《网络基础与信息安全 钱宗峰第八章》由会员分享,可在线阅读,更多相关《网络基础与信息安全 钱宗峰第八章(95页珍藏版)》请在金锄头文库上搜索。
1、,1身份认证的概念 认证是指对主客体身份进行确认的过程。认证主要解决用户主体本身的信用和客体对主体实时访问的信任问题,是一个最基本的要素,并为下一步进行的授权和提供信息等其他工作奠定重要基础,也是对用户身份和认证信息的生成、存储、同步、验证和维护的整个生命周期的管理。 身份认证是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。是用户在进入计算机网络系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否具有真实性、合法性和唯一性的过程,是保证计算机网络系统及信息资源安全的重要措施之一。,8.1.1 身份认证的概念,2认证技术的类型 认证技术是用户身份认证与鉴别的重要手段
2、,也是计算机系统安全中的一项重要内容。从鉴别对象上看,分为消息认证和用户身份认证两种。 (1)消息认证:用于保证信息的完整性和不可否认性。通常用来检测主机收到的信息是否完整,以及检测信息在传递过程中是否被修改或伪造。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。,8.1.1 身份认证的概念,8.1.2 常用的身份认证方式,1静态密码方式 静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。每个用户的密码由用户自己设定,只有用户本人知道。只要能够正确输入密码,计算机就认为操作者是合法用户。实际上,很多用户为了
3、方便起见,经常用生日、电话号码等具有用户自身特征的字符串作为密码,为系统安全留下隐患。同时,由于密码是静态数据,系统在验证过程中需要在网络介质中传输,很容易被木马程序或监听设备截获。因此,用户名及密码方式是安全性比较低的身份认证方式。,8.1.2 常用的身份认证方式,2动态口令认证 动态口令是应用较广的一种身份识别方式,基于动态口令认证的方式主要有动态短信密码和动态口令牌(卡)两种方式,口令一次一密。前者是以系统发给用户注册手机的动态短信密码进行身份认证;后者则以发给用户动态口令牌进行认证。很多世界500强企业运用其保护登录安全,广泛应用在VPN、网上银行、电子商务等领域。,8.1.2 常用的
4、身份认证方式,3USB Key 认证 近几年来,USB Key认证方式得到了广泛应用。主要采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式,很好地解决了安全性与易用性之间的矛盾。以一种USB接口的硬件设备,内置单片机或智能卡芯片,可存储用户的密钥和数字证书,利用其内置的密码算法实现对用户身份的认证。其身份认证系统主要有两种认证模式:基于冲击/响应模式和基于PKI体系的认证模式。,8.1.2 常用的身份认证方式,4生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征
5、两类。身体特征包括指纹、掌形、视网膜、人体气味、脸形、手的血管和DNA等;行为特征包括签名、语音、行走步态等。,8.1.2 常用的身份认证方式,5CA认证 国际认证机构(Certification Authority,CA)是对申请者发放、管理、取消数字证书的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。随着网上银行及电子商务等广泛应用,在线支付手段的不断完善,网络交易已变得更加大众化,安全问题更加重要。网络间的身份认证成为安全发展的关键。认证机构如同一个权威可信的中间方,可核实交易各方身份,负责电子证书的发放和管理。每个机构或个人上网用户都要有各自的网络身份证作为唯
6、一识别。,1身份认证系统的构成 身份认证系统的组成一般包括三个部分:认证服务器、认证系统客户端和认证设备。,8.1.3 身份认证系统概述,认证系统网络结构图,2常用认证系统及认证方法 在网络系统中,各网络节点之间以数字认证方式确定用户身份。网络中的数据库和各种计算资源也需要认证机制的安全保护。通常,认证机制与授权机制紧密地结合在一起,通过认证的用户均可获得其使用权限。下面主要介绍因特网最为常用的口令方式和双安全因素安全令牌两种认证方法。,8.1.3 身份认证系统概述,(1)固定口令认证 在网络上最为通用的认证系统是常见的固定口令认证,是一种依靠检验由用户设定的固定字符串进行系统认证方式。当通过
7、网络访问网站资源时,系统会要求输入用户的账户名和密码。在账户和密码被确认后,用户便可访问各种资源。 固定口令认证的方式简单明了,但由于其相对固定,很容易受到多种方式攻击: 1)网络数据流窃听 2)认证信息截取/重放 3)字典攻击 4)穷举尝试 5)窥探密码 6)社会工程攻击 7)垃圾搜索,8.1.3 身份认证系统概述,(2)一次性口令密码体制 为了改进固定口令的安全问题,提出了一次性口令(One Time Password,OTP)认证体制:主要在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,从而提高系统安全性。 1)生成不确定因子。常用的有以下三种: 口令序列方式 挑战/回答
8、方式 时间同步方式 2)生成一次性口令。有以下两种: 硬件卡 软件,8.1.3 身份认证系统概述,(3)双因素安全令牌及认证系统 1)E-Securer的组成:E-Securer由安全身份认证服务器、安全令牌、认证代理、认证应用开发包等组成。 安全身份认证服务器主要提供数据存储、AAA服务、认证管理等功能,是整个认证系统的核心部分。 双因素安全令牌(Securer Key)用于生成用户当前登录的动态口令,是安全身份认证的最直接体现。动态口令采用了可靠设计,可抵御恶意用户读取其中的重要信息。 安装有认证代理(Authentication Agent)的被保护系统,通过认证代理向认证服务器发送认证
