《信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 ppt 作者 彭新光 王峥 第3章 身份认证与访问控制》由会员分享,可在线阅读,更多相关《信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 ppt 作者 彭新光 王峥 第3章 身份认证与访问控制(45页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术与应用,第3章 身份认证与访问控制,信息安全技术与应用,引 言,在安全的信息访问中,通信双方必须通过某种形式来判明和确认对方或双方的真实身份,确认身份后要根据身份设置对系统资源的访问权限,以实现不同身份用户合法访问信息资源。,信息安全技术与应用,3.1 身份认证技术概述,身份认证的定义 身份认证(Identity Authentication)就是通过对身份标识的鉴别服务来确认身份及其合法性。 鉴别服务的目的在于保证身份信息的可靠性,就是要保证信息接收方接收的消息确实是从它声明的来源发出的。 身份认证的方法大体上分为: 基于信息秘密的身份认证 基于信任物体的身份认证 基于生物特征的
2、身份认证。,信息安全技术与应用,身份标识与鉴别,身份标识 身份标识就是能够证明用户身份的用户独有的特征标志,此特征标志要求具有唯一性,如身份证、户口簿、护照、公章、驾照、健康卡,还有网络上使用的网络身份证等。 单因素身份标识包含一条身份信息;而多因素身份标识包含多条身份信息 ID(英文Identity的缩写)也称为序列号或账号,是身份标识特征信息中相对唯一的编码,相当于是一种“身份证编号”。,信息安全技术与应用,身份标识与鉴别,鉴别 鉴别是对通信的对方发来的信息验证从而确定信息是否合法的过程。通常分为身份鉴别和报文鉴别。 身份鉴别:网络系统两个实体建立连接或数据传输阶段,对对方实体的合法性、真
3、实性进行确认,防止非法用户或通过伪造和欺骗身份等手段冒充合法用户,从而保证身份的可靠性。 报文鉴别:报文鉴别是在用于确保数据发自真正的源点同时,还要鉴别报文的真伪,防止收到的报文被篡改、假冒和伪造,保证报文在通信中的完整性。,信息安全技术与应用,身份认证的过程,身份认证的过程就是指网络用户在进入系统或访问受限系统资源时,系统对用户的身份鉴别过程。 身份认证过程中涉及到4个部分,也是身份认证系统的组成部分。 用户组件 输入组件 传输组件 验证组件 单向认证与双向认证 通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证。通信的双方需要互相认证鉴别对方的身份,这样的认证过程是双向认
4、证。 身份认证实现过程中,被鉴别的认证信息要实现加密,往往需要可信第三方(Trusted Third Party)提供密钥管理和分发服务 。,信息安全技术与应用,基于信息秘密的身份认证,基于信息秘密的身份认证是根据双方共同所知道的秘密信息来证明用户的身份(what you know),并通过对秘密信息鉴别验证身份。 1网络身份证 2静态口令 3一次性口令认证,信息安全技术与应用,一次性口令认证,一次性口令认证也称为动态口令的认证,是一种按时间和使用次数来设置口令,每个口令只使用一次,口令不断变化的认证方法。 动态口令认证的优点: 无须定期修改口令,方便管理; 一次一口令,有效防止黑客一次性口令
5、窃取就获得永久访问权; 由于口令使用后即被废弃,可以有效防止身份认证中的重放攻击。 动态口令认证的缺点: 客户端和服务器的时间或次数若不能保持良好同步,可能发生合法用户无法登录; 口令是一长串较长的数字组合,一旦输错就得重新操作。 动态口令认证方法已被广泛运用在网银、网游、电信运营商、电子政务、企业等应用访问系统中。,信息安全技术与应用,基于信任物体的身份认证,根据你所拥有的东西来证明你的身份(what you have),如通过信用卡、钥匙牌、智能卡、口令牌实施的认证。 智能卡(IC卡) 动态口令牌 USB Key,信息安全技术与应用,基于生物特征的身份认证,生物特征是指唯一的可以测量或可自
