1、单击此处编辑母版标题样式,单击此处编辑母版文本样式信息安全定义,信息安全技术与应用,3,第3章,身份认证与访问控制,信息安全技术与应用,引 言,在安全的信息访问中,通信双方必须通过某种形式来判明和确认对方或双方的真实身份,确认身份后要根据身份设置对系统资源的访问权限,以实现不同身份用户合法访问信息资源。,信息安全技术与应用,3.1,身份认证技术概述,身份认证的定义,身份认证(Identity Authentication)就是通过对身份标识的鉴别服务来确认身份及其合法性。,鉴别服务的目的在于保证身份信息的可靠性,就是要保证信息接收方接收的消息确实是从它声明的来源发出的。,身份认证的方法大体上分
2、为:,基于信息秘密的身份认证,基于信任物体的身份认证,基于生物特征的身份认证。,信息安全技术与应用,身份标识与鉴别,身份标识,身份标识就是能够证明用户身份的用户独有的特征标志,此特征标志要求具有唯一性,如身份证、户口簿、护照、公章、驾照、健康卡,还有网络上使用的网络身份证等。,单因素身份标识包含一条身份信息;而多因素身份标识包含多条身份信息,ID(英文Identity的缩写)也称为序列号或账号,是身份标识特征信息中相对唯一的编码,相当于是一种“身份证编号”。,信息安全技术与应用,身份标识与鉴别,鉴别,鉴别是对通信的对方发来的信息验证从而确定信息是否合法的过程。通常分为身份鉴别和报文鉴别。,身份
3、鉴别:网络系统两个实体建立连接或数据传输阶段,对对方实体的合法性、真实性进行确认,防止非法用户或通过伪造和欺骗身份等手段冒充合法用户,从而保证身份的可靠性。,报文鉴别:报文鉴别是在用于确保数据发自真正的源点同时,还要鉴别报文的真伪,防止收到的报文被篡改、假冒和伪造,保证报文在通信中的完整性。,信息安全技术与应用,身份认证的过程,身份认证的过程就是指网络用户在进入系统或访问受限系统资源时,系统对用户的身份鉴别过程。,身份认证过程中涉及到4个部分,也是身份认证系统的组成部分。,用户组件 输入组件 传输组件 验证组件,单向认证与双向认证,通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种,
4、单向认证,。通信的双方需要互相认证鉴别对方的身份,这样的认证过程是,双向认证,。,身份认证实现过程中,被鉴别的认证信息要实现加密,往往需要可信第三方(Trusted Third Party)提供密钥管理和分发服务。,信息安全技术与应用,基于信任物体的身份认证,根据你所拥有的东西来证明你的身份(what you have),如通过信用卡、钥匙牌、智能卡、口令牌实施的认证。,智能卡(IC卡),动态口令牌,USB Key,信息安全技术与应用,基于生物特征的身份认证,生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为特征。,身体特征包括指纹、掌纹、视网膜、虹膜、人体气味、脸型、手的血管、DN
5、A等;,行为特征包括签名、声音、行走步态等。,基于生物特征的身份认证是指通过可测量的身体特征和行为特征经过“生物识别技术”实现身份认证的一种方法。,身份认证可利用的生物特征需要满足:普遍性、唯一性、可测量性和稳定性,当然,在应用过程中,还要考虑识别精度、识别速度、对人体无伤害、用户的接受性等因素。,信息安全技术与应用,生物特征识别过程,采样:生物识别系统捕捉到生物特征的样品,并对采样的数据进行初步的处理,将初步处理的样品保存起来。,提取特征信息:设备提取采样中唯一的生物特征信息,并转化成需要的数字格式。,特征入库:认证以前要提前将特征信息连同其他用户身份信息如ID或PIN等存储到特征数据库。,
6、特征识别:生物特征识别有两种识别方法是验证和辨识,验证采用完整的样品比对;而辨识即将读取到的用户的生物特征信息,与特征数据库中的数据进行比较,计算出它们的相似程度,看是否匹配来识别用户身份。,信息安全技术与应用,指纹身份认证,指纹特征,一个人的指纹是唯一的,即使是双胞胎的指纹也不相同。,人的指纹有两类特征:全局特征和局部特征。要区分任意两枚指纹仅依靠全局特征是不够的,还需要通过局部特征的位置、数目、类型和方向才能唯一地确定。,指纹的特征识别步骤:,(1)图像采集,(2)图像预处理,(3)细节特征的提取,(4)特征信息入库,(5)匹配及识别,信息安全技术与应用,虹膜身份认证,虹膜是一种在眼睛中瞳
