第5章-身份认证与访问控制技术.

第5章身份认证与访问控制技术5.1身份认证技术概述5.2认证口令5.3认证令牌5.4生物特征认证5.5访问控制的概念与原理5.6访问控制结构5.7访问控制策略5.8访问控制模型5.9RBAC参考模型第五章身份认证和访问控制技术5.1身份认证技术概述1身份认证及重要性身份认证：证实客户真实身份与其所生成的身份是否相符的过程。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。身份认证就是为了解决如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应这一个问题。身份认证是防护“网络资产”的第一道关口。网络才能在匿名性、不确定性和复杂性。电子商务以互联网为基础，交易参与方无法面对面，为保证交易的安全，身份认证称为电子商务安全的重要技术。通过了身份认证才能访问资源，使用服务。身份认证是防止网络系统攻击的重要技术。身份认证是访问控制和审计的前提。5.1身份认证技术概述5.1身份认证技术概述5.1身份认证技术概述5.1身份认证技术概述1.身份认证的原理现实世界中对用户的身份认证基本方法包括：(1)根据你所知道的信息来证明你的身份(你所知道的)如暗号；(2)根据你所拥有的东西来证明你的身份(你所拥有的)如身份证、学生证；(3)直接根据独一无二的身体特征来证明你的身份(生物特征)，比如指纹、面貌等。网络世界的身份验证方法与现实世界相仿。5.1身份认证技术概述双因素认证：通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。目前主流的双因素认证系统是基于时间同步型，市场占有率高的有DKEY双因素认证系统、RSA双因素认证系统等，由于DKEY增加对短信密码认证及短信+令牌混合认证支持，相比RSA，DKEY双因素认证系统更具竞争力。双因素认证系统组成：双因素认证设备（硬件令牌、手机短信密码、USBKEY等）、认证代理软件和认证服务器。5.1身份认证技术概述5.1身份认证技术概述5.1身份认证技术概述5.1身份认证技术概述身份认证系统要达到的要求：（1）被验证者A能向验证者B证明他确实是A。（2）被验证者A得到验证者B的验证后，B不能获得A的任何秘密信息，即B不能仿造A的身份。（3）秘密参数必须安全存储。所用方法：被验证者的身份信息不能显示地呈现在验证者B的面前。验证信息应该加密后存储在数据库中。5.1身份认证技术概述3.身份认证的方法身份认证分为单向认证和双向认证。单向认证：通信的双方只需一方认证。如口令双向认证：通信双方均需认证通过。按使用技术分：基于对称密码的认证和基于公钥密码的认证。5.1身份认证技术概述口令认证是根据“用户所知”进行身份认证的方法。认证过程：用户首先在系统中注册一个用户名/口令。用户要使用服务时，用之前注册的用户名/口令登录。系统根据用户输入的用户名/口令验证用户身份。如用户名/口令正确则允许登录，否则作为非法用户拒绝。优点：操作简单易行，一般的系统（如UNIX，WindowsNT，NetWare等）都提供了对口令认证的支持，对于封闭的小型系统来说口令认证是一种简单可行的方法。5.2认证口令缺点：①用户每次访问系统时都要以明文方式输入口令，这时很容易泄密。②口令在传输过程中可能被截获。③口令更换周期长或根本不更换，导致口令易被窃取;且口令被窃取后，口令持有者不能及时发觉。④系统中所有用户的口令以文件形式存储在认证方，攻击者可以利用系统中存在的漏洞获取系统的口令文件。5.2认证口令缺点：⑤用户在访问多个不同安全级别的系统时，都要求用户提供口令，用户为了记忆的方便，往往采用相同的口令。而低安全级别系统的口令更容易被攻击者获得，从而用来对高安全级别系统进行攻击。⑥口令泄漏后，用户很难发现。⑦只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。