6、动识别和验证的生理特征或行为特征。 身体特征包括指纹、掌纹、视网膜、虹膜、人体气味、脸型、手的血管、DNA等; 行为特征包括签名、声音、行走步态等。 基于生物特征的身份认证是指通过可测量的身体特征和行为特征经过“生物识别技术”实现身份认证的一种方法。 身份认证可利用的生物特征需要满足:普遍性、唯一性、可测量性和稳定性,当然,在应用过程中,还要考虑识别精度、识别速度、对人体无伤害、用户的接受性等因素。,信息安全技术与应用,生物特征识别过程, 采样:生物识别系统捕捉到生物特征的样品,并对采样的数据进行初步的处理,将初步处理的样品保存起来。 提取特征信息:设备提取采样中唯一的生物特征信息,并转化成需
7、要的数字格式。 特征入库:认证以前要提前将特征信息连同其他用户身份信息如ID或PIN等存储到特征数据库。 特征识别:生物特征识别有两种识别方法是验证和辨识,验证采用完整的样品比对;而辨识即将读取到的用户的生物特征信息,与特征数据库中的数据进行比较,计算出它们的相似程度,看是否匹配来识别用户身份。,信息安全技术与应用,指纹身份认证,指纹特征 一个人的指纹是唯一的,即使是双胞胎的指纹也不相同。 人的指纹有两类特征:全局特征和局部特征。要区分任意两枚指纹仅依靠全局特征是不够的,还需要通过局部特征的位置、数目、类型和方向才能唯一地确定。 指纹的特征识别步骤: (1)图像采集 (2)图像预处理 (3)细
8、节特征的提取 (4)特征信息入库 (5)匹配及识别,信息安全技术与应用,虹膜身份认证,虹膜是一种在眼睛中瞳孔内的织物状的各色环状物,每个虹膜都包含一个独一无二的基于水晶体、细丝、斑点、凹点、皱纹、条纹等特征的结构 虹膜在眼睛的内部,用外科手术很难改变其结构; 由于瞳孔随光线的强弱变化,想用伪造的虹膜代替活的虹膜是不可能的。 同一个人的左右眼虹膜也有很大区别 和指纹识别相比,虹膜识别技术采用非接触式取像方式,对接触面污染较小 特点:具有可靠性高、不易仿照;操作更简便,检验的精确度可以更高,识别的错误率非常底。生物识别产品市场占有优势。,信息安全技术与应用,视网膜身份认证,人的视网膜上面血管的图样
9、可以利用光学方法透过人眼晶体来测定。视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。 视网膜身份认证的优点是: 耐久性:视网膜是一种极其固定的生物特征,因为它是“隐藏”的,故而不易磨损,老化或是为疾病影响; 非接触性的:视网膜是不可见的,故而不会被伪造。 缺点是视网膜技术未经过任何测试,可能会给使用者带来健康的损坏,这需要进一步的研究;对于消费者,视网膜技术没有吸引力;很难进一步降低它的成本。,信息安全技术与应用,语音身份认证,任何两个人的声纹频谱图都有差异,语音身份认证,就是通过对所记录的语音与被鉴人声纹的比较,进行身份认证。 视网膜身份认证的优点是: 语音识别作为一种非接触式
10、的识别系统,用户可以很自然地接受, 声音进行采样,滤波等数字化处理相对成熟。 缺点:但声音变化的范围太大,音量、速度和音质的变化会影响到采集的结果,这样直接影响比对的结果。另外,声音识别系统还很容易被录在磁带上的声音欺骗,这样降低了语音识别系统的安全可靠性。,信息安全技术与应用,基于生物特征的身份认证的优点,相比其他认证方法有下列优点: 非易失:生物特征基本不存在丢失、遗忘或被盗的问题。 难伪造:用于身份认证的生物特征很难被伪造。 方便性:生物特征随身“携带”,随时随地可用。,信息安全技术与应用,3.2 安全的身份认证,身份认证面临的主要威胁 欺骗标识:通过盗取或欺骗用户的信任凭证或尝试用一个
11、假的身份标识试探获取对系统的访问权。 篡改数据:非经授权对认证信息进行修改。 拒绝承认:用户拒绝承认以自己的身份执行过特定操作或数据传输。 信息泄露:私有数据的暴露,用户监听到在网络上传送的明文信息等都是信息泄露。 重放攻击:攻击者利用网络监听或者其他方式盗取认证凭据,利用这一目的主机已接收过的认证报文,再不断恶意或欺诈性地重复发给认证服务器。,信息安全技术与应用,身份认证的安全措施,(1)身份信息加密以防止信息泄露和篡改数据 需要在认证信息的传输和存储时采用加密技术以保证认证中的数据在传送或存储过程中未被泄露和篡改。 传输中的认证信息加密可以采用对称密钥加密体制,也可以采用非对称密钥加密体制
