身份认证与访问控制技术

1、第5章身份认证与访问控制技术第5章身份认证与访问控制技术教学目标理解身份认证的概念及常用认证方式方法 了解数字签名的概念、功能、原理和过程掌握访问控制的概念、原理、类型、机制和策略理解安全审计的概念、类型、跟踪与实施 了解访问列表与 Tel net访问控制实验5.1身份认证技术概述5.1.1身份认证的概念身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。1. 身份认证的概念认证(Authentication )是指对主客体身份进行确认的过程。身份认证(Identity Authentication )是指网络用户在进入系统或访问受限系统资源时， 系统对用户身份的鉴别过程。2.

2、认证技术的类型认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。从鉴别对象上，分为消息认证和用户身份认证两种。(1 )消息认证：用于保证信息的完整性和不可否认性。(2) 身份认证：鉴别用户身份。 包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，5.1.2常用的身份认证方式1. 静态密码方式静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。2. 动态口令认证动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态图5-1动态口令牌短信密

3、码和动态口令牌（卡）两种方式，口令一次一密。3. USB Key 认证采用软硬件相结合、一次一密的强双因素（两种认证方法）认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应模式和基于 PKI体系的认证模式。常用的网银USB Key如图5-2所示。图5-2 网银 USB Key4. 生物识别技术生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。 认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征 和行为特征两类。5. CA认证国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检 查证书持有者身份的合法性，并签发证书，以

4、防证书被伪造或篡改。发放、管理和认证 是一个复杂的过程，即CA认证过程，如表5-1所示。表5-1证书的类型与作用证书名称证书类型主要功能描述个人证书个人证书个人网上交易、网上支付、电子邮件等相关网络作业单位证书单位身份证书用于企事业单位网上交易、网上支付等Email证书用于企事业单位内安全电子邮件通信部门证书用于企事业单位内某个部门的身份认证服务器证书企业证书用于服务器、安全站点认证等代码签名证书个人证书用于个人软件开发者对其软件的签名企业证书用于软件开发企业对其软件的签名注：数字证书标准有： X.509证书、简单 PKI证书、PGPffi书和属性证书。CA主要职能是管理和维护所签发的证书，并

5、提供各种证书服务，包括证书的签发、 更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。I I Jaaa R RCA的主要职能体现在3个方面：（1）管理和维护客户的证书和证书作废表（CRL）。（2）维护整个认证过程的安全。（3 ）提供安全审计的依据。5.1.3身份认证系统概述1. 身份认证系统的构成身份认证系统的组成 包括：认证服务器、认证系统客户端和认证设备。系统主要通 过身份认证协议和认证系统软硬件进行实现。其中，身份认证协议又分 为：单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。如图5-3所示。图5

6、-3认证系统网络结构图【案例5-1】AAA认证系统现阶段应用最广。认证(Authentication )是验证用户身份与可使用网络服务的过程；授权( Authorization )是依据认证结果开放网络 服务给用户的过程；审计( Accounting )是记录用户对各种网络服务的用量，并计 费的过程。2. 常用认证系统及认证方法1) 固定口令认证固定口令认证方式简单，易受攻击:(1) 网络数据流窃听(Sniffer)。(2) 认证信息截取/重放。(3) 字典攻击。(4) 穷举尝试(Brute Force )。(5) 窥探密码。(6 )社会工程攻击。(7)垃圾搜索。2) 一次性口令密码体制一次性

7、口令认证系统组成：(1) 生成不确定因子。(2) 生成一次性口令。3) 双因素安全令牌及认证系统(1) E-Securer 的组成图5-4 E-Securer安全认证系统(2) E-Securer 的安全性。（3）双因素身份认证系统的技术特点与优势。4）单点登入系统单点登入（Single Sign On，SSO）也称单次登入，是在多个应用系统中，用户只需 要登入一次就可以访问所有相互信任的应用系统。单点登入优势体现在 5个方面：（1）管理简单。（2 ）管理控制便捷。（3 ）用户使用简捷。（4）网络更安全。（5）合并异构网络。5）Infogo身份认证盈高科技INFOGO推出的安全身份认证准入控制

