身份认证与访问控制.ppt

第5章 身份认证与访问控制,清华大学出版社,主编贾铁军 副主编常艳 俞小怡 编著 侯丽波 宋少婷 熊鹏,高等院校计算机与 信息类规划教材,网络安全实用技术,目 录,目 录,教学目标 理解身份认证的概念及常用认证方式方法 了解数字签名的概念、功能、原理和过程 掌握访问控制的概念、原理、类型、机制和策略 理解安全审计的概念、类型、跟踪与实施 了解访问列表与Telnet访问控制实验,重点,重点,5.1 身份认证技术概述,5.1.1 身份认证的概念,身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。 认证（Authentication）是指对主客体身份进行确认的过程。 身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。,1. 身份认证的概念,2.认证技术的类型,认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中一项重要内容.从鉴别对象上,分为消息认证和用户身份认证: （1）消息认证：用于保证信息的完整性和不可否认性。 （2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。 从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，,5.1 身份认证技术概述,5.1.2 常用的身份认证方式,1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式， 是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式，基于动态 口令认证的方式主要有动态安风险和隐患的环境. 短信密码和动态口令牌（卡）两种方式，口令一次一密。 3. USB Key认证 采用软硬件相结合、一次一密的强双因素（两种认证方法）认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应模式和基于PKI体系的认证模式.常用的网银USB Key如图5-2所示. 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征 进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。,图5-1动态口令牌,5.1 身份认证技术概述,4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即CA认证过程，如表5-1所示。,5.1 身份认证技术概述,表5-1 证书的类型与作用,注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书,5.1 身份认证技术概述,CA主要职能是管理和维护所签发的证书，并提供各种证书服务，包括书的签发、更新、回收、归档等.CA系统的主要功能是管理其辖域内的用户证书. CA的主要职能体现在3个方面： （1）管理和维护客户的证书和证 书作废表（CRL）。 （2）维护整个认证过程的安全。 （3）提供安全审计的依据。,5.1 身份认证技术概述,5.1.3 身份认证系统概述 1. 身份认证系统的构成,身份认证系统的组成包括：认证服务器、认证系统客户端和认证设备。系统主要通过身份认证协议和认证系统软硬件进行实现。 其中，身份认证协议又分为：单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。如图5-3所示。,图5-3 认证系统网络结构图,5.1 身份认证技术概述,【案例5-1】AAA认证系统现阶段应用最广。认证（Authentication）是验证用户身份与可使用网络服务的过程；授权（Authorization）是依据认证结果开放网络服务给用户的过程;审计（Accounting）是记录用户对各种网络服务的用量，并计费的过程。,案例5-1,5.1 身份认证技术概述,1）固定口令认证 固定口令认证方式简单，易受攻击： （1）网络数据流窃听（Sniffer）。 （2）认证信息截取/重放。 （3）字典攻击。 （4）穷举尝试（Brute Force）。 （5）窥探密码。 （6）社会工程攻击。 （7）垃圾搜索。 2）一次性口令密码体制 一次性口令认证系统组成： （1）生成不确定因子。 （2）生成一次性口令。,2.常用认证系统及认证方法,5.1 身份认证技术概述,图5-4 E-Securer安全认证系统,3）双因素安全令牌及认证系统 （1）E-Securer的组成 （2）E-Securer的安全性。,5.1 身份认证技术概述,4) 单点登入系统 单点登入（Single Sign On，SSO）也称单次登入，是在多个应用系统中，用户只需要登入一次就可以访问所有相互信任的应用系统。 单点登入优势体现在5个方面： （1）管理简单。 （2）管理控制便捷。 （3）用户使用简捷。 （4）网络更安全。 （5）合并异构网络。 5）Infogo身份认证 盈高科技INFOGO推出的安全身份认证准入控制系统。其终端安全管理平台由MSAC安全准入套件、ITAM资产管理套件、MSEP桌面套件（包括应用管理、补丁管理、终端运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理）和MSM移动存储介质管理套件组成。,课堂讨论 1.什么是身份认证？身份认证技术有哪几种类型？ 2.常用的身份认证方式有哪些？并举例。 3.常用认证系统和认证方法有哪些？,5.2数字签名概述,数字签名（Digital Signature）又称公钥数字签名或电子签章，是以电子形式存储于信息中或以附件或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署人对数据中所包信息的认可。 基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名两种。,5.2.1 数字签名的概念及功能,2. 数字签名的功能,保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。最终目的是实现6种安全保障功能： （）必须可信。