身份认证与访问控制ppt培训课件

《身份认证与访问控制ppt培训课件》由会员分享，可在线阅读，更多相关《身份认证与访问控制ppt培训课件（35页珍藏版）》请在金锄头文库上搜索。

1、单击此处编辑母版标题样式单击此处编辑母版副标题样式*1华南理工大学计算机学院 本科课程电子商务安全与保密身份认证与访问控制建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材身份认证概念 n身份认证又叫身份识别，它是通信和数 据系统的正确识别通信用户或终端的个 人身份的重要途径。身份认证是安全系 统中的第一道关卡，如图44所示，用 户在访问安全系统之前，首先经过身份 认证系统识别身份，然后访问监控器根 据用户的身份和授权数据库决定用户是 否能够访问某个资源。 n2建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲

2、义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材基本的身份认证方法 n物理认证方法n主体特征认证n视网膜扫描、声音验证、指纹识别器。n口令机制n口令是约定的代码，假设只有用户和系统知道。n智能卡n访问不但需要口令，也需要使用物理智能卡。n一次性口令n用户每次使用不同的口令，需要口令发生器设备。n3建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材基本的身份认证方法nPAP 协议（Password Authentication Protocol）n用于 PPP（点对点）协议的身份认证协议 ，明文

3、口令传输。nCHAP 协议（Challenge Handshake Authentication Protocol）n不在网络上传送口令信息， 比 PAP 具有 更强的安全性。n4建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材一次一密实现方式n请求-应答方式n验证者AS需要与客户端产生相同的口令字（或者验证用户 签名）用于验证用户身份。n询问-应答式n验证者提出问题（通常是随机数），由识别者回答，然后 验证身份真实性。nSchnorr协议，Okanmto协议，GQ协议n5建筑面积计算规范解决问题方法和途径客户服务

4、培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材身份认证协议 Kerberosn是美国麻省理工学院（MIT）开发的一种身份鉴 别服务。 n“Kerberos”的本意是希腊神话中守护地狱之门的守 护者。 nKerberos提供了一个集中式的认证服务器结构， 认证服务器的功能是实现用户与其访问的服务器 间的相互鉴别。 nKerberos建立的是一个实现身份认证的框架结构 。 n其实现采用的是对称密钥加密技术，而未采用公 开密钥加密。 n公开发布的Kerberos版本包括版本4和版本5。 n6建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论

5、江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos的设计思路（1） n基本思路：n使用一个（或一组）独立的认证服务器（AS Authentication Server），来为网络中的客户提供身份认证服 务； n认证服务器 (AS)，用户口令由 AS 保存在数据库中；nAS 与每个服务器共享一个惟一保密密钥（已被安全分发） 。n会话过程： (1) C AS: IDC | PC | IDV (2) AS C: Ticket (3) C V : IDC | TicketTicket = EKVIDC | ADC | IDVn7建筑面积计算规范解决问题方法和途径客户服务培训手册

6、教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos的设计思路 （2） n问题：n用户希望输入口令的次数最少。但多次使用会导致 安全性下降n口令以明文传送会被窃听。n解决办法n可重用票据（ticket reusable）。n 引入票据许可服务器（TGS - ticket-granting server ）n用于向用户分发服务器的访问票据n认证服务器 AS 并不直接向客户发放访问应用服务器的票 据，而是由 TGS 服务器来向客户发放n观众收款员售票员电影院检票员n8建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划

7、招商及后期商业运营方案精益生产培训教材Kerberos中的票据n两种票据n两种票据在认证过程中的使用n一、服务许可票据（Service granting ticket）n是客户要求服务时需要提供的票据；n用 TicketV 表示访问应用服务器 V 的票据。nTicketV 定义为 EKv IDCADCIDVTS2LT2 n9建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos中的票据n两种票据n二、票据许可票据（Ticket granting ticket ）n客户访问 TGS 服务器需要提供的票据，目

