身份认证与访问控制

第3章身份认证与访问控制信息安全技术与应用引言在安全的信息访问中，通信双方必须通过某种形式来判明和确认对方或双方的真实身份，确认身份后要根据身份设置对系统资源的访问权限，以实现不同身份用户合法访问信息资源。信息安全技术与应用3.1身份认证技术概述身份认证的定义身份认证（IdentityAuthentication）就是通过对身份标识的鉴别服务来确认身份及其合法性。鉴别服务的目的在于保证身份信息的可靠性，就是要保证信息接收方接收的消息确实是从它声明的来源发出的。身份认证的方法大体上分为：基于信息秘密的身份认证基于信任物体的身份认证基于生物特征的身份认证。信息安全技术与应用身份标识与鉴别身份标识身份标识就是能够证明用户身份的用户独有的特征标志，此特征标志要求具有唯一性，如身份证、户口簿、护照、公章、驾照、健康卡，还有网络上使用的网络身份证等。单因素身份标识包含一条身份信息；而多因素身份标识包含多条身份信息ID（英文Identity的缩写）也称为序列号或账号，是身份标识特征信息中相对唯一的编码，相当于是一种“身份证编号”。信息安全技术与应用身份标识与鉴别鉴别鉴别是对通信的对方发来的信息验证从而确定信息是否合法的过程。通常分为身份鉴别和报文鉴别。身份鉴别：网络系统两个实体建立连接或数据传输阶段，对对方实体的合法性、真实性进行确认，防止非法用户或通过伪造和欺骗身份等手段冒充合法用户，从而保证身份的可靠性。报文鉴别：报文鉴别是在用于确保数据发自真正的源点同时，还要鉴别报文的真伪，防止收到的报文被篡改、假冒和伪造，保证报文在通信中的完整性。信息安全技术与应用身份认证的过程身份认证的过程就是指网络用户在进入系统或访问受限系统资源时，系统对用户的身份鉴别过程。身份认证过程中涉及到4个部分，也是身份认证系统的组成部分。①用户组件②输入组件③传输组件④验证组件单向认证与双向认证通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证。通信的双方需要互相认证鉴别对方的身份，这样的认证过程是双向认证。身份认证实现过程中，被鉴别的认证信息要实现加密，往往需要可信第三方(TrustedThirdParty)提供密钥管理和分发服务。