（）无法抵赖。（）不可伪造。 （）不能重用。（）不许变更。（）处理快、应用广。,1. 数字签名的概念及种类,5.2数字签名概述,5.2.2 数字签名的原理及过程,1数字签名算法的组成 数字签名算法主要有两部分组成：签名算法和验证算法。签名者可使用一个秘密的签名算法签署一个数据文件，所得的签名可通过一个公开的验证算法进行验证。常用数字签名主要是公钥加密（非对称加密）算法的典型应用。,2数字签名基本原理及过程 在网络环境中，数字签名可以代替现实中的“亲笔签字”。整个数字签名的基本原理采用的是双加密方式，先将原文件用对称密钥加密后传输，并将其密钥用接收方公钥加密发给对方。一套完整的数字签名通常定义签名和验证两种互补的运算。单独的数字签名只是一加密过程，签名验证则是一个解密的过程。基本原理及过程，如图5-5所示。,5.2数字签名概述,图5-5 数字签名原理及过程,课堂讨论 1数字签名和现实中的签名有哪些区别和联系？ 2数字签名的基本原理及过程怎样？,5.3 访问控制技术概述,1.访问控制的概念及要素 访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。访问控制包括三个要素： （1）主体S（Subject）.是指提出访问资源具体请求. （2）客体O（Object）. 是指被访问资源的实体。 （3）控制策略A（Attribution）。,5.3.1 访问控制的概念及原理,5.3 访问控制技术概述,图5-6 访问控制功能及原理,2.访问控制的功能及原理 访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制的内容包括认证、控制策略实现和安全审计，如图5-6所示。,5.3 访问控制技术概述,5.3.2 访问控制的类型及机制,访问控制可以分为两个层次：物理访问控制和逻辑访问控制。 1. 访问控制的类型 访问控制类型有3种模式： 1）自主访问控制 自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件，文件夹和共享资源中设置许可。,【案例5-3】在Linux系统中，访问控制采用了DAC模式，如图5-7中所示。高优先级主体可将客体的访问权限授予其他主体。,案例5-2,5.3 访问控制技术概述,图5-7 Linux系统中的自主访问控制,5.3 访问控制技术概述,2）强制访问控制 强制访问控制（MAC）是系统强制主体服从访问控制策略.是由系统对用户所创建的对象，按照规则控制用户权限及操作对象的访问.主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制. MAC安全级别常用4级：绝密级、秘密级、机密级和无级别级,其中TSCU.系统中的主体（用户,进程）和客体（文件,数据）都分配安全标签,以标识安全等级。,3）基于角色的访问控制 角色（Role）是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组.,5.3 访问控制技术概述,基于角色的访问控制（RBAC）是通过对角色的访问所进行的控制。使权限与角色相关联，用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。RBAC模型的授权管理方法，主要有3种： 根据任务需要定义具体不同的角色。 为不同角色分配资源和操作权限。 给一个用户组（Group权限分配的单位与载体）指定一个角色。 RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则。,5.3 访问控制技术概述,2.访问控制机制 访问控制机制是检测和防止系统未授权访问，并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法,一般是在操作系统的控制下，按照事先确定的规则决定是否允许主体访问客体,贯穿于系统全过程.访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体间访问权限. 2种方法:,1）访问控制列表 访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。 2）能力关系表 能力关系表（Capabilities List）是以用户为中心建立访问权限表。与ACL相反，表中规定了该用户可访问的文件名及权限，利用此表可方便地查询一个主体的所有授权。相反，检索具有授权访问特定客体的所有主体，则需查遍所有主体的能力关系表。,5.3 访问控制技术概述,3. 单点登入的访问管理 根据登入的应用类型不同,可将SSO分为3种类型. 1）对桌面资源的统一访问管理 对桌面资源的访问管理，包括两个方面： 登入Windows后统一访问Microsoft应用资源。 登入Windows后访问其他应用资源。 2）Web单点登入 由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现，如图5-8所示。,图5-8 Web单点登入访问管理系统,3）传统C/S 结构应用的统一访问管理 在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键.采用Web客户端作为前台是企业最为常见的一种解决方案.,5.3 访问控制技术概述,5.3.3 访问控制的安全策略,访问控制的安全策略是指在某个自治区域内（属于某个组织的一系列处理和通信资源范畴），用于所有与安全相关活动的一套访问控制规则。其安全策略有三种类型：基于身份的安全策略、基于规则的安全策略和综合访问控制方式。 1. 安全策略实施原则 访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。 （1）最小特权原则。 （2）最小泄露原则。 （3）多级安全策略。,5.3 访问控制技术概述,2. 基于身份和规则的安全策略,授权行为是建立身份安全策略和规则安全策略的基础， 两种安全策略为： 1）基于身份的安全策略 （1）基于个人的安全策略。 （2）基于组的安全策略。 2）基于规则的安全策略 在基于规则的安全策略系统中,所有数据和资源都标注了 安全标记,用户的活动进程与其原发者具有相同的安全标记.,5.3 访问控制技术概述,2. 