9、请求,从而可保证系统身份认证的安全。系统提供简单、易用的认证API开发包供开发人员使用,有助于应用系统的快速集成与定制。,8.1.3 身份认证系统概述,8.1.3 身份认证系统概述,E-Securer安全认证系统,8.1.3 身份认证系统概述,2)E-Securer的安全性: E-Securer系统一句动态口令机制实现动态身份认证,很好地解决了远程/网络环境中的用户身份认证问题。同时,系统具有集中用户管理和日志审计功能,便于管理员对整个企业员工进行集中的管理授权和事后日志审计。,8.1.3 身份认证系统概述,3)双因素身份认证系统的技术特点与优势主要体现在以下7个方面: 系统与安全令牌相配合,
10、通过双因素认证保障网络系统的安全。 通过配置用户访问权限,可有效控制访问权限并针对性地实现用户职责分担。 为系统提供详尽的相关安全审计和跟踪信息。 采用先进的RADIUS、Tacacs+、LDAP等国际标准协议,具有高度的通用性。 可在多个协议模块之间实现负载均衡,且两台统一认证服务器之间可实现热备份,同时认证客户端可以在两台服务器之间自动切换。 提供Web图形化管理界面,可极大地方便网络管理员对系统进行集中管理、维护和审计等工作。 技术产品可支持主流的软硬件设备。,1数字签名的概念及种类 数字签名(Digital Signature)又称公钥数字签名或电子签章,是以电子形式存储于数据信息中或
11、作为其附件或逻辑上与之有联系的数据,可用于辨识数据签署人的身份,并表明签署人对数据中所包含信息的认可。 是一种认证鉴别来源数据信息真实可靠性的方法,以保证信息来源的真实性、数据传输的完整性和可审查性。类似一种写在纸上的普通的物理签名,主要通过采用公钥加密技术实现。,8.1.4 数字签名的概念及功能,基于公钥密码体制和私钥密码体制都可获得数字签名,目前主要是基于公钥密码体制的数字签名,包括普通数字签名和特殊数字签名两种。 第一种签名算法有RSA、Elgamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir 数字签名算法、De
12、s/DSA椭圆曲线数字签名算法和有限自动机数字签名算法等。 第二种签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名和具有消息恢复功能的签名等,与具体应用环境关系密切。,8.1.4 数字签名的概念及功能,2数字签名的功能 (1)签名必须可信:文件的接收者确信发送且签名者是慎重地在文件上签的名。 (2)签名无法抵赖:发送者事后不能抵赖对报文的签名,可以进行比对核实。 (3)签名不可伪造:签名可以证明是签字者而非其他人在文件上签的名。 (4)签名不能重用:签名是文件的一部分,不可将其签名再移到其他文件上。 (5)签名不许变更:签名和文件在整个传输过程中不可修改或分离。 (6)签名处
13、理速度快:可以根据具体业务的实际需求进行广泛应用。,8.1.4 数字签名的概念及功能,3数字签名的原理及过程 (1)数字签名算法的组成 (2)数字签名的基本原理及过程,8.1.4 数字签名的概念及功能,数字签名原理及过程,1访问控制的概念及要素 访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录和文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。,8.2.
14、1 访问控制,访问控制包括三个要素:主体、客体和控制策略。 1)主体S(Subject):是指提出访问资源具体请求方。 2)客体O(Object):是指被访问资源的实体。 3)控制策略A(Attribution):是主体对客体的相关访问规则集合,即属性集合。,8.2.1 访问控制,2访问控制的功能及原理 访问控制的主要功能包括:保证合法用户访问授权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。在用户身份和访问权限验证之后,还需要对越权操作进行监控。,8.2.1
15、 访问控制,8.2.1 访问控制,访问控制功能及原理,3访问控制的类型 (1)自主访问控制 (2)强制访问控制 (3)基于角色的访问控制,8.2.1 访问控制,4访问控制机制 (1)访问控制列表 访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。 (2)能力关系表 能力关系表(Capabilities List)是以用户为中心建立访问权限表。与ACL相反,表中规定了该用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。相反,检索具有授权访问特定客体的所有主体则需查遍所有
16、主体的能力关系表。,8.2.1 访问控制,5访问控制的安全策略 访问控制的安全策略是指在某个自治区域内(属于某个组织的一系列处理和通信资源范畴),用于所有与安全相关活动的一套访问控制规则。 (1)安全策略实施原则 1)最小特权原则 2)最小泄露原则 3)多级安全策略 (2)安全策略的类型 1)基于身份的安全策略 2)基于规则的安全策略 3)综合访问控制策略,8.2.1 访问控制,1防火墙的分类 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为两大类:分组过滤、应用代理。 分组过滤(Packet Filtering):作用在网络层和传输层,它根据分组包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则从数据流中丢弃。 应用代理(Application Proxy):也叫应用网关(Application G