信息安全技术与应用基于信息秘密的身份认证基于信息秘密的身份认证是根据双方共同所知道的秘密信息来证明用户的身份（whatyouknow），并通过对秘密信息鉴别验证身份。1．网络身份证2．静态口令3．一次性口令认证信息安全技术与应用一次性口令认证一次性口令认证也称为动态口令的认证，是一种按时间和使用次数来设置口令，每个口令只使用一次，口令不断变化的认证方法。动态口令认证的优点：①无须定期修改口令，方便管理；②一次一口令，有效防止黑客一次性口令窃取就获得永久访问权；③由于口令使用后即被废弃，可以有效防止身份认证中的重放攻击。动态口令认证的缺点：①客户端和服务器的时间或次数若不能保持良好同步，可能发生合法用户无法登录；②口令是一长串较长的数字组合，一旦输错就得重新操作。动态口令认证方法已被广泛运用在网银、网游、电信运营商、电子政务、企业等应用访问系统中。信息安全技术与应用基于信任物体的身份认证根据你所拥有的东西来证明你的身份（whatyouhave），如通过信用卡、钥匙牌、智能卡、口令牌实施的认证。智能卡（IC卡）动态口令牌USBKey信息安全技术与应用基于生物特征的身份认证生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为特征。身体特征包括指纹、掌纹、视网膜、虹膜、人体气味、脸型、手的血管、DNA等；行为特征包括签名、声音、行走步态等。基于生物特征的身份认证是指通过可测量的身体特征和行为特征经过“生物识别技术”实现身份认证的一种方法。身份认证可利用的生物特征需要满足：普遍性、唯一性、可测量性和稳定性，当然，在应用过程中，还要考虑识别精度、识别速度、对人体无伤害、用户的接受性等因素。信息安全技术与应用生物特征识别过程①采样：生物识别系统捕捉到生物特征的样品，并对采样的数据进行初步的处理，将初步处理的样品保存起来。②提取特征信息：设备提取采样中唯一的生物特征信息，并转化成需要的数字格式。③特征入库：认证以前要提前将特征信息连同其他用户身份信息如ID或PIN等存储到特征数据库。④特征识别：生物特征识别有两种识别方法是验证和辨识，验证采用完整的样品比对；而辨识即将读取到的用户的生物特征信息，与特征数据库中的数据进行比较，计算出它们的相似程度，看是否匹配来识别用户身份。信息安全技术与应用指纹身份认证指纹特征一个人的指纹是唯一的，即使是双胞胎的指纹也不相同。人的指纹有两类特征：全局特征和局部特征。要区分任意两枚指纹仅依靠全局特征是不够的，还需要通过局部特征的位置、数目、类型和方向才能唯一地确定。指纹的特征识别步骤：（1）图像采集（2）图像预处理（3）细节特征的提取（4）特征信息入库（5）匹配及识别信息安全技术与应用虹膜身份认证虹膜是一种在眼睛中瞳孔内的织物状的各色环状物，每个虹膜都包含一个独一无二的基于水晶体、细丝、斑点、凹点、皱纹、条纹等特征的结构虹膜在眼睛的内部，用外科手术很难改变其结构；由于瞳孔随光线的强弱变化，想用伪造的虹膜代替活的虹膜是不可能的。同一个人的左右眼虹膜也有很大区别和指纹识别相比，虹膜识别技术采用非接触式取像方式，对接触面污染较小特点：具有可靠性高、不易仿照；操作更简便，检验的精确度可以更高，识别的错误率非常底。生物识别产品市场占有优势。信息安全技术与应用视网膜身份认证人的视网膜上面血管的图样可以利用光学方法透过人眼晶体来测定。视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。视网膜身份认证的优点是：①耐久性：视网膜是一种极其固定的生物特征，因为它是“隐藏”的，故而不易磨损，老化或是为疾病影响；②非接触性的：视网膜是不可见的，故而不会被伪造。缺点是视网膜技术未经过任何测试，可能会给使用者带来健康的损坏，这需要进一步的研究；对于消费者，视网膜技术没有吸引力；很难进一步降低它的成本。信息安全技术与应用语音身份认证任何两个人的声纹频谱图都有差异，语音身份认证，就是通过对所记录的语音与被鉴人声纹的比较，进行身份认证。视网膜身份认证的优点是：①语音识别作为一种非接触式的识别系统，用户可以很自然地接受，②声音进行采样，滤波等数字化处理相对成熟。缺点：但声音变化的范围太大，音量、速度和音质的变化会影响到采集的结果，这样直接影响比对的结果。另外，声音识别系统还很容易被录在磁带上的声音欺骗，这样降低了语音识别系统的安全可靠性。信息安全技术与应用基于生物特征的身份认证的优点相比其他认证方法有下列优点：①非易失：生物特征基本不存在丢失、遗忘或被盗的问题。②难伪造：用于身份认证的生物特征很难被伪造。③方便性：生物特征随身“携带”，随时随地可用。信息安全技术与应用3.2安全的身份认证身份认证面临的主要威胁①欺骗标识：通过盗取或欺骗用户的信任凭证或尝试用一个假的身份标识试探获取对系统的访问权。②篡改数据：非经授权对认证信息进行修改。③拒绝承认：用户拒绝承认以自己的身份执行过特定操作或数据传输。④信息泄露：私有数据的暴露，用户监听到在网络上传送的明文信息等都是信息泄露。⑤重放攻击：攻击者利用网络监听或者其他方式盗取认证凭据，利用这一目的主机已接收过的认证报文，再不断恶意或欺诈性地重复发给认证服务器。信息安全技术与应用身份认证的安全措施（1）身份信息加密以防止信息泄露和篡改数据需要在认证信息的传输和存储时采用加密技术以保证认证中的数据在传送或存储过程中未被泄露和篡改。传输中的认证信息加密可以采用对称密钥加密体制，也可以采用非对称密钥加密体制；对服务器数据库中的身份信息加密存储，以防止黑客入侵获得身份信息假冒合法用户非法访问；信息安全技术与应用身份认证的安全措施（2）采用安全的认证方式抵御重放攻击①挑战/应答认证模式注：一般采用不重复使用的大的随机数作为挑战（值），若挑战值变化量不大，攻击者只需截获足够的挑战应答之间的关系，又可以进行重放攻击了。②数字时间戳方式数字时间戳（digitaltime-stamp，DTS）就是用来有效证明电子数据的收发时间内容。认证服务器接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新报文，否则认为是重放攻击报文。信息安全技术与应用身份认证的安全措施（3）数字签名有效抵制欺骗标识和拒绝承认应用数字签名的身份鉴别有效防止冒用别人名义发起认证和发出（收到）身份信息后拒绝承认。认证结果证明：

