信息安全原理与技术ch06-身份认证与访问控制

信息安全原理与技术郭亚军宋建华李莉清华大学出版社2011-7-20Ch6-身份认证与访问控制2第6章身份认证与访问控制•主要知识点：--身份认证--访问控制概述--自主访问控制--强制访问控制--基于角色的访问控制2011-7-20Ch6-身份认证与访问控制36.1身份认证认证一般可以分为两种:•消息认证:用于保证信息的完整性和抗否认性。在很多情况下，用户要确认网上信息是不是假的，信息是否被第三方修改或伪造，这就需要消息认证。•身份认证:用于鉴别用户身份。包括识别和验证，识别是指明确并区分访问者的身份；验证是指对访问者声称的身份进行确认。2011-7-20Ch6-身份认证与访问控制4授权数据库资源数据库访问监控器安全管理员用户身份认证访问控制图6.1身份认证是安全系统中的第一道关卡•单向认证和双向认证•软件认证和硬件认证•单因子认证和双因子认证•静态认证和动态认证•认证手段:–基于用户所知道的(whatyouknow)–基于用户所拥有的(whatyouhave)–基于用户本身的（生物特征如：语音特征、笔迹特征或指纹）相关概念2011-7-20Ch6-身份认证与访问控制66.1.1身份认证的基本方法•用户名/密码方式•IC卡认证方式•动态口令方式•生物特征认证方式•USBKey认证方式2011-7-20Ch6-身份认证与访问控制7用户名/密码方式•是一种基于“用户所知道”的验证手段每一个合法用户都有系统给的一个用户名/口令对，当用户要求访问提供服务的系统时，系统就要求输入用户名、口令，在收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。如果正确，则该用户的身份得到了验证。•优点：由于一般的操作系统都提供了对口令认证的支持，对于封闭的小型系统来说是一种简单可行的方法。•缺点：是一种单因素的认证，它的安全性依赖于密码。由于许多用户为了防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，因此极易造成密码泄露。密码一旦泄露，用户即可被冒充。2011-7-20Ch6-身份认证与访问控制8IC卡认证方式•是一种基于“用户所拥有”的认证手段IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器中读取其中的信息，以验证用户的身份。•优点：通过IC卡硬件的不可复制性可保证用户身份不会被仿冒。•缺点：由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此，静态验证的方式还是存在着根本的安全隐患。2011-7-20Ch6-身份认证与访问控制9动态口令方式•是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术采用动态密码卡(专用硬件)，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。用户将动态令牌上显示的当前密码输入，由这个信息的正确与否可识别使用者的身份。•优点：采用一次一密的方法，不能由产生的内容去预测出下一次的内容。而且输入方法普遍(一般计算机键盘即可)，能符合网络行为双方的需要。•缺点：如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使得用户的使用非常不方便。2011-7-20Ch6-身份认证与访问控制10生物特征认证方式•以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。•优点：使用者几乎不可能被仿冒。•缺点：–较昂贵。–不够稳定(辩识失败率高)。2011-7-20Ch6-身份认证与访问控制11USBKey认证方式•采用软硬件相结合、一次一密的强双因子认证模式。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码学算法实现对用户身份的认证。•两种应用模式：–基于挑战/应答的认证模式–基于PKI体系的认证模式•优点：便于携带、使用方便、成本低廉、安全可靠性很高，被认为将会成为身份认证的主要发展方向。•缺点：安全性不如生物特征认证。2011-7-20Ch6-身份认证与访问控制126.1.2常用身份认证机制•简单认证机制•基于DCE/Kerberos的认证机制•基于公共密钥的认证机制•基于挑战/应答的认证机制2011-7-20Ch6-身份认证与访问控制13简单认证机制•口令认证•一次性口令(One-TimePassword)•口令认证过程：①用户将口令传送给计算机；②计算机完成口令单向函数值的计算；③计算机把单向函数值和机器存储的值比较。•不足之处：–以明文方式输入口令容易泄密；–口令在传输过程中可能被截获；–口令以文件形式存储在认证方，易于被攻击者获取；–用户为了记忆的方便，访问多个不同安全级别的系统时往往采用相同的口令，使得攻击者也能对高安全级别系统进行攻击。–只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。口令认证2011-7-20Ch6-身份认证与访问控制15一次性口令(One-TimePassword)一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。•确定口令的方法–两端共同拥有一串随机口令，在该串的某一位置保持同步；–两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；–使用时戳，两端维持同步的时钟。2011-7-20Ch6-身份认证与访问控制16基于DCE/Kerberos的认证机制图6.2认证双方与Kerberos的关系DCE/Kerberos是一种被证明为非常安全的双向身份认证技术。Kerberos既不依赖用户登录的终端，也不依赖用户所请求的服务的安全机制，它本身提供了认证服务器来完成用户的认证工作。