8、系统。其终端安全管理平台由 MSAC安全准入套件、ITAM资产管理套件、 MSEP桌面套件（包括应用管理、补丁管理、终端 运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理）和MSM移动存储介质管理套件组成。课堂讨论1 什么是身份认证？身份认证技术有哪几种类型？2 常用的身份认证方式有哪些？并举例说明。2 常用认证系统和认证方法有哪些？5.2数字签名概述5.2.1数字签名的概念及功能1. 数字签名的概念及种类数字签名（Digital Sig nature ）又称公钥数字签名 或电子签章，是以电子形式存储于信 息中或以附件或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署

9、人 对数据中所包信息的认可。基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体 制的数字签名。包括普通数字签名和特殊数字签名两种。2. 数字签名的功能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。最终目的是实现 6种安全保障功能：（1）必须可信。（2）无法抵赖。（3）不可伪造。（4）不能重用。（5）不许变更。（6）处理快、应用广。522数字签名的原理及过程1数字签名算法的组成数字签名算法主要有两部分组成：签名算法和验证算法。签名者可使用一个秘密的签名算法签署一个数据文件，所得的签名可通

10、过一个公开的验证算法进行验证。常用数字签名主要是公钥加密(非对称加密)算法的典型应用。2 数字签名基本原理及过程在网络环境中，数字签名可以代替现实中的“亲笔签字”。整个数字签名的基本原理采用的是双加密方式，先将原文件用对称密钥加密后传输, 并将其密钥用接收方公钥加密发给对方。一套完整的数字签名通常定义签名和验证两种 互补的运算。单独的数字签名只是一加密过程，签名验证则是一个解密的过程。课堂讨论1 数字签名和现实中的签名有哪些区别和联系?2. 数字签名的基本原理及过程怎样？5.3访问控制技术概述5.3.1访问控制的概念及原理1访问控制的概念及要素访问控制(Access Control)指系统对用

11、户身份及其所属的预先定义的策略组限制其 使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络 资源的访问。7第5章身份认证与访问控制技术访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。访问控制包括三个要素：(1) 主体S( Subject )。是指提出访问资源具体请求。(2) 客体O (Object )。是指被访问资源的实体。(3) 控制策略 A(Attribution )。2访问控制的功能及原理访问控制 的主要功能 包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资

12、源进行非授权的访问。访问控制的内容包括认证、控制策略实现和安全审计，如图5-6所示。图5-6访问控制功能及原理#第5章身份认证与访问控制技术#第5章身份认证与访问控制技术5.3.2访问控制的类型及机制访问控制可以分为两个层次：物理访问控制和逻辑访问控制。1. 访问控制的类型访问控制类型有3种模式：1) 自主访问控制自主访问控制(Discretionary Access Control ， DAC )是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件，文件夹和共享资源中设vbinls(roatad tmpp :hawn foci It jraotKl Vnpl* i

13、s1 ncbody nobody770Oct T8 t5:l6 40lUmp1 r(XXusers43Oct 2S 11:41 usrwxrwxrwx1 rootmalt0Aug 29 09 04 mysqf.sockdrwxrwxr-x2 duanuan4J96Ocl 23 23 41 sslpoo：酸cf Imp# :tl：二 l-.-.= boo(更迫d imp# i$ .11 nobody nobody770Oct 18 15:164011 imptw1 rootusers48Oct 2& 11:41 Issrwxfwxrw drjvxrwMi-jc1 KXt2 dusnroot du

14、sn0 4096Aug 29 09 W my岡 Od 23 23 41 bs)Iroctjcf imppi图5-7 Linux系统中的自主访问控制2）强制访问控制强制访问控制（MAC ）是系统强制主体服从访问控制策略。是由系统对用户所创建 的对象，按照规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制 的进程、文件、段、设备等客体实施强制访问控制。MAC的安全级别常用的为 4级：绝密级、秘密级、机密级和无级别级，其中TSCU。 系统中的主体（用户，进程）和客体（文件，数据）都分配安全标签，以标识安全等级。3）基于角色的访问控制角色（Role）是一定数量的权限的集合。指完成一项任务

