信息系统安全机制-身份管理

身份认证技术孙建伟北京理工大学软件学院提纲身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证身份认证技术概述信息系统安全基础机制身份认证的需求身份认证的基本模型身份认证的途径常用的身份认证技术信息系统安全技术体系发展20世纪80年代中期,基于计算机保密模型(Bell＆Lapadula模型)的基础上的“可信计算机系统安全评价准则”(TCSEC)20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)20世纪90年代末六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CCforITSEC)CC标准综合了国际上已有的评测准则和技术标准的精华，给出了框架和原则要求。信息系统安全基础机制支持多用户服务的信息系统之有效组织，依赖于基础的安全机制，包括访问者身份鉴别（认证）、对信息资源的访问授权和访问控制、对系统运行包括被访问操作的日志审计、数据保护等身份认证访问控制审计数据保护：机密性、完整性、备份恢复信息系统安全基础机制典型支持多用户服务的信息系统多用户操作系统：Windows2000、XP、Vista、NT；Unix数据库：SQLServer,DB2,Oracle,…Web应用其他网络应用：MIS，ERP，…都需要构建上述基础安全服务机制信息系统安全基础机制这些安全机制体现在基础的信息系统安全标准中,是基准性的要求可信计算机系统评估准则（TCSEC）可信网络解释（TNI）通用准则CC《计算机信息系统安全保护等级划分准则》信息安全保证技术框架《信息系统安全保护等级应用指南》网络环境下对身份认证的需求唯一的身份标识（ID）:uid，uid@domainDN:C=CN/S=Beijing/O=TsinghuaUniversity/U=CS/CN=DuanHaixin/Email=dhx@cernet.edu.cn抗被动的威胁（窃听），口令不在网上明码传输源目的sniffer网络环境下对身份认证的需求抵抗主动的威胁，比如阻断、伪造、重放,网络上传输的认证信息不可重用加密解密passwd$%@&)*=-~`^,{网络环境下对身份认证的需求•双向认证–域名欺骗、地址假冒等–路由控制•单点登录（SingleSign-On）–用户只需要一次认证操作就可以访问多种服务•可扩展性的要求身份认证的基本途径基于你所知道的（Whatyouknow）知识、口令、密码基于你所拥有的（Whatyouhave）身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征（Whatyouare）指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素、多因素认证身份认证的基本模型申请者（Claimant）验证者（Verifier）认证信息AI（AuthenticationInformation）可信第三方(TrustedThirdParty)申请AI验证AI申请AI验证AI交换AI常用的身份认证技术/协议简单口令认证质询/响应认证一次性口令认证（OTP）Kerberos认证基于公钥证书的身份认证基于生物特征的身份认证提纲身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证基于口令的身份认证质询/响应认证（Challenge/Response）一次性口令（OTP）口令的管理质询/握手认证协议（CHAP）ChallengeandResponseHandshakeProtocolClient和Server共享一个密钥Login,IDcIDc,RIDc,MACcMAC=H(R,K)sMAC’=H(R,K)比较MAC’和MACOK/DisconnectMAC的计算可以基于Hash算,对称密钥算法，公开密钥算法一次性口令认证（OTP）•S/Key•SecurIDTokenServerchallengeOTPPassphrase+challengeOTP://口令管理口令管理口令属于“他知道什么”这种方式，容易被窃取。口令的错误使用：•选择一些很容易猜到的口令；•把口令告诉别人；•把口令写在一个贴条上并把它贴在键盘旁边。口令管理的作用：•生成了合适的口令•口令更新•能够完全保密口令管理•口令的要求：–包含一定的字符数；–和ID无关；–包含特殊的字符；–大小写；–不容易被猜测到。–跟踪用户所产生的所有口令，确保这些口令不相同，–定期更改其口令。–使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份：•网络管理员使用的工具：口令检验器•攻击者破获口令使用的工具：口令破译器口令管理•口令产生器–不是让用户自己选择口令，口令产生器用于产生随机的和可拼写口令。•口令的时效–强迫用户经过一段时间后就更改口令。–系统还记录至少5到10个口令，使用户不能使用刚刚使用的口令。•限制登录次数–免受字典式攻击或穷举法攻击提纲身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证Kerberos简介Kerberos麻省理工学院为Athena项目开发的一个认证服务系统目标是把UNIX认证、记帐、审计的功能扩展到网络环境：公共的工作站，只有简单的物理安全措施集中管理、受保护的服务器多种网络环境，假冒、窃听、篡改、重发等威胁基于Needham-Schroeder认证协议，可信第三方基于对称密钥密码算法,实现集中的身份认证和密钥分配,通信保密性、完整性认证服务票据发放服务（TicketGrantingService）票据（Ticket）是一种临时的证书，用tgs或应用服务器的密钥加密TGS票据服务票据加密：KerberosV4的认证过程ASTGS请求ticketvTicketv+会话密钥（1）（2）（3）（4）（5）（6）多管理域环境下的认证ClientASTGSKerberosASTGSKerberosServer3.