身份认证与访问控制PPT课件.ppt

网络安全技术及应用 第5章身份认证与访问控制 1 本章要点 身份认证技术的概念 种类和方法 数字签名技术及应用 访问控制技术及应用 安全审计技术及应用 网络安全技术及应用 第5章身份认证与访问控制 2 教学目标 理解身份认证技术的概念 种类和方法 了解登录认证与授权管理 掌握数字签名技术及应用 掌握访问控制技术及应用 掌握安全审计技术及应用 网络安全技术及应用 第5章身份认证与访问控制 3 5 1身份认证技术概述5 1 1身份认证的概念1 认证技术的概念认证 Authentication 是通过对网络系统使用过程中的主客体进行鉴别 并经过确认主客体的身份以后 给这些主客体赋予恰当的标志 标签 证书等的过程 身份认证 IdentityandAuthenticationManagement 是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时 系统确认该用户的身份是否真实 合法和唯一的过程 网络安全技术及应用 第5章身份认证与访问控制 4 2 身份认证的作用身份认证与鉴别是信息安全中的第一道防线 是保证计算机网络系统安全的重要措施之一 对信息系统的安全有着重要的意义 身份认证可以确保用户身份的真实 合法和唯一性 认证是对用户身份和认证信息的生成 存储 同步 验证和维护的整个过程的管理 因此 可以防止非法人员进入系统 防止非法人员通过各种违法操作获取不正当利益 非法访问受控信息 恶意破坏系统数据的完整性的情况的发生 严防 病从口入 关口 网络安全技术及应用 第5章身份认证与访问控制 5 3 认证技术种类 1 认证技术是计算机网络安全中的一个重要内容 一般可以分为两种 1 消息认证 2 身份认证 1 识别2 验证常用的身份认证技术主要包括 1 基于秘密信息的身份认证方法1 口令认证2 单向认证3 双向认证4 零知识认证 2 基于物理安全的身份认证方法 网络安全技术及应用 第5章身份认证与访问控制 6 3 认证技术种类 2 基于生物学的认证方案包括基于指纹识别的身份认证 基于声音识别的身份认证以及基于虹膜识别的身份认证等技术 基于智能卡的身份认证机制在认证时需要一个硬件 称为智能卡 智能卡中存有秘密信息 通常是一个随机数 只有持卡人才能被认证 网络安全技术及应用 第5章身份认证与访问控制 7 4 身份认证系统组成认证服务器认证系统用户端软件认证设备 网络安全技术及应用 第5章身份认证与访问控制 8 5 1 2身份认证技术方法认证技术是信息安全理论与技术的一个重要方面 用户在访问安全系统之前 首先经过身份认证系统识别身份 然后访问监控设备 根据用户的身份和授权数据库 决定用户是否能够访问某个资源 身份认证在安全系统中的地位极其重要 是最基本的安全服务 其他的安全服务都要依赖于对用户身份的认证 一般身份认证可分为用户与主机间的认证和主机与主机之间的认证 网络安全技术及应用 第5章身份认证与访问控制 9 目前 计算机及网络系统中常用的身份认证方式主要有以下几种 1 用户名及密码方式用户名及密码方式是最简单也是最常用的身份认证方法 由用户自己设定 只有用户本人知道 只要能够正确输入密码 计算机就认为操作者就是合法用户 网络安全技术及应用 第5章身份认证与访问控制 10 2 智能卡认证智能卡是一种内置集成的电路芯片 芯片中存有与用户身份相关的数据 智能卡由专门的厂商通过专门的设备生产 是不可复制的硬件 智能卡由合法用户随身携带 登录时必须将智能卡插入专用的读卡器读取其中的信息 以验证用户的身份 网络安全技术及应用 第5章身份认证与访问控制 11 3 动态令牌认证动态口令技术是一种让用户密码按照时间或使用次数不断变化 每个密码只能使用一次的技术 它采用一种动态令牌的专用硬件 内置电源 密码生成芯片和显示屏 密码生成芯片运行专门的密码算法 