7、孔内的织物状的各色环状物,每个虹膜都包含一个独一无二的基于水晶体、细丝、斑点、凹点、皱纹、条纹等特征的结构,虹膜在眼睛的内部,用外科手术很难改变其结构;,由于瞳孔随光线的强弱变化,想用伪造的虹膜代替活的虹膜是不可能的。,同一个人的左右眼虹膜也有很大区别,和指纹识别相比,虹膜识别技术采用非接触式取像方式,对接触面污染较小,特点:具有可靠性高、不易仿照;操作更简便,检验的精确度可以更高,识别的错误率非常底。生物识别产品市场占有优势。,信息安全技术与应用,视网膜身份认证,人的视网膜上面血管的图样可以利用光学方法透过人眼晶体来测定。视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。,视网膜
8、身份认证的优点是:,耐久性:视网膜是一种极其固定的生物特征,因为它是“隐藏”的,故而不易磨损,老化或是为疾病影响;,非接触性的:视网膜是不可见的,故而不会被伪造。,缺点是视网膜技术未经过任何测试,可能会给使用者带来健康的损坏,这需要进一步的研究;对于消费者,视网膜技术没有吸引力;很难进一步降低它的成本。,信息安全技术与应用,语音身份认证,任何两个人的声纹频谱图都有差异,语音身份认证,就是通过对所记录的语音与被鉴人声纹的比较,进行身份认证。,视网膜身份认证的优点是:语音识别作为一种非接触式的识别系统,用户可以很自然地接受,声音进行采样,滤波等数字化处理相对成熟。,缺点:但声音变化的范围太大,音量
9、速度和音质的变化会影响到采集的结果,这样直接影响比对的结果。另外,声音识别系统还很容易被录在磁带上的声音欺骗,这样降低了语音识别系统的安全可靠性。,信息安全技术与应用,基于生物特征的身份认证的优点,相比其他认证方法有下列优点:,非易失:生物特征基本不存在丢失、遗忘或被盗的问题。,难伪造:用于身份认证的生物特征很难被伪造。,方便性:生物特征随身“携带”,随时随地可用。,信息安全技术与应用,3.2 安全的身份认证,身份认证面临的主要威胁,欺骗标识:通过盗取或欺骗用户的信任凭证或尝试用一个假的身份标识试探获取对系统的访问权。,篡改数据:非经授权对认证信息进行修改。,拒绝承认:用户拒绝承认以自己的身
10、份执行过特定操作或数据传输。,信息泄露:私有数据的暴露,用户监听到在网络上传送的明文信息等都是信息泄露。,重放攻击:攻击者利用网络监听或者其他方式盗取认证凭据,利用这一目的主机已接收过的认证报文,再不断恶意或欺诈性地重复发给认证服务器。,信息安全技术与应用,身份认证的安全措施,(1)身份信息加密以防止信息泄露和篡改数据,需要在认证信息的传输和存储时采用加密技术以保证认证中的数据在传送或存储过程中,未被泄露和篡改,。,传输中的认证信息加密可以采用对称密钥加密体制,也可以采用非对称密钥加密体制;,对服务器数据库中的身份信息加密存储,以防止黑客入侵获得身份信息假冒合法用户非法访问;,信息安全技术与应
11、用,身份认证的安全措施,(2)采用安全的认证方式抵御重放攻击,挑战/应答认证模式,注:一般,采用不重复使用的大的随机数作为挑战(值),若挑战值变化量不大,攻击者只需截获足够的挑战应答之间的关系,又可以进行重放攻击了。,数字时间戳方式,数字时间戳(digital time-stamp,DTS)就是用来有效证明电子数据的收发时间内容。,认证服务器接收时只有报文时间戳与本地时间足够接近时,才认为是一个合法的新报文,否则认为是重放攻击报文。,信息安全技术与应用,身份认证的安全措施,(3)数字签名有效抵制欺骗标识和拒绝承认,应用数字签名的身份鉴别有效防止冒用别人名义发起认证和发出(收到)身份信息后拒绝承
12、认。,认证结果证明:,用户身份信息M在传输中没有被别人冒用,刚才验证的身份信息M就是用户的;用户不能否认验证确认的身份信息和以此身份信息登录后的操作和审计结果。,信息安全技术与应用,身份认证的安全措施,(4)加强身份信息管理,防止私有信息泄露,管理好个人的身份标识,轻易不要被欺骗泄露或告知他人,尤其是信任物体身份标识硬件,借用或丢失会造成身份冒用。,提高口令、,PIN,等身份标识设置的复杂度,提高身份标识的猜测难度,有效地防止身份探测。,增加身份认证因素,采用双因素或多因素的认证方式可以更好克服由于身份信息泄露造成的安全威胁。,上述提到的多因素认证、数字时间戳认证、信息加密的身份认证、挑战,/
