收藏
下载资源

身份认证与访问控制

上传人:飞*** 文档编号:3782707 上传时间:2017-08-05 格式:PPT 页数:84 大小:244.50KB
返回 下载 相关 举报
身份认证与访问控制_第1页
第1页 / 共84页
身份认证与访问控制_第2页
第2页 / 共84页
身份认证与访问控制_第3页
第3页 / 共84页
身份认证与访问控制_第4页
第4页 / 共84页
身份认证与访问控制_第5页
第5页 / 共84页
点击查看更多>>
资源描述

《身份认证与访问控制》由会员分享,可在线阅读,更多相关《身份认证与访问控制(84页珍藏版)》请在金锄头文库上搜索。

1、不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,1,第三章身份认证与访问控制,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,2,第三章 身份认证与访问控制,3.1 身份标识与鉴别 3.1.1 身份标识与鉴别概念 3.1.2 身份认证的过程3.2 口令认证方法 3.2.1 口令管理 3.2.2 脆弱性口令3.3 生物身份认证 3.3.1 指纹身份认证技术 3.3.2 视网膜身份认证技术 3.3.3 语音身份认证技术,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,3,第三章 身份认证与访问控制,3.4 访问控制 3.4.1 访问控制概念 3.4.2 自

2、主访问控制 3.4.3 强制访问控制3.5 本章知识点小结,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,4,3.1 身份标识与鉴别,身份标识与鉴别服务的目的在于保证消息的可靠性。在只有一条消息的情况下,验证服务的功能就是要保证信息接收方接收的消息确实是从它声明的来源发出的。实现身份认证的主要方法包括口令、数字证书、基于生物特征(如指纹、声音、虹膜、视网膜等)的认证。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,5,3.1.1 身份标识与鉴别概念,身份认证的目的就是要确认用户身份,用户必须提供他是谁的证明。身份标识就是能够证明用户身份的用户独有的生物特征或行为

3、特征,此特征要求具有唯一性,如用户的指纹、视网膜等生物特征及声音、笔迹、签名等行为特征;或他所能提供的用于识别自己身份的信息,如口令、密码等。相比较而言,后一种的安全系数较低,密码容易被遗忘或被窃取,身份可能会被冒充。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,6,3.1.1 身份标识与鉴别概念(续),鉴别是对网络中的主体进行验证的过程,证实用户身份与其声称的身份是否相符。通常有三种方法验证主体身份:由该主体了解的秘密,如口令、密钥主体携带的物品,如智能卡和令牌卡只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等,不积蹞步,无以致千里;不积小流,无以成江海

4、豆丁网友友情分享,7,3.1.1 身份标识与鉴别概念(续),鉴别服务通常分为:对等实体鉴别服务:用于两个开放系统同等层中的实体建立连接或数据传输阶段,对对方实体的合法性、真实性进行确认。这里的实体可以是用户或进程。数据源认证服务:用于确保数据发自真正的源点,防止假冒。认证或鉴别的过程是为了限制非法用户的访问权限,防止其非法访问网络资源,提高网络信息的安全性。它是其他一切安全机制的基础。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,8,3.1.2 身份认证的过程,身份认证的过程根据身份认证方法的不同而不同。身分认证的方法基于信息秘密的身份认证基于物理安全性的身份认证基于行为特征

5、的身份认证利用数字签名的方法实现身份认证,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,9,基于信息秘密的身份认证过程,基于信息秘密的身份认证一般是指依赖于所拥有的东西或信息进行验证。口令认证单向认证双向认证,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,10,口令认证,口令认证是鉴别用户身份最常见也是最简单的方法。系统为每一个合法用户建立一个用户名并设置相应的口令。当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令。系统核对用户输入的用户名、口令与系统内已有的合法用户的用户名和口令对是否匹配。如果匹配,则该用户的身份得到了认证,用户便可以登陆或使用

6、所需的某项功能。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,11,口令认证(续),这种方法有如下缺点:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,因此这种方案不能抵御口令猜测攻击。攻击者可能窃听通信信道或进行网络窥探,口令的明文传输使得攻击者只要能在口令传输过程中获得用户口令,系统就会被攻破。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,12,单向认证,通信的双方只需要一方被另一方鉴别身份。口令核对法实际也可以算是一种单向认证,只是这种简单的单向认证还没有与密钥分发相结合。与密钥分发相结合的单向认证主要有两类方案:一类采用对称密钥加密体

7、制,需要一个可信赖的第三方,通常称为KDC(密钥分发中心)或AS(认证服务器),由这个第三方来实现通信双方的身份认证和密钥分发;另一类采用非对称密钥加密体制,无需第三方参与。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,13,双向认证,通信的双方需要同时验证对方的身份。在双向认证过程中,通信双方需要互相认证鉴别各自的身份,然后交换会话密钥。双向认证的典型方案是NeedhaD/Schkeder协议。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,14,基于物理安全性的身份认证过程,尽管前面提到的身份认证方法在原理上有很多不同,但他们有一个共同的特点,就是只依赖于

8、用户知道的某个秘密的信息。与此对照,另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,15,基于生物学信息的身份认证机制,基于生物学信息的方案包括基于指纹识别的身份认证、基于语音识别的身份认证以及基于视网膜识别的身份认证等。基于生物学信息的身份认证过程的步骤:采样:生物识别系统捕捉到生物特征的样品,唯一的特征将会被提取并且转化成数字的符号存入此人的特征模板。抽取特征:用户在需要验证身份时,与识别系统进行交互,设备提取用户的生物信息特征。比较:用户的生物信息特征与特征模板中的数据进行比较。匹配:如果匹配,则用户通过