根据当前时间或使用次数生成当前密码并显示 用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机 即可实现身份认证 网络安全技术及应用 第5章身份认证与访问控制 12 4 USBKey认证基于USBKey的身份认证方式是近几年发展起来的一种方便 安全的身份认证技术 它采用软硬件相结合 一次一密的强双因子认证模式 很好地解决了安全性与易用性之间的矛盾 USBKey内置单片机或智能卡芯片 可以存储用户的密钥或数字证书 利用USBKey内置的密码算法实现对用户身份的认证 基于USBKey身份认证系统主要有两种应用模式 一是基于冲击 响应的认证模式 二是基于PKI体系的认证模式 网络安全技术及应用 第5章身份认证与访问控制 13 5 生物识别技术生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术 生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式 生物特征分为身体特征和行为特征两类 身体特征包括 指纹 掌型 视网膜 虹膜 人体气味 脸型 手的血管和DNA等 行为特征包括 签名 语音 行走步态等 网络安全技术及应用 第5章身份认证与访问控制 14 6 CA认证CA CertificationAuthority 是认证机构的国际通称 它是对数字证书的申请者发放 管理 取消数字证书的机构 CA的作用是检查证书持有者身份的合法性 并签发证书 用数学方法在证书上签字 以防证书被伪造或篡改 网络身份证的发放 管理和认证就是一个复杂的过程 也就是CA认证 网络安全技术及应用 第5章身份认证与访问控制 15 5 2登录认证与授权管理5 2 1用户登录认证1 单次登录所面临的挑战单次登录 SingleSignOn 简称SSO 是指用户只向网络进行一次身份验证 以后再无需另外验证身份 便可访问所有被授权的网络资源 单次登录技术SSO所面临的挑战包括几个方面 1 多种应用平台 2 不同的安全机制 3 不同的账户服务系统 网络安全技术及应用 第5章身份认证与访问控制 16 2 单次登录的优点实现单次登录SSO 对于用户的好处主要有 1 管理更简单 2 管理控制更方便 3 用户使用更快捷 4 更高的网络安全性 5 合并异构网络 网络安全技术及应用 第5章身份认证与访问控制 17 5 2 2认证授权管理1 认证与授权管理目标 1 用户认证与认证授权管理目标包括以下7个方面 1 目录服务系统是架构的基础模块 2 身份管理系统是实现不同应用的身份存储统一管理的基础 3 认证管理系统并非必须 各系统往往自带认证模块 4 访问管理系统因为系统资源的多样性呈现多种 目前最为成熟的是对Web资源的访问管理 称为WebSSO 网络安全技术及应用 第5章身份认证与访问控制 18 1 认证与授权管理目标 2 5 集成平台 门户服务器 应用服务器或EAI平台 提供统一入口管理 建议认证管理系统和访问管理系统施加在集成平台上以实现统一认证和授权管理 6 监控服务可以附加在各类平台 集成平台 认证管理系统 访问管理系统等 中 也可以是独立的产品 7 采用以上架构 可以提供身份信息的统一存储和统一管理 并实现身份认证及资源访问的集成管理 同时最大程度地保护我行现有的IT投资 网络安全技术及应用 第5章身份认证与访问控制 19 2 认证授权管理的原则为达成以上的目标模式 应遵循以下的指导原则 1 统一规划管理 分步部署实施 2 建立统一的信息安全服务平台 提供统一的身份认证和访问管理服务 3 保护现有IT投资 并便于未来扩展 网络安全技术及应用 第5章身份认证与访问控制 20 5 3数字签名技术5 3 1数字签名概念及功能1 数字签名的概念数字签名 DigitalSignature 