13、响应认证等都是安全的认证模式,有效保障身份认证的非否认性、保密性、正确性和完整性。,信息安全技术与应用,口令认证的安全方案,口令认证的威胁,网络数据流窃听;认证信息截取/重放;字典攻击;穷举尝试;窥探口令;骗取口令;垃圾搜索;,口令安全性管理,(1)口令的安全存储,一是直接明文存储口令,二是哈希散列存储口令。,(2)口令的安全设置,(3)口令的加密传输,(4)验证码,口令认证中通过加入验证码可以控制登录或注册时间和节奏,有效防止对某一个特定注册用户用特定程序自动进行口令的穷举尝试。,信息安全技术与应用,基于指纹的电子商务身份认证,认证特点,基于指纹的电子商务身份认证系统综合了指纹识别、数字签
14、名和加密技术,有效地解决了客户端身份信息的存储和管理问题;同时,通过认证过程中使用时间戳和随机数阻止了第三方的重放攻击。,认证过程,信息安全技术与应用,Kerberos身份认证,Kerberos是麻省理工学院开发的一个认证服务方案.它工作在Client/Server模式下,以可信赖的KDC和使用DES对称密钥口令算法,实现密钥分配和集中的身份认证。,一个完整的Kerberos系统主要由以下几个部分组成:,用户(Client):发起认证服务的一方。,服务器(Server):最终鉴别客户认证信息的一方。,认证服务器(Authentication Server,AS):用来进行密钥分配和验证用户身份
15、票据分配服务器(Ticket Granting Server,TGS):发放身份证明票据(凭证)。,票据(ticket-granting ticket,TGT):为双方身份认证专门生成的凭证。,密钥分配中心(Key Distribution Center,KDC):由认证服务器和票据分配服务器组成。,鉴别码(Authenticator):用户生成的最终认证信息。,信息安全技术与应用,Kerberos身份认证过程,Kerberos的基本认证过程:,信息安全技术与应用,Kerberos身份认证过程,认证过程中的票据和认证信息:,TGT1=Ticket用户身份标识;,TGT2=TicketSes
16、sion Key,用户身份标识,用户主机IP地址,服务器名,有效期,时间戳;,K,CSession Key;,K,STGT2;,Authenticator=Session Key用户身份标识,用户主机IP;,信息安全技术与应用,Kerberos身份认证,Kerberos认证具有如下优点:,认证在,用户和认证服务器之间进行,,减少了服务器对身份信息管理和存储的开销和黑客入侵后的安全风险。,支持双向认证。,认证过程整个过程可以说是一个典型的挑战/响应方式,在防止重放攻击方面起到有效的作用。,Kerberos协议的推广和应用具有灵活性。,Kerberos已广泛应用于Internet和Intranet
17、认证服务和安全访问,具有高度的安全可靠和较好的扩展性,成为当今比较重要的实用认证方案。,信息安全技术与应用,基于X.509数字证书的认证,X.509是一个标准的鉴别框架;构建一种基于公开密钥体制的业务密钥管理和身份认证。认证过程基于PKI支持,PKI利用X.509标准的数字证书方式实现密钥分配和管理。,公钥基础设施PKI:,一种利用公钥理论和技术提供密钥分发和数字证书管理的安全服务平台。,数字证书:,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据,是用来标志和证明网络通信双方身份的数字信息文件。,PKI的最基本元素是数字证书,所有安全操作都主要是通过数字证书来实现。
18、信息安全技术与应用,X.509框架下的PKI,PKI的组成:,RA(注册中心):CA(认证中心):证书发布库:密钥管理与备份系统:证书撤销处理系统:应用接口系统:,信息安全技术与应用,X.509标准证书,最广泛接受的X.509标准证书组成:,证书的版本号(version):该证书使用的了X.509的哪种版本。,证书的序列号(serial number):每个证书都有一个唯一的证书序列号。,证书所使用的签名算法(algorithm+parameters):指定证书使用的数字签名加密算法和Hash算法;在解密对方用户数字签名时使用。,证书的发行机构名称(issuer name):证书颁发者标识名
