身份認(rèn)證技術(shù)目錄CONTENTS身份認(rèn)證概述01常用身份認(rèn)證方法02Kerberos認(rèn)證03口令認(rèn)證系統(tǒng)04生物特征認(rèn)證05一次性口令認(rèn)證06智能卡技術(shù)07總結(jié)0801身份認(rèn)證概述身份認(rèn)證的定義身份認(rèn)證是驗(yàn)證用戶身份的過(guò)程，確保用戶是其所聲稱的人。在網(wǎng)絡(luò)環(huán)境中，身份認(rèn)證是保護(hù)系統(tǒng)資源和數(shù)據(jù)安全的第一道防線。身份認(rèn)證可以防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露。在金融、醫(yī)療、政府等關(guān)鍵領(lǐng)域，身份認(rèn)證是保障業(yè)務(wù)安全運(yùn)行的核心環(huán)節(jié)。身份認(rèn)證的重要性單向認(rèn)證：只有驗(yàn)證方對(duì)被驗(yàn)證方進(jìn)行身份驗(yàn)證，如用戶登錄系統(tǒng)。雙向認(rèn)證：如5G網(wǎng)絡(luò)中的基站與終端雙向認(rèn)證，確保通信雙方的合法性。身份認(rèn)證的分類身份認(rèn)證的定義與重要性01早期身份認(rèn)證方式最初的身份認(rèn)證主要依賴于簡(jiǎn)單的口令，這種方式容易被破解。例如，接頭暗號(hào)。隨著計(jì)算機(jī)技術(shù)的發(fā)展，出現(xiàn)了基于硬件的身份認(rèn)證設(shè)備，如智能卡。03未來(lái)發(fā)展趨勢(shì)身份認(rèn)證技術(shù)將更加智能化、便捷化，如基于行為分析的身份認(rèn)證。隨著物聯(lián)網(wǎng)的發(fā)展，身份認(rèn)證將廣泛應(yīng)用于各種智能設(shè)備和場(chǎng)景。02現(xiàn)代身份認(rèn)證技術(shù)的興起生物特征認(rèn)證技術(shù)逐漸成熟，如指紋、人臉、虹膜識(shí)別等。多因子認(rèn)證成為主流，結(jié)合多種認(rèn)證方式提高安全性。身份認(rèn)證的發(fā)展歷程02常用身份認(rèn)證方法口令認(rèn)證口令是用戶輸入的字符串，是最常見(jiàn)的身份認(rèn)證方式。選擇口令時(shí)應(yīng)遵循易記且難以猜測(cè)的原則，如使用大小寫(xiě)字母、數(shù)字和特殊字符組合。PIN碼認(rèn)證PIN碼是一種較短的數(shù)字密碼，常用于銀行ATM機(jī)等場(chǎng)景。由于PIN碼較短，容易被暴力破解，因此需要限制輸入次數(shù)。用戶預(yù)先設(shè)置一些問(wèn)題和答案，認(rèn)證時(shí)回答問(wèn)題來(lái)驗(yàn)證身份。這種方式的安全性取決于問(wèn)題和答案的復(fù)雜性，如“您的高中畢業(yè)年份”。010302問(wèn)答式認(rèn)證基于所知的身份認(rèn)證智能卡嵌有微處理器芯片，存儲(chǔ)用戶身份信息和加密密鑰。應(yīng)用于電子貨幣、電子商務(wù)、門(mén)禁系統(tǒng)等，具有防復(fù)制、防偽造等安全特性。智能卡認(rèn)證U盾是一種USB接口的硬件設(shè)備，用于存儲(chǔ)用戶的私鑰和數(shù)字證書(shū)。常用于網(wǎng)上銀行等高安全需求的場(chǎng)景，通過(guò)U盾進(jìn)行數(shù)字簽名和加密。U盾認(rèn)證動(dòng)態(tài)令牌是一種硬件設(shè)備，每隔一定時(shí)間生成一個(gè)動(dòng)態(tài)口令。動(dòng)態(tài)口令與用戶輸入的靜態(tài)口令結(jié)合，提高身份認(rèn)證的安全性。動(dòng)態(tài)令牌認(rèn)證基于所有的身份認(rèn)證指紋是每個(gè)人獨(dú)特的生理特征，指紋識(shí)別技術(shù)通過(guò)掃描指紋圖像進(jìn)行身份認(rèn)證。廣泛應(yīng)用于手機(jī)解鎖、門(mén)禁系統(tǒng)等，具有識(shí)別速度快、準(zhǔn)確率高的優(yōu)點(diǎn)。指紋識(shí)別人臉識(shí)別技術(shù)通過(guò)分析人臉的特征點(diǎn)進(jìn)行身份認(rèn)證。在智能手機(jī)、安防監(jiān)控等領(lǐng)域應(yīng)用廣泛，但存在被照片或視頻欺騙的風(fēng)險(xiǎn)。人臉識(shí)別虹膜是眼睛中獨(dú)特的生理結(jié)構(gòu)，虹膜識(shí)別技術(shù)具有極高的準(zhǔn)確率和安全性。應(yīng)用于高安全需求的場(chǎng)所，如軍事基地、銀行金庫(kù)等。虹膜識(shí)別基于生物特征的身份認(rèn)證Part01Part02Part03多因子認(rèn)證的定義多因子認(rèn)證結(jié)合多種認(rèn)證方式，如口令、智能卡、生物特征等。通過(guò)增加認(rèn)證因素，提高身份認(rèn)證的安全性。多因子認(rèn)證的應(yīng)用場(chǎng)景網(wǎng)上銀行：結(jié)合口令和手機(jī)短信驗(yàn)證碼進(jìn)行身份認(rèn)證。企業(yè)系統(tǒng)：使用智能卡和指紋識(shí)別進(jìn)行員工登錄認(rèn)證。多因子認(rèn)證的優(yōu)勢(shì)提高安全性：即使其中一個(gè)認(rèn)證因素被破解，其他因素仍可提供保護(hù)。增強(qiáng)用戶體驗(yàn)：既保證安全，又能提供便捷的認(rèn)證方式。多因子認(rèn)證03Kerberos認(rèn)證Kerberos的組成認(rèn)證服務(wù)器（AS）：負(fù)責(zé)驗(yàn)證用戶身份并發(fā)放票據(jù)授予票據(jù)（TGT）票據(jù)授予服務(wù)器（TGS）：根據(jù)TGT發(fā)放服務(wù)票據(jù)客戶端：請(qǐng)求身份認(rèn)證的用戶設(shè)備應(yīng)用服務(wù)器：提供服務(wù)的服務(wù)器，如文件服務(wù)器、郵件服務(wù)器等Kerberos的定義Kerberos是一種分布式環(huán)境下的身份認(rèn)證協(xié)議，廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)和校園網(wǎng)。通過(guò)使用密鑰分發(fā)中心（KDC）和票據(jù)來(lái)實(shí)現(xiàn)身份認(rèn)證。Kerberos認(rèn)證的優(yōu)勢(shì)提供強(qiáng)大的身份認(rèn)證機(jī)制，防止中間人攻擊。支持單點(diǎn)登錄，用戶只需登錄一次即可訪問(wèn)多個(gè)服務(wù)。Kerberos認(rèn)證概述0203客戶端向認(rèn)證服務(wù)器（AS）發(fā)送身份認(rèn)證請(qǐng)求，請(qǐng)求票據(jù)授予票據(jù)（TGT）客戶端請(qǐng)求票據(jù)01客戶端將ST發(fā)送給應(yīng)用服務(wù)器，應(yīng)用服務(wù)器驗(yàn)證ST后提供服務(wù)客戶端使用票據(jù)訪問(wèn)服務(wù)器客戶端使用TGT向票據(jù)授予服務(wù)器請(qǐng)求服務(wù)票據(jù)（ST）服務(wù)器TGS發(fā)放票據(jù)Kerberos認(rèn)證流程AS驗(yàn)證客戶端身份后，發(fā)放TGT并加密返回給客戶端。1.2.TGS驗(yàn)證TGT后，發(fā)放ST并加密返回給客戶端3.整個(gè)認(rèn)證過(guò)程通過(guò)票據(jù)和加密機(jī)制確保安全性WindowsActiveDirectory是微軟為Windows網(wǎng)絡(luò)環(huán)境開(kāi)發(fā)的目錄服務(wù)，用于集中管理網(wǎng)絡(luò)中的資源并提供身份驗(yàn)證和權(quán)限管理。用戶登錄時(shí)，AD通過(guò)Kerberos協(xié)議驗(yàn)證用戶身份并發(fā)放票據(jù)。用戶登錄一次即可訪問(wèn)多個(gè)授權(quán)資源（如文件共享、郵箱等）。WindowsActiveDirectory中的Kerberos認(rèn)證校園網(wǎng)使用Kerberos協(xié)議管理學(xué)生和教師的身份認(rèn)證。學(xué)生登錄圖書(shū)館系統(tǒng)、教學(xué)管理系統(tǒng)等時(shí)，通過(guò)Kerberos協(xié)議進(jìn)行單點(diǎn)登錄身份驗(yàn)證。Kerberos在校園網(wǎng)中的應(yīng)用Kerberos認(rèn)證的案例04口令認(rèn)證系統(tǒng)口令的定義口令是用戶輸入的字符串，用于驗(yàn)證用戶身份?？诹钍亲钤缜易畛Ｓ玫纳矸菡J(rèn)證方式之一?？诹畹倪x擇原則易記：用戶能夠輕松記住口令，避免頻繁忘記。難以猜測(cè)：口令應(yīng)包含大小寫(xiě)字母、數(shù)字和特殊字符，長(zhǎng)度不少于8位?？诹畹陌踩詮?qiáng)口令可以有效防止暴力破解和字典攻擊。定期更換口令可以降低口令被泄露的風(fēng)險(xiǎn)。口令的定義與選擇01限制試探次數(shù)限制用戶輸入口令的次數(shù)，通常為3-5次。超過(guò)限制次數(shù)后，賬戶將被鎖定一段時(shí)間，防止暴力破解。02口令有效期設(shè)置口令的有效期，通常為3到6個(gè)月。到期后用戶必須更換口令，以確?？诹畹陌踩?。03雙口令系統(tǒng)雙口令系統(tǒng)要求用戶輸入兩個(gè)口令。一個(gè)口令用于登錄，另一個(gè)口令用于特定操作，如轉(zhuǎn)賬。口令的安全控制措施UNIX系統(tǒng)中的口令存儲(chǔ)與驗(yàn)證UNIX系統(tǒng)使用影子口令文件（/etc/shadow）存儲(chǔ)加密的口令。口令存儲(chǔ)時(shí)使用單向加密算法，如MD5或SHA-256。用戶登錄時(shí)，系統(tǒng)將輸入的口令加密并與存儲(chǔ)的加密口令進(jìn)行比對(duì)。網(wǎng)上銀行的口令認(rèn)證網(wǎng)上銀行通常使用口令結(jié)合其他認(rèn)證方式，如手機(jī)短信驗(yàn)證碼。用戶登錄時(shí)輸入口令，系統(tǒng)通過(guò)短信發(fā)送驗(yàn)證碼進(jìn)行二次驗(yàn)證。這種方式既保證了安全性，又提高了用戶體驗(yàn)。口令認(rèn)證系統(tǒng)的案例05生物特征認(rèn)證用戶無(wú)需攜帶額外的設(shè)備或記住復(fù)雜的口令，只需使用自身的生物特征即可完成認(rèn)證。提高了用戶體驗(yàn)和便利性。生物特征是每個(gè)人獨(dú)特的生理或行為特征，如指紋、人臉、虹膜等。這些特征難以被偽造或復(fù)制，提高了身份認(rèn)證的安全性。高準(zhǔn)確率生物特征認(rèn)證技術(shù)的準(zhǔn)確率較高，誤識(shí)別率低。例如，指紋識(shí)別的誤識(shí)別率低于0.01%。隨身攜帶難以偽造生物特征認(rèn)證的優(yōu)勢(shì)虹膜是眼睛中獨(dú)特的生理結(jié)構(gòu)，虹膜識(shí)別技術(shù)具有極高的準(zhǔn)確率和安全性。應(yīng)用于高安全需求的場(chǎng)所，如軍事基地、銀行金等。虹膜識(shí)別的優(yōu)點(diǎn)是難以偽造，但設(shè)備成本較高。指紋識(shí)別技術(shù)通過(guò)掃描指紋圖像進(jìn)行身份認(rèn)證。廣泛應(yīng)用于手機(jī)解鎖、門(mén)禁系統(tǒng)、考勤系統(tǒng)等。指紋識(shí)別的優(yōu)點(diǎn)是識(shí)別速度快、準(zhǔn)確率高，但存在被指紋膜欺騙的風(fēng)險(xiǎn)。人臉識(shí)別技術(shù)通過(guò)分析人臉的特征點(diǎn)進(jìn)行身份認(rèn)證。在智能手機(jī)、安防監(jiān)控、支付系統(tǒng)等領(lǐng)域應(yīng)用廣泛。人臉識(shí)別的優(yōu)點(diǎn)是無(wú)需接觸，但存在被照片或視頻欺騙的風(fēng)險(xiǎn)。指紋識(shí)別人臉識(shí)別虹膜識(shí)別常見(jiàn)的生物特征認(rèn)證iPhone的FaceID通過(guò)3D結(jié)構(gòu)光技術(shù)掃描用戶面部，進(jìn)行身份認(rèn)證。TouchID通過(guò)指紋識(shí)別技術(shù)進(jìn)行身份認(rèn)證。這兩種技術(shù)為用戶提供便捷的解鎖和支付方式，同時(shí)保證了安全性。iPhone的Face

