RADIUS協定主要工作過程

(1)遠程使用者通過PSTN網路連線到接入伺服器,並將登入信息傳送到其伺服器;

(2)RADIUS伺服器根據使用者輸入的賬戶和密碼對使用者進行身份識別,並判斷是否允許使用者接入。請求批準後,其伺服器還要對使用者進行相應的鑒權;

(3)鑒權完成後,伺服器將回響信息傳遞給網路接入伺服器和計費伺服器,網路接入伺服器根據當前配置來決定針對使用者的相應策略。

RADIUS協定的識別連線埠號為1812或1645,計費連線埠號為1813或1646。RADIUS通過統一的使用者資料庫存儲使用者信息進行驗證與授權工作。

2)RADIUS的加密方法

對于重要的封包和使用者口令,RADIUS協定可使用MD5演算法對其進行加密,在其客戶端(NAS)和伺服器端(RADIUS Server)分別存儲一個密鑰,利用此密鑰對資料進行演算法加密處理,密鑰不宜在網路上載送。

3)RADIUS的重傳機製

RADIUS協定規定了重傳機製。如果NAS向某個RADIUS伺服器提交請求沒有收到返回信息,則可要求備份伺服器重傳。由于有多個備份伺服器,因此NAS進行重傳時,可採用輪詢方法。如果備份伺服器的密鑰與以前密鑰不同,則需重新進行識別。

終端訪問控製系統

終端訪問控製(Terminal Access Controller Access Control System,TACACS)的功能是通過一個或幾個中心伺服器為網路設備提供訪問控製服務。與上述RADIUS區別是,TACACS是Cisco專用的協定,具有獨立的身份識別、鑒權和審計等功能。

準入控製與身份識別管理

準入控製技術

企事業機構網路系統,在安裝防火牆、漏洞掃描系統、入侵檢測系統和病毒檢測軟體等安全設施後,仍可能遭受惡意攻擊。其主要原因是一些使用者不能及時安裝系統漏洞補丁和升級病毒庫等,為網路系統帶來安全隱患

思科(Cisco)公司在2003年11月,為了應對網路安全中出現的這種情況,率先提出了網路準入控製(Network Admission Control,NAC)和自防御網路(SDN)的概念,並聯合Network Associates、Symantec、 Trend Micro及IBM等廠商共同開發和推廣NAC。微軟公司也迅速做出反應,提供了具有同樣功能的網路準許接入保護方案(Network Access Protection,NAP)。思科公司的NAC和微軟的NAP其原理和本質是一致的,不僅對使用者身份進行識別,還對使用者的接入設備進行安全狀態評估(包括防病毒軟體、系統補丁等),使每個接入點都具有較高的可信度和健壯性,從而保護網路基礎設施。

隨後,國內外廠商在準入控製技術產品開發方面進行一場激烈的競爭。思科公司于2004年推出準入控製產品解決方案之後,華為公司也緊隨其後,于2005年上半年推出了端點準入防御(Endpoint Admission Defense,EAD)產品,SYGATE也于2005年6月公布了SNAC通用解決方案。

準入控製技術方案比較

思科公司的NAC或微軟公司的NAP,還是華為公司的EAD,都是專用的準入控製系統。不同廠商的準入控製方案雖然在原理上基本類似,但是,具體實現方式各不相同。主要區別體現在以下4個方面。

1)選取協定

思科公司及華為公司選擇的是EAP協定、RADIUS協定和802.1x協定實現準入控製。微軟則選擇DHCP和RADIUS協定來實現。

2)身份識別管理方式

思科公司、華為公司和微軟公司在後台都選擇使用RADIUS伺服器作為識別管理平台;華為公司主要以使用者名稱和密碼方式進行身份識別,思科公司選擇了採用證書方式管理使用者身份方式;微軟暫時還沒有推出具體的產品。

3)策略管理

各廠家都選擇了集中式控製管理方式。策略控製和套用策略伺服器(通常是RADIUS伺服器)和第三方的軟體產品(病毒庫管理及系統補丁等)協作進行;使用者資料和準入策略由統一的管理平台負責。

4)準入控製

思科和華為的準入控製原理大同小異,利用本公司特定的網路設備來實現;微軟由于沒有控製網路基礎設施的產品,選擇了通過DHCP伺服器來控製準入流程。

準入控製技術中的身份識別

身份識別技術的發展過程,從軟體到軟硬體結合,從單一因子識別到雙因素識別,從靜態識別到動態識別。目前常用的身份識別方式包括:使用者名稱/密碼方式、公鑰證書方式、動態口令方式等。無論單獨採用哪種方式,都有其優劣。如採用使用者名稱/密碼方式,使用者名稱及弱密碼容易被竊取或攻擊;而採用公鑰證書,又涉及到證書生成、發放、復原等復雜的管理問題;私鑰的安全性也取決于個人對私鑰的保管。

身份識別技術的安全性,關鍵在于組織採取的安全策略。身份識別技術必須滿足組織機構的對網路安全的具體實際需求,並能夠認真完整地執行安全管理策略。

身份識別是網路準入控製的基礎。在各種準入控製方案中,都採用了身份識別技術。目前,身份識別管理技術和準入控製進一步融合,向綜合管理和集中控製方向發展。

準入控製技術的現狀與發展

準入控製技術發展很快,並出現各種方案整合的趨勢。各主要廠商在突出發展本身準入控製方案的同時也加大了廠商之間的合作力度。思科和微軟都承諾支持對方的準入控製計畫,並開放自己的API。準入控製標準化工作也在加快進行。在2004年5月,可信計算組織(Trusted Computing Group,TCG)成立了可信網路連線(Trusted Network Connect,TNC)分組,TNC計畫為端點準入強製策略開發一個對所有開發商開放的架構規範,從而保證各個開發商端點準入產品的可互操作性。這些規範將利用現存的工業標準,並在需要的時候開發新的標準和協定。

TNC的成立促進了標準化的快速發展,許多重要的網路和安全公司如Foundry、Sygate、Juniper、Trend Micro、Symantec和Zone Labs等都加入了TNC組織。TNC希望通過構建架構和規範保證互操作性,這些規範將包括端點的安全構建之間、端點主機和網路設備之間,以及網路設備之間的軟體接口和通信協定。現在,準入控製正在向標準化、軟硬體相結合的方向發展。

相關詞條

其它詞條