基于身份和规则的安全策略,综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问.具有良好灵活性、可维护性,可管理性、更细粒度的访问控制性和更高安全性。 HAC主要包括： （1）入网访问控制。 （2）网络的权限控制。 （3）目录级安全控制。 （4）属性安全控制。 （5）网络服务器安全控制。 （6）网络监控和锁定控制。 （7）网络端口和结点的安全控制。,5.3 访问控制技术概述,5.3.4 认证服务与访问控制系统,1.AAA技术概述 5.1.3中 AAA认证系统的功能包括3个部分：认证、鉴权和审计。AAA一般运行于网络接入服务器，提供一个有力的认证、鉴权、审计信息采集和配置系统。网络管理者可根据需要选用适合需要的具体网络协议及认证系统。,2.远程鉴权拨入用户服务 远程鉴权拨入用户服务（RADIUS）主要用于管理远程用户的网络登入.主要基于C/S架构,客户端最初是NAS服务器，现在任何运行RADIUS客户端软件的计算机都可成为其客户端。RADIUS协议认证机制灵活, 可采用PAP、CHAP或Unix登入认证等多种方式.其模型如图5-9所示。,5.3 访问控制技术概述,。,图5-9 RADIUS模型,1）RADIUS协议主要工作过程 2）RADIUS的加密方法 3）RADIUS的重传机制 3.终端访问控制系统 终端访问控制（TACACS）功能:通过一个或几个中心服务器为网络设备提供访问控制服务.与上述区别,它是Cisco专用协议,具有独立身份认证、鉴权和审计等功能.,5.3 访问控制技术概述,2. 准入控制技术方案比较 不同厂商准入控制方案在原理上类似，但实现方式各不相同。主要区别4个方面。 1）选取协议 2）身份认证管理方式 3）策略管理 4）准入控制,5.3.5 准入控制与身份认证管理,1. 准入控制技术 思科公司和微软的网络准入控制NAP其原理和本质一致，不仅对用户身份进行认证，还对用户的接入设备进行安全状态评估（包括防病毒软件、系统补丁等），使每个接入点都具有较高的可信度和健壮性，从而保护网络基础设施。华为2005年推出端点准入防御产品。,5.3 访问控制技术概述,3准入控制技术中的身份认证 身份认证技术的发展过程，从软件到软硬件结合，从单一因子认证到双因素认证，从静态认证到动态认证。目前常用的身份认证方式包括：用户名/密码方式、公钥证书方式、动态口令方式等。采用单独方式都有优劣。 身份认证技术的安全性，关键在于组织采取的安全策略。身份认证是网络准入控制的基础。,4. 准入控制技术的现状与发展 准入控制技术出现方案整合的趋势。TNC组织促进标准化的快速发展，希望通过构建框架和规范保证互操作性，准入控制正在向标准化、软硬件相结合的方向发展。,5.3 访问控制技术概述,课堂讨论 1访问控制的模式有哪些种？其中的区别和联系如何？ 2准入技术的几种技术方案有何区别和联系？,5.4 安全审计概述,5.4.1 安全审计概述,1. 安全审计的概念及目的 计算机安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的包括5个方面： （1）对潜在攻击者起到威慑和警示作用。 （2）测试系统的控制情况，及时调整。 （3）对已出现的破坏事件，做出评估并提供依据。 （4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。 （5）协助发现入侵或潜在的系统漏洞及隐患。,5.4 安全审计概述,2. 安全审计的类型 从审计级别上可分为3种类型： （1）系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。 （2）应用级审计。主要针对的是应用程序的活动信息。 （3）用户级审计。主要是审计用户的操作活动信息。,5.4 安全审计概述,5.4.2 系统日记审计,1. 系统日志的内容 系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。 对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。 2. 安全审计的记录机制 对各种网络系统应采用不同记录日志机制。记录方式有3种：由操作系统完成，也可以由应用系统或其他专用记录系统完成。 对各种网络系统应采用不同记录日志机制。记录方式有3种：由操作系统完成，也可以由应用系统或其他专用记录系统完成。,5.4 安全审计概述,审计系统可成为追踪入侵、恢复系统的直接证据，其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施： （1）审计查阅。 （2）有限审计查阅。 （3）可选审计查阅。 审计事件的存储安全要求： （1）保护审计记录的存储。 （2）保证审计数据的可用性。 （3）防止审计数据丢失。,4. 审计事件查阅与存储,日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况.要任务包括: （1）潜在威胁分析。 （2）异常行为检测。 （3）简单攻击探测。 （4）复杂攻击探测。,3. 日志分析,5.4 安全审计概述,5.4.3 审计跟踪,1. 审计跟踪的概念及意义 审计跟踪（Audit Trail）指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。审计跟踪主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。 审计跟踪作为一种安全机制，主要审计目标： （1）审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。 （2）可发现试图绕过保护机制的入侵行为或其他操作。 （3）能够发现用户的访问权限转移行为。 （4）制止用户企图绕过系统保护机制的操作事件。,5.4 安全审计概述,审计跟踪是提高系统安全性的重要工具.安全审计跟踪的意义: （1）利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。 （2）审计信息可以确定事件和攻击源，用于检查计算机犯罪。 （3）通过对安全事件的收集、积累和分析，可对其中的某些站点或用户进行审计跟踪，以提供发现可能产生破坏性行为的证据。 （4）既能识别