攻击者可能伪装成系统骗取用户的口令。⑧口令随长度和变化复杂性而记忆难度增加。5.2认证口令5.2.1关键问题1.口令传输防止明文传输被截获，对输入终端和认证系统之间的会话实行加密（SSL）。2.口令存储明文口令不论存在客户端或者服务器都容易受到攻击，也容易被管理员获知。使用散列算法生成口令摘要，在传输和存储中都只使用口令摘要。3.重放攻击通过搭线等方式获取用户传输的口令信息，重新传给服务器，获得用户访问权限。是时间令牌方式或一次一密，动态口令等方式防止。5.2认证口令5.2.2挑战/响应认证机制挑战/应答机制：认证服务器发给客户端一个不同的随机数即挑战，客户端对挑战的随机数加密处理，产生响应，并将响应返回服务器。5.2认证口令客户认证服务器客户认证服务器客户认证服务器客户认证服务器认证请求(User,IP)挑战(R)应答(H())认证结果认证过程：（1）客户端输入自己的明文口令，将口令用散列算法生成摘要，并向认证服务器发出认证请求。（2）服务器收到请求后，检查是否为合法用户。如是合法用户，服务器产生一个新的随机数“挑战”。挑战用明文形式传给客户端。（3）客户端对挑战进行加密处理，生成应答并将此传递给服务器。（4）服务器验证客户端传回来的应答，确定客户端身份。5.2认证口令客户端生成应答有两种方式：（1）加/解密模式：客户端将挑战用口令摘要作为对称密钥加密生成应答并返回给服务器。服务器用保存的口令摘要副本解密应答，恢复出挑战。再将恢复出的挑战和之前服务器自己产生的挑战做比对，如匹配，服务器认为客户端具有真实口令摘要。（2）并行密码计算模式：客户端收到挑战后和口令摘要一起生成新的摘要，并将此作为应答返回给服务器。服务器收到应答后，和客户端做同样的操作，然后将自己产生的新摘要和客户端应答中的摘要做比对，如匹配，服务器认可客户端身份。5.2认证口令口令认证的弊端：（1）口令的更新（2）口令的记忆（3）口令的概率分布人们使用的口令并非均匀随机的分布在密钥空间。多数人选择口令处于方便的考虑，类似于A_6KX_853Haquac这样随机并安全的口令一般很少出现。虽然口令在实际使用中用的是其hash值，不能逆向求出口令，但攻击者可以利用口令字典中的现有hash值进行比对，找到合适的匹配值。5.2认证口令令牌认证：根据“用户所知”和“用户所有”进行身份认证的方法。属于双因素认证，且一次一密。令牌：在动态口令技术中，用于生成和表现随机密码的载体工具。令牌码：令牌产生的伪随机数。种子：用于生成令牌码的参数。PIN：个人信息码，由用户设定。密码：PIN+令牌码。5.3认证令牌令牌认证原理：（1）用户访问受保护资源时，输入用户名、令牌上显示的令牌码和PIN。（2）认证服务器根据保存的用户令牌种子和PIN，计算出令牌码。（3）服务器比对用户输入的令牌码和重新生成的令牌码，从而确定用户身份的合法性。每个令牌码只在当前通信中有效，只使用一次。令牌认证包括：挑战/应答令牌和时间令牌。5.3认证令牌5.3.2时间令牌令牌和服务器共同拥有一个相同的随机种子，认证时双方将当前的时间和随机种子做加密或是hash运算，然后由认证服务器对这一个结果做校验比较。时间令牌的复杂性在于：要对时间进行校验就必须保证令牌与认证服务器的时间完全同步。令牌在生产时厂家就将种子和标准时间写入。5.3认证令牌时间令牌实现原理图5.3认证令牌1.工作原理及过程：（1）在客户端以时间作为变量，使用对称密钥，进行密码运算，得出一个结果，称为伪随机数，长度假定为128位。（2）为了操作方便，只截取一定的位数（如8位十进制数），显示在令牌卡的液晶屏上，这就是动态口令。（3）用户读取这8位数字后，把它输入终端，传给认证服务器。（4）认证服务器使用同样的对称密钥，对时间加密形成另一个伪随机数，显然，因为双方的时间是同步的，两个伪随机数也会相同。（5）认证服务器截取8位数字后把它与收到的动态口令进行比较，如果相同，这就实现了认证。