用户身份信息M在传输中没有被别人冒用，刚才验证的身份信息M就是用户的；用户不能否认验证确认的身份信息和以此身份信息登录后的操作和审计结果。信息安全技术与应用身份认证的安全措施（4）加强身份信息管理，防止私有信息泄露①管理好个人的身份标识，轻易不要被欺骗泄露或告知他人，尤其是信任物体身份标识硬件，借用或丢失会造成身份冒用。②提高口令、PIN等身份标识设置的复杂度，提高身份标识的猜测难度，有效地防止身份探测。③增加身份认证因素，采用双因素或多因素的认证方式可以更好克服由于身份信息泄露造成的安全威胁。

上述提到的多因素认证、数字时间戳认证、信息加密的身份认证、挑战/响应认证等都是安全的认证模式，有效保障身份认证的非否认性、保密性、正确性和完整性。

信息安全技术与应用口令认证的安全方案口令认证的威胁①网络数据流窃听；②认证信息截取/重放；③字典攻击；④穷举尝试；⑤窥探口令；⑥骗取口令；⑦垃圾搜索；口令安全性管理（1）口令的安全存储一是直接明文存储口令，二是哈希散列存储口令。（2）口令的安全设置（3）口令的加密传输（4）验证码

口令认证中通过加入验证码可以控制登录或注册时间和节奏，有效防止对某一个特定注册用户用特定程序自动进行口令的穷举尝试。信息安全技术与应用基于指纹的电子商务身份认证认证特点基于指纹的电子商务身份认证系统综合了指纹识别、数字签名和加密技术，有效地解决了客户端身份信息的存储和管理问题；同时，通过认证过程中使用时间戳和随机数阻止了第三方的重放攻击。认证过程信息安全技术与应用Kerberos身份认证Kerberos是麻省理工学院开发的一个认证服务方案.它工作在Client/Server模式下，以可信赖的KDC和使用DES对称密钥口令算法，实现密钥分配和集中的身份认证。一个完整的Kerberos系统主要由以下几个部分组成：

①用户（Client）：发起认证服务的一方。②服务器（Server）：最终鉴别客户认证信息的一方。③认证服务器（AuthenticationServer，AS）：用来进行密钥分配和验证用户身份。④票据分配服务器（TicketGrantingServer，TGS）：发放身份证明票据（凭证）。⑤票据（ticket-grantingticket，TGT）：为双方身份认证专门生成的凭证。⑥密钥分配中心（KeyDistributionCenter，KDC）：由认证服务器和票据分配服务器组成。⑦鉴别码（Authenticator）：用户生成的最终认证信息。信息安全技术与应用Kerberos身份认证过程Kerberos的基本认证过程：信息安全技术与应用Kerberos身份认证过程认证过程中的票据和认证信息：