9、身份验证。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,16,基于智能卡的身份认证机制,基于智能卡的身份认证机制在认证时认证方要求一个硬件如智能卡(智能卡中往往存有秘密信息,通常是一个随机数),只有持卡人才能被认证。可以有效的防止口令猜测。严重的缺陷:系统只认卡不认人,而智能卡可能丢失,拾到或窃得智能卡的人很容易假冒原持卡人的身份。综合前面提到的两类方法,即认证方既要求用户输入一个口令,又要求智能卡。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,17,基于行为特征的身份认证过程,基于行为特征的身份认证过程指通过识别行为的特征进行验证。常见的验证模式有语音认证

10、、签名识别等。利用签名实现的身份认证是属于模式识别认证的范畴,其过程也必然遵循模式识别的基本步骤。模式识别的工作原理:首先是构造一个签名鉴别系统,然后进行签名的鉴别。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,18,模式识别的过程,签名鉴别系统的构造过程设计和建立包含用户身份信息的数据库;收集用户的真实签名和伪造签名;对用户的真实签名和伪造签名进行训练,从而建立签名知识库,作为今后进行鉴别的依据。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,19,签名鉴别系统的鉴别过程,用户注册:从签名数据库中调出用户所宣称的人的参考签名。数据获取:通过扫描仪或手写板等设

11、备获得签名数据。预处理:包括去噪声、平滑原始数据等。对于离线签名来说,还要进行图像的二值化、细化或轮廓提取等工作。抽取:从预处理之后的数据中,选择和提取出能够充分反映签名的书写风格与个性,同时又相对稳定的特征。比较:根据从被鉴别签名中抽取出的特征,采用某种识别方法与从第一步中得到的参考签名的相应特征进行比较。出鉴别结果,即拒绝或接受。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,20,利用数字签名实现身份认证,数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。数字签名主要有3种应用广泛的方法:RSA签名、DSS签名和

12、Hash签名。Hash签名是最主要的数字签名方法:报文的发送方从明文中生成一个128比特的散列值(数字摘要),发送方用自己的私钥对这个散列值进行加密,形成发送方的数字签名。该数字签名将作为附件和报文一起发送给接收方。报文的接收方从接收到的原始报文中计算出128比特的散列值(数字摘要),接着用发送方的公钥对报文附加的数字签名解密。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,21,利用数字签名实现身份认证(续),数字签名可以解决否认、伪造、篡改及冒充等问题。在安全性问题上,数字签名要求: 发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者

13、的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。数字签名有一项功能是保证信息发出者的身份真实性,即信息确实是所声称的签名人签名的,别人不能伪造。和身份认证的情形相似:身份认证的核心是要确认某人确实是他所声称的身份。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,22,3.2 口令认证方法,口令又称个人识别码或通信短语,通过输入口令进行认证的方法便称为基于口令的认证方式。口令认证是最常用的一种认证技术。目前各类计算资源主要靠固定口令的方式来保护。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,23,3.2.1

14、口令管理,口令管理是一个非常重要而且非常费时间的任务。用户不仅试图要创造一个不同的口令,而且要记住他们。系统管理员要花费很多时间来存储用户创造的口令或帮助用户恢复忘记的口令。在保护敏感信息的过程中,许多公司都需要用户提供口令或其他信物才能进入网络资源或应用程序。密码是最简单的口令管理系统,类似个人通讯录,仅仅提供个人登录应用系统,服务器或网络的密码查询维护功能,起到了帮助记忆众多口令的作用。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,24,口令的存储,直接明文存储口令直接明文存储口令是指将所有用户的用户名和口令都直接存储于数据库中,没有经过任何算法或加密过程。这种存储方法风

15、险很大,任何人只要得到了存储口令的数据库,就可以得到全体用户的用户名及口令,冒充用户身份。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,25,口令的存储(续),哈希散列存储口令哈希散列函数的目的是为文件、报文或其他分组数据产生“指纹”。从加密学的角度讲,一个好的散列函数H必须具备如下性质:H的输入可以是任意长度的; H产生定长的输出;对于任何给定的x, H(x)的计算要较为容易;对于任何给定的码h,要寻找x,使得H(x)=h在计算上是不可行的,称为单向性;对于任何给定的分组x,寻找不等于x的y, 使得H(x)=H(y)在计算上是不可行的,称为弱抗冲突;寻找对任何的(x,y)对

16、, 使得H(x)=H(y)在计算上是不可行的,称为强抗冲突。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,26,口令的存储(续),例如,可以定义一个哈希函数H(x)=x mod 10,其中xR,y0,9。对于每一个用户,系统存储账号和散列值对在一个口令文件中,当用户登陆时,用户输入口令x,系统计算H(x),然后与口令文件中的相对应的散列值进行比较,成功则允许用户访问,否则拒绝其登陆。在文件中存储的是口令的散列值而不是口令的明文,优点在于黑客即使得到口令的存储文件,想要通过散列值得到用户的原始口令也是不可能的。这就相对增加了安全性。,不积蹞步,无以致千里;不积小流,无以成江海 豆丁网友友情分享,27,常用口令管理策略,所有活动账号都必须有口令保护;口令输入时不应将口令的明文显示出来,应该采取掩盖措施,如输入的字符用“*”取代;口令不能以明文形式保存在任何电子介质中;可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中;口令最好能够同时含有字母和非字母字符;口令不能在工作组中共享,以保证可以通过用户名追查到具体责任人;,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 咨询培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号