身份认证与访问控制技术模板

1、第5章身份认证与访问控制技术教学目标 理解身份认证的概念及常见认证方式方法 了解数字签名的概念、功能、 原理和过程 掌握访问控制的概念、原理、 类型、 机制和策略 理解安全审计的概念、类型、 跟踪与实施 了解访问列表与 Telnet访问控制实验5.1 身份认证技术概述5.1.1 身份认证的概念身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。1 .身份认证的概念认证(Authentication)是指对主客体身份进行确认的过程。身份认证(IdentityAuthentication) 是指网络用户在进入系统或 访问受限系统资源时,系统对用户身份的鉴别过程。2 .认证技术的类型认

2、证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。从鉴别对象上，分为消息认证和用户身份认证两种。(1)消息认证：用于保证信息的完整性和不可否认性。(2)身份认证：鉴别用户身份。包括识别和验证两部分。识别 是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。从认证关系上，身份认证也可分为用户与主机间的认证和主 机之间的认证，5.1.2 常见的身份认证方式1 .静态密码方式静态密码方式是指以用户名及密码认证的方式，是最简单最常见的身份认证方法。2 .动态口令认证动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态短信密码和动态口令牌(卡)两种方式，口

3、令一次一密。图 5-1动态口令牌3 .USBKey 认证采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式。其身份认证系统主 要有两种认证模式：基于冲击/响应模式和基于 PKI体系的认证模式。常见的网银 USBKey如图5-2所示。图5-2网银USBKey4 .生物识别技术资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。生物识别技术是指经过可测量的生物信息和行为等特征进行 身份认证的一种技术。认证系统测量的生物特征一般是用户唯一 生理特征或行为方式。生物特征分为身体特征和行为特征两类。5 .CA认证国际认证机构 通称为CA,是对数字证书的申请者发放、管理、取消的机构。用

4、于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即CA认证过程，如表5-1所示。表5-1证书的类型与作用证书名称证书类型主要功能描述个人证书个人证书个人网上交易、网上支付、电子邮件等相关网络作业单位证书单位身份证书用于企事业单位网上交易、网上支付等Email证书用于企事业单位内安全电子邮件通信部门证书用于企事业单位内某个部门的身份认证服务器证书企业证书用于服务器、安全站点认证等代码签名证书个人证书用于个人软件开发者对其软件的签名企业证书用于软件开发企业对其软件的签名注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书。CA主

5、要职能是管理和维护所签发的证书，并提供各种证书服归档等。CA系统的主要务，包括证书的签发、更新、回收、功能是管理其辖域内的用户证书。CA的主要职能体现在3个方面：(1)管理和维护客户的证书和证书作废表(CRL)(2)维护整个认证过程的安全。(3)提供安全审计的依据。5.1.3身份认证系统概述1 .身份认证系统的构成身份认证系统的组成 包括：认证服务器、认证系统客户端和认证设备。系统主要经过身份认证协议和认证系统软硬件进行实 现。其中，身份认证协议又分 为：单向认证协议和双向认证协议。 若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。如图 5-3所

6、示。图 5-3认证系统网络结构图厂 【案例5-11AAA 认证系统现阶段应用最广。认证、(Authentication)是验证用户身份与可使用网络服务的过程；q授权(Authorization) 是依据认证结果开放网络服务给用户 的/过程；审计(Accounting)是记录用户对各种网络服务的用量，并计费的过程。2 .常见认证系统及认证方法1)固定口令认证固定口令认证方式简单，易受攻击：(1)网络数据流窃听(Sniffer)。(2)认证信息截取/重放。(3)字典攻击。(4)穷举尝试(BruteForce)。(5)窥探密码。(6)社会工程攻击。(7)垃圾搜索。2) 一次性口令密码体制一次性口令认

7、证系统组成 ：(1)生成不确定因子。(2)生成一次性口令。3)双因素安全令牌及认证系统(1) E-Securer 的组成图5-4E-Securer安全认证系统(2) E-Securer 的安全性。(3)双因素身份认证系统的技术特点与优势。4)单点登入系统单点登入(SingleSignOn, SSO)也称单次登入，是在多个应用系统中，用户只需要登入一次就能够访问所有相互信任的应用系单点登入优势体现在5个方面:(1)管理简单。(2)管理控制便捷。(3)用户使用简捷。(4)网络更安全。(5)合并异构网络。5) Infogo身份认证盈高科技INFOGO推出的安全身份认证准入控制系统。其终 端安全管理平台由 MSAC安全准入套件、ITAM资产管理套件、 MSEP桌面套件(包括应用管理、 补丁管理、 终端运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理)和MSM移动存储介