第5章-身份认证与访问控制

第5章身份认证与访问控制上海教育高地建设项目高等院校规划教材（第2版）上海市精品课程网络安全技术目录5.3数字签名技术35.4访问控制技术45.6访问列表与Tenet访问控制实验65.1身份认证技术概述15.5安全审计技术55.2登录认证与授权管理25.7本章小结7教学目标教学目标●理解身份认证技术的概念、种类和常用方法●了解网络安全的登录认证与授权管理●掌握数字签名及访问控制技术及应用与实验●掌握安全审计技术及应用重点为了提醒学弟学妹珍惜大学时光,华中科技大学大四姜新花了数月时间写成一份长达万字的“悔过书”。文章在学校贴吧发出后，立刻引来了大量网友热评，众人纷纷表示绝不辜负“过来人”的忠告。姜新表示，希望看过的学弟学妹都能吸取自己教训,切莫虚度光阴。大学只有四年绝对经不起挥霍,有学生看完帖子后马上把电脑游戏删了重点5.1身份认证技术概述5.1.1身份认证的概念和方法通常，身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。认证（Authentication）是指对主客体身份进行确认的过程。网络中的身份认证（IdentityAuthentication）是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。1.身份认证的概念你有什么？你知道什么？你是谁？多数银行的网银服务，除了向客户提供U盾证书保护模式外，还推出了动态口令方式，可免除携带U盾的不便。动态口令是一种动态密码技术，在使用网银过程中，输入用户名后，即可通过绑定的手机一次性收到本次操作的密码,此密码只可使用一次,便利安全。案例5-15.1身份认证技术概述5.1.1身份认证的概念和方法身份认证与鉴别是信息安全中的第一道防线，对信息系统的安全有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一性。因此，可以防止非法人员进入系统，防止非法人员通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生，严防“病从口入”关口。2.身份认证的作用3.身份认证的种类和方法认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中一项重要内容.从鉴别对象上,分为消息认证和用户身份认证:（1）消息认证：用于保证信息的完整性和不可否认性。（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，5.1身份认证技术概述5.1.2身份认证系统及认证方式身份认证是系统安全的第一道关卡。用户在访问系统前，先要经过身份认证系统识别身份，通过访问监控设备，根据用户的身份和授权数据库，决定所访问资源的权限。授权数据库由安全管理员按照需要配置。审计系统根据设置记载用户的请求和行为，同时入侵检测系统检测异常行为。访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计，如图5-1所示。图5-l身份认证和访问控制过程5.1身份认证技术概述5.1.2身份认证系统及认证方式1.用户名及密码方式用户名/密码方式是最简单、最常用的身份认证方法，是基于“你知道什么”的验证手段。2.智能卡认证智能卡是一种内置集成的电路芯片，存有与用户身份相关的数据，由专门厂商通过专用设备生产。智能卡认证是基于“你有什么”的认证方式，由合法用户随身携带，硬件不可复制无法被仿冒，登录时或同行时须将智能卡在专用读卡器读取身份验证信息。3.动态令牌认证动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。5.1身份认证技术概述5.1.2身份认证系统及认证方式4.身份认证系统的组成包括：认证服务器（AuthenticationServer）、认证系统用户端软件（AuthenticationClientSoftware）、认证设备（Authenticator）。身份认证系统主要是通过身份认证协议和有关软硬件实现的。5.USBKey认证采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式.其身份认证系统有两种认证模式：基于冲击/响应模式和基于PKI体系的认证模式.XX银行的“USBKEY”是为了保障网上银行“客户证书”的安全性，推出了电子证书存储器简称USBKEY即U盾，可将客户的“证书”专门存放于盘中，即插即用，非常安全可靠。U盾只存放银行的证书，不可导入或导出其他数据。只需先安装其驱动程序，即可导入相应的证书。网上银行支持USBkey证书功能，U盾具有安全性、移动性、方便性特点。案例5-25.1身份认证技术概述6.生物识别技术是指通过可测量的身体或行为等生物特征进行身份认证的技术。1)指纹识别技术。2)视网膜识别技术。3)声音识别技术。7.CA认证系统CA(CertificationAuthority)认证是对网络用户身份证的发放、管理和认证的过程。讨论思考：（1）身份认证的概念、种类和方法有哪些？（2）常见的身份认证系统的认证方式有哪些？5.2登录认证与授权管理1.固定口令安全问题固定口令认证方式简单，易受攻击：（1）网络数据流窃听（Sniffer）。（2）认证信息截取/重放。（3）字典攻击。（4）穷举尝试（BruteForce）。（5）窥探密码。（6）社会工程攻击(冒充)。（7）垃圾搜索。2.一次性口令密码体制一次性口令认证系统组成：（1）生成不确定因子。（2）生成一次性口令。5.2.1常用登录认证方式3.双因素安全令牌及认证系统E-Securer安全身份认证系统是面向安全领域开发的AAA（认证、授权、审计）系统，提供了双因素（TwoFactor）身份认证、统一授权、集中审计等功能，可以为网络设备、VPN、主机系统、数据库系统、WEB服务器、应用服务系统等提供集中的身份认证和权限控制。