是指用户以个人的私钥对原始数据进行加密所得的特殊数字串 专门用于保证信息来源的真实性 数据传输的完整性和防抵赖性 数字签名在电子银行 证券和电子商务等方面应用非常广泛 从法律上讲 签名有两个功能 即标识签名人和表示签名人对文件内容的认可 网络安全技术及应用 第5章身份认证与访问控制 21 2 数字签名的方法和功能 1 实现电子签名的技术手段有多种 需要在确认了签署者的确切身份即经过认证之后 电子签名承认人们可以用多种不同的方法签署一份电子记录 方法包括 基于PKI的公钥密码技术的数字签名 用一个独一无二的以生物特征统计学为基础的识别标识 手印 声音印记或视网膜扫描的识别 一个让收件人能识别发件人身份的密码代号 密码或个人识别码PIN 基于量子力学的计算机等 但比较成熟的 使用方便具有可操作性的 在世界先进国家和我国普遍使用的电子签名技术还是基于PKI的数字签名技术 网络安全技术及应用 第5章身份认证与访问控制 22 2 数字签名的方法和功能 2 数字签名的功能 1 签名是可信的 文件的接受者相信签名者是慎重地在文件上签名的 2 签名不可抵赖 发送者事后不能抵赖对报文的签名 可以核实 3 签名不可伪造 签名可以证明是签字者而不是其他人在文件上签字 4 签名不可重用 签名是文件的一部分 不可能将签名移动到其它的文件上 5 签名不可变更 签名和文件就不能改变 签名和文件也不可分离 6 数字签名有一定的处理速度 能够满足所有的应用需求 网络安全技术及应用 第5章身份认证与访问控制 23 5 3 2数字签名的种类1 手写签名或图章的识别即将手写签名或印章作为图像 用光扫描经光电转换后在数据库中加以存储 当验证此人的手写签名或盖印时 也用光扫描输入 并将原数据库中的对应图像调出 用模式识别的数学计算方法对将两者进行比对 以确认该签名或印章的真伪 网络安全技术及应用 第5章身份认证与访问控制 24 2 生物识别技术生物识别技术是利用人体生物特征进行身份认证的一种技术 生物特征个人的唯一表征 可以测量 自动识别和验证 人们同识别系统交互进行身份认证时 识别系统获取其特征并与数据库中的特征模板进行比对 确定匹配确认 网络安全技术及应用 第5章身份认证与访问控制 25 3 密码 密码代号或个人识别码是一种传统的对称密钥加 解密的身份识别和签名方法 适用远程网络传输 因对称密钥管理困难 不适用于电子签名 4 基于量子力学的计算机量子计算机是以量子力学原理直接进行计算的计算机 机具有更强大的功能 其计算速度要比现代的计算机快几亿倍 量子计算机是利用一种新的量子密码的编码方法 即利用光子的相位特性编码 网络安全技术及应用 第5章身份认证与访问控制 26 5 基于PKI的电子签名数字签名只是电子签名的一种特定形式 基于PKI的电子签名被称作数字签名 目前 具有实际意义的电子签名只有公钥密码理论 所以 国内外普遍目前使用的还是基于PKI的数字签名技术 作为公钥基础设施 PKI可提供多种网上安全服务 如认证 数据保密性 数据完整性和不可否认性 网络安全技术及应用 第5章身份认证与访问控制 27 5 3 3数字签名的技术实现方法1 身份认证的实现 1 PKI提供的服务首先是认证 即身份识别与鉴别 就是确认实体即为自己所声明的实体 认证的前提是甲 乙双方都具有第三方CA所签发的证书 认证分单向认证和双向认证 网络安全技术及应用 第5章身份认证与访问控制 28 1 身份认证的实现 2 双向认证 甲乙双方在网上查询对方证书的有效性及黑名单时 采用LDAP协议 LightDirectoryAccessProtocol 它是一种轻型目录访问协议 过程如图所示 网络安全技术及应用 第5章身份认证与访问控制 29 2 数字签名与验证网上通信的双方 在互相认证身份之后 即可发送签名的数据电文 数字签名的全过程分两大部分 即签名与验证 3 