《身份认证与访问控制课件》由会员分享,可在线阅读,更多相关《身份认证与访问控制课件(88页珍藏版)》请在金锄头文库上搜索。
1、第5章 身份认证与访问控制,教育部高校管理与工程教学指导委员会、机械工业出版社,网络安全管理及实用技术,主编贾铁军 副主编 嵩天 常艳 编著 王雄 俞小怡 刘雪飞 苏庆刚 宋少婷,全国高校管理与工程类 学科系列规划教材,目 录,目 录,本章要点 身份认证的概念、种类和方法 登录认证与授权管理 掌握数字签名技术及应用 掌握访问控制技术及应用 教学目标 理解身份认证的概念、种类和方法 了解登录认证与授权管理 掌握数字签名技术及应用 掌握访问控制技术及应用 理解安全审计技术及应用,重点,重点,5.1.1 身份认证的概念 1. 什么是身份认证 在现实生活中,人们主要通过各类证件来辨别彼此身份,例如:身
2、份证、户口本、学生证、驾驶证等。同样,在网络上,也需要一定的技术手段来确定网络主体与实际行为主体是否一致。,身份认证(Identity and Authentication management)是用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程,是保证计算机网络系统安全的重要措施之一。,认证(Authentication)是指对主客体身份的确认过程。认证主要解决了主体本身的信用问题和客体对主体实施访问的信任问题,并为下一步的授权工作奠定基础。,5.1 身份认证技术概述,5.1.1 身份认证的概念 2. 认证技术的类型 认证技术是用户身份认证与识别的重要手段,也是计算机系统安全中的
3、一个重要内容。从鉴别对象上来看,分为消息认证和用户身份认证两种。,身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。,消息认证:用于保证信息的完整性和不可否认性。通常用来检测主机收到的信息是否完整,以及检测信息在传递过程中是否被修改或伪造。,5.1 身份认证技术概述,5.1.1 身份认证的概念 3. 认证系统概述,5.1 身份认证技术概述,图5-1 认证系统网络结构图,身份认证系统的组成包括三个部分:认证服务器、认证系统客户端和认证设备。系统主要是通过身份认证协议和认证系统软硬件实现的。其中,身份认证协议又分为:单向认证协议和双向认证协议
4、。如果通信双方只需要一方鉴别另一方的身份,则称单项认证协议;如果双方都需要验证身份,则称双向认证协议。如图5-1所示。,5.1.2 身份认证系统 1. 身份认证技术概述,身份认证在网络和信息安全中的地位极其重要,是最基本的安全服务之一。安全服务的其它工作都要依赖于对系统用户身份的认证。一旦身份认证系统被攻破,那么,系统的所有安全措施将形同虚设。 用户在访问系统之前,首先要经过身份认证系统识别身份以获得访问权限,系统会根据用户的身份和授权数据库中相应的权限,决定用户能够访问的资源。授权数据库由安全管理员按照需要进行配置;审计系统根据审计设置记录用户的请求和行为;访问控制和审计系统都要依赖于身份认
5、证系统提供的“认证信息”鉴别用户的身份。因此,身份认证是安全系统中的第一道关卡。,5.1 身份认证技术概述,5.1.2 身份认证系统 1. 用户名及密码方式,用户名及密码认证的方式是最简单,也是最常用的身份认证方法。每个用户的密码由用户自己设定,只有用户本人知道。只要能够正确输入密码,计算机就认为操作者是合法用户。实际上,很多用户为了方便起见,经常用生日、电话号码等具有用户自身特征的字符串作为密码,为系统安全留下隐患。同时,由于密码是静态数据,系统在验证过程中需要网络介质中传输,很容易被木马程序或监听设备截获。因此,用户名及密码方式是安全性比较低的身份认证方式。,5.1 身份认证技术概述,5.
6、1.2 身份认证系统 2. 动态口令认证,通常,一个基于动态口令的认证系统与用户共享一个密码本。每次用户登录时,认证系统自动生成一组坐标,用户根据坐标在密码本上查找一组动态口令,反馈给认证系统。 图5-2所示是我国某银行网上交易所用的动态口令卡。认证系统服务器与用户保存了同一卡片信息。当用户需要登录获得使用权限时,认证服务器会自动生成一组坐标,对应口令卡的某个位置。用户得到坐标后按照卡片读出验证码反馈给认证服务器。认证服务器检查用户信息是否与认证数据库中信息匹配。如过验证码正确,则允许用户登录;否则拒绝此次连接。,5.1 身份认证技术概述,图5-2 电子口令卡,5.1.2 身份认证系统 3.U
7、SB Key认证,USB Key身份认证是近几年使用的一种方便、安全的身份认证方式。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一种是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。,5.1 身份认证技术概述,5.1.2 身份认证系统 4.生物识别技术,生物识别技术是指通过可测量的生物信息和行为特征进行身份认证的一种技术。认证系统测量的生物特征一
8、般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌形、视网膜、人体气味、脸形、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术,将掌形识别、脸形识别、语音识别和签名识别等归为次级生物识别技术,将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术。,5.1 身份认证技术概述,5.1.2 身份认证系统 5.CA认证,CA(Certification Authority)是国际认证机构的通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有
