计算机技术与人工智能 Computer Technology and Artificial Intelligence


                ②基于组的策略。基于组的策略是基于个人的策略的扩充，指一些用户被允

            许使用同样的访问控制规则访问同样的客体。
                二是基于规则的安全策略。基于规则的安全策略中的授权通常依赖于敏感
            性。在一个安全系统中，数据或资源应该标注安全标记。代表用户进行活动的进
            程可以得到与其原发者相应的安全标记。在实现上，由系统通过比较用户的安全

            级别和客体资源的安全级别来判断是否允许用户进行访问。
                （四）认证服务与访问控制系统
                1.AAA技术概述

                在新的网络应用环境中，虚拟专用网（VPN）、远程拨号以及移动办公室等
            网络移动接入应用非常广泛，传统的用户身份认证和访问控制机制已经无法满足
            广大用户的需求，由此产生了AAA认证授权机制。
                主要包括如下三部分：①认证。对网络用户身份进行识别后，才允许远程登

            入并访问网络资源。②鉴权。为远程访问控制提供方法，如一次性授权或给予特
            定命令或服务的授权。③审计。主要用于网络计费、审计和制作报表。
                2.远程登入认证

                远程登入认证也称远程授权接入用户服务（Remote Authentication Dial In
            User Service，RADIUS），主要用于管理远程用户的网络登入，是目前应用最广
            泛的AAA协议。它主要基于C/S架构，其客户端最初是NAS（Net Access Server）

            服务器，现在任何运行RADIUS客户端软件的计算机都可以成为其客户端。
            RADIUS协议认证机制灵活，可采用PAP、CHAP或UNIX登入认证等多种方式。
            RADIUS是一种完全开放的协议，采用分布源码格式，任何安全系统和厂商都可

            以使用，并且RADIUS可以和其他AAA安全协议共用。此协议规定了网络接入服
            务器与RADIUS服务器之间的消息格式。此服务器接受用户的连接请求，根据其
            账户和密码完成验证后，将用户所需的配置信息返回给网络接入服务器。该服务
            器同时审计并记录有关信息。

                3.终端访问控制器访问控制系统
                终端访问控制器访问控制系统（Terminal Access Controller Access Control
            System，TACACS）由RFC1492定义，其功能是通过一个或几个中心服务器为

            网络设备提供访问控制服务，也是AAA协议。标准的TACACS协议指认证用户
            是否可以登录系统，目前应用很少。取而代之的是TACACS+（Terminal Access


            278