ID和TouchID機(jī)場(chǎng)安檢使用生物特征認(rèn)證技術(shù)，如指紋識(shí)別和人臉識(shí)別。旅客在辦理登機(jī)手續(xù)時(shí)，通過(guò)生物特征認(rèn)證快速完成身份驗(yàn)證。機(jī)場(chǎng)安檢中的生物特征認(rèn)證生物特征認(rèn)證的案例06一次性口令認(rèn)證一次性口令的概念一次性口令是指每次登錄時(shí)生成不同的口令，只能使用一次。這種口令即使被竊取，也無(wú)法被再次使用，提高了安全性。一次性口令的優(yōu)勢(shì)防止重放攻擊：即使口令被竊取，攻擊者也無(wú)法再次使用。高安全性：每次登錄都需要新的口令，降低了被破解的風(fēng)險(xiǎn)。一次性口令的應(yīng)用場(chǎng)景適用于高安全需求的系統(tǒng)，如網(wǎng)上銀行、企業(yè)系統(tǒng)等。通常結(jié)合其他認(rèn)證方式，如口令或生物特征。一次性口令的定義常用的一次性口令實(shí)現(xiàn)方式：登錄過(guò)程中加入不確定因素并通過(guò)某種運(yùn)算（通常是單向函數(shù)，如md5和sha），使每次登錄時(shí)用戶所使用的密碼都不相同，以此增加整個(gè)身份認(rèn)證過(guò)程的安全性。一次性口令認(rèn)證的設(shè)計(jì)思路基于挑戰(zhàn)/響應(yīng)機(jī)制基于時(shí)間同步機(jī)制基于事件（計(jì)數(shù)器）同步機(jī)制基于挑戰(zhàn)/響應(yīng)的OTP服務(wù)器向用戶發(fā)送一個(gè)隨機(jī)挑戰(zhàn)信息；用戶通過(guò)特定算法生成一次性口令。用戶將一次性口令輸入系統(tǒng)，服務(wù)器驗(yàn)證口令是否正確。常見(jiàn)的一次性口令機(jī)制①發(fā)起認(rèn)證請(qǐng)求②認(rèn)證請(qǐng)求發(fā)往服務(wù)器③挑戰(zhàn)值④用戶得到挑戰(zhàn)值⑤挑戰(zhàn)值輸入智能卡⑥一次性口令⑦輸入客戶端⑧OTP送給服務(wù)器⑨返回認(rèn)證結(jié)果不確定因素來(lái)自服務(wù)器基于時(shí)間同步的OTP用戶設(shè)備和服務(wù)器使用相同的時(shí)間同步算法生成一次性口令。依賴時(shí)間同步，服務(wù)器和客戶端需保持時(shí)間一致。常見(jiàn)的一次性口令機(jī)制基于事件（計(jì)數(shù)器）的OTP每次用戶進(jìn)行計(jì)數(shù)器操作時(shí)，系統(tǒng)和用戶設(shè)備生成一個(gè)基于計(jì)數(shù)值的新口令。這種機(jī)制適用于事件驅(qū)動(dòng)的場(chǎng)景，需要考慮失步問(wèn)題。常見(jiàn)的一次性口令機(jī)制GoogleAuthenticator是一款基于時(shí)間同步機(jī)制的一次性口令生成器。用戶在登錄Google賬戶時(shí)，輸入Google

Authenticator生成的一次性口令。系統(tǒng)驗(yàn)證口令是否與當(dāng)前時(shí)間生成的口令一致，從而完成身份認(rèn)證。GoogleAuthenticator的時(shí)間同步機(jī)制網(wǎng)上銀行通常使用短信驗(yàn)證碼或動(dòng)態(tài)令牌生成一次性口令。用戶在進(jìn)行轉(zhuǎn)賬等敏感操作時(shí)，銀行通過(guò)短信發(fā)送一次性口令。用戶輸入口令后，銀行驗(yàn)證口令是否正確，從而完成身份認(rèn)證。網(wǎng)上銀行的一次性口令認(rèn)證一次性口令認(rèn)證的案例一次性口令認(rèn)證方案的性能比較機(jī)制通

信

量系統(tǒng)實(shí)現(xiàn)復(fù)雜度機(jī)制安全性服務(wù)器計(jì)算量挑戰(zhàn)/響應(yīng)較大較簡(jiǎn)單較差較大口令序列較大較簡(jiǎn)單較差較大時(shí)間同步較小較復(fù)雜較好較小事件同步較小較簡(jiǎn)單較好適中時(shí)間同步和計(jì)數(shù)器（事件）同步的優(yōu)勢(shì)比較明顯，目前市場(chǎng)上很多公司的產(chǎn)品采用的都是基于時(shí)間同步和事件同步的方案。07智能卡技術(shù)010203智能卡的結(jié)構(gòu)智能卡是一種嵌有微處理器芯片的卡片，具有存儲(chǔ)和處理數(shù)據(jù)的能力?？ㄆ洗鎯?chǔ)用戶身份信息、加密密鑰和數(shù)字證書(shū)等。智能卡的優(yōu)勢(shì)防復(fù)制：智能卡采用加密技術(shù)，防止卡片信息被復(fù)制。防偽造：智能卡的芯片具有獨(dú)特的硬件標(biāo)識(shí)，難以偽造。加密算法：智能卡支持多種加密算法，如RSA、AES等，確保數(shù)據(jù)安全。智能卡的應(yīng)用場(chǎng)景廣泛應(yīng)用于電子貨幣、電子商務(wù)、門(mén)禁系統(tǒng)、醫(yī)療卡等。例如，公交卡、校園一卡通、銀行卡等都使用智能卡技術(shù)。智能卡的定義智能卡通過(guò)讀卡器與系統(tǒng)進(jìn)行通信，讀卡器將卡片上的數(shù)據(jù)讀取出來(lái)。系統(tǒng)對(duì)讀取的數(shù)據(jù)進(jìn)行驗(yàn)證，完成身份認(rèn)證。用戶將智能卡插入讀卡器，讀卡器讀取卡片上的數(shù)據(jù)。系統(tǒng)驗(yàn)證卡片上的身份信息和加密密鑰，完成身份認(rèn)證。智能卡使用加密算法對(duì)存儲(chǔ)的數(shù)據(jù)加密，防止數(shù)據(jù)泄露。在身份認(rèn)證過(guò)程中，智能卡與系統(tǒng)之間通過(guò)加密通信，確保安全性。智能卡的讀寫(xiě)操作智能卡的加密機(jī)制智能卡的認(rèn)證流程智能卡的工作原理校園一卡通校園一卡通使用智能卡技術(shù)，存儲(chǔ)學(xué)生和教師的身份信息。學(xué)生和教師可以使用一卡通進(jìn)行食堂消費(fèi)、圖書(shū)館借閱、門(mén)禁通行等。銀行卡銀行卡使用智能卡技術(shù)，存儲(chǔ)用戶的賬戶信息和加密密鑰。ATM機(jī)通過(guò)智能卡的認(rèn)證機(jī)制驗(yàn)證用戶身份。智能卡技術(shù)提高了銀行卡的安全性和可靠性。智能卡技術(shù)的案例08總結(jié)01.網(wǎng)絡(luò)安全的關(guān)鍵要素身份認(rèn)證是網(wǎng)絡(luò)安全的基礎(chǔ)，防止未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露。在金融、醫(yī)療、政府等關(guān)鍵領(lǐng)域，身份認(rèn)證是保障業(yè)務(wù)安全運(yùn)行的核心環(huán)節(jié)。02.提高系統(tǒng)安全性通過(guò)多種身份認(rèn)證方式，如口令、智能卡、生物特征等，提高系統(tǒng)的安全性。多因子認(rèn)證結(jié)合多種認(rèn)證方式，進(jìn)一步增強(qiáng)系統(tǒng)的安全性。身份認(rèn)證的重要性口令認(rèn)證優(yōu)點(diǎn)：簡(jiǎn)單易用，成本低。缺點(diǎn)：容易被破解，安全性低。智能卡認(rèn)證優(yōu)點(diǎn)：安全性高，防復(fù)制、防偽造。缺點(diǎn)：需要硬件設(shè)備，成本較高。生物特征認(rèn)證優(yōu)點(diǎn)：難以偽造，隨身攜帶，用戶體驗(yàn)好。缺點(diǎn)：設(shè)備成本高，存在被欺騙的風(fēng)險(xiǎn)。多因子認(rèn)證優(yōu)點(diǎn)：安全性高，結(jié)合多種認(rèn)證方式。缺點(diǎn)：實(shí)現(xiàn)復(fù)雜，用戶體驗(yàn)可能受到影響。多種認(rèn)證方式的優(yōu)缺點(diǎn)將生物特征認(rèn)證與智能卡技術(shù)結(jié)合，進(jìn)一步提高身份認(rèn)證的安全性。例如，使用指紋識(shí)別和智能卡雙重認(rèn)證。隨著物聯(lián)網(wǎng)的發(fā)展，身份認(rèn)證將廣泛應(yīng)用于各種智能設(shè)備和場(chǎng)景。需要開(kāi)發(fā)適合物聯(lián)網(wǎng)設(shè)備的身份認(rèn)證技術(shù)，如輕量級(jí)加密算法。通過(guò)分析用戶的行為特征，如打字習(xí)慣、鼠標(biāo)操作等，進(jìn)行身份認(rèn)證。這種方式可以在不增加用戶負(fù)擔(dān)的情況下，提高身份認(rèn)證的安全性。基于行為分析的身份認(rèn)證生物特征與智能卡的結(jié)合物聯(lián)網(wǎng)中的身份認(rèn)證未來(lái)發(fā)展趨勢(shì)數(shù)字簽名技術(shù)基本原理數(shù)字簽名的功能：接收者通過(guò)核實(shí)發(fā)送者對(duì)報(bào)文的數(shù)字簽名，驗(yàn)證報(bào)文是否被篡改；發(fā)送者事后無(wú)法否認(rèn)對(duì)報(bào)文的數(shù)字簽名；防止抵賴。數(shù)字簽名技術(shù)的應(yīng)用★★★數(shù)字簽名需要使用簽名者的私鑰，私鑰的安全性至關(guān)重要；私鑰如果保存在個(gè)人電腦中，易被黑客竊取。⑴客戶申請(qǐng)開(kāi)戶⑵生成并寫(xiě)入私鑰私鑰不能從U盾讀出⑷客戶從客戶端發(fā)起轉(zhuǎn)賬請(qǐng)求⑶存儲(chǔ)公鑰⑺轉(zhuǎn)賬請(qǐng)求+數(shù)字簽名⑸報(bào)文摘要⑹數(shù)字簽名⑻驗(yàn)證簽名，確認(rèn)轉(zhuǎn)賬信息真實(shí)性數(shù)字信封技術(shù)數(shù)字信封技術(shù)結(jié)合了對(duì)稱密鑰加密和公鑰加密的優(yōu)點(diǎn)，解決了對(duì)稱密鑰發(fā)布的安全問(wèn)題和公鑰加密速度慢的問(wèn)題，提高了安全性、擴(kuò)展性。問(wèn)題：如果攻擊者獲取了乙的公鑰并攔截甲發(fā)給乙的信息。同時(shí)，用自己生成的對(duì)稱密鑰加密一份偽造的信息，并用乙的公鑰來(lái)加密攻擊者自己的對(duì)稱密鑰，生成數(shù)字信封；然后把偽造的加密信息連同偽造的數(shù)字信封一起發(fā)送給乙。乙始終認(rèn)為攻擊者偽造的信息是甲發(fā)送的，結(jié)局可能損失慘重。如何防御？謝謝大家第八章