19、证书的有效期(not before-not after):证书有效时间段,它的计时范围为19502049。,证书所有人的名称(subject name):证书拥有者主体识别名。,证书所有人的公开密钥(algorithm+parameters+Key):公钥加密算法、参数和公钥。,证书签发者唯一身份标识符(issuer unique name)。,证书拥有者唯一身份标识符(subject unique name)。,10 证书发行者对证书的签名(encrypted):证书颁发者私钥生成的签名和算法。,信息安全技术与应用,数字证书分为签名证书和加密证书:签名证书用于对用户认证信息数字签名使用,
20、来解密签名和,Hash,运算;加密证书用于对发送给用户的数据进行加密使用。,在用户取得,PKI,加密数字证书的前提下,就可以申请签名证书和加密证书的签发。签发过程如图:,证书作用:,(,1,)数字证书可以作为身份凭,证,使双方了解对方身份;,(,2,)可以用来信息加密防止信,息窃取和泄露;,(,3,)可以用来解密数字签名从而使发送方不能抵赖和防止假冒。,证书签发的基本流程,信息安全技术与应用,基于X.509证书的认证过程,基于X.509的双向认证(为例):,A发送信息:A生成一个随机数,Y,a,可以用来防止假冒和伪造;接着用A的私钥加密构成,K,a,T,a,Y,a,B(,T,a为时间戳)发送给
21、B。,B接收信息:先从PKI获取A的公钥证书,并从证书中提取A的公钥,通过解密,K,a,T,a,Y,a,B,验证A的身份是否属实。从,T,a,Y,a,B验证自己是否是信息的接收人,验证时间戳是否接近当前时间,,Y,a检验是否有重放。,B发送信息:B生成一个随机数,Y,b,接着用B的私钥加密构成,K,b,T,b,Y,b,A,Y,a发送给A。,A接收信息:先从PKI获得B的公钥证书,并从证书中提取A的公钥,通过解密,K,b,T,b,Y,b,A,Y,a,验证B的身份是否属实。从,T,b,Y,b,A,Y,a验证自己是否是信息的接收人;验证时间戳Tb是否接近当前时间,,Y,b检验是否有重放。,信息安全技
22、术与应用,基于X.509证书的认证过程,基于X.509证书的认证的特点:,通过支持认证中的公钥加密和数字签名,从而有效防止身份信息泄露、伪造、冒用和拒绝承认的安全问题;,身份信息由可信的PKI权威机构管理和备份,很好地维护了身份信息,防止信息丢失。,在此基础上,借助于时间戳和随机数参与认证,更好地防止了重放攻击;,典型的类似于网络数字身份证件的认证形式,具有灵活适用的特点,被广泛应用。,信息安全技术与应用,3.3 访 问 控 制,访问控制,是通过某种途径准许或限制访问能力及访问范围的一种手段。,每个想获得访问的用户都必须经过鉴别或身份认证,这样才能根据用户对资源制定的访问权利,控制用户对资源按
23、授权访问。,访问控制,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证信息资源受控地、合法地使用。,信息安全技术与应用,访问控制的概念,访问控制包括3个要素:,主体(subject):发出访问指令、存取要求的主动方,通常可以是用户或用户的某个进程等。,客体(object):被访问的对象,通常可以是被调用的程序、进程,要存取的数据、信息,要访问的文件、系统或各种网络设备、设施等资源。,访问控制策略(,Attribution,):一套规则,用以确定一个主体是否对客体拥有访问权力或控制关系的描述。,基于,3,要素,访问控制的目的可概括为:限制主体对访问客体的
24、访问权限,从而使计算机系统资源按照安全访问策略能被在合法范围内使用。,信息安全技术与应用,访问控制关系描述,访问控制策略体现了访问的授权关系即,访问控制关系,。,主要通过以下四种方法设计描述访问控制关系:,访问控制矩阵,访问能力表,访问控制表,授权关系表,信息安全技术与应用,访问控制矩阵,访问控制矩阵:行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限(比如读、写、执行、修改、删除等)。,关 系,file1,file2,file3,fle4,account1,account2,Jack,own,r,w,own,r,w,inquiry,credit,
25、Mary,r,own,r,w,w,r,inquiry,debit,inquiry,credit,Lily,r,w,r,own,r,w,inquiry,debit,借(debit)操作和贷(credit)操作与写操作类似,可以改动重写账户信息,信息安全技术与应用,访问能力表,矩阵在描述访问控制关系是有很多空白页。因此,可以从主体(行)出发,表达矩阵某一行的信息,这就是,访问能力表(capability),信息安全技术与应用,访问控制表,矩阵在描述访问控制关系是有很多空白页。因此,可以从客体(列)出发,表达矩阵某一列的信息,这便成了,访问控制表(ACL:access control list)。,