数字签名的操作过程数字签名的操作过程需要有发方的签名证书的私钥及其验证公钥 网络安全技术及应用 第5章身份认证与访问控制 30 5 4访问控制技术5 4 1访问控制概述1 访问控制的概念 1 访问控制 VisitControl 是指对网络中的某些资源访问进行的控制 只有被授予不同权限的用户 才有资格访问特定的资源 程序或数据 为了保护数据的安全性 还可限定一些数据资源的读写范围 是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制 网络的访问控制技术是通过对访问的申请 批准和撤销的全过程进行有效的控制 网络安全技术及应用 第5章身份认证与访问控制 31 1 访问控制的概念 2 访问控制是系统保密性 完整性 可用性和合法使用性的基础 是网络安全防范和保护的主要策略 其主要任务是保证网络资源不被非法使用和非法访问 也是维护网络系统安全 保护网络资源的重要手段 访问控制是主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问 访问控制包括三个要素 即主体 客体和控制策略 网络安全技术及应用 第5章身份认证与访问控制 32 1 访问控制的概念 3 访问控制策略有7种 1 入网访问控制策略 2 网络的权限控制策略 3 目录级安全控制策略 4 属性安全控制策略 5 网络服务器安全控制策略 6 网络监测和锁定控制策略 7 网络端口和节点的安全控制策略 网络安全技术及应用 第5章身份认证与访问控制 33 2 访问控制的内容访问控制的实现首先要考虑对合法用户进行验证 然后是对控制策略的选用与管理 最后要对非法用户或是越权操作进行管理 访问控制包括认证 控制策略实现和安全审计三个方面的内容 网络安全技术及应用 第5章身份认证与访问控制 34 5 4 2访问控制的模式及管理1 访问控制的层次一般可以将访问控制分为2个层次 物理访问控制和逻辑访问控制 通常 物理访问控制包括标准的钥匙 门 锁和设备标签等 而逻辑访问控制则是在数据 应用 系统和网络等层面实现的 对于银行 证券等重要金融机构的网站 网络信息安全重点关注的是逻辑访问控制 物理访问控制则主要由其他类型的安全部门完成 网络安全技术及应用 第5章身份认证与访问控制 35 2 访问控制的模式主要的访问控制模式有三种 1 自主访问控制 DAC 2 强制访问控制 MAC 3 基于角色的访问控制 RBAC 网络安全技术及应用 第5章身份认证与访问控制 36 3 访问控制规则 1 访问者主体对客体的访问可以基于身份 也可以基于角色 即 访问者 可以是身份标识 也可以是角色 从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践 2 资源对资源的保护应包括两个层面 物理层和逻辑层 3 访问控制规则 网络安全技术及应用 第5章身份认证与访问控制 37 4 单点登录的访问管理根据登录的应用类型不同 可以将单点登录SSO分为以下三种类型 1 对桌面资源的统一访问管理 2 Web单点登录 3 对传统C S结构应用的统一访问管理 网络安全技术及应用 第5章身份认证与访问控制 38 5 4 3访问控制的安全策略1 安全策略实施原则 1 最小特权原则 2 最小泄漏原则 3 多级安全策略2 基于身份的规则的安全策略建立基于身份安全策略和基于规则安全策略的基础是授权行为 1 基于身份的安全策略 2 基于规则的安全策略 网络安全技术及应用 第5章身份认证与访问控制 39 3 综合访问控制策略访问控制技术的目标是防止对任何资源的非法访问 从应用方面的访问控制策略包括以下几个方面 1 入网访问控制 2 网络的权限控制 3 目录级安全控制 4 属性安全控制 5 网络服务器安全控制 6 网络监测和锁定控制 7 网络端口和节点的安全控制 8 防火墙控制 