接入控制技術(shù)主講人：程遠(yuǎn)時(shí)間：2025.4目錄01020405Internet接入控制過(guò)程RADIUS協(xié)議以太網(wǎng)接入控制技術(shù)03PPP與接入控制總結(jié)與Q&A1Internet接入控制過(guò)程010302建立傳輸路徑：終端通過(guò)PSTN（PublicSwitchedTelephoneNetwork，公共交換電話網(wǎng)絡(luò)）或以太網(wǎng)與路由器建立連接。配置網(wǎng)絡(luò)信息：終端需配置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等，才能訪問(wèn)網(wǎng)絡(luò)資源。綁定路由項(xiàng)：路由器將終端IP地址與路由器的某個(gè)端口綁定，確保數(shù)據(jù)正確轉(zhuǎn)發(fā)。終端接入Internet的基本條件動(dòng)態(tài)分配IP地址：接入控制設(shè)備為終端動(dòng)態(tài)分配IP地址，確保網(wǎng)絡(luò)信息有效。對(duì)比圖a與圖b：圖a無(wú)身份鑒別，圖b強(qiáng)調(diào)用戶身份鑒別與動(dòng)態(tài)配置。用戶身份鑒別：接入控制設(shè)備驗(yàn)證用戶是否為注冊(cè)用戶，防止非法接入。接入Internet的先決條件圖a圖b1.建立傳輸路徑：終端通過(guò)撥號(hào)或以太網(wǎng)與接入控制設(shè)備建立連接。2.身份鑒別：接入控制設(shè)備驗(yàn)證用戶身份，確保其為注冊(cè)用戶。3.動(dòng)態(tài)配置網(wǎng)絡(luò)信息：接入控制設(shè)備為終端分配IP地址等網(wǎng)絡(luò)信息。4.動(dòng)態(tài)創(chuàng)建路由項(xiàng)：接入控制設(shè)備創(chuàng)建路由項(xiàng)，綁定終端IP與傳輸路徑。終端接入Internet過(guò)程總結(jié)2PPP與接入控制PPP功能：既是鏈路層協(xié)議，也是接入控制協(xié)議。PPP應(yīng)用場(chǎng)景：主要用于撥號(hào)接入，通過(guò)點(diǎn)對(duì)點(diǎn)語(yǔ)音信道建立連接。PPP協(xié)議概述(自學(xué))終端A通過(guò)呼叫連接與接入控制設(shè)備之間建立一個(gè)點(diǎn)對(duì)點(diǎn)的語(yǔ)音信道協(xié)議字段：標(biāo)識(shí)幀中封裝的協(xié)議類型，如鑒別協(xié)議或IPCP。信息字段：封裝的數(shù)據(jù)單元（PDU），如用戶身份信息或IP地址分配信息。PPP幀結(jié)構(gòu)接入控制設(shè)備需要與終端A交換信息（A的用戶身份標(biāo)識(shí)信息、接入控制設(shè)備為終端A分配的IP地址、子網(wǎng)掩碼等)，因此，需要將它們相互交換的信息封裝成適合點(diǎn)對(duì)點(diǎn)語(yǔ)音信道傳輸?shù)膸袷剑碢PP幀。接入控制設(shè)備完成對(duì)終端A的接入控制過(guò)程中，需要與終端A相互傳輸PPP幀?？诹铊b別協(xié)議(PAP)挑戰(zhàn)握手鑒別協(xié)議(CHAP)IP控制協(xié)議(IPCP)

用戶身份鑒別協(xié)議口令鑒別協(xié)議(PAP)過(guò)程：終端發(fā)送用戶名和口令，接入控制設(shè)備進(jìn)行驗(yàn)證。缺點(diǎn)：口令以明文傳輸，易被竊取。挑戰(zhàn)握手鑒別協(xié)議(CHAP)優(yōu)點(diǎn)：防止重放攻擊，安全性更高。過(guò)程：接入設(shè)備發(fā)送隨機(jī)數(shù)挑戰(zhàn)，終端計(jì)算MD5并返回結(jié)果，設(shè)備驗(yàn)證。用戶身份鑒別協(xié)議IPCP的作用：為終端動(dòng)態(tài)分配IP地址等網(wǎng)絡(luò)配置信息。流程：終端請(qǐng)求IP地址，接入設(shè)備分配IP地址并創(chuàng)建路由項(xiàng)。0102IP控制協(xié)議（IPCP）01物理鏈路停止：初始狀態(tài)，無(wú)傳輸路徑。02PPP鏈路建立：通過(guò)LCP協(xié)議協(xié)商參數(shù)，建立鏈路。03用戶身份鑒別：可選PAP或CHAP驗(yàn)證用戶身份。04IPCP：動(dòng)態(tài)分配IP地址，創(chuàng)建路由項(xiàng)。05終止PPP鏈路：釋放資源，返回物理鏈路停止?fàn)顟B(tài)。PPP接入控制流程鏈路控制協(xié)議(LinkControlProtocol，LCP)3RADIUS協(xié)議本地鑒別：對(duì)同一用戶多點(diǎn)接入Internet的情況，每一個(gè)接入控制設(shè)備中需要存儲(chǔ)所有接入用戶的身份標(biāo)識(shí)信息，管理復(fù)雜。本地鑒別的主要特點(diǎn)遠(yuǎn)程統(tǒng)一鑒別的特點(diǎn)用戶和鑒別者之間的載體協(xié)議通常是和傳輸網(wǎng)絡(luò)對(duì)應(yīng)的鏈路層協(xié)議或隧道。鑒別者和鑒別服務(wù)器之間的傳輸通路往往是由路由器互連的多段鏈路層傳輸路徑組成的。必須用IP以上的協(xié)議作為載體協(xié)議。遠(yuǎn)程鑒別撥入用戶服務(wù)(RADIUS)是一種實(shí)現(xiàn)接入控制設(shè)備等鑒別者與鑒別服務(wù)器之間身份鑒別以及身份標(biāo)識(shí)信息在鑒別者與鑒別服務(wù)器之間安全傳輸?shù)膽?yīng)用層協(xié)議。RADIUS消息封裝成IP分組。統(tǒng)一鑒別方式下，由鑒別服務(wù)器統(tǒng)一管理用戶，完成身份鑒別，授權(quán)和計(jì)費(fèi)操作。在這種情況下，接入控制設(shè)備不再進(jìn)行具體的鑒別操作，它只作為中繼系統(tǒng)向鑒別服務(wù)器轉(zhuǎn)發(fā)用戶發(fā)送的響應(yīng)報(bào)文，或向用戶轉(zhuǎn)發(fā)鑒別服務(wù)器發(fā)送的請(qǐng)求報(bào)文。鑒別服務(wù)器鏈路層協(xié)議/隧道應(yīng)用層協(xié)議編碼：標(biāo)識(shí)消息類型。包含四種消息類型：請(qǐng)求接入、允許接入、拒絕接入、挑戰(zhàn)接入。字段說(shuō)明：鑒別信息字段用于鑒別發(fā)送響應(yīng)消息的鑒別服務(wù)器，通過(guò)MD5加密；屬性字段給出了用戶身份標(biāo)識(shí)信息和NAS標(biāo)識(shí)信息標(biāo)識(shí)符：匹配請(qǐng)求或者響應(yīng)消息。每一個(gè)請(qǐng)求接入消息選擇不同的標(biāo)識(shí)符，對(duì)應(yīng)的響應(yīng)消息必須和請(qǐng)求接入消息的標(biāo)識(shí)符相同。RADIUS消息格式用戶發(fā)送EAP響應(yīng)：用戶提供用戶名。服務(wù)器發(fā)送挑戰(zhàn)：鑒別服務(wù)器發(fā)送隨機(jī)數(shù)挑戰(zhàn)。用戶計(jì)算MD5：用戶計(jì)算MD5（隨機(jī)數(shù)+口令）并返回結(jié)果。服務(wù)器驗(yàn)證：鑒別服務(wù)器驗(yàn)證結(jié)果，發(fā)送允許或拒絕接入消息。01020304RADIUS應(yīng)用流程RADIUS應(yīng)用示例角色客戶端：用戶設(shè)備（如筆記本電腦、手機(jī)）。認(rèn)證者：無(wú)線AP/交換機(jī)（作為RADIUS客戶端）。RADIUS服務(wù)器：運(yùn)行EAP-PEAP/MSCHAPv2的認(rèn)證服務(wù)器（如FreeRADIUS、MicrosoftNPS）。步驟階段1：建立TLS加密隧道（PEAP）客戶端發(fā)起連接用戶選擇Wi-Fi（如

CORP-WIFI），輸入用戶名/密碼?？蛻舳税l(fā)送

EAPOL-Start

給AP，請(qǐng)求認(rèn)證。AP轉(zhuǎn)發(fā)EAP-Identity請(qǐng)求AP向客戶端發(fā)送

EAP-Request/Identity，要求提供用戶名?？蛻舳朔祷赜脩裘蛻舳税l(fā)送

EAP-Response/Identity（如

user@）。服務(wù)器發(fā)送PEAP初始請(qǐng)求RADIUS服務(wù)器返回

EAP-Request/PEAP/Start，準(zhǔn)備建立TLS隧道。階段2：MSCHAPv2認(rèn)證（在TLS隧道內(nèi)）服務(wù)器發(fā)送挑戰(zhàn)（Challenge）RADIUS服務(wù)器生成隨機(jī)數(shù)

Challenge，發(fā)送給客戶端。客戶端計(jì)算響應(yīng)（Response）客戶端使用

用戶密碼的哈希值和

Challenge，計(jì)算

Response。服務(wù)器驗(yàn)證Response服務(wù)器從數(shù)據(jù)庫(kù)獲取用戶密碼的哈希值，重新計(jì)算預(yù)期響應(yīng)。如果匹配，認(rèn)證成功；否則失敗。雙向認(rèn)證（可選）服務(wù)器發(fā)送