TGT1=Ticket{用户身份标识}；

TGT2=Ticket{SessionKey，用户身份标识，用户主机IP地址，服务器名，有效期，时间戳}；

KC{SessionKey}；

KS{TGT2}；

Authenticator=SessionKey{用户身份标识，用户主机IP}；信息安全技术与应用Kerberos身份认证Kerberos认证具有如下优点：①认证在用户和认证服务器之间进行，减少了服务器对身份信息管理和存储的开销和黑客入侵后的安全风险。②支持双向认证。③认证过程整个过程可以说是一个典型的挑战/响应方式，在防止重放攻击方面起到有效的作用。④Kerberos协议的推广和应用具有灵活性。

Kerberos已广泛应用于Internet和Intranet认证服务和安全访问，具有高度的安全可靠和较好的扩展性，成为当今比较重要的实用认证方案。信息安全技术与应用基于X.509数字证书的认证X.509是一个标准的鉴别框架；构建一种基于公开密钥体制的业务密钥管理和身份认证。认证过程基于PKI支持，PKI利用X.509标准的数字证书方式实现密钥分配和管理。公钥基础设施PKI:一种利用公钥理论和技术提供密钥分发和数字证书管理的安全服务平台。数字证书：数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据，是用来标志和证明网络通信双方身份的数字信息文件。PKI的最基本元素是数字证书，所有安全操作都主要是通过数字证书来实现。信息安全技术与应用X.509框架下的PKIPKI的组成：①RA（注册中心）：②CA（认证中心）：③证书发布库：④密钥管理与备份系统：⑤证书撤销处理系统：⑥应用接口系统：信息安全技术与应用X.509标准证书最广泛接受的X.509标准证书组成：①证书的版本号（version）：该证书使用的了X.509的哪种版本。②证书的序列号（serialnumber）：每个证书都有一个唯一的证书序列号。③证书所使用的签名算法（algorithm+parameters）：指定证书使用的数字签名加密算法和Hash算法；在解密对方用户数字签名时使用。④证书的发行机构名称（issuername）：证书颁发者标识名。⑤证书的有效期（notbefore-notafter）：证书有效时间段，它的计时范围为1950—2049。⑥证书所有人的名称（subjectname）：证书拥有者主体识别名。⑦证书所有人的公开密钥（algorithm+parameters+Key）：公钥加密算法、参数和公钥。⑧证书签发者唯一身份标识符（issueruniquename）。⑨证书拥有者唯一身份标识符（subjectuniquename）。10证书发行者对证书的签名（encrypted）：证书颁发者私钥生成的签名和算法。信息安全技术与应用数字证书分为签名证书和加密证书：签名证书用于对用户认证信息数字签名使用，来解密签名和Hash运算；加密证书用于对发送给用户的数据进行加密使用。在用户取得PKI加密数字证书的前提下，就可以申请签名证书和加密证书的签发。签发过程如图：证书作用：（1）数字证书可以作为身份凭证，使双方了解对方身份；（2）可以用来信息加密防止信息窃取和泄露；（3）可以用来解密数字签名从而使发送方不能抵赖和防止假冒。证书签发的基本流程信息安全技术与应用基于X.509证书的认证过程基于X.509的双向认证（为例）：①A发送信息：A生成一个随机数Ya，可以用来防止假冒和伪造；接着用A的私钥加密构成Ka{Ta,Ya,B}（Ta为时间戳）发送给B。②B接收信息：先从PKI获取A的公钥证书，并从证书中提取A的公钥，通过解密Ka{Ta,Ya,B}，验证A的身份是否属实。从{Ta,Ya,B}验证自己是否是信息的接收人，验证时间戳是否接近当前时间，Ya检验是否有重放。③B发送信息：B生成一个随机数Yb，接着用B的私钥加密构成Kb{Tb,Yb,A,Ya}发送给A。④A接收信息：先从PKI获得B的公钥证书，并从证书中提取A的公钥，通过解密Kb{Tb,Yb,A,Ya}，验证B的身份是否属实。从{Tb,Yb,A,Ya}验证自己是否是信息的接收人；验证时间戳Tb是否接近当前时间，Yb检验是否有重放。信息安全技术与应用基于X.509证书的认证过程基于X.509证书的认证的特点：通过支持认证中的公钥加密和数字签名，从而有效防止身份信息泄露、伪造、冒用和拒绝承认的安全问题；身份信息由可信的PKI权威机构管理和备份，很好地维护了身份信息，防止信息丢失。在此基础上，借助于时间戳和随机数参与认证，更好地防止了重放攻击；典型的类似于网络数字身份证件的认证形式，具有灵活适用的特点，被广泛应用。信息安全技术与应用3.3访问控制访问控制是通过某种途径准许或限制访问能力及访问范围的一种手段。每个想获得访问的用户都必须经过鉴别或身份认证，这样才能根据用户对资源制定的访问权利，控制用户对资源按授权访问。访问控制通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证信息资源受控地、合法地使用。信息安全技术与应用访问控制的概念访问控制包括3个要素：①主体（subject）：发出访问指令、存取要求的主动方，通常可以是用户或用户的某个进程等。②客体（object）：被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源。③访问控制策略（Attribution）：一套规则，用以确定一个主体是否对客体拥有访问权力或控制关系的描述。基于3要素，访问控制的目的可概括为：限制主体对访问客体的访问权限，从而使计算机系统资源按照安全访问策略能被在合法范围内使用。信息安全技术与应用访问控制关系描述访问控制策略体现了访问的授权关系即访问控制关系。主要通过以下四种方法设计描述访问控制关系：

