大數(shù)據(jù)挖掘與應用的安全防護

大數(shù)據(jù)挖掘與應用的安全防護身份認證0102訪問控制Content目錄01

身份認證身份認證根據(jù)被認證方能夠證明身份的認證信息，身份認證技術可以分為3種身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程，也就是證實用戶的真實身份與其所聲稱的身份是否符合的過程常用的認證機制有如下幾種kerberos認證，基于公鑰的認證機制(PKI)基于秘密信息的身份認證技術基于生物特征的身份認證技術基于信物的身份認證技術基于動態(tài)口令的認證機制，基于生物識別技術的認證技術身份認證動態(tài)口令機制是為了解決靜態(tài)口令的不安全問題而提出的，基本思想是用動態(tài)口令代替靜態(tài)口令基于動態(tài)口令的認證機制由于客戶端每次生成認證數(shù)據(jù)都采用不同的不確定因素值，保證了客戶端每次提交的認證數(shù)據(jù)都不相同，因此動態(tài)口令機制有效地提高了身份認證的安全性在客戶端登錄過程中，基于用戶的秘密通行短語（SPP,securepassphrase）加入不確定因素，SPP和不確定因素進行變換（如使用MD5消息摘要），所得的結果作為認證數(shù)據(jù)（即動態(tài)口令）提交給認證服務器?；驹?2

訪問控制訪問控制訪問控制的主要目的是限制訪問主體對客體的訪問，從而保障數(shù)據(jù)資源在合法范圍內得以有效使用和管理識別和確認訪問系統(tǒng)的用戶決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問訪問控制的主要目的為了達到目的，訪問控制需要完成兩個任務意指用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術，如UniNAC網(wǎng)絡準入控制系統(tǒng)的原理就是基于此技術之上訪問控制技術，指防止對任何資源進行未授權的訪問，從而使計算機系統(tǒng)在合法的范圍內使用定義自主訪問控制訪問控制自主訪問控制（DiscretionaryAccessControl，DAC）是一種接入控制服務，通過執(zhí)行基于系統(tǒng)實體身份及其到系統(tǒng)資源的接入授權包括在文件，文件夾和共享資源中設置許可用戶有權對自身所創(chuàng)建的文件、數(shù)據(jù)表等訪問對象進行訪問，并可將其訪問權授予其他用戶或收回其訪問權限允許訪問對象的屬主制定針對該對象訪問的控制策略，通常，可通過訪問控制列表來限定針對客體可執(zhí)行的操作接入授權內容①每個客體有一個所有者，可按照各自意愿將客體訪問控制權限授予其他主體②各客體都擁有一個限定主體對其訪問權限的訪問控制列表（ACL）③每次訪問時都以基于訪問控制列表檢查用戶標志，實現(xiàn)對其訪問權限控制④DAC的有效性依賴于資源的所有者對安全政策的正確理解和有效落實訪問控制強制訪問控制（MAC）是系統(tǒng)強制主體服從訪問控制策略強制訪問控制是由系統(tǒng)對用戶所創(chuàng)建的對象，按照規(guī)定的規(guī)則控制用戶權限及操作對象的訪問。限制訪問控制主要特征是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制在MAC中，每個用戶及文件都被賦予一定的安全級別，只有系統(tǒng)管理員才可確定用戶和組的訪問權限，用戶不能改變自身或任何客體的安全級別系統(tǒng)通過比較用戶和訪問文件的安全級別，決定用戶是否可以訪問該文件MAC不允許通過進程生成共享文件，以通過共享文件將信息在進程中傳遞MAC可通過使用敏感標簽對所有用戶和資源強制執(zhí)行安全策略，一般采用3種方法MAC常用于多級安全軍事系統(tǒng)，對