15、必须访问的资源及相应操 作权限的集合。角色作为一个用户与权限的代理层，表示为权限和用户的关系，所有的 授权应该给予角色而不是直接给用户或用户组。基于角色的访问控制 （RBAC ）是通过对角色的访问所进行的控制。使权限与角色相 关联，用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。RBAC模型的授权管理方法，主要有3种： 根据任务需要定义具体不同的角色。 为不同角色分配资源和操作权限。 给一个用户组（Group，权限分配的单位与载体）指定一个角色。RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则。2访问控制机制访问控制机制 是检测和防止系统未授权访问，

16、并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法，一般是在操作系统的控制下，按照事先确定的规 则决定是否允许主体访问客体，贯穿于系统全过程。访问控制矩阵 （Access Control Matrix ）是最初实现访问控制机制的概念模型，以二 维矩阵规定主体和客体间的访问权限。主要采用以下2种方法。1）访问控制列表访问控制列表 （Access Control List，ACL ）是应用在路由器接口的指令列表，用于 路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。2）能力关系表能力关系表 （Capabilities List）是以用户为中心建立访问权限表。与AC

17、L相反，表中规定了该用户可访问的文件名及权限，利用此表可方便地查询一个主体的所有授权。相反，检索具有授权访问特定客体的所有主体，则需查遍所有主体的能力关系表。3. 单点登入的访问管理根据登入的应用类型不同，可将SSO分为3种类型。1）对桌面资源的统一访问管理对桌面资源的访问管理，包括两个方面： 登入 Windows后统一访问 Microsoft应用资源。 登入Windows后访问其他应用资源。2）Web单点登入由于Web技术体系架构便捷， 对Web资源的统一访问管理易于实现，如图5-8所示。客户端 -Web 应用门户-后台SSOSSO图5-8 Web单点登入访问管理系统3）传统C/S结构应用的

18、统一访问管理在传统C/S结构应用上，实现管理前台的统一或统一入口是关键。采用Web客户端作为前台是企业最为常见的一种解决方案。5.3.3访问控制的安全策略访问控制的安全策略是指在某个自治区域内（属于某个组织的一系列处理和通信资 源范畴），用于所有与安全相关活动的一套访问控制规则。其安全策略有三种类型：基于 身份的安全策略、基于规则的安全策略和综合访问控制方式。1. 安全策略实施原则访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。（1 ）最小特权原则。（2 ）最小泄露原则。（3 ）多级安全策略。2. 基于身份和规则的安全策略授权行为是建立身份安全策略和规则安全策略的基础，两种

19、安全策略 为：1）基于身份的安全策略（1 ）基于个人的安全策略。（2）基于组的安全策略。2）基于规则的安全策略在基于规则的安全策略系统中，所有数据和资源都标注了安全标记，用户的活动进 程与其原发者具有相同的安全标记。3. 综合访问控制策略综合访问控制策略（HAC ）继承并吸取多种主流访问控制技术优点，有效地解决了 访问控制问题，保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访 问。具有良好灵活性、可维护性、可管理性、更细粒度的访问控制性和更高安全性。HAC主要包括：（1 ）入网访问控制。（2）网络的权限控制。（3）目录级安全控制。（4 ）属性安全控制。（5 ）网络服务器安全控制。

20、（6 ）网络监控和锁定控制。（7 ）网络端口和结点的安全控制。5.3.4认证服务与访问控制系统1. AAA技术概述5.1.3中AAA认证系统的功能包括3个部分：认证、鉴权和审计。AAA 一般运行于网络接入服务器，提供一个有力的认证、鉴权、审计信息采集和配 置系统。网络管理者可根据需要选用适合需要的具体网络协议及认证系统。2. 远程鉴权拨入用户服务远程鉴权拨入用户服务（RADIUS ）主要用于管理远程用户的网络登入。主要基于C/S架构，客户端最初是 NAS服务器，现在任何运行RADIUS客户端软件的计算机都可成为其客户端。RADIUS协议认证机制灵活，可采用PAP、CHAP或Unix登入认证等多