5.3认证令牌黑客因为不掌握相同的密钥，产生不出正确的伪随机数和口令，也就通不过认证。而如果黑客靠窃听截获了这个动态口令，想用它来通过下一次认证，也是无法得逞的。因为下一次认证的时间变量已经改变，密码运算得到的伪随机数和动态口令也变了，上一次的口令已经作废了5.3认证令牌2.时间窗口令牌可以实现一次一密，关键是时间同步。如果时间不同步，合法用户无法认证。为避免因硬件上造成的时间不同步，采用时间窗口技术。时间窗口：认证服务器为了匹配令牌时间，采取的对服务器时间加上或减去某个时间的最大值。具体方法：如出现不同步情况，认证服务器会在服务器时间的基础上，在时间窗的范围内加上或减去1,2,3……秒做多次尝试，如在时间窗内认证成功，则记录改增减值（时间偏移量）。如在初始时间窗内仍无法认证，则增大时间窗的范围。5.3认证令牌生物特征识别：通过自动化技术利用人体的生理特征或行为特征进行身份鉴定。分类：指纹识别、虹膜识别、手掌识别、视网膜识别和脸相识别；方法：声音识别、笔迹识别和击键识别等。须满足条件：普遍性：每个人都应该具有这一特征。唯一性：每个人在这一特征上有不同的表现。稳定性：不会随着年龄的增长、时间的改变而改变。易采集性：这一特征应该是容易测量的。可接受性：人们是否接受这种生物识别方式。5.4生物特征认证1.足够有效口令认证采用精确匹配原则，而生物特征认证采用足够有效原则；匹配软件把收集到被认证者的生物特征信息与数据库的模板进行匹配，看匹配结果是否在有效范围内。原因：认证对象每次出示生物特征时采集到的特征数据是不同的。系统使用的认证对象的生物特征是其典型数据，而不是生物特征的完整记录。5.4生物特征认证2.生物特征模板用户必须先注册，注册目的是采集生物特征数据，创建生物特征模板。每次采集生物特征数据会存在差异，即噪声。多次采集特征数据，进行均匀化处理可消除噪声。用户注册时一般要求多次出示生物特征，从而生成一个有效的特征模板。易用性和安全性相权衡。二次注册法：首次注册采集两次特征数据。二次注册是当用户使用系统时，将收集到的特征数据与一次注册时保存的模板均衡。5.4生物特征认证3.认证匹配采用近似匹配。决定匹配有效性取决于生物特征的类型和系统的匹配算法。两个可配置参数：错误接收比率、错误拒绝比率。匹配策略：在方便性、安全性、错误接收比率、错误拒绝比率、价格和性能之间权衡。5.4生物特征认证4.易用性和安全性系统对易用性和安全性的偏向决定使用单因素验证还是多因素验证。5.存储特征模板生物特征模板以明文或静态口令形式存储不安全。特征模板可以存储在第二方（认证服务器后台）。新采集的特征数据通过加密传到服务器，并进行比对。特征模板数据要加密存储。5.4生物特征认证6.存在的问题（1）生物特征模板极具个性化，必须得到保护。（2）总有某些用户群体不能使用生物特征。（3）会遭受欺骗或重放攻击，需用有效机制保护。（4）面临的社会问题是多层面的。（5）生物特征是不可撤销的凭证。数字方式的识别，一旦丧失安全性可以撤销重新颁发；生物特征本身是不可再生，不可重新发放的。5.4生物特征认证访问控制：按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制建立在身份认证的基础上。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制的功能主要有：一.防止非法的主体进入受保护的网络资源。二.允许合法用户访问受保护的网络资源。三.防止合法的用户对受保护的网络资源进行非授权的访问。5.5访问控制的概念和原理访问控制要素：主体、客体、访问控制安全策略、权限和授权。主体：一个主动的实体即发起访问的一方。如用户、终端或一个应用等。主体可以访问客体客体：一个被动的实体即接收访问的一方。如数据、文件、设备、网络设施等。访问控制安全策略：对主体向客体进行访问时用于约束访问行为的一组规则。