访问控制技术讲解

第5章身份认证与访问控制技术

教学目标

●理解身份认证的概念及常用认证方式方法

●了解数字签名的概念、功能、原理和过程

●掌握访问控制的概念、原理、类型、机制和策略

●理解安全审计的概念、类型、跟踪与实施

●了解访问列表与Telnet访问控制实验

5.1 身份认证技术概述

5.1.1 身份认证的概念

身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。

1. 身份认证的概念

认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。

2. 认证技术的类型

认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。从鉴别对象上，分为消息认证和用户身份认证两种。

（1）消息认证：用于保证信息的完整性和不可否认性。

（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。

从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，

5.1.2 常用的身份认证方式

1. 静态密码方式

静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。

2. 动态口令认证

动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态

短信密码和动态口令牌（卡）两种方式，口令一次一密。图5-1动态口令牌

3. USB Key认证

采用软硬件相结合、一次一密的强双因素（两种认证方法）

认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应

模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2

所示。图5-2 网银USB Key

4. 生物识别技术

生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。

5. CA认证

国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即CA认证过程，如表5-1所示。

表5-1 证书的类型与作用

证书名称证书类型主要功能描述

个人证书个人证书个人网上交易、网上支付、电子邮件等相关网络作业

单位证书单位身份证书用于企事业单位网上交易、网上支付等Email证书用于企事业单位内安全电子邮件通信部门证书用于企事业单位内某个部门的身份认证

服务器证书企业证书用于服务器、安全站点认证等

代码签名证书个人证书用于个人软件开发者对其软件的签名企业证书用于软件开发企业对其软件的签名

注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书。

CA主要职能是管理和维护所签发的证书，并提供各种证书服务，包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。

CA的主要职能体现在3个方面：

（1）管理和维护客户的证书和证书作废表

（CRL）。

（2）维护整个认证过程的安全。

（3）提供安全审计的依据。

5.1.3 身份认证系统概述

1. 身份认证系统的构成

身份认证系统的组成包括：认证服务器、认证系统客户端和认证设备。系统主要通过身份认证协议和认证系统软硬件进行实现。其中，身份认证协议又分为：单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。如图5-3所示。图5-3 认证系统网络结构图

【案例5-1】AAA认证系统现阶段应用最广。认证（Authentication）是验证用户身份与可使用网络服务的过程；授权（Authorization）是依据认证结果开放网络服务给用户的过程；审计（Accounting）是记录用户对各种网络服务的用量，并计费的过程。

2.常用认证系统及认证方法

1）固定口令认证

固定口令认证方式简单，易受攻击：

（1）网络数据流窃听（Sniffer）。

（2）认证信息截取/重放。

（3）字典攻击。

（4）穷举尝试（Brute Force）。

（5）窥探密码。

（6）社会工程攻击。

（7）垃圾搜索。

2）一次性口令密码体制

一次性口令认证系统组成：

（1）生成不确定因子。

（2）生成一次性口令。

3）双因素安全令牌及认证系统

（1）E-Securer的组成

图5-4 E-Securer安全认证系统

（2）E-Securer的安全性。

（3）双因素身份认证系统的技术特点与优势。

4)单点登入系统

单点登入（Single Sign On，SSO）也称单次登入，是在多个应用系统中，用户只需要登入一次就可以访问所有相互信任的应用系统。

单点登入优势体现在5个方面：

（1）管理简单。

（2）管理控制便捷。

（3）用户使用简捷。

（4）网络更安全。

（5）合并异构网络。

5）Infogo身份认证

盈高科技INFOGO推出的安全身份认证准入控制系统。其终端安全管理平台由MSAC 安全准入套件、ITAM资产管理套件、MSEP桌面套件（包括应用管理、补丁管理、终端运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理）和MSM移动存储介质管理套件组成。

课堂讨论

1．什么是身份认证？身份认证技术有哪几种类型？

2．常用的身份认证方式有哪些？并举例说明。

2．常用认证系统和认证方法有哪些？

5.2数字签名概述

5.2.1 数字签名的概念及功能

1. 数字签名的概念及种类

数字签名（Digital Signature）又称公钥数字签名或电子签章，是以电子形式存储于信息中或以附件或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署人对数据中所包信息的认可。

基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名两种。

2. 数字签名的功能

保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。最终目的是实现6种安全保障功能：

（１）必须可信。（２）无法抵赖。（３）不可伪造。

（４）不能重用。（５）不许变更。（６）处理快、应用广。