访问控制矩阵访问能力表访问控制表授权关系表信息安全技术与应用访问控制矩阵访问控制矩阵：行表示客体（各种资源），列表示主体（通常为用户），行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等）。关系file1file2file3fle4account1account2JackownrwownrwinquirycreditMaryrownrwwrinquirydebitinquirycreditLilyrwrownrwinquirydebit借（debit）操作和贷（credit）操作与写操作类似，可以改动重写账户信息信息安全技术与应用访问能力表矩阵在描述访问控制关系是有很多空白页。因此，可以从主体（行）出发，表达矩阵某一行的信息，这就是访问能力表（capability）信息安全技术与应用访问控制表矩阵在描述访问控制关系是有很多空白页。因此，可以从客体（列）出发，表达矩阵某一列的信息，这便成了访问控制表（ACL：accesscontrollist）。访问控制表是目前采用最多的一种访问控制关系实现方式。它可以对某一特定资源指定任意一个用户的访问权限，还可以将有相同权限的用户分组，并授予组的访问权。信息安全技术与应用授权关系表主体访问权限客体Jackownfile1Jackrfile1Jackwfile1Jackownfile3Jackrfile3Jackwfile3Maryrfile1Maryownfile2Maryrfile2Marywfile2Marywfile3Maryrfile4Lilyrfile1Lilywfile1Lilyrfile2Lilyownfile4Lilyrfile4Lilywfile4授权关系表按客体进行排序的话，就可以拥有访问能力表的优势，如果按主体进行排序的话，又拥有了访问控制表的好处。特别适合采用关系数据库方式实现。信息安全技术与应用访问控制策略目前的主流访问控制策略有自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）。自主访问控制（discretionaryaccesscontrol，DAC）是目前计算机系统中实现最多的访问控制策略。自主，是指具有授予某种访问权力的主体（用户）能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。其基本思想是：允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。信息安全技术与应用强制访问控制强制访问控制（mandatoryaccesscontrol