浅谈互联网安全字可信计算(3)

浅谈互联网安全字可信计算

　　系统的访问控制

　　1969年AT&T贝尔实验室的程序员首先开发了DEC小型计算机上的UNIX操作系统，它是一个多用户、多任务的操作系统，考虑了访问控制(Access control，或者叫存取控制)，并在长期的UNIX发展过程中，不断得到改进。这种访问控制基本上是静态的。就是说，一个计算机系统如果允许你使用，就一直如此，除非管理员给你改变。如今，因特网已经广泛采用，许多的应用都需要访问控制，例如视频会议，协作文档共享和编辑、远程学习和工作流系统管理等。这些应用要求动态的访问控制，即允许访问的权限随人、时间、任务而变化。这就使问题大大复杂化了。

　　访问控制是识别用户并授予其访问某些信息、系统或资源的过程。这里。除用户和欲访对象之外，有一个第三者，担当访问控制权授予者的角色。在计算机系统中，它可以是操作系统;在网络中，也可以是某一个授权中心。

　　企事业单位使用的访问控制技术有很多种，譬如标签、智能卡、加密钥和口令等。生物鉴别设备通过某一类个性特征来认证用户，例如通过指纹、声波、虹膜(眼睛中的一层薄膜)扫描、视网膜扫描，或者签名。用生物鉴别方法的好处在于用户不愁丢失和假冒本人的私人标识。问题是其误认率和误拒率都比较高，所以现在用得还不普遍。

　　在大量的终端用户计算机系统中，采用只要进入系统，就使用自由访问控制机制，即信息的所有者决定谁可以读、写和执行他的程序或文件。另一种强制性的访问控制则不允许信息创建人决定谁可以存取或修改数据，而由管理者和授权监视者们预先确定谁可以存取和修改数据、系统和资源。这种系统在军事、财务和医院诸多部门广为采用。访问控制的'方法有许多种。

　　(1) 基于角色的访问控制

　　角色是用户的一个集合。基于角色的访问控制是把存取许可赋予角色，而不是赋予单个用户。用户访问系统和信息是基于他们在其组织中的角色。因此，存取许可既可以赋予一群人，也可以赋予单个人。角色根据各种不同的工作功能而创建，根据用户的资格和责任，把用户分配给角色。

　　(2) 基于规则的访问控制

　　基于规则的访问控制对用户的存取要求用预先确定和配置的规则去决定是否赋予存取的权力。被允许的终端用户可以来自特定的区域、主机、网络或IP地址。假如一个雇员在组织中改变了角色，他们的认证文书可以保持不变，无需重新配置。把规则和角色结合起来使用，将大大提高灵活性，因为规则不但可以用到人，也可以用到设备。

　　(3) 基于任务的访问控制

　　基于任务的访问控制把基于主体/对象的访问控制加以扩展，考虑任务需求的相关信息。访问控制按步骤走。每一步对应一个保护状态，包括相关的主体、对象和一组许可。这组许可随着任务而改变。因而这是随任务的进展而动态改变的许可管理。

　　(4)基于团队的访问控制

　　基于团队的访问控制定义两方面：用户方和对象方。用户方提供识别特定用户在给定时刻在团队中的角色，而对象方则确定为协同目的所需的特定对象。

　　网络安全协议

　　总之，网络安全是建造可信的系统与网络的头等大事，以对涉及国家和公司业务运作的所有的安全机制要想在网络环境下实现，就需要网络协议的支持，在网络的不同层次实现。例如，在应用层，可以实现电子邮件的加密、认证和完整性检查;在传输层，像安全的WEB交易。而最基础的是网络层的IP安全协议IPsec。

　　因特网和TCP/IP协议栈并没有考虑安全的问题。因为基本的UDP，TCP，IP。ICMP等协议都出自1980年代，主要是为了ARPANET网。TCP/IP并不是为商用的财经交易而设计，也不是为因特网上的虚拟个人网络(VPN)而设计。为了适应今天的安全需求，因特网工程任务组(IETP)组织了一个IP安全协议工作组，开发IP安全协议，即IPsec。IPsec并不是一个单独的协议，而是一个协议栈，以对传统的因特网协议(IP)提供数据完整性、认证、隐私和抗抵赖的机制。虽然主要是为IPv6，但对IPv4也可以用。

　　我们知道，网络是由节点和链路组成的。网络通过包交换传送信息，网络互联则通过数据报。每个节点必须有一个地址才能被识别。而维持网络的正常运行必须有大家达成共识的游戏规则，这就是协议。现有的因特网是在IPv4协议的基础上运行的。IPv6是下一版本的因特网协议，它的提出最初是因为随着因特网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将影响因特网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。IPv4采用32位地址长度，只有大约43亿个地址，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。

　　IPsec提供了三种程度的灵活性。首先，它是高度模块化的，使用户或系统管理员可以选择各种加密算法和安全协议。其次，用户可以选择各种安全服务，譬如访问控制、认证、抗抵赖、机密等。第三，IPsec可以提供不同粒度的安全服务，譬如保护两主机之间特定TCP连接传送的数据报，或者是两个网关之间所有数据报的流。譬如说，IPSec 可以用于保护在两台计算机(例如应用程序服务器和数据库服务器)之间传送的数据的安全。

　　所有信息资产进行保护。为此，我们必须在各单位、各行业、各层次建立网络与信息安全保障体系，加强对下一代网络安全问题的研究，实现未来网络发展与安全的协调统一。

【浅谈互联网安全字可信计算】相关文章：

1.浅谈javascript数组

2.浅谈双打技术

3.浅谈色彩的配色

4.浅谈领导力法则

5.数学技能的学习浅谈

6.浅谈办公空间设计

7.浅谈市场营销

8.浅谈薯片的热量