(1)双因素身份认证系统组成1)身份认证服务器提供数据存储、AAA服务、管理等功能，是整个系统的核心部分。2)双因素安全令牌（SecureKey）用于生成用户当前登录的动态口令，采用加密算法及可靠设计，可防止读取密码信息。3)认证代理（AuthenticationAgent）安装在被保护系统上，被保护系统通过认证代理向认证服务器发送认证请求，从而保证被保护系统身份认证的安全。5.2登录认证与授权管理图5-2RSA双因素安全令牌案例5-3(2)认证系统功能(3)双因素身份认证系统的技术特点和优势1)双因素身份认证.系统与安全令牌配合,为用户提供双因素认证安全保护2)基于角色的权限管理.通过用户与角色的结合,角色与权限的配置,可有针对性的实现用户的职责分担,方便灵活配置用户对资源设备的访问权限;3)完善详细的审计。系统提供用户认证、访问的详细记录，提供详细的审计跟踪信息；4)高通用性。采用RADIUS、Tacacs+、LDAP等国际标准协议，具有高度的通用性；5)高可靠性。多个协议模块之间可以实现负载均衡，多台统一认证服务器之间实现热备份，认证客户端可以在多台服务器之间自动切换；6)E-Securer自动定时数据备份，防止关键数据丢失；采用高可用配置，保证持续稳定工作；7)高并发量。系统采用现今成熟技术设计，选用企业级数据库系统，并且进行了大量的性能优化，保证系统提供实时认证、高并发量运行；8)管理界面简洁易用。采用基于WEB的图形化管理界面，极大的方便了管理员对系统进行集中的管理、维护、审计工作；9)开放式体系，产品支持主流操作系统（UNIX、Windows）和网络设备。5.2登录认证与授权管理在某企业网络系统使用的“VPN接入认证”和“登录认证”的用户身份认证子系统中，VPN用户、网络资源访问人员、应用作业操作人员、网络管理员和系统管理员的各类用户身份认证应用。主要包括：VPN接入认证、应用软件登录认证、主机系统登录认证、命令授权审计、网络设备登录认证、命令授权审计、Windows域登录认证、LotusDomino登录认证。5.2登录认证与授权管理4.认证系统的主要应用案例5-3在大型企业中，常用多种不同的应用服务器，如ERP、Web服务系统、营销管理系统、电子邮件系统等，员工经常需要同时访问多种应用，不同的系统之间的账户和要求不同.如图5-3所示5.2登录认证与授权管理5.2.2用户单次登录认证1．多次登录的弊端案例5-3图5-3不同应用系统的多次登录2.单次登入面临的挑战单次登录（SingleSignOn，SSO）也称单点登录，是指用户只向网络进行一次身份验证，以后再无需另外验证身份，便可访问所有被授权的网络资源。SSO面临的挑战包括3个方面：1)多种应用平台。2)不同的安全机制。3)不同的账户服务系统。3．单次登录的优点实现单次登录优点包括：（1）管理更简单。（2）管理控制更方便。（3）用户使用更快捷。（4）网络更安全。（5）合并异构网络。5.2登录认证与授权管理某银行机构的认证与授权管理的目标体系，如图5-4所示。5.2登录认证与授权管理5.2.3银行认证授权管理应用1.认证与授权管理目标•图5-4认证与授权管理目标体系案例5-62.认证授权管理的原则为实现上述的目标，应遵循以下的指导原则：(1)统一规划管理，分步部署实施1)进行认证和授权管理的统一规划，并制订工作计划；2)制订及维护认证和授权相关业务流程；3)统一用户编码规则，制订及维护认证凭证政策；4)确定用户身份信息的数据源和数据流，并进行数据质量管理；5)认证和授权分权管理委派；6)对银行认证和授权的现状进行周期性的审计和跟踪。(2)建立统一信息安全服务平台,提供统一的身份认证和访问管理服务(3)保护现有IT投资，并便于未来扩展5.2登录认证与授权管理讨论思考：（1）双因素身份认证系统的技术特点和优势有呢些？（2）实现单次登录SSO对于用户的优点是什么？（3）认证授权管理的原则是什么？5.3数字签名技术数字签名（DigitalSignature）又称公钥数字签名或电子签章，是以电子形式存储于信息中或以附件或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署人对数据中所包含信息的认可。基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名两种。5.3.1数字签名的概念及功能2.数字签名的方法及功能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。最终目的是实现6种安全保障功能：（１）必须可信。（２）无法抵赖。（３）不可伪造。（４）不能重用。（５）不许变更。（６）处理快、应用广。1.数字签名的概念5.3.2数字签名的种类1．手写签名或图章识别将手写签名或印章作为图像，扫描后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别的数学计算方法对将两者进行比对，以确认该签名或印章的真伪。2．生物识别技术生物识别技术是利用人体生物特征进行身份认证的一种技术。生物特征是一个人与他人不同的唯一表征，它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样，提取其唯一的特征进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中。5.3数字签名技术3.密码、密码代号或个人识别码主要是指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样的对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。4．基于量子力学的计算机基于量子力学的计算机被称作量子计算机，是以量子力学原理直接进行计算的计算机。它比传统的图灵计算机具有更强大