8、的 是为了申请某一个应用服务器的 “服务许可票 据”；n票据许可票据由 AS 发放；n用 Tickettgs 表示访问 TGS 服务器的票据；nTickettgs 在用户登录时向 AS 申请一次，可多次 重复使用；nTickettgs 定义为 EKtgs IDCADCIDtgsTS1LT1 n10建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos V4认证过程示意图 n11建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材K

9、erberos V4认证过程(1)n第一阶段，认证服务器的交互，用于获取票据许可 票据：(1) C AS ：IDCIDtgsTS1 (2) AS C ：EKc KC,tgsIDtgsTS2LT2Tickettgs 其中：Tickettgs = EKtgs KC,tgsIDCADCIDtgsTS2LT2n12建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos V4认证过程(2)n第二阶段，票据许可服务器的交互，用 于获取服务许可票据： (3) C TGS ：IDVTickettgsAUC (4) TGS

10、 C ：EKc,tgs KC,VIDVTS4TicketV 其中： Tickettgs = EKtgs KC,tgsIDCADCIDtgsTS2LT2 TicketV = EKv KC,VIDCADCIDVTS4LT4 AUC = EKc,tgs IDCADCTS3n13建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos V4认证过程(3)n第三阶段，客户与应用服务器的交互，用于获 得服务： (5) C V ：TicketVAUC (6) V C ：EKc,v TS5 + 1 其中：TicketV =

11、 EKv KC,VIDCADCIDVTS4LT4AUC = EKc,v IDCADCTS5n14建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos V4中各关键元素的说明(1) n15建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerberos V4中各关键元素的说明(2)n16建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材Kerbero

12、s V4中各关键元素的说明(3)n17建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材n访问控制定义n资源的所有者或者控制者准许其他人访问这种资源 ，防止未授权的访问n对于进入系统的控制机制n主体：主体，即主动实体，它提出对资源访问请求；如 用户，程序，进程等。n客体：客体，能包含或接受信息的被动实体，如如网络 、计算机、数据库、文件、目录、计算机程序、 外设、 网络。n安全策略：The set of laws, rules, and practices that regulate how an organizat

13、ion manages, protects, and distributes sensitive information.n安全策略模型（Security Policy Model）：An informal presentation of a formal security policy model.n安全策略-形式化模型-计算机中表示n安全机制：实现安全策略的一整套软件、硬件的实 体，它的作用就是保证安全策略的实现。授权(Authorization)和访问控制n18建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材

14、访问控制的基本概念访问控制的基本概念 n访问（Access）n对资源的使用，读、写、修改、删除等操 作，例如访问存储器；访问文件、目录、 外设；访问数据库；访问一个网站。n访问可以被描述为一个三元组 (s, a, o)n主体，发起者 : Subject，Initiatorn客体，目标 : Object, Targetn访问操作 : AccessObjectRead/Write/Execn19建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材基本模型：Reference MonitorReference Monitor

15、主体客体控制规则库n访问控制模型：Reference Monitorn解释了主体和客体之间实施访问控制的机制n构造应用监视器的原则：n完整性：不受外界干扰n禁止旁路：任何访问控制请求，都引用监视器 仲裁n可验证性：足够小，以至于能证明它是正确的n20建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材访问控制规则n基于身份帐号和口令n基于角色n基于地址IPn基于时间上/下班时间n基于异常事件三次登陆自动锁死n基于服务数量并发访问n如何协调这些策略n规定策略的优先级n否定策略的优先级n21建筑面积计算规范解决问题方法和途

16、径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材n传统的访问控制技术/策略n自主访问控制（Discretionary Access Control），最早出现在六十年代末期的分 时系统中 。n强制访问控制（Mandatory Access Control ），最早出现在七十年代，八十年代得到 普遍应用。n它们最鲜明的特点：策略和技术可以不 区分，依赖于特定的安全策略。n22建筑面积计算规范解决问题方法和途径客户服务培训手册教学讲义激励基本理论江山四季青商贸城策划招商及后期商业运营方案精益生产培训教材n自主访问控制：客体的主人全权管理有 关该客体的访问授权，有权泄漏、修改 该客体的有