第5章 身份认证与访问控制

教学目标
教学目标
重点
● 理解身份认证技术的概念、种类和常用方法
● 了解网络安全的登录认证与授权管理
重点
● 掌握数字签名及访问控制技术及应用与实验
● 掌握安全审计技术及应用
为了提醒学弟学妹珍惜大学时光,华中科技大学大四姜新 花了数月时间写成一份长达万字的“悔过书”。 文章在学校贴吧发出后，立刻引来了大量网友热评， 众人纷纷表示绝不辜负“过来人”的忠告。姜新表示， 希望看过的学弟学妹都能吸取自己教训,切莫虚度光阴。
配置。审计系统根据设置记载
用户的请求和行为，同时入侵
检测系统检测异常行为。访问
控制和审计系统都依赖于身份
图5-l身份认证和访问控制过程
认证系统提供的“认证信息”鉴别和审计，如图5-1所示。
5.1 身份认证技术概述
5.1.2 身份认证系统及认证方式
1. 用户名及密码方式
用户名/密码方式是最简单、最常用的身份认证方法，是
3.身份认证的种类和方法
认证技术是用户身份认证与鉴别的重要手段，也是计算机系统 安全中一项重要内容.从鉴别对象上,分为消息认证和用户身份认证:
（1）消息认证：用于保证信息的完整性和不可否认性。 （2）身份认证：鉴别用户身份。包括识别和验证两部分。识别 是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。
上海市精品课程 网络安全技术
上海教育高地建设项目 高等院校规划教材
（第2版）
第5章 身份认证与访问控制
目录
1 5.1 身份认证技术概述 2 5.2 登录认证与授权管理
3 5.3 数字签名技术
4 5.4 访问控制技术
5
5.5 安全审计技术
6 5.6 访问列表与Tenet访问控制实验
7 5.7 本章小结
1. 身份认证的概念
通常，身份认证基本方法有三种：用户物件认证；有关信息
确认或体貌特征识别。
你有什么？你知道什么？你是谁？
认证（Authentication）是指对主客体身份进行确认的过程。
网络中的身份认证（Identity Authentication）是指网络用户 在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。
（1）身份认证的概念、种类和方法有哪些？ （2）常见的身份认证系统的认证方式有哪些？
5.2 登录认证与授权管理
5.2.1 常用登录认证方式
1.固定口令安全问题 固定口令认证方式简单，易受攻击： （1）网络数据流窃听（Sniffer）。 （2）认证信息截取/重放。 （3）字典攻击。 （4）穷举尝试（Brute Force）。 （5）窥探密码。 （6）社会工程攻击(冒充)。 （7）垃圾搜索。 2.一次性口令密码体制 一次性口令认证系统组成： （1）生成不确定因子。 （2）生成一次性口令。
基于“你知道什么”的验证手段。 2. 智能卡认证
智能卡是一种内置集成的电路芯片，存有与用户身份相 关的数据，由专门厂商通过专用设备生产。智能卡认证是基 于“你有什么”的认证方式，由合法用户随身携带，硬件不 可复制无法被仿冒，登录时或同行时须将智能卡在专用读卡 器读取身份验证信息。
3. 动态令牌认证
动态口令技术是一种让用户密码按照时间或使用次数不 断变化、每个密码只能使用一次的技术。它采用一种动态令 牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生 成芯片运行专门的密码算法，根据当前时间或使用次数生成 当前密码并显示在显示屏上。
5.1 身份认证技术概述
5.1.2 身份认证系统及认证方式
4. 身份认证系统的组成
包括：认证服务器（Authentication Server）、认证系统用户端软 件（Authentication Client Software）、认证设备（Authenticator）。 身份认证系统主要是通过身份认证协议和有关软硬件实现的。
5.1 身份认证技术概述
5.1.1身份认证的概念和方法
2. 身份认证的作用
身份认证与鉴别是信息安全中的第一道防线，对信息系统的安全 有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一 性。因此，可以防止非法人员进入系统，防止非法人员通过各种违 法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的 完整性的情况的发生，严防“病从口入”关口。
从认证关系上，身份认证也可分为用户与主机间的认证和主机 之间的认证，
5.1 身份认证技术概述
5.1.2 身份认证系统及认证方式
身份认证是系统安全的第一道关卡。用户在访问系统前， 先要经过身份认证系统识别身份，通过访问监控设备，根据 用户的身份和授权数据库，
决定所访问资源的权限。授权
数据库由安全管理员按照需要
5. USB Key认证
采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模 式.其身份认证系统有两种认证模式：基于冲击/响应模式和基于PKI体 系的认证模式.
案例5-2 XX银行的“USBKEY”是为了保障网上银行“客户证书” 的安全性，推出了电子证书存储器简称USBKEY即U盾，可将客户的“证 书”专门存放于盘中，即插即用，非常安全可靠。U盾只存放银行的证书， 不可导入或导出其他数据。只需先安装其驱动程序，即可导入相应的证书。 网上银行支持USBkey证书功能，U盾具有安全性、移动性、方便性特点。
Leabharlann Baidu
5.1 身份认证技术概述
6. 生物识别技术 是指通过可测量的身体或行为等生物特征进行身份认 证的技术。 1) 指纹识别技术。 2) 视网膜识别技术。 3) 声音识别技术。 7. CA认证系统 CA(Certification Authority)认证是对网络用户身份证 的发放、管理和认证的过程。
讨论思考：
http://news.sina.com.cn/s/2013-04-02/023626706684.shtml
大学只有四年 绝对经不起挥 霍,有学生看完帖子后马上把
电脑游戏删了
5.1 身份认证技术概述
5.1.1身份认证的概念和方法
案例5-1 多数银行的网银服务，除了向客户提供U盾 证书保护模式外，还推出了动态口令方式，可免除携带 U盾的不便。动态口令是一种动态密码技术，在使用网 银过程中，输入用户名后，即可通过绑定的手机一次性 收到本次操作的密码,此密码只可使用一次,便利安全。