第5章身份认证与访问控制汇总课件.ppt

贾铁军 沈学东 苏庆刚等编著机械工业出版社,网络安全技术及应用,第5章 身份认证与访问控制,本章要点 身份认证技术的概念、种类和方法 数字签名技术及应用 访问控制技术及应用 安全审计技术及应用,网络安全技术及应用,第5章 身份认证与访问控制,教学目标 理解身份认证技术的概念、种类和方法 了解登录认证与授权管理 掌握访问控制技术及应用 掌握安全审计技术及应用,网络安全技术及应用,第5章 身份认证与访问控制,5.1 身份认证技术概述5.1.1 身份认证的概念1.认证技术的概念 认证（Authentication）是通过对网络系统使用过程中的主客体进行鉴别，并经过确认主客体的身份以后，给这些主客体赋予恰当的标志、标签、证书等的过程。身份认证（Identity and Authentication Management）是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。,网络安全技术及应用,第5章 身份认证与访问控制,2.身份认证的作用 身份认证与鉴别是信息安全中的第一道防线，是保证计算机网络系统安全的重要措施之一,对信息系统的安全有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一性。认证是对用户身份和认证信息的生成、存储、同步、验证和维护的整个过程的管理。因此，可以防止非法人员进入系统，防止非法人员通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生，严防“病从口入”关口。,网络安全技术及应用,第5章 身份认证与访问控制,3.认证技术种类(1)认证技术是计算机网络安全中的一个重要内容，一般可以分为两种：(1)消息认证:保证信息的完整性和抗否认性(2)身份认证：1)识别 2)验证 常用的身份认证技术主要包括：(1)基于秘密信息的身份认证方法 1)口令认证 2)单项认证 3)双向认证 4)零知识认证(2)基于物理安全的身份认证方法,网络安全技术及应用,第5章 身份认证与访问控制,3.认证技术种类(2)基于生物学的认证方案包括基于指纹识别的身份认证、基于声音识别的身份认证以及基于虹膜识别的身份认证等技术。基于智能卡的身份认证机制在认证时需要一个硬件，称为智能卡。智能卡中存有秘密信息，通常是一个随机数，只有持卡人才能被认证。,网络安全技术及应用,第5章 身份认证与访问控制,4.身份认证系统的组成认证服务器认证系统用户端软件认证设备AAA系统（认证、授权、审计）是身份认证系统的关键,网络安全技术及应用,5.1.2 身份认证技术方法 认证技术是信息安全理论与技术的一个重要方面。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控设备，根据用户的身份和授权数据库，决定用户是否能够访问某个资源。身份认证在安全系统中的地位极其重要，是最基本的安全服务，其他的安全服务都要依赖于对用户身份的认证。一般身份认证可分为用户与主机间的认证和主机与主机之间的认证。,目前，计算机及网络系统中常用的身份认证方式主要有以下几种：1.用户名及密码方式 用户名及密码方式是最简单也是最常用的身份认证方法，由用户自己设定，只有用户本人知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。,网络安全技术及应用,第5章 身份认证与访问控制,2.智能卡认证 智能卡是一种内置集成的电路芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。,网络安全技术及应用,第5章 身份认证与访问控制,3.动态令牌认证 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。,网络安全技术及应用,第5章 身份认证与访问控制,4.USB Key认证 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式。,网络安全技术及应用,第5章 身份认证与访问控制,5.生物识别技术 生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：签名、语音、行走步态等。,网络安全技术及应用,第5章 身份认证与访问控制,6.CA认证 CA(Certification Authority)是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。CA 的作用是检查证书持有者身份的合法性，并签发证书(用数学方法在证书上签字)，以防证书被伪造或篡改。网络身份证的发放、管理和认证就是一个复杂的过程，也就是CA认证。