Success/Failure

消息，客戶端也可驗(yàn)證服務(wù)器是否合法。認(rèn)證結(jié)果返回服務(wù)器發(fā)送

EAP-Success

或

EAP-Failure。AP允許/拒絕用戶接入網(wǎng)絡(luò)TLS握手（ServerHello+Certificate）服務(wù)器發(fā)送

TLSServerHello

和

數(shù)字證書(shū)。客戶端驗(yàn)證證書(shū)。TLS隧道建立完成雙方協(xié)商加密密鑰，后續(xù)通信在TLS隧道內(nèi)進(jìn)行。4以太網(wǎng)接入控制技術(shù)DHCP/ARP/生成樹(shù)欺騙：利用協(xié)議缺陷進(jìn)行攻擊。MAC表溢出攻擊：交換機(jī)MAC表溢出導(dǎo)致網(wǎng)絡(luò)癱瘓。威脅產(chǎn)生的原因：以太網(wǎng)相關(guān)協(xié)議缺陷交換機(jī)幀轉(zhuǎn)發(fā)機(jī)制不完善生成樹(shù)協(xié)議缺陷MAC地址欺騙：非法終端偽造MAC地址接入網(wǎng)絡(luò)。03010204以太網(wǎng)常見(jiàn)安全威脅01MAC表溢出的直接原因是交換機(jī)接收到太多源MAC地址不同的MAC幀。解決思路：限制每個(gè)端口允許接收的源MAC地址不同的MAC幀數(shù)量。02MAC地址欺騙攻擊的前提是交換機(jī)無(wú)法對(duì)接收到的MAC幀進(jìn)行源端鑒別；解決思路：由管理員確定每個(gè)交換機(jī)端口連接終端的MAC地址，將地址與終端綁定。03DHCP欺騙攻擊的前提是交換機(jī)無(wú)法判別接收到的DHCP響應(yīng)消息的合法性。解決思路：由管理員確定允許接收DHCP響應(yīng)消息的交換機(jī)端口，丟棄所有從其他端口接收到的DHCP響應(yīng)消息。04ARP欺騙攻擊的前提是ARP請(qǐng)求報(bào)文或響應(yīng)報(bào)文的接收者無(wú)法判別報(bào)文中MAC地址與IP地址之間綁定關(guān)系的正確性。解決思路：交換機(jī)中建立MAC地址與IP地址的綁定關(guān)系。05生成樹(shù)欺騙攻擊的前提是不該接收并處理BPDU的交換機(jī)端口接收并處理了BPDU。解決思路：由管理員確定參與生成樹(shù)建立過(guò)程的交換機(jī)端口，其他交換機(jī)端口一律丟棄接收到的BPDU。安全威脅的解決思路以太網(wǎng)接入控制基本概念交換機(jī)需要鑒別接入其某個(gè)端口的終端身份，只允許授權(quán)終端通過(guò)該端口實(shí)現(xiàn)與以太網(wǎng)上的其他終端或路由器之間的MAC幀傳輸過(guò)程。交換機(jī)通過(guò)鑒別接入終端的身份，判別該終端是否為授權(quán)終端的過(guò)程稱為以太網(wǎng)接入控制過(guò)程。終端驗(yàn)證交換機(jī)通過(guò)終端的MAC地址鑒別終端身份，確定該終端是否為授權(quán)終端用戶驗(yàn)證交換機(jī)通過(guò)對(duì)用戶提供的用戶名和口令鑒別使用終端的用戶的身份，確定用戶是否為授權(quán)用戶靜態(tài)配置訪問(wèn)控制列表：每一個(gè)端口由管理員手動(dòng)配置訪問(wèn)控制列表，列出允許接入的終端MAC地址動(dòng)態(tài)安全端口技術(shù):交換機(jī)為每一個(gè)端口自動(dòng)生成訪問(wèn)控制列表；每一個(gè)端口設(shè)置自動(dòng)學(xué)習(xí)的MAC地址數(shù)為N；端口自動(dòng)學(xué)習(xí)并限制接入的MAC地址數(shù)量。以太網(wǎng)接入控制機(jī)制核心思想：使用用戶身份鑒別代替MAC地址綁定。本地鑒別流程：用戶提供用戶名/口令：用戶通過(guò)終端提供身份信息。交換機(jī)驗(yàn)證：交換機(jī)使用CHAP機(jī)制驗(yàn)證用戶身份。動(dòng)態(tài)添加MAC：驗(yàn)證通過(guò)后，動(dòng)態(tài)添加終端MAC地址到訪問(wèn)控制列表。統(tǒng)一鑒別流程：使用RADIUS服務(wù)器集中管理用戶信息，提高安全性，減輕交換機(jī)負(fù)擔(dān)。010302802.1X接入控制EAP-CHAP挑戰(zhàn)發(fā)送：服務(wù)器通過(guò)EAP-Request消息發(fā)送隨機(jī)數(shù)。響應(yīng)生成：客戶端使用密碼和挑戰(zhàn)生成MD5哈希，通過(guò)EAP-Response返回。驗(yàn)證：服務(wù)器比對(duì)哈希值，完成認(rèn)證。5總結(jié)與Q&A核心要點(diǎn)：用戶身份鑒別是接入控制的基礎(chǔ)。1動(dòng)態(tài)分配IP地址與路由項(xiàng)綁定。2以太網(wǎng)安全需結(jié)合協(xié)議增強(qiáng)與設(shè)備配置。3協(xié)議對(duì)比：05PPP：鏈路層協(xié)議，適用于撥號(hào)接入。4RADIUS：應(yīng)用層協(xié)議，適用于多接入點(diǎn)環(huán)境。5802.1X：擴(kuò)展控制協(xié)議，增強(qiáng)以太網(wǎng)接入安全性。6技術(shù)總結(jié)01如何防止MAC地址欺騙攻擊？02CHAP相比PAP的優(yōu)勢(shì)是什么？03RADIUS如何保障傳輸安全？思考題謝謝大家訪問(wèn)控制主講人010203訪問(wèn)控制基礎(chǔ)與原則四種訪問(wèn)控制策略訪問(wèn)控制模型訪問(wèn)控制策略選擇與應(yīng)用05訪問(wèn)控制的未來(lái)發(fā)展趨勢(shì)目錄04Part01訪問(wèn)控制基礎(chǔ)與原則01主體與客體定義及實(shí)例主體是訪問(wèn)的發(fā)起者，如用戶、進(jìn)程等。客體是被訪問(wèn)的資源，如文件、設(shè)備、進(jìn)程使用的內(nèi)存空間等。用戶Alice是主體，文件/home/Alice/secret.txt是客體，Alice作為文件所有者可讀寫(xiě)。在數(shù)據(jù)庫(kù)管理系統(tǒng)中，用戶admin是主體，數(shù)據(jù)庫(kù)表employees是客體，admin擁有所有權(quán)限，普通用戶user1僅能查詢，體現(xiàn)了主體與客體的權(quán)限關(guān)系。02訪問(wèn)控制列表（ACL）是實(shí)現(xiàn)訪問(wèn)控制的重要工具，它明確記錄了主體對(duì)客體的訪問(wèn)權(quán)限。ACL能夠靈活地為不同主體設(shè)置不同權(quán)限，是訪問(wèn)控制策略有效實(shí)施的基礎(chǔ)，確保合法主體能按需訪問(wèn)資源。訪問(wèn)控制策略主體客體關(guān)系與訪問(wèn)控制列表最小特權(quán)原則要求每個(gè)主體僅被授予執(zhí)行任務(wù)所必需的最小權(quán)限。例如，普通員工使用公司電腦時(shí)，遵循最小特權(quán)原則，員工賬戶僅為普通用戶，無(wú)安裝軟件或修改系統(tǒng)配置權(quán)限，需要安裝軟件時(shí)通過(guò)臨時(shí)申請(qǐng)管理員權(quán)限完成，避免誤刪系統(tǒng)文件或安裝惡意軟件。最小特權(quán)原則多人負(fù)責(zé)原則：將關(guān)鍵任務(wù)或權(quán)限分配給多個(gè)不同人員或角色，確保無(wú)單一個(gè)體能獨(dú)立完成高風(fēng)險(xiǎn)操作。某公司支付大額款項(xiàng)時(shí)，遵循多人負(fù)責(zé)原則，會(huì)計(jì)發(fā)起支付申請(qǐng)，財(cái)務(wù)經(jīng)理審批，出納執(zhí)行轉(zhuǎn)賬，三人協(xié)作完成，避免內(nèi)部貪污或錯(cuò)誤支付。多人負(fù)責(zé)原則職責(zé)分離原則：將關(guān)鍵任務(wù)或敏感操作拆分為多個(gè)步驟，分配給不同個(gè)體或角色執(zhí)行。如財(cái)務(wù)系統(tǒng)中，公司支付供應(yīng)商貨款，采購(gòu)員提交付款申請(qǐng)，財(cái)務(wù)經(jīng)理審核申請(qǐng)真實(shí)性，出納執(zhí)行轉(zhuǎn)賬操作，防止會(huì)計(jì)人員偽造付款記錄挪用資金。職責(zé)分離原則三大訪問(wèn)控制原則三大訪問(wèn)控制原則維度多人負(fù)責(zé)原則職責(zé)分離原則核心多人協(xié)作完成同一任務(wù)拆分沖突職責(zé)給不同人防風(fēng)險(xiǎn)重點(diǎn)單人濫用或失誤合謀或利益沖突應(yīng)用場(chǎng)景高敏感操作（如系統(tǒng)權(quán)限管理）業(yè)務(wù)流程設(shè)計(jì)（如財(cái)務(wù)、審計(jì)）多人負(fù)責(zé)原則和職責(zé)分離原則是信息安全和組織管理中的兩個(gè)重要概念，雖然兩者都涉及分權(quán)制衡，但核心目標(biāo)和應(yīng)用場(chǎng)景有所不同。多人負(fù)責(zé)：像“雙人共管保險(xiǎn)箱”，必須兩人同時(shí)在場(chǎng)才能打開(kāi)。職責(zé)分離：像“會(huì)計(jì)和出納分開(kāi)”，管賬的人不能直接接觸現(xiàn)金。兩者常結(jié)合使用，例如：在財(cái)務(wù)系統(tǒng)中，既要求付款需雙人審批（多人負(fù)責(zé)），又要求審批人與記錄人分離（職責(zé)分離）。Part02四種訪問(wèn)控制策略自主訪問(wèn)控制（DAC）的核心特點(diǎn)是權(quán)限由資源所有者自主決定，用戶可直接或間接地將自己擁有的資源訪問(wèn)權(quán)限授予其他用戶。DAC通過(guò)訪問(wèn)控制列表或權(quán)限位實(shí)現(xiàn)權(quán)限管理，如Linux系統(tǒng)中，文件所有者可通過(guò)chmod命令設(shè)置文件權(quán)限，靈活地為不同用戶分配讀寫(xiě)執(zhí)行權(quán)限。DAC的核心特點(diǎn)與實(shí)現(xiàn)方式適用于對(duì)靈活性要求較高的場(chǎng)景，如小型企業(yè)內(nèi)部文件共享系統(tǒng)，員工可根據(jù)工作需要自主設(shè)置文件訪問(wèn)權(quán)限，方便協(xié)作。但DAC的缺點(diǎn)是安全性相對(duì)較低，用戶可能因疏忽或惡意過(guò)度分配權(quán)限，導(dǎo)致敏感信息泄露或系統(tǒng)被攻擊。DAC的適用場(chǎng)景及優(yōu)缺點(diǎn)自主訪問(wèn)控制（DAC）自主訪問(wèn)控制（DAC）自主訪問(wèn)控制的具體實(shí)施通常采用以下幾種方法。（1）訪問(wèn)控制矩陣自主訪問(wèn)控制（DAC）（2）訪問(wèn)能力表自主訪問(wèn)控制（DAC）（3）訪問(wèn)控制列表MAC的適用場(chǎng)景及優(yōu)缺點(diǎn)MAC適用于軍事、政府和金融核心系統(tǒng)等對(duì)安全性要求極高的場(chǎng)景。軍事系統(tǒng)中，文件被標(biāo)記為絕密、機(jī)密等不同密級(jí)，用戶根據(jù)其安全級(jí)別訪問(wèn)相應(yīng)密級(jí)文件。MAC的優(yōu)點(diǎn)是安全性高，能有效防止敏感信息泄露和非法訪問(wèn)，但缺點(diǎn)是靈活性差，用戶無(wú)法自主調(diào)整權(quán)限，可能導(dǎo)致工作效率降低。MAC的特點(diǎn)與實(shí)現(xiàn)方式強(qiáng)制訪問(wèn)控制的核心特點(diǎn)是權(quán)限由系統(tǒng)策略預(yù)先定義，用戶無(wú)法自行修改權(quán)限分配。MAC基于安全標(biāo)簽（如密級(jí)、分類）進(jìn)行訪問(wèn)決策，嚴(yán)格遵循預(yù)設(shè)規(guī)則。強(qiáng)制訪問(wèn)控制（MAC）RBAC通過(guò)角色間接分配權(quán)限，權(quán)限不直接賦予用戶，而是關(guān)聯(lián)到角色，用戶通過(guò)扮演角色獲得相應(yīng)權(quán)限。RBAC實(shí)現(xiàn)權(quán)限與用戶的解耦，系統(tǒng)管理員只需管理角色與權(quán)限的關(guān)系，用戶通過(guò)角色自動(dòng)獲得相應(yīng)權(quán)限，減少了權(quán)限管理的復(fù)雜性，提高了管理效率。RBAC的核心思想與實(shí)現(xiàn)方式RBAC適用于企業(yè)信息系統(tǒng)、醫(yī)療系統(tǒng)、云計(jì)算平臺(tái)和操作系統(tǒng)等場(chǎng)景，如ERP、CRM系統(tǒng)中部門(mén)角色權(quán)限管理，醫(yī)療系統(tǒng)中醫(yī)生、護(hù)士、藥劑師角色權(quán)限分離。RBAC的優(yōu)點(diǎn)是管理簡(jiǎn)單，能有效簡(jiǎn)化大規(guī)模系統(tǒng)的權(quán)限管理，提高管理效率；缺點(diǎn)是角色劃分和權(quán)限分配較為復(fù)雜。