21、种方式。其模型如图 5-9所示。网关图5-9 RADIUS 模型1）RADIUS协议主要工作过程2）RADIUS的加密方法3）RADIUS的重传机制3终端访问控制系统终端访问控制（TACACS ）功能：通过一个或几个中心服务器为网络设备提供访问控 制服务。与上述区别，它是Cisco专用协议，具有独立身份认证、鉴权和审计等功能。535准入控制与身份认证管理1. 准入控制技术思科公司和微软的网络准入控制NAP其原理和本质一致，不仅对用户身份进行认证，还对用户的接入设备进行安全状态评估（包括防病毒软件、系统补丁等），使每个接入点都具有较高的可信度和健壮性，从而保护网络基础设施。华为2005年推出端点

22、准入防御产品。2. 准入控制技术方案比较不同厂商准入控制方案在原理上类似，但实现方式各不相同。主要区别4个方面。1）选取协议2）身份认证管理方式3）策略管理4）准入控制3. 准入控制技术中的身份认证身份认证技术的发展过程，从软件到软硬件结合，从单一因子认证到双因素认证，从静态认证到动态认证。目前常用的身份认证方式包括：用户名/密码方式、公钥证书方式、动态口令方式等。采用单独方式都有优劣。身份认证技术的安全性，关键在于组织采取的安全策略。身份认 证是网络 准入控制的基础。4. 准入控制技术的现状与发展准入控制技术出现方案整合的趋势。TNC组织促进标准化的快速发展，希望通过构建框架和规范保证互操作

23、性，准入控制正在向标准化、软硬件相结合的方向发展。课堂讨论1访问控制的模式有哪些种？其中的区别和联系如何？2. 准入技术的几种技术方案有何区别和联系？5.4安全审计概述5.4.1安全审计概述1. 安全审计的概念及目的计算机安全审计 (Audit )是指按照一定的安全策略，利用记录、系统活动和用户活 动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善 系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的包括5个方面：(1 )对潜在攻击者起到威慑和警示作用。(2) 测试系统的控制情况，及时调整。(3) 对已出现的破坏事件，做出评估并提供依据。(

24、4) 对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。(5) 协助发现入侵或潜在的系统漏洞及隐患。2. 安全审计的类型从审计级别上可分为 3种类型：(1) 系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体 时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。(2) 应用级审计。主要针对的是应用程序的活动信息。(3) 用户级审计。主要是审计用户的操作活动信息。5.4.2系统日记审计1. 系统日志的内容系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。 对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引

25、发事件的 用户IP地址、事件源及目的地位置、事件类型等。2. 安全审计的记录机制对各种网络系统应采用不同记录日志机制。记录方式有3种：由操作系统完成，也可以由应用系统或其他专用记录系统完成。3. 日志分析日志分析 的主要目的是在大量的记录日志信息中找到与系统安全相关的数据，并分 析系统运行情况。主要任务包括：（1 ）潜在威胁分析。（2 ）异常行为检测。（3 ）简单攻击探测。（4 ）复杂攻击探测。4. 审计事件查阅与存储审计系统可成为追踪入侵、恢复系统的直接证据，其自身的安全性更为重要。审计 系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施：（1） 审计查阅。（2）有限审计查阅。（

26、3）可选审计查阅。审计事件的存储安全要求：（1 ）保护审计记录的存储。（2）保证审计数据的可用性。（3）防止审计数据丢失。5.4.3审计跟踪1. 审计跟踪的概念及意义审计跟踪（Audit Trail ）指按事件顺序检查、审查、检验其运行环境及相关事件活动 的过程。审计跟踪主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供 有效的应急灾难恢复、防止系统故障或使用不当等方面。审计跟踪作为一种安全机制，主要审计目标：（1）审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。（2 ）可发现试图绕过保护机制的入侵行为或其他操作。（3 ）能够发现用户的访问权限转移行为。（4）制止用户企图绕过系统保护机制的操作事件。审计跟踪是提高系统安全性的重要工具。安全审计跟踪的意义：（1）利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。（2）审计信息可以确定事件和攻击源，用于检查计算机犯罪。（3 ）通过对安全事件的收集、积累和分析，可对其中的某些站点或用户