请求远程tickettgs共享密钥相互注册提纲身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证基于X509公钥证书的认证X509认证框架X509证书基于公钥证书的认证过程不同管理域的问题X509认证框架•CertificateAuthority–签发证书•RegistryAuthority–验证用户信息的真实性•Directory–用户信息、证书数据库–没有保密性要求•证书获取–从目录服务中得到–在通信过程中交换DirectoryCARA用户用户注册签发证书、证书回收列表申请签发查询身份认证证书的结构algorithmIssueruniquenameAlgorithmsSubjectNameextensionsversionSerialnumberparametersIssuernameNotBeforeNotAfterparametersKeysubjectuniquenameAlgorithmsparametersEncrypted签名算法有效期主体的公钥信息V2扩展V3扩展证书的结构符号记法CAA=CA{V,SN,AI,CA,TA,A,Ap}YA表示证书权威机构Y发给用户X的证书Y{I}表示Y对I的签名，由I和用Y的私钥加密的散列码组成证书的安全性任何具有CA公钥的用户都可以验证证书有效性除了CA以外，任何人都无法伪造、修改证书签名的过程单向认证(One-WayAuthentication)ABA{tA,rA,B,SgnData,EKUb[Kab]}tA:时间戳rA:Nonce，用于监测报文重发的一个随机序列值SgnData:待发送的数据EKUb[Kab]:用B的公钥加密的会话密钥B收到数据以后，用A的公钥验证数字签名，从而确信的确是从A发送来的;通过tA验证时效性，通过rA验证没有重发签名的过程双向认证(Two-WayAuthentication)AB1.A{tA,rA,B,SgnData,EKUb[Kab]}tA:时间戳rA:Nonce，用于监测报文重发SgnData:待发送的数据EKUb[Kab]:用B的公钥加密的会话密钥2.B{tB,rB,A,rA,SgnData,EKUb[Kba]}不同信任域的问题如果A无法安全获得X2的公钥，则无法验证B的证书X2B的有效性CA之间的交叉证书A验证B的证书路径:X2B,X1X2X1X2X1AX2BABX1X2X1X1X2X1X2X2提纲身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证生理特征介绍每个人所具有的唯一生理特征指纹，视网膜，声音，视网膜、虹膜、语音、面部、签名等指纹一些曲线和分叉以及一些非常微小的特征；提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询；手掌、手型手掌有折痕，起皱，还有凹槽；还包括每个手指的指纹；人手的形状（手的长度，宽度和手指）表示了手的几何特征生理特征介绍（续）视网膜扫描扫描眼球后方的视网膜上面的血管的图案；虹膜扫描虹膜是眼睛中位于瞳孔周围的一圈彩色的部分；虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶；语音识别记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词。面部扫描人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状。提纲身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证Web服务中的身份认证基于XML的安全技术及标准–XML签名–XML加密–XKMS－XML秘钥管理系统–SAML－安全断言标记语言–XACML－XML访问控制标记语言SAML–安全断言标记语言•SAML是一种基于XML的安全性标准，用于在Internet不同的安全域中交换身份验证和授权凭证。权限信息是通过声明主体来传递的。•SAML规范描述了SAML的4个主要成分，分别为声明、请求和响应的协议、绑定和配置文件。SAML–安全断言标记语言•声明–声明可能包含有关主体所执行的身份验证操作的有关信息、主体属性以及是否允许该主体访问特定资源的授权决策。–SMAL提供如下3种类型的声明：•身份验证声明，在该声明中，主体的身份已经过验证。身份验证声明中描述了身份验证信息。•属性声明：该声明包含有关主体的特定信息，如主体的信用限制、访问级别、信用等级或其他合法声明。•授权策略声明：该声明指明主体可以执行或被授权执行的操作。例如，该声明可以指明主体是否已经过授权、可执行特定的事务。SAML–安全断言标记语言•协议–协议定义了请求或者接收信息的统一方式，该信息就是指声明。–可以请求或者接收身份验证信息、属性信息和授权信息。–SAML定义了一个请求和响应的协议，请求包括SubjectQuery、AuthenticationQuery、AttributeQuery和AuthorizationDecisionQuery。