26、访问控制表是目前采用最多的一种访问控制关系实现方式。它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权。,信息安全技术与应用,授权关系表,主 体,访 问 权 限,客 体,Jack,own,file1,Jack,r,file1,Jack,w,file1,Jack,own,file3,Jack,r,file3,Jack,w,file3,Mary,r,file1,Mary,own,file2,Mary,r,file2,Mary,w,file2,Mary,w,file3,Mary,r,file4,Lily,r,file1,Lily,w,file1,Lily,
27、r,file2,Lily,own,file4,Lily,r,file4,Lily,w,file4,授权关系表按客体进行排序的话,就可以拥有访问能力表的优势,如果按主体进行排序的话,又拥有了访问控制表的好处。,特别适合采用关系数据库方式实现。,信息安全技术与应用,访问控制策略,目前的主流访问控制策略有自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)。,自主访问控制,(discretionary access control,DAC)是目前计算机系统中实现最多的访问控制策略。,自主,是指具有授予某种访问权力的主体(用户)能够自己决定是否将访问控制权限的某个子集授予其他
28、的主体或从其他主体那里收回他所授予的访问权限。,其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。,信息安全技术与应用,强制访问控制,强制访问控制(mandatory access control,MAC)依据主体和客体的安全级别来决定主体是否有对客体的访问权。,基本思想:,对所有主体及其所控制的进程、文件、段、设备等客体全部实施严格的访问控制。,系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。,安全级别常用的为4级:绝密级、秘密级、机密级和无级别级,其中,绝密级 秘密级 机密级 无级别级,。,信息安全技术与应用
29、强制访问控制,Bell and LaPadula提出的BLP模型:安全级的制定是线性有序的。,用,标志主体或客体的安全标签,当主体访问客体时,需满足如下两条规则:,简单安全属性:如果主体,s,能够读客体,o,,则,(,s,),(o);,保密安全属性:如果主体,(,s,)能够写客体,o,,则,(,s,),(,o,)。,主体按照,“向下读,向上写”,的原则访问客体。即只有当主体的密级不小于客体的密级并且主体的范围包含客体的范围时,主体才能读取客体中的数据;只有当主体的密级不大于客体的密级,并且主体的范围包括客体的范围时,主体才能向客体中写数据。,信息安全技术与应用,强制访问控制,BLP模型优点:
30、保证了客体的高度安全性,保证了信息流总是低安全级别的实体流向高安全级别的实体。,BLP,模型缺点:,高安全级别的主体拥有的数据永远不能被低安全级别的主体访问,降低了系统的可用性。,“向上写”的策略使得低安全级别的主体篡改敏感数据成为可能,破坏了系统的数据完整性。,MAC,由于过于偏重保密性,造成实现工作量太大,管理不便,灵活性差。,信息安全技术与应用,基于角色的访问控制,基于角色的访问控制(Role Based Access Control,,,RBAC)是通过对角色的访问所进行的控制。,角色(role)是一定数量的权限的集合,指完成一项任务必须访问的资源及相应操作权限的集合,表示为权限和用户的关系。,基本思想是:与DAC和MAC思路不同,,DAC和MAC访问控制直接将访问主体和客体相联系,而RBAC在中间加入了角色。,授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。通过角色沟通主体与客体,真正决定访问权限的是用户对应的角色。,目的:可以简化主体(用户)、权限、客体间的复杂的授权管理,灵活实现访问控制策略。,信息安全技术与应用,