12、; 对服务器数据库中的身份信息加密存储,以防止黑客入侵获得身份信息假冒合法用户非法访问;,信息安全技术与应用,身份认证的安全措施,(2)采用安全的认证方式抵御重放攻击 挑战/应答认证模式 注:一般采用不重复使用的大的随机数作为挑战(值),若挑战值变化量不大,攻击者只需截获足够的挑战应答之间的关系,又可以进行重放攻击了。 数字时间戳方式 数字时间戳(digital time-stamp,DTS)就是用来有效证明电子数据的收发时间内容。 认证服务器接收时只有报文时间戳与本地时间足够接近时,才认为是一个合法的新报文,否则认为是重放攻击报文。,信息安全技术与应用,身份认证的安全措施,(3)数字签名有效
13、抵制欺骗标识和拒绝承认 应用数字签名的身份鉴别有效防止冒用别人名义发起认证和发出(收到)身份信息后拒绝承认。 认证结果证明: 用户身份信息M在传输中没有被别人冒用,刚才验证的身份信息M就是用户的;用户不能否认验证确认的身份信息和以此身份信息登录后的操作和审计结果。,信息安全技术与应用,身份认证的安全措施,(4)加强身份信息管理,防止私有信息泄露 管理好个人的身份标识,轻易不要被欺骗泄露或告知他人,尤其是信任物体身份标识硬件,借用或丢失会造成身份冒用。 提高口令、PIN等身份标识设置的复杂度,提高身份标识的猜测难度,有效地防止身份探测。 增加身份认证因素,采用双因素或多因素的认证方式可以更好克服
14、由于身份信息泄露造成的安全威胁。 上述提到的多因素认证、数字时间戳认证、信息加密的身份认证、挑战/响应认证等都是安全的认证模式,有效保障身份认证的非否认性、保密性、正确性和完整性。,信息安全技术与应用,口令认证的安全方案,口令认证的威胁 网络数据流窃听; 认证信息截取/重放; 字典攻击; 穷举尝试; 窥探口令; 骗取口令; 垃圾搜索; 口令安全性管理 (1)口令的安全存储 一是直接明文存储口令,二是哈希散列存储口令。 (2)口令的安全设置 (3)口令的加密传输 (4)验证码 口令认证中通过加入验证码可以控制登录或注册时间和节奏,有效防止对某一个特定注册用户用特定程序自动进行口令的穷举尝试。,信
15、息安全技术与应用,基于指纹的电子商务身份认证,认证特点 基于指纹的电子商务身份认证系统综合了指纹识别、数字签名和加密技术,有效地解决了客户端身份信息的存储和管理问题;同时,通过认证过程中使用时间戳和随机数阻止了第三方的重放攻击。,认证过程,信息安全技术与应用,Kerberos身份认证,Kerberos是麻省理工学院开发的一个认证服务方案.它工作在Client/Server模式下,以可信赖的KDC和使用DES对称密钥口令算法,实现密钥分配和集中的身份认证。 一个完整的Kerberos系统主要由以下几个部分组成: 用户(Client):发起认证服务的一方。 服务器(Server):最终鉴别客户认证
16、信息的一方。 认证服务器(Authentication Server,AS):用来进行密钥分配和验证用户身份。 票据分配服务器(Ticket Granting Server,TGS):发放身份证明票据(凭证)。 票据(ticket-granting ticket,TGT):为双方身份认证专门生成的凭证。 密钥分配中心(Key Distribution Center,KDC):由认证服务器和票据分配服务器组成。 鉴别码(Authenticator):用户生成的最终认证信息。,信息安全技术与应用,Kerberos身份认证过程,Kerberos的基本认证过程:,信息安全技术与应用,Kerberos身份认证过程,认证过程中的票据和认证信息: TGT1=Ticket用户身份标识; TGT2=TicketSession Key,用户身份标识,用户主机IP地址,服务器名,有效期,时间戳; KCSession Key; KSTG