RBAC的適用場(chǎng)景及優(yōu)缺點(diǎn)基于角色的訪問(wèn)控制（RBAC）ABAC通過(guò)主體、客體、環(huán)境的屬性組合動(dòng)態(tài)決定訪問(wèn)權(quán)限，而非固定角色或標(biāo)簽。ABAC通過(guò)屬性和策略動(dòng)態(tài)計(jì)算訪問(wèn)權(quán)限，系統(tǒng)管理員根據(jù)業(yè)務(wù)需求定義屬性和策略，用戶訪問(wèn)資源時(shí)，系統(tǒng)根據(jù)實(shí)時(shí)屬性值和策略動(dòng)態(tài)判斷是否授權(quán)。ABAC的核心思想與實(shí)現(xiàn)方式ABAC適用于云計(jì)算、醫(yī)療物聯(lián)網(wǎng)、零信任網(wǎng)絡(luò)和多租戶SaaS等復(fù)雜多變的現(xiàn)代系統(tǒng)場(chǎng)景。ABAC的優(yōu)點(diǎn)是靈活性高、適應(yīng)性強(qiáng)，能有效應(yīng)對(duì)復(fù)雜多變的業(yè)務(wù)需求，但缺點(diǎn)是實(shí)現(xiàn)復(fù)雜，需要定義和管理大量屬性和策略。ABAC的適用場(chǎng)景及優(yōu)缺點(diǎn)基于屬性的訪問(wèn)控制（ABAC）ABAC模型可以實(shí)現(xiàn)DAC、MAC和RBAC模型的思想，且可以實(shí)現(xiàn)更細(xì)粒度的訪問(wèn)控制。ABAC允許無(wú)限數(shù)量的屬性組合來(lái)滿足任何訪問(wèn)控制規(guī)則。Part03訪問(wèn)控制模型訪問(wèn)控制模型概述強(qiáng)制訪問(wèn)控制系統(tǒng)中，所有的訪問(wèn)控制策略都由系統(tǒng)給出，而非由用戶自行決定。MAC系統(tǒng)中，影響訪問(wèn)決策的三個(gè)決定性因素：主體的標(biāo)簽：即主體的安全許可，如TOPSECRET[LongMarch3carrierrocket]客體的標(biāo)簽：如文件的敏感標(biāo)簽SECRET[carrierrocket]。訪問(wèn)請(qǐng)求類型：如主體是讀還是寫(xiě)訪問(wèn)操作。根據(jù)主體和客體的敏感標(biāo)簽和讀寫(xiě)關(guān)系可以有以下四種組合：下讀(Readdown)：主體級(jí)別高于客體級(jí)別的讀操作。上寫(xiě)(Writeup)：主體級(jí)別低于客體級(jí)別的寫(xiě)操作。下寫(xiě)(Writedown)：主體級(jí)別高于客體級(jí)別的寫(xiě)操作。上讀(Readup)：主體級(jí)別低于客體級(jí)別的讀操作。這四種組合中不同的讀寫(xiě)方式產(chǎn)生出不同的安全模型。BLP模型（保密性）Bell-LaPadula模型是強(qiáng)制訪問(wèn)控制最典型的例子，它是由DavidBell和LeonardLapadula于1973年提出的，簡(jiǎn)稱BLP模型。在BLP模型中，分配給客體對(duì)象的標(biāo)簽稱為安全分級(jí)，分配給主體對(duì)象的標(biāo)簽稱為安全許可。安全分級(jí)越高，信息就越敏感(也就越需要保護(hù)其機(jī)密性)。每一個(gè)主體都有自己的安全許可級(jí)。當(dāng)同時(shí)指主體的許可級(jí)和客體的密級(jí)時(shí)，將使用術(shù)語(yǔ)“密級(jí)”。密級(jí)可以分為絕密(TopSecret)、機(jī)密(Secret)、秘密(Confidential)及公開(kāi)(Unclassified)BLP安全模型的目的是要防止主體讀取安全密級(jí)比其安全許可級(jí)更高的客體。該模型主要用于防止保密信息被未授權(quán)的主體訪問(wèn)。BLP模型的規(guī)則與特點(diǎn)BLP模型（保密性）的規(guī)則：禁止上讀（低密級(jí)不能讀高密級(jí)）、禁止下寫(xiě)（高密級(jí)不能寫(xiě)低密級(jí)）。通過(guò)嚴(yán)格的密級(jí)劃分和訪問(wèn)規(guī)則，確保高密級(jí)信息不被低密級(jí)用戶訪問(wèn)，防止信息泄露。BLP模型的“向上寫(xiě)”策略使得低安全級(jí)別的主體篡改敏感數(shù)據(jù)成為可能，破壞了系統(tǒng)數(shù)據(jù)的完整性。01BLP模型的應(yīng)用實(shí)例BLP模型適用于對(duì)保密性要求極高的場(chǎng)景。如美國(guó)NSA系統(tǒng)處理絕密、機(jī)密信息，通過(guò)密級(jí)劃分和訪問(wèn)規(guī)則，確保只有同級(jí)或更高級(jí)用戶才能讀取機(jī)密文件，防止信息泄露。02BLP模型（保密性）Biba模型（完整性）的規(guī)則：禁止下讀（高完整性不能讀低完整性）、禁止上寫(xiě)（低完整性不能寫(xiě)高完整性）通過(guò)完整性級(jí)別劃分和訪問(wèn)規(guī)則，確保高完整性信息不被低完整性用戶破壞，保護(hù)信息完整性。Biba模型的規(guī)則與特點(diǎn)Web服務(wù)器拒絕低級(jí)別用戶的寫(xiě)入請(qǐng)求，防止低完整性用戶破壞Web服務(wù)器數(shù)據(jù)的完整性。在醫(yī)療數(shù)據(jù)管理系統(tǒng)中，通過(guò)Biba模型防止低完整性用戶篡改患者病歷信息，確?；颊卟v信息的完整性。Biba模型的應(yīng)用實(shí)例Biba模型（完整性）20世紀(jì)70年代，KenBiba提出了Biba訪問(wèn)控制模型，該模型對(duì)數(shù)據(jù)提供了分級(jí)別的完整性保證，應(yīng)用于強(qiáng)制訪問(wèn)控制系統(tǒng)。Part04訪問(wèn)控制策略選擇與應(yīng)用例如，對(duì)靈活性要求高的場(chǎng)景選擇DAC，對(duì)安全性要求高的場(chǎng)景選擇MAC，對(duì)大規(guī)模系統(tǒng)選擇RBAC，對(duì)復(fù)雜多變的現(xiàn)代系統(tǒng)選擇ABAC。例如，小型企業(yè)內(nèi)部文件共享系統(tǒng)選擇DAC，軍事、政府系統(tǒng)選擇MAC。在選擇訪問(wèn)控制策略時(shí)，還需考慮系統(tǒng)的規(guī)模、復(fù)雜性和管理成本等因素，綜合評(píng)估選擇最適合的策略。01根據(jù)業(yè)務(wù)需求選擇訪問(wèn)控制策略如企業(yè)信息系統(tǒng)中結(jié)合RBAC和最小特權(quán)原則，通過(guò)角色管理權(quán)限，同時(shí)確保每個(gè)角色的權(quán)限最小化，提高系統(tǒng)的安全性和管理效率。在實(shí)際應(yīng)用中，還可根據(jù)業(yè)務(wù)需求定制訪問(wèn)控制策略，如在醫(yī)療系統(tǒng)中，結(jié)合RBAC和BLP模型，保護(hù)患者隱私和醫(yī)療數(shù)據(jù)的保密性與完整性。02運(yùn)用多種策略優(yōu)化訪問(wèn)控制體系策略選擇依據(jù)與方法企業(yè)信息系統(tǒng)訪問(wèn)控制方案設(shè)計(jì)中，采用RBAC策略，根據(jù)部門(mén)和崗位設(shè)置角色，如銷售、財(cái)務(wù)、HR等角色，每個(gè)角色擁有相應(yīng)權(quán)限。同時(shí)遵循最小特權(quán)原則，為每個(gè)角色分配最小權(quán)限，確保系統(tǒng)安全。如何設(shè)計(jì)企業(yè)信息系統(tǒng)訪問(wèn)控制方案醫(yī)療系統(tǒng)訪問(wèn)控制方案設(shè)計(jì)中，結(jié)合RBAC和BLP模型，設(shè)置醫(yī)生、護(hù)士、藥劑師等角色，每個(gè)角色擁有相應(yīng)權(quán)限。同時(shí)，遵循BLP模型規(guī)則，保護(hù)患者隱私和醫(yī)療數(shù)據(jù)的保密性。如何設(shè)計(jì)醫(yī)療系統(tǒng)訪問(wèn)控制方案實(shí)際應(yīng)用案例分析Part05訪問(wèn)控制的發(fā)展趨勢(shì)新技術(shù)對(duì)訪問(wèn)控制的影響人工智能可用于訪問(wèn)控制中的身份認(rèn)證和行為分析，區(qū)塊鏈可用于訪問(wèn)控制中的身份管理和數(shù)據(jù)安全存儲(chǔ)。例如，通過(guò)人工智能算法分析用戶行為，識(shí)別異常訪問(wèn)行為，及時(shí)發(fā)現(xiàn)和阻止?jié)撛诘陌踩{；利用區(qū)塊鏈的去中心化和不可篡改特性，確保訪問(wèn)控制中的身份信息和數(shù)據(jù)安全可靠。面臨的挑戰(zhàn)與應(yīng)對(duì)策略復(fù)雜多變的業(yè)務(wù)需求、日益增長(zhǎng)的安全威脅和新技術(shù)帶來(lái)不確定性。應(yīng)對(duì)策略是不斷更新和完善訪問(wèn)控制策略，加強(qiáng)技術(shù)研發(fā)和管理。例如，針對(duì)云計(jì)算和IoT等復(fù)雜多變的業(yè)務(wù)需求，采用ABAC策略實(shí)現(xiàn)細(xì)粒度、上下文感知的權(quán)限控制；加強(qiáng)安全技術(shù)研發(fā)，如開(kāi)發(fā)更先進(jìn)的身份認(rèn)證技術(shù)和加密算法，提高系統(tǒng)的安全性。技術(shù)創(chuàng)新與挑戰(zhàn)金融行業(yè)對(duì)訪問(wèn)控制的安全性和可靠性要求極高；通過(guò)多種訪問(wèn)控制策略的結(jié)合，確保交易系統(tǒng)的安全性和可靠性；醫(yī)療行業(yè)對(duì)訪問(wèn)控制的保密性和完整性要求高。通過(guò)BLP和Biba模型保護(hù)患者隱私和醫(yī)療數(shù)據(jù)的保密性和完整性。01不同行業(yè)對(duì)訪問(wèn)控制的需求與應(yīng)用訪問(wèn)控制在新興行業(yè)如云計(jì)算、大數(shù)據(jù)、人工智能和物聯(lián)網(wǎng)等中具有廣闊的應(yīng)用前景。在云計(jì)算中，通過(guò)ABAC策略實(shí)現(xiàn)細(xì)粒度的權(quán)限控制，確保云資源的安全訪問(wèn)；在物聯(lián)網(wǎng)中，通過(guò)訪問(wèn)控制保護(hù)設(shè)備和數(shù)據(jù)的安全。02訪問(wèn)控制在新興行業(yè)中的應(yīng)用前景行業(yè)應(yīng)用與發(fā)展方向虛擬專用網(wǎng)技術(shù)目錄CONTENTS虛擬專用網(wǎng)概述01VPN典型技術(shù)02第二層隧道協(xié)議03IPSec協(xié)議04SSL/TLS協(xié)議05Part01虛擬專用網(wǎng)概述定義：是以共享的公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施為依托，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)之間互聯(lián)的技術(shù)，它能夠?yàn)镮nternet上的終端和內(nèi)部網(wǎng)絡(luò)之間的信息傳輸提供安全性。通過(guò)采用加密技術(shù)、隧道技術(shù)以及身份認(rèn)證等技術(shù)，為用戶遠(yuǎn)程接入、企業(yè)分支機(jī)構(gòu)間的互聯(lián)提供安全而穩(wěn)定的通信隧道。虛擬性：底層物理網(wǎng)絡(luò)透明，運(yùn)營(yíng)商需滿足用戶服務(wù)質(zhì)量與安全需求。專用性：通信數(shù)據(jù)保密，需特定保護(hù)措施，如加密、認(rèn)證、密鑰管理等?？蓴U(kuò)展性與可管理性：易增加接入節(jié)點(diǎn)，支持多種數(shù)據(jù)傳輸，可實(shí)現(xiàn)多方面管理功能。VPN定義與優(yōu)勢(shì)VPN特性虛擬專用網(wǎng)基礎(chǔ)虛擬專用網(wǎng)基礎(chǔ)思考以下問(wèn)題：隧道的實(shí)質(zhì)究竟是什么？隧道由誰(shuí)負(fù)責(zé)搭建和維護(hù)？為什么隧道技術(shù)能夠提供安全的通信保障？專線VPN：用戶通過(guò)專線接入ISP路由器，實(shí)現(xiàn)“永遠(yuǎn)在線”的VPN服務(wù)。撥號(hào)VPN（VPDN）：用戶通過(guò)撥號(hào)接入ISP，按需連接，通常需身份認(rèn)證。按接入方式分類遠(yuǎn)程訪問(wèn)VPN（AccessVPN）：企業(yè)員工通過(guò)公網(wǎng)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。企業(yè)內(nèi)部VPN（IntranetVPN）：企業(yè)總部與分支機(jī)構(gòu)通過(guò)公網(wǎng)構(gòu)建VPN，連接公司內(nèi)部網(wǎng)絡(luò)資源。