网络安全技术及应用 第5章身份认证与访问控制 40 5 4 4认证服务与访问控制系统1 AAA技术概述AAA Authentication Authorization和Accounting 简称AAA 是指认证 鉴权和审计 基于AAA技术的中心认证系统正是用于远程用户的管理 AAA并非一种具体的实现技术 而是一种安全体系结构 它所实现的功能用简单形象的比喻来说 即 它是谁 可以做什么 最后做了些什么 AAA系统提供的服务有认证 鉴权 审计3种 网络安全技术及应用 第5章身份认证与访问控制 41 2 远程鉴权拨入用户服务远程鉴权拨入用户服务 RemoteAuthenticationDialInUserService 简称RADIUS 主要用于管理通过远程线路拨入企业网络获得相应访问资源的分散用户 当用户想要通过远程网络与网络接入服务器建立连接时 运行RADIUS协议的网络接入服务器作为客户端负责把用户的认证 鉴权和审计信息发送给事先配置好的RADIUS服务器 RADIUS服务器同时根据用户的动作进行审计并记录其计费信息 网络安全技术及应用 第5章身份认证与访问控制 42 3 终端访问控制器访问控制系统终端访问控制器访问控制系统TACACS TerminalAccessControllerAccessControlSystem 的功能是通过一个或多个中心服务器为网络设备提供访问控制服务 TACACS是Cisco私有的协议 它支持独立的身份认证 鉴权和审计功能 网络安全技术及应用 第5章身份认证与访问控制 43 5 5安全审计技术5 5 1安全审计概述1 安全审计的概念及目的计算机网络安全审计 Audit 是通过一定的安全策略 利用记录及分析系统活动和用户活动的历史操作事件 按照顺序检查 审查和检验每个事件的环境及活动 其中系统活动包括操作系统和应用程序进程的活动 用户活动包括用户在操作系统中和应用程序中的活动 如用户使用何种资源 使用的时间 执行何种操作等方面 发现系统的漏洞和入侵现为并改进系统的性能和安全 安全审计就是对系统的记录与行为进行独立的审查与估计 网络安全技术及应用 第5章身份认证与访问控制 44 2 安全审计的类型安全审计有三种类型 1 系统级审计 2 应用级审计 3 用户级审计 网络安全技术及应用 第5章身份认证与访问控制 45 3 安全审计系统的基本结构安全审计是通过对所关心的事件进行记录和分析来实现的 因此审计过程包括审计发生器 日志记录器 日志分析器和报告机制几部分 如图所示 网络安全技术及应用 第5章身份认证与访问控制 46 5 5 2系统日记审计1 系统日志的内容系统日志的内容包括日志系统可根据安全的强度要求 选择记录下列部分或全部的事件 1 审计功能的启动和关闭 2 使用身份验证机制 3 将客体引入主体的地址空间 4 删除客体 5 管理员 安全员 审计员和一般操作人员的操作 6 其他专门定义的可审计事件 网络安全技术及应用 第5章身份认证与访问控制 47 2 安全审计的记录机制不同的系统可以采用不同的机制记录日志 日志的记录可以由操作系统完成 也可以由应用系统或其他专用记录系统完成 通常 大部分情况都采用系统调用Syslog方式记录日志 也可以用SNMP记录 网络安全技术及应用 第5章身份认证与访问控制 48 3 日志分析日志分析就是在日志中寻找模式 主要内容如下 1 潜在侵害分析 2 基于异常检测的轮廓 3 简单攻击探测 4 复杂攻击探测 网络安全技术及应用 第5章身份认证与访问控制 49 4 审计事件查阅审计系统的安全主要是查阅和存储的安全 审计事件的查阅应该受到严格的限制 不能篡改日志 通常通过以下不同的层次保证查阅的安全 1 审计查阅 2 有限审计查阅 3 可选审计查阅 网络安全技术及应用 第5章身份认证与访问控制 50 5 审计事件存储审计事件的存储也有安全要求 具体有如下几种