9、者身份的合法性,并签发证书(用数学方法在证书上签字),以防证书被伪造或篡改。随着网上银行的普遍应用和在线支付手段的不断完善,网络交易已经变得越来越大众化,安全问题就显得日益重要。然而,网络间的身份认证却是进一步发展的根本。认证机构相当于一个权威可信的中间人,它的职责是核实交易各方身份,负责电子证书的发放和管理。理想化状态下,上网的每一个企业或者个人都要有一个自己的网络身份证作为唯一识别。,5.1 身份认证技术概述,5.1.2 身份认证系统,5.1 身份认证技术概述,5.2.1认证系统 1. 固定口令认证,5.2 认证系统与数字签名,目前,网上最为通用的认证系统就是固定口令认证。所谓固定口令认证
10、是指依靠检验一个由用户设定的固定字符串的方式来进行系统认证。当通过网络访问网站资源时,系统会要求输入用户的账户名和密码。在账户和密码被确认了以后,用户就可以访问各种资源。 固定口令认证的方式固然便捷,但是正是由于口令相对固定,不可避免的容易受到以下几种攻击:,5.2.1认证系统 1. 固定口令认证,5.2 认证系统与数字签名,1)网络数据流窃听:由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。 2)认证信息截取/重放:有的系统会将认证信息进行简单加密再传输,如果攻击者无法用第一种方式推算出密
11、码,可以截取/重放方式。 3)字典攻击:攻击者使用字典中收集的单词尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符,增加口令的安全性。 4)穷举尝试:这是一种特殊的字典攻击,使用字符串的全集作为字典。如果用户的密码较短,容易被穷举,因此,很多系统都建议用户使用长口令。 5)窥探:攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。 6)社会工程:攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。 7)垃圾搜索:攻击者通过搜索被攻击者的丢弃物,得到与攻击系统有关 的信息。,5.2.1认证系统 2.一次性口令密码体制,5.2 认证系统与
12、数字签名,为了解决固定口令的诸多问题,安全专家们提出了一次性口令(One Time Password,OTP)认证体制:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,从而提高系统安全性。一次性口令认证系统由以下几个部分组成:,5.2.1认证系统 2.一次性口令密码体制,5.2 认证系统与数字签名,(1)生成不确定因子 不确定因子的生成方式有很多,最为常用的有以下几个: 1)口令序列方式:口令为一个前后相关的单向序列,系统只用记录第N个口令。用户用第N-1口令登录时,系统用单向算法算出第N个口令与自己保存的第N个口令匹配,以判断用户的合法性。由于是有限的,用户登录N次后必须重新
13、初始化口令序列。 2)挑战/回答方式:登录时,系统产生一个随机数发送给用户,用户用某种单向算法将口令和随机数混合起来发送给系统,系统用同样的方法做验算,即可验证用户身份。 3)时间同步方式:以用户登录时间作为随机因素。这种方式对双方的时间准确定要求较高,一般采取以分钟为时间单位的这种方法。其产品对时间误差的容忍达到 1min。,5.2.1认证系统 2.一次性口令密码体制,5.2 认证系统与数字签名,(2)生成一次性口令 利用不确定因子生成一次性口令的方式有以下两种。 1)硬件卡(Token Card):将不确定因子输入到一块具有计算功能的硬件卡上,卡中集成的硬件逻辑对输入数据进行处理,并将结果
14、反馈给用户作为一次性口令。基于硬件卡的一次性口令大多属于挑战/回答方式,该卡片一般配备有数字按键,便于不定因子的输入。 2)软件(Soft Token):基本原理类似硬件卡口令生成方式,只是计算逻辑用软件代替。软件口令生成方式相对前者功能及灵活性均大大改善,某些软件还能够限定用户登录的地点。,5.2.1认证系统 3. 双因子安全令牌及认证系统,5.2 认证系统与数字签名,随着互联网的快速发展,仅仅依靠口令认证系统提供的安全性早已不能满足人们的需要。首先,账号口令的配置非常烦琐,网络中的每一个节点都需要进行配置;其次,为了保证口令的安全性,必须经常更改口令,耗费大量的人力和时间。同时,系统各自为
15、政,缺乏授权和审计的功能,无法根据用户级别进行分级授权,也不能提供用户访问设备的详细审计信息。 为了改善早期口令认证系统的安全性,双因子安全令牌认证系统出现并迅速成为认证系统的主要手段。下面以E-Securer安全身份认证系统为例,说明双因子安全令牌及认证系统。,5.2.1认证系统 1. E-Securer的组成,5.2 认证系统与数字签名,E-Securer由安全身份认证服务器、安全令牌、认证代理组成。 1)安全身份认证服务器提供数据存储、AAA服务、管理等功能,是整个系统的核心部分。安全令牌是重要的双因子认证方式。 2)双因子安全令牌(Secure Key)用于生成用户当前登录的动态口令,
16、是安全身份认证是最直接体现。动态口令卡采用了可靠的设计,能够抵御恶意用户读取其中的核心资料。 3)认证代理(Authentication Agent)安装在被保护系统上,被保护系统通过认证代理向认证服务器发送认证请求,从而保证被保护系统身份认证的安全。系统提供简单、易用的认证API开发包供开发人员使用,以利于应用系统的快速集成与定制。,5.2.1认证系统 1. E-Securer的组成,5.2 认证系统与数字签名,图5-3 E-Securer安全认证系统,5.2.1认证系统 2. E-Securer的安全性,5.2 认证系统与数字签名,E-Securer系统依据动态口令机制实现动态身份认证,彻底解决了远程/网络环境中的用户身份认证问题。同时,系统集中用户管理和日志审计功能,便于管理员对整个企业员工进行集中的管理授权和事后日志审计。,5.2.1认证系统 3. 双因子身份认证系统的技术特点与优势,5.2 认证系统与数字签名,1)系统与联创安全令牌相配合,提供双因子认证的安全保护。 2)通过对用户权限的配置,有针对性地