企業(yè)外部VPN（ExtranetVPN）：企業(yè)與合作伙伴通過(guò)公網(wǎng)構(gòu)建虛擬網(wǎng)，用于戰(zhàn)略聯(lián)盟等合作場(chǎng)景。按服務(wù)類型分類VPN分類VPN分類遠(yuǎn)程訪問(wèn)VPN企業(yè)內(nèi)部VPNVPN&&企業(yè)專線企業(yè)專線專線通常由企業(yè)獨(dú)立建設(shè)，如國(guó)家電網(wǎng)；或者租用運(yùn)營(yíng)商的光纖，如四大行；建設(shè)/光纖租賃成本極高；網(wǎng)絡(luò)不易擴(kuò)展；運(yùn)維難度大，設(shè)備種類多，復(fù)雜度較高；易于實(shí)現(xiàn)業(yè)務(wù)質(zhì)量保障（QoS）；業(yè)務(wù)間可以實(shí)現(xiàn)物理隔離，安全性高VPN依托運(yùn)營(yíng)商構(gòu)建的骨干網(wǎng)絡(luò)；根據(jù)業(yè)務(wù)需求和特點(diǎn)，可以靈活選擇一種或多種VPN隧道來(lái)封裝業(yè)務(wù)；帶寬租賃成本較低；網(wǎng)絡(luò)易于擴(kuò)展；運(yùn)維管理全部由運(yùn)營(yíng)商負(fù)責(zé)，減輕企業(yè)網(wǎng)絡(luò)維護(hù)成本；難以實(shí)現(xiàn)較高的業(yè)務(wù)質(zhì)量保障（QoS）；業(yè)務(wù)間可以實(shí)現(xiàn)邏輯隔離，安全性較高Part02VPN典型技術(shù)隧道協(xié)議概述隧道技術(shù)：在公共信道中建立虛擬傳輸通道，將數(shù)據(jù)封裝到隧道協(xié)議中傳輸。根據(jù)數(shù)據(jù)是否加密，VPN可分為加密VPN和非加密VPN。隧道協(xié)議分類第二層隧道協(xié)議：如PPTP、L2TP，主要用于遠(yuǎn)程訪問(wèn)VPN。第三層隧道協(xié)議：如IPSec、GRE，用于網(wǎng)關(guān)到網(wǎng)關(guān)的VPN，直接封裝上層數(shù)據(jù)包。第四層隧道協(xié)議：如SSL/TLS，處于傳輸層和應(yīng)用層之間，為進(jìn)程間通信提供加密保護(hù)。隧道技術(shù)加密VPN通過(guò)加密技術(shù)保護(hù)數(shù)據(jù)傳輸安全，防止數(shù)據(jù)泄露和篡改。常見(jiàn)的加密協(xié)議包括IPSec、SSL等，可有效保障通信安全。加密VPN的重要性非加密VPN僅虛擬連接專用網(wǎng)絡(luò)，無(wú)法保證數(shù)據(jù)傳輸安全。例如GRE、MPLS等協(xié)議，適用于對(duì)安全性要求不高的場(chǎng)景。非加密VPN局限性加密技術(shù)Part03第二層隧道協(xié)議PPTP通過(guò)PPP協(xié)議實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)加密，將IP數(shù)據(jù)包封裝到PPP幀中，再封裝到GRE幀中傳輸。PPTP客戶機(jī)和服務(wù)器分別稱為PAC和PNS，負(fù)責(zé)隧道的建立和維護(hù)。PPTP工作原理PPTP安全性較弱，建議用戶選擇更安全的L2TP協(xié)議。PPTP協(xié)議的數(shù)據(jù)包分為控制數(shù)據(jù)包和數(shù)據(jù)包，用于管理隧道和傳輸數(shù)據(jù)。PPTP安全性與局限性PPTP協(xié)議PPTP協(xié)議IP數(shù)據(jù)包在進(jìn)入PPTP隧道傳輸前，先要使用PPTP協(xié)議進(jìn)行封裝。原始IP數(shù)據(jù)包首先被封裝在PPP數(shù)據(jù)幀中，使用PPP協(xié)議壓縮或者加密該部分?jǐn)?shù)據(jù)后，再封裝在GRE幀中，最后添加一個(gè)IP頭。PPTP數(shù)據(jù)包有兩種類型：PPTP控制包和PPTP數(shù)據(jù)包。PPTP控制數(shù)據(jù)包用于控制連接和管理隧道。L2TP是工業(yè)標(biāo)準(zhǔn)的數(shù)據(jù)鏈路層封裝協(xié)議，特別適用于遠(yuǎn)程訪問(wèn)VPN。L2TP客戶端和服務(wù)器分別為L(zhǎng)AC和LNS，負(fù)責(zé)隧道建立和數(shù)據(jù)傳輸。L2TP特點(diǎn)02L2TP協(xié)議本身不提供加密功能，但可通過(guò)與IPSec結(jié)合實(shí)現(xiàn)更安全的通信。相比PPTP，L2TP在安全性上更具優(yōu)勢(shì)，是推薦的遠(yuǎn)程訪問(wèn)VPN解決方案。L2TP與PPTP對(duì)比01L2TP協(xié)議L2TP協(xié)議應(yīng)用場(chǎng)景舉例用戶通過(guò)PPPoE撥入LAC，觸發(fā)LAC和LNS之間建立隧道。接入用戶的內(nèi)網(wǎng)IP地址由LNS分配，對(duì)接入用戶的認(rèn)證可由LAC側(cè)的代理完成，也可兩側(cè)都對(duì)接入用戶做認(rèn)證。此組網(wǎng)模式適用于分支機(jī)構(gòu)的用戶向總部發(fā)起連接，訪問(wèn)總部服務(wù)器。1.撥號(hào)用戶訪問(wèn)企業(yè)內(nèi)網(wǎng)2.移動(dòng)辦公用戶訪問(wèn)企業(yè)內(nèi)網(wǎng)由接入用戶（支持L2TP協(xié)議的PC）發(fā)起連接。此時(shí)，用戶可直接向LNS發(fā)起隧道連接請(qǐng)求。接入用戶的地址由LNS來(lái)分配。此場(chǎng)景適用于出差員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動(dòng)辦公。Part04IPSec協(xié)議IPSec協(xié)議概述IPSec(IPsecurity)是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通信雙方在IP層通過(guò)加密和數(shù)據(jù)摘要(hash)等手段，來(lái)保證數(shù)據(jù)包在Internet傳輸時(shí)的私密性(confidentiality)、完整性(dataintegrity)和真實(shí)性。IPSec作為一套開(kāi)放的標(biāo)準(zhǔn)安全體系結(jié)構(gòu)，提供了豐富的網(wǎng)絡(luò)安全特性：提供認(rèn)證、加密、完整性和抗重放保護(hù)；加密密鑰的安全產(chǎn)生和自動(dòng)更新；支持強(qiáng)加密算法來(lái)保證安全性；支持基于證書(shū)的認(rèn)證；兼容下一代加密算法和密鑰交換協(xié)議。IPSec協(xié)議概述IPSec操作模式傳輸模式：常用于保證主機(jī)之間端到端通信的安全，并對(duì)源端進(jìn)行鑒別。采用身份認(rèn)證、數(shù)據(jù)保密性和數(shù)據(jù)完整性等安全保護(hù)措施加密、認(rèn)證數(shù)據(jù)凈荷部分；保護(hù)高層數(shù)據(jù)，如TCP/UDP安全關(guān)聯(lián)建立在數(shù)據(jù)源端和目的端之間隧道模式：常用于在兩個(gè)子網(wǎng)之間建立安全通道，由防火墻/路由器實(shí)現(xiàn)。將整個(gè)IP分組作為另一個(gè)IP分組的凈荷的封裝方式保護(hù)數(shù)據(jù)包在子網(wǎng)之間傳輸?shù)陌踩园踩P(guān)聯(lián)的兩端為隧道的兩端兩種模式的區(qū)別在于它們保護(hù)的內(nèi)容不同，隧道模式保護(hù)的是整個(gè)IP分組，而傳輸模式只是保護(hù)IP分組中的有效負(fù)載。傳輸模式傳輸模式中，AH和ESP只處理原有IP數(shù)據(jù)包中的有效負(fù)載，并不修改原有IP報(bào)頭。報(bào)文傳輸過(guò)程中，一旦認(rèn)證時(shí)覆蓋的某個(gè)字段值被修改，將導(dǎo)致目的端重新計(jì)算的認(rèn)證值與原認(rèn)證數(shù)據(jù)不符，目的端將丟棄該認(rèn)證失效的報(bào)文。（完整性）傳輸模式下IP報(bào)頭以明文方式傳輸，因此容易遭到流量分析攻擊。IP首部中傳輸過(guò)程中不改變的字段值除鑒別數(shù)據(jù)外其他字段值報(bào)文中的凈荷隧道模式隧道模式中，原有IP包被當(dāng)作一個(gè)新的IP包的有效載荷，然后再添加一個(gè)新的IP首部。路由器扮演IPSec代理，它代替主機(jī)完成數(shù)據(jù)加密。源主機(jī)端的路由器加密數(shù)據(jù)包；目的主機(jī)端的路由器解密出原來(lái)的IP包，然后送到目的主機(jī)。隧道模式的優(yōu)點(diǎn)在于不用修改任何端系統(tǒng)就可以獲得IP安全性能；隧道模式可以防止通信流量分析攻擊。傳輸模式與隧道模式的比較安全性：傳輸模式VS隧道模式由于隧道模式下，封裝后的報(bào)文其內(nèi)外IP首部的地址可以不一樣，因此攻擊者只能確定隧道的端點(diǎn)，而無(wú)法知悉收發(fā)數(shù)據(jù)包真正的源和目的站點(diǎn)。易用性：傳輸模式VS隧道模式隧道模式不用修改主機(jī)、服務(wù)器、操作系統(tǒng)或者任何應(yīng)用程序就可以實(shí)現(xiàn)IPSec。隧道模式勝出！隧道模式勝出！AH協(xié)議的功能AH為IP提供數(shù)據(jù)完整性、身份驗(yàn)證和抗重放服務(wù)，但不提供數(shù)據(jù)加密。AH頭緊跟在IP頭之后，可單獨(dú)使用或與ESP聯(lián)合使用。AH的報(bào)文格式認(rèn)證報(bào)頭（AH）協(xié)議(1)下一個(gè)頭字段表示AH頭后面的負(fù)載協(xié)議類型。傳輸模式下，如被保護(hù)的UDP報(bào)文，其協(xié)議號(hào)為17。(2)載荷長(zhǎng)度字段以32位的字為單位，用計(jì)算得到的AH頭的長(zhǎng)度減去2來(lái)表示(3)SPI字段：32位長(zhǎng)，該字段和外部IP頭的目的地址一起，用于標(biāo)識(shí)安全關(guān)聯(lián)。(4)序列號(hào)是一個(gè)單向遞增計(jì)數(shù)器，用于抗重放攻擊。(5)認(rèn)證數(shù)據(jù)也叫完整性校驗(yàn)值，該字段是一個(gè)可變長(zhǎng)度字段，標(biāo)準(zhǔn)長(zhǎng)度為96bit。IPSec規(guī)定必須支持HMAC-SHA1-96和HMAC-MD5-96。用于計(jì)算完整性校驗(yàn)值的認(rèn)證算法由SA指定。完整性校驗(yàn)的內(nèi)容包括：IP包頭（固定字段內(nèi)容，其余不定的字段全部置0）、AH頭（除“認(rèn)證數(shù)據(jù)”字段外其他所有字段，“認(rèn)證數(shù)據(jù)”字段置0）、IP數(shù)據(jù)包中的上層協(xié)議數(shù)據(jù)。認(rèn)證報(bào)頭（AH）封裝格式傳輸模式下，IP包頭中協(xié)議字段的值變?yōu)?1，表示IP包頭后緊跟的是AH載荷，而IP包頭中原有的協(xié)議字段值被記錄在AH頭的下一個(gè)頭字段中。隧道模式下，在AH頭之前添加了一個(gè)新IP頭，“內(nèi)層”原始IP包中包含了通信的原始地址；“外層”新IP首部則包含了IPSec隧道端點(diǎn)的地址。ESP提供機(jī)密性、數(shù)據(jù)源身份驗(yàn)證、數(shù)據(jù)完整性和抗重放服務(wù)。ESP頭可插在IP頭之后、上層協(xié)議頭之前，或在封裝的IP頭之前（隧道模式）。ESP功能與特點(diǎn)ESP報(bào)文格式ESP頭包含SPI字段、序列號(hào)字段、有效載荷數(shù)據(jù)字段、填充數(shù)據(jù)字段、填充長(zhǎng)度字段、下一個(gè)頭字段和驗(yàn)證數(shù)據(jù)字段。ESP支持多種加密算法和認(rèn)證算法，可根據(jù)需求選擇合適的算法組合。封裝安全載荷（ESP）協(xié)議封裝安全載荷（ESP）協(xié)議報(bào)文格式ESP加密的字段：IP凈荷+ESP尾部認(rèn)證計(jì)算的內(nèi)容不包括IP首部中的字段（1）下一個(gè)頭：它標(biāo)識(shí)有效載荷字段中包含的數(shù)據(jù)類型，例如，IPv6中的擴(kuò)展頭或者上層協(xié)議標(biāo)識(shí)符。如果在隧道模式下應(yīng)用ESP，這個(gè)值就是4，表示IP-in-IP。如果在傳輸模式下使用ESP，這個(gè)值表示的就是它背后的上級(jí)協(xié)議的類型，如TCP對(duì)應(yīng)的就是6。（2）認(rèn)證數(shù)據(jù)：該字段是可變長(zhǎng)字段，它包含一個(gè)完整性校驗(yàn)值(ICV)。認(rèn)證數(shù)據(jù)字段是可選的，只有SA選擇驗(yàn)證服務(wù)，才包含認(rèn)證數(shù)據(jù)字段。封裝安全載荷（ESP）封裝格式傳輸模式下ESP報(bào)文封裝格式隧道模式下ESP報(bào)文封裝格式IP首部中AH/ESP安全協(xié)議的標(biāo)識(shí)50：ESPIPv6的封裝安全負(fù)載