DCE/Kerberos的身份认证强调了客户机对服务器的认证；而其它产品，只解决了服务器对客户机的认证。2011-7-20Ch6-身份认证与访问控制17基于公共密钥的认证机制•使用符合X.509的身份证明使用这种方法必须有一个第三方的授权证明（CertificatesofAuthority,CA）中心为客户签发身份证明。客户和服务器各自从CA获取证明，并且信任该授权证明中心。在会话和通讯时首先交换身份证明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接受对方的身份证明时，还需检查有关服务器，以确认该证明是否有效。•优点:是非常安全的用户认证形式。•缺点：实现起来比较复杂，要求通信的次数多，而且计算量较大。2011-7-20Ch6-身份认证与访问控制18基于挑战/应答的认证机制•每次认证时认证服务器端都给客户端发送一个不同的挑战字串，客户端程序收到这个挑战字串后，做出相应的应答。•典型的认证过程为：（1)客户向认证服务器发出请求，要求进行身份认证；（2)认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理；2011-7-20Ch6-身份认证与访问控制19基于挑战/应答的认证机制（3)认证服务器内部产生一个随机数，作为提问，发送给客户；（4)客户将用户名字和随机数合并，使用单向Hash函数（例如MD5算法）生成一个字节串作为应答；（5)认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；（6)认证服务器通知客户认证成功或失败。2011-7-20Ch6-身份认证与访问控制20提问-握手认证协议CHAPCHAP（ChallengeHandshakeAuthenticationProtocol）采用的是挑战/应答方法，它通过三次握手（3-wayhandshake）方式对被认证方的身份进行周期性的认证。•认证过程：（1）在通信双方链路建立阶段完成后，认证方（authenticator）向被认证方（peer）发送一个提问（challenge）消息；2011-7-20Ch6-身份认证与访问控制21（2）被认证方向认证方发回一个响应（response），该响应由单向散列函数计算得出，单向散列函数的输入参数由本次认证的标识符、秘诀（secret）和提问构成；（3）认证方将收到的响应与它自己根据认证标识符、秘诀和提问计算出的散列函数值进行比较，若相符则认证通过，向被认证方发送“成功”消息，否则，发送“失败”消息，断开连接。在双方通信过程中系统将以随机的时间间隔重复上述三步认证过程。2011-7-20Ch6-身份认证与访问控制22CHAP的优点•通过不断地改变认证标识符和提问消息的值来防止回放(playback)攻击。•利用周期性的提问防止通信双方在长期会话过程中被攻击。•虽然CHAP进行的是单向认证，但在两个方向上进行CHAP协商，也能实现通信双方的相互认证。•CHAP可用于认证多个不同的系统。2011-7-20Ch6-身份认证与访问控制23CHAP的不足CHAP认证的关键是秘诀，CHAP的秘诀以明文形式存放和使用，不能利用通常的不可逆加密口令数据库。并且CHAP的秘诀是通信双方共享的，因此给秘诀的分发和更新带来了麻烦，要求每个通信对都有一个共享的秘诀，这不适合大规模的系统。2011-7-20Ch6-身份认证与访问控制246.2访问控制概述一个经过计算机系统识别和验证后的用户（合法用户）进入系统后，并非意味着他具有对系统所有资源的访问权限。•访问控制的任务就是要根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的方式访问这些资源。2011-7-20Ch6-身份认证与访问控制256.2.1访问控制的基本概念•主体（Subject）：主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。•客体（Object）：客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。•访问（Access）：是使信息在主体和客体之间流动的一种交互方式。访问包括读取数据、更改数据、运行程序、发起连接等。2011-7-20Ch6-身份认证与访问控制266.2.1访问控制的基本概念•访问控制（AccessControl）：访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。访问控制所要控制的行为主要有读取数据、运行可执行文件、发起网络连接等。2011-7-20Ch6-身份认证与访问控制276.2.2访问控制技术•入网访问控制•网络权限控制•目录级控制•属性控制•网络服务器的安全控制2011-7-20Ch6-身份认证与访问控制28入网访问控制入网访问控制为网络访问提供了第一层访问控制，通过控制机制来明确能够登录到服务器并获取网络资源的合法用户、用户入网的时间和准许入网的工作站等。基于用户名和口令的用户入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证和用户账号的缺省限制检查。如果有任何一个步骤未通过检验，该用户便不能进入该网络。2011-7-20Ch6-身份认证与访问控制29网络权限控制网络权限控制是针对网络非法操作所提出的一种安全保护措施。能够访问网络的合法用户被划分为不同的用户组，不同的用户组被赋予不同的权限。访问控制机制明确了不同用户组可以访问哪些目录、子目录、文件和其他资源等，指明不同用户对这些文件、目录、设备能够执行哪些操作等。2011-7-20Ch6-身份认证与访问控制30网络权限控制实现方式：•受托者指派。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。•继承权限屏蔽（IRM）。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访