51：AHIPv6的驗(yàn)證標(biāo)頭1ICMPInternet控制消息

2IGMPInternet組管理

3GGP網(wǎng)關(guān)對(duì)網(wǎng)關(guān)

4IPIP中的IP（封裝）

5ST流

6TCP傳輸控制

7CBTCBT

8EGP外部網(wǎng)關(guān)協(xié)議

9IGP任何專用內(nèi)部網(wǎng)關(guān)

10BBN-RCC-MONBBNRCC監(jiān)視

11NVP-II網(wǎng)絡(luò)語(yǔ)音協(xié)議

12PUPPUP

13ARGUSARGUS

14EMCONEMCON

15XNET跨網(wǎng)調(diào)試器

16CHAOSChaos

17UDP用戶數(shù)據(jù)報(bào)Q：傳輸模式下，原IP首部中的協(xié)議字段內(nèi)容記錄在哪？ESP的認(rèn)證與加密算法(1)認(rèn)證算法認(rèn)證算法的實(shí)現(xiàn)主要是通過(guò)雜湊函數(shù)。IPSec對(duì)等體計(jì)算報(bào)文摘要，如果兩個(gè)摘要相同，表示報(bào)文沒(méi)有被篡改。IPSec使用兩種認(rèn)證算法：MD5：輸入任意長(zhǎng)度的消息，產(chǎn)生128bit的消息摘要。SHA-1：輸入長(zhǎng)度小于2的64次方bit的消息，產(chǎn)生160bit的消息摘要。MD5算法的計(jì)算速度比SHA-1算法快，而SHA-1算法的安全強(qiáng)度比MD5算法高。(2)加密算法加密算法實(shí)現(xiàn)主要通過(guò)對(duì)稱密鑰系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行加密和解密。目前，IPSec采用的三種加密算法：DES：使用56bit的密鑰對(duì)一個(gè)64bit的明文塊進(jìn)行加密。3DES：使用三個(gè)56bit的DES密鑰（共168bit密鑰）對(duì)明文加密。AES：使用128bit、192bit或256bit密鑰長(zhǎng)度的AES算法對(duì)明文加密。加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法實(shí)現(xiàn)復(fù)雜，運(yùn)算速度慢。IKE的功能與重要性IKE負(fù)責(zé)在通信實(shí)體之間建立經(jīng)過(guò)認(rèn)證的安全隧道，并協(xié)商IPSec的安全關(guān)聯(lián)。IKE由ISAKMP和Oakley、SKEME協(xié)議組合而成，支持多種認(rèn)證方法和密鑰交換機(jī)制。IKE的工作流程IKE分為兩個(gè)階段：第一階段建立IKE

SA，第二階段建立IPSecSA。第一階段有主模式和野蠻模式，第二階段為快速模式，通過(guò)消息交換完成安全關(guān)聯(lián)的協(xié)商。因特網(wǎng)密鑰管理協(xié)議（IKE,InternetKeyExchange）IKE本質(zhì)上是一個(gè)通信雙方用來(lái)協(xié)商IPSec的封裝形式、加密算法、認(rèn)證算法、密鑰及其生命期的協(xié)議。因特網(wǎng)密鑰管理協(xié)議（IKE）IKE具有下列功能特點(diǎn)：

(1)為建立IPSec隧道的兩端實(shí)現(xiàn)安全的密鑰的生成和管理。

(2)每個(gè)安全協(xié)議(AH、ESP)都有自己的安全參數(shù)索引(SPI)空間。

(3)內(nèi)置保護(hù)(資源耗盡攻擊、會(huì)話劫持攻擊)。

(4)具有前向保密性。

(5)分階段：先建立供密鑰交換的SA，再建立供數(shù)據(jù)傳輸?shù)腟A。

(6)協(xié)議報(bào)文交互基于UDP協(xié)議的500端口實(shí)現(xiàn)。

(7)支持面向主機(jī)(IP地址)和面向用戶(長(zhǎng)期身份)的證書(shū)。

(8)ISAKMP使用強(qiáng)認(rèn)證方法：①預(yù)共享密鑰；②數(shù)字簽名；③RSA公鑰加密。IKE工作流程第一階段：建立IKESA在兩端之間建立安全通道。第二階段：建立IPSecSA在上述安全通道上協(xié)商IPSec參數(shù)。IKE工作流程（第一階段主模式）消息1&2：SA提議協(xié)商發(fā)起方→響應(yīng)方：發(fā)送支持的

安全提議（加密算法、哈希算法、認(rèn)證方法、DH組等）。響應(yīng)方→發(fā)起方：選擇并返回一個(gè)匹配的安全提議（如AES-CBC+SHA-256+PSK+DHGroup14）消息3&4：Diffie-Hellman密鑰交換雙方交換DH公開(kāi)值（g^x

和

g^y），生成共享會(huì)話密鑰（g^xy）。消息5&6：身份認(rèn)證使用共享會(huì)話密鑰加密身份信息和PSK的哈希值，交換身份驗(yàn)證信息。（亦可利用數(shù)字簽名驗(yàn)證，如何操作？）IKE工作流程（第二階段）IKEPhase2在已建立的

IKESA（Phase1的安全通道）保護(hù)下進(jìn)行，使用3條報(bào)文完成協(xié)商。報(bào)文1（發(fā)起方→響應(yīng)方）HASH載荷：驗(yàn)證消息完整性（使用Phase1的密鑰生成）。SA載荷：IPSec安全提議（ESP/AH、加密算法、哈希算法、封裝模式，生命周期）。Nonce載荷（可選）：新隨機(jī)數(shù)，用于生成新密鑰。KE載荷（可選）：如果啟用PFS，發(fā)送新的DH公鑰。HASH=PRF(SKEYID_a,MsgID∣∣Nonce_i∣∣Nonce_r∣∣SA載荷∣∣TS載荷)SKEYID_a：認(rèn)證密鑰，由Phase1的DH共享密鑰和Nonce生成。MsgID：Phase2的唯一消息ID（防止重放攻擊）TS載荷：流量選擇器，定義受保護(hù)的子網(wǎng)/端口等無(wú)PFS的IKE：Phase1的DH共享密鑰直接用于生成所有IPSecSA的密鑰。若Phase1密鑰泄露，所有IPSecSA可被解密。啟用PFS的IKE：每次IPSecSA的密鑰獨(dú)立生成，與Phase1的密鑰無(wú)關(guān)。第二階段的所有報(bào)文均通過(guò)第一階段的SA加密（身份信息不暴露）。IPSec總結(jié)兩種工作模式：傳輸模式與隧道模式；安全性、易用性比較；兩個(gè)協(xié)議：AH和ESP，封裝格式，相同之處與不同之處；如何建立IPSecSA:IKEIKE的兩個(gè)階段IPSecVPN的功能、隧道的完整建立過(guò)程、應(yīng)用場(chǎng)景Part05SSL/TLS協(xié)議互聯(lián)網(wǎng)初期（如HTTP、FTP等協(xié)議）的數(shù)據(jù)傳輸是明文的，容易被竊聽(tīng)、篡改或偽造（如中間人攻擊）隨著電子商務(wù)、在線支付等應(yīng)用的普及，明文傳輸無(wú)法滿足敏感信息（如密碼、信用卡號(hào)）的保護(hù)需求早期互聯(lián)網(wǎng)的安全缺陷由于SSL存在設(shè)計(jì)漏洞，逐漸被更安全的TLS替代。TLS在SSL基礎(chǔ)上改進(jìn)：更安全的加密算法（如支持AES）。更強(qiáng)的密鑰交換機(jī)制（如Diffie-Hellman前向保密）。更嚴(yán)格的協(xié)議規(guī)范（減少漏洞）。TLS已成為加密通信的基石，廣泛應(yīng)用于HTTPS、VPN、電子郵件（SMTPS）等場(chǎng)景。從SSL到TLS的演進(jìn)SSL/TLS產(chǎn)生的背景SSL由Netscape開(kāi)發(fā)，用于提供互聯(lián)網(wǎng)交易安全，經(jīng)歷了多個(gè)版本的演進(jìn)。SSL通過(guò)加密通道、證書(shū)驗(yàn)證和數(shù)據(jù)完整性校驗(yàn)解決了明文傳輸問(wèn)題，成為HTTPS的基礎(chǔ)。SSL的發(fā)展歷程TLS協(xié)議組成TLS協(xié)議由多個(gè)協(xié)議組成，采用兩層協(xié)議的體系結(jié)構(gòu)。應(yīng)用層的各類應(yīng)用(如HTTP、FTP、Telnet等)可以使用TLS協(xié)議建立的加密通道透明地傳輸數(shù)據(jù)。記錄協(xié)議提供分片、壓縮、加密和完整性校驗(yàn)等功能；握手協(xié)議用于身份認(rèn)證、加密算法協(xié)商和密鑰交換。TLS協(xié)議的體系結(jié)構(gòu)0102TLS協(xié)議提供的安全服務(wù)(1)認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器。(2)加密數(shù)據(jù)，以防止數(shù)據(jù)被竊取。(3)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被篡改。TLS會(huì)話與TLS連接TLS會(huì)話是客戶端和服務(wù)器之間的關(guān)聯(lián)，定義了一組可共享的安全參數(shù)，用于后續(xù)連接的快速建立，由TLS握手協(xié)議創(chuàng)建。TLS連接是客戶端和服務(wù)器之間基于會(huì)話建立的一個(gè)實(shí)際的數(shù)據(jù)傳輸安全通道，通常綁定到一個(gè)TCP連接（或UDP流）。TLS協(xié)議的體系結(jié)構(gòu)記錄協(xié)議功能TLS記錄協(xié)議負(fù)責(zé)傳輸應(yīng)用數(shù)據(jù)和控制數(shù)據(jù)，提供連接的保密性和可靠性。記錄協(xié)議對(duì)上層數(shù)據(jù)進(jìn)行分段、壓縮、添加MAC和加密處理。TLS記錄協(xié)議記錄頭包含內(nèi)容類型、主版本號(hào)、次版本號(hào)和壓縮長(zhǎng)度字段。記錄頭的報(bào)文格式確保數(shù)據(jù)在傳輸過(guò)程中的完整性和安全性。記錄頭報(bào)文格式TLS記錄協(xié)議內(nèi)容類型(8位)：所封裝分段的高層協(xié)議類型。該類型目前支持四種高層協(xié)議，分別是握手協(xié)議(22)、告警協(xié)議(21)、改變密碼規(guī)范協(xié)議(20)和應(yīng)用數(shù)據(jù)協(xié)議(23)。主版本(8位)：對(duì)SSL和TLS，值都為3。次版本(8位)：對(duì)SSLv3，值為0；對(duì)TLS1.0，值為1；對(duì)TLS1.1，值為2；對(duì)TLS1.2，值為3。壓縮長(zhǎng)度(16位)：分段的字節(jié)長(zhǎng)度，不能超過(guò)214字節(jié)。告警協(xié)議作用告警協(xié)議用于傳遞TLS相關(guān)的警告消息，當(dāng)協(xié)議失效時(shí)激活。告警消息包括告警級(jí)別和告警含義說(shuō)明，分為警告和致命錯(cuò)誤兩個(gè)級(jí)別。包括意外消息、MAC錯(cuò)誤、解壓縮失敗、握手失敗、證書(shū)問(wèn)題等。不同的告警類型對(duì)應(yīng)不同的錯(cuò)誤情況，用于診斷和處理TLS通信中的問(wèn)題。常見(jiàn)告警類型告警協(xié)議0102常規(guī)握手過(guò)程包括交換Hello報(bào)文、證書(shū)交換、密鑰交換、ChangeCipherSpec和Finished報(bào)文等步驟。TLS握手協(xié)議用于建立會(huì)話所需的密碼參數(shù)，協(xié)商安全屬性。握手協(xié)議確定連接端點(diǎn)、PRF算法、加密算法、MAC算法、壓縮算法、主密鑰等參數(shù)。握手協(xié)議功能握手過(guò)程握手協(xié)議（自學(xué)）握手協(xié)議（自學(xué)）1.ClientHello客戶端發(fā)送支持的TLS版本、密碼套件、隨機(jī)數(shù)、會(huì)話ID等。2.ServerHello服務(wù)器選擇TLS版本、密碼套件，并返回隨機(jī)數(shù)。3.ServerCertificate服務(wù)器發(fā)送數(shù)字證書(shū)，客戶端驗(yàn)證證書(shū)鏈和簽名。4.ServerKeyExchange（可選）該報(bào)文包含額外的密鑰交換參數(shù)，如Diffie-Hellman密鑰交換的素?cái)?shù)和元根。5.ServerHelloDone服務(wù)器告知客戶端初始協(xié)商結(jié)束。6.ClientKeyExchange客戶端生成次密鑰，用服務(wù)器證書(shū)中的公鑰加密后發(fā)送。雙方通過(guò)ClientRandom

+

ServerRandom

+

次密鑰，生成主密鑰。7.ChangeCipherSpec客戶端通知服務(wù)器后續(xù)通信將使用協(xié)商的加密參數(shù)。8.Finished(EncryptedHandshakeMessage)客戶端發(fā)送加密的之前所有握手報(bào)文的摘要（驗(yàn)證握手完整性）。9.ServerChangeCipherSpec&Finished服務(wù)器發(fā)送自己的改變密碼格式的ChangeCipherSpec報(bào)文以及Finished報(bào)文握手協(xié)議（自學(xué)）TLS1.2的密碼套件由

4個(gè)核心組件

組成，格式為：密鑰交換算法_身份認(rèn)證算法_對(duì)稱加密算法_摘要算法示例：TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256密鑰交換：ECDHE（基于橢圓曲線的臨時(shí)Diffie-Hellman）身份認(rèn)證：RSA（服務(wù)器用RSA證書(shū)驗(yàn)證身份）對(duì)稱加密：AES_128_GCM（128位AES-GCM加密）摘要算法：SHA256（用于生成HMAC和PRF）常見(jiàn)攻擊類型包括針對(duì)握手協(xié)議、記錄協(xié)議和心跳協(xié)議的攻擊。例如，2014年的心臟滴血漏洞是由于OpenSSL心跳協(xié)議編程錯(cuò)誤導(dǎo)致的嚴(yán)重漏洞。（緩沖區(qū)溢出）心臟滴血漏洞影響該漏洞導(dǎo)致大量敏感數(shù)據(jù)泄露，包括用戶身份信息、身份認(rèn)證數(shù)據(jù)和私鑰等。該漏洞促使SSL/TLS協(xié)議不斷改進(jìn)和完善，以提高安全性。針對(duì)SSL/TLS的攻擊HTTPS是HTTP的安全形式，通過(guò)在傳輸層添加TLS協(xié)議實(shí)現(xiàn)安全通信。HTTPS方案的URL以https：//開(kāi)頭，連接服務(wù)器端的443端口。瀏覽器根據(jù)URL方案選擇連接端口，通過(guò)TLS握手協(xié)議交換安全參數(shù)并加密傳輸HTTP命令。HTTPS定義與工作原理HTTPS有效防止數(shù)據(jù)泄露和篡改，廣泛應(yīng)用于電子商務(wù)、金融等領(lǐng)域。通過(guò)TLS協(xié)議的加密和認(rèn)證機(jī)制，HTTPS為Web應(yīng)用提供了可靠的安全保障。HTTPS優(yōu)勢(shì)HTTPS謝謝大家網(wǎng)絡(luò)攻擊過(guò)程及攻防模型01020304網(wǎng)絡(luò)攻擊概述典型網(wǎng)絡(luò)攻擊過(guò)程網(wǎng)絡(luò)攻擊模型網(wǎng)絡(luò)防護(hù)模型目錄Part01網(wǎng)絡(luò)攻擊概述信息控制權(quán)的爭(zhēng)奪網(wǎng)絡(luò)對(duì)抗本質(zhì)是信息控制權(quán)爭(zhēng)奪，偵察攻擊防護(hù)是主要手段。俄烏沖突中，俄羅斯攻擊烏克蘭“星鏈”系統(tǒng)致通信癱瘓，烏克蘭“IT軍”反擊。網(wǎng)絡(luò)對(duì)抗從個(gè)人黑客行為向國(guó)家級(jí)、組織化轉(zhuǎn)變，攻擊手段日益復(fù)雜。網(wǎng)絡(luò)對(duì)抗的演變網(wǎng)絡(luò)攻擊呈現(xiàn)全球化趨勢(shì)，跨國(guó)攻擊事件頻發(fā)。黑客產(chǎn)業(yè)分工明確，形成完整產(chǎn)業(yè)鏈，攻擊成本降低。攻擊手段從傳統(tǒng)病毒到復(fù)雜APT攻擊，隱蔽性強(qiáng)，難以防范。網(wǎng)絡(luò)對(duì)抗的定義SolarWinds事件入侵階段（2019年-2020年）黑客組織滲透SolarWinds內(nèi)部網(wǎng)絡(luò)，秘密篡改其Orion平臺(tái)軟件的更新程序。惡意代碼被植入合法軟件更新包，通過(guò)SolarWinds的官方渠道分發(fā)給客戶。攻擊實(shí)施（2020年3月-12月）受害者安裝更新后，惡意代碼建立后門(mén)，與黑客控制的C2服務(wù)器通信，竊取數(shù)據(jù)或部署更多惡意工具。受影響機(jī)構(gòu)包括：美國(guó)政府：財(cái)政部、商務(wù)部、國(guó)務(wù)院、國(guó)土安全部等。科技公司：微軟、思科、FireEye（后者率先發(fā)現(xiàn)攻擊并披露）。其他領(lǐng)域：醫(yī)療、能源、教育等關(guān)鍵行業(yè)。SolarWinds事件（又稱Sunburst攻擊）是2020年披露的一場(chǎng)影響全球的大規(guī)模供應(yīng)鏈攻擊。黑客通過(guò)入侵美國(guó)IT公司SolarWinds的軟件更新系統(tǒng)，向客戶分發(fā)帶有后門(mén)的惡意軟件，導(dǎo)致包括美國(guó)政府機(jī)構(gòu)、企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施在內(nèi)的數(shù)萬(wàn)個(gè)組織受到影響。該事件被認(rèn)為是近年來(lái)最嚴(yán)重的網(wǎng)絡(luò)間諜活動(dòng)之一。事件披露（2020年12月）網(wǎng)絡(luò)安全公司FireEye公開(kāi)披露其內(nèi)部系統(tǒng)遭入侵，并溯源到SolarWinds的供應(yīng)鏈攻擊。SolarWinds承認(rèn)約1.8萬(wàn)客戶下載了受污染的更新，但實(shí)際被進(jìn)一步攻擊的目標(biāo)可能僅數(shù)百家。STEP.01STEP.02STEP.03攻擊手段的多樣化網(wǎng)絡(luò)攻擊手段不斷翻新，從傳統(tǒng)病毒到復(fù)雜APT攻擊。APT攻擊隱蔽性強(qiáng)，攻擊周期長(zhǎng)，目標(biāo)明確，難以防范。不同攻擊者會(huì)根據(jù)目標(biāo)特點(diǎn)調(diào)整攻擊流程，增加攻擊成功率。攻擊目標(biāo)的多元化攻擊目標(biāo)從個(gè)人電腦向關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)數(shù)據(jù)拓展。關(guān)鍵基礎(chǔ)設(shè)施攻擊影響巨大，如電網(wǎng)攻擊可致大面積停電。企業(yè)需加強(qiáng)信息安全管理，及時(shí)發(fā)現(xiàn)并修復(fù)漏洞，防止被攻擊。攻擊的全球化與產(chǎn)業(yè)化網(wǎng)絡(luò)攻擊呈現(xiàn)全球化趨勢(shì)，跨國(guó)攻擊事件頻發(fā)。黑客產(chǎn)業(yè)分工明確，形成完整產(chǎn)業(yè)鏈，攻擊成本降低。員工安全意識(shí)培訓(xùn)至關(guān)重要，可有效減少社會(huì)工程學(xué)攻擊風(fēng)險(xiǎn)。網(wǎng)絡(luò)攻擊的現(xiàn)狀與趨勢(shì)Part02典型網(wǎng)絡(luò)攻擊過(guò)程信息收集是預(yù)攻擊關(guān)鍵，攻擊者通過(guò)掃描工具搜集目標(biāo)信息。NMAP、X-SCAN等工具可快速掃描IP、端口，發(fā)現(xiàn)潛在漏洞。攻擊者通過(guò)隱藏自身行蹤，避免被發(fā)現(xiàn)，提高攻擊成功率。預(yù)攻擊階段攻擊階段目標(biāo)是獲取權(quán)限，漏洞利用和提權(quán)是常用手段。永恒之藍(lán)漏洞被WannaCry勒索病毒利用，造成全球性影響。攻擊者通過(guò)實(shí)施攻擊，獲取目標(biāo)系統(tǒng)的控制權(quán)，竊取數(shù)據(jù)。攻擊階段后攻擊階段攻擊者清除痕跡、植入后門(mén)，以便長(zhǎng)期潛伏。APT組織“海蓮花”長(zhǎng)期潛伏攻擊，通過(guò)后門(mén)反復(fù)入侵目標(biāo)。攻擊者通過(guò)維持訪問(wèn)，長(zhǎng)期控制目標(biāo)系統(tǒng)，獲取更多數(shù)據(jù)。后攻擊階段網(wǎng)絡(luò)攻擊三階