,网络安全技术及应用,第5章 身份认证与访问控制,5.2 登录认证与授权管理5.2.1 双因素安全令牌及认证系统1.固定口令安全问题 网络数据流窃听认证信息窃取/重放字典攻击穷举尝试窥探社会工程垃圾搜索,网络安全技术及应用,第5章 身份认证与访问控制,2.双因素安全令牌及认证系统 双因素身份认证系统的组成安全身份认证服务器（提供数据存储、AAA服务、管理等功能）双因素安全令牌（动态口令卡）认证代理,第5章 身份认证与访问控制,网络安全技术及应用,双因素身份认证系统的功能各种主机系统用户登录身份认证、登录审计各种网络设备（路由器、交换机等）用户登录身份认证、访问控制、审计VPN用户的接入身份认证、访问控制、审计各种应用系统的用户登录身份认证、审计,第5章 身份认证与访问控制,网络安全技术及应用,5.2.2 用户登录认证1.单次登录所面临的挑战 单次登录（Single Sign On，简称SSO）是指用户只向网络进行一次身份验证，以后再无需另外验证身份，便可访问所有被授权的网络资源。单次登录技术SSO所面临的挑战包括几个方面。(1)多种应用平台(2)不同的安全机制(3)不同的账户服务系统,第5章 身份认证与访问控制,网络安全技术及应用,2.单次登录的优点实现单次登录SSO，对于用户的好处主要有：(1)管理更简单(2)管理控制更方便(3)用户使用更快捷(4)更高的网络安全性(5)合并异构网络,网络安全技术及应用,第5章 身份认证与访问控制,5.2.2 认证授权管理1.认证与授权管理目标(1)用户认证与认证授权管理目标包括以下7个方面：(1)目录服务系统是架构的基础模块(2)身份管理系统是实现不同应用的身份存储统一管理的基础。(3)认证管理系统并非必须，各系统往往自带认证模块。(4)访问管理系统因为系统资源的多样性呈现多种，目前最为成熟的是对Web资源的访问管理（称为Web SSO）,网络安全技术及应用,第5章 身份认证与访问控制,1.认证与授权管理目标(2)(5)集成平台（门户服务器、应用服务器或EAI平台）提供统一入口管理，建议认证管理系统和访问管理系统施加在集成平台上以实现统一认证和授权管理。(6)监控服务可以附加在各类平台（集成平台、认证管理系统、访问管理系统等）中，也可以是独立的产品。(7)采用以上架构，可以提供身份信息的统一存储和统一管理，并实现身份认证及资源访问的集成管理，同时最大程度地保护我行现有的IT投资。,网络安全技术及应用,第5章 身份认证与访问控制,2.认证授权管理的原则 为达成以上的目标模式，应遵循以下的指导原则：(1)统一规划管理，分步部署实施(2)建立统一的信息安全服务平台，提供统一的身份认证和访问管理服务(3)保护现有IT投资，并便于未来扩展,网络安全技术及应用,第5章 身份认证与访问控制,5.4 访问控制技术5.4.1 访问控制概述1.访问控制的概念(1)访问控制（Visit Control）是指对网络中的某些资源访问进行的控制，只有被授予不同权限的用户，才有资格访问特定的资源、程序或数据。为了保护数据的安全性，还可限定一些数据资源的读写范围。是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制。,网络安全技术及应用,第5章 身份认证与访问控制,1.访问控制的概念(2)访问控制是系统保密性、完整性、可用性和合法使用性的基础，是网络安全防范和保护的主要策略。其主要任务是保证网络资源不被非法使用和非法访问，也是维护网络系统安全、保护网络资源的重要手段。访问控制是主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即主体、客体和控制策略。,网络安全技术及应用,第5章 身份认证与访问控制,1.访问控制的概念(3)访问控制策略有7种：(1)入网访问控制策略(2)网络的权限控制策略(3)目录级安全控制策略(4)属性安全控制策略(5)网络服务器安全控制策略(6)网络监测和锁定控制策略(7)网络端口和节点的安全控制策略。,网络安全技术及应用,第5章 身份认证与访问控制,2.访问控制的内容 访问控制的实现首先要考虑对合法用户进行验证，然后是对控制策略的选用与管理，最后要对非法用户或是越权操作进行管理。访问控制包括认证、控制策略实现和安全审计三个方面的内容。,网络安全技术及应用,第5章 身份认证与访问控制,5.4.2 访问控制的模式及管理1.访问控制的层次 一般可以将访问控制分为2个层次：物理访问控制和逻辑访问控制。通常，物理访问控制包括标准的钥匙、门、锁和设备标签等，而逻辑访问控制则是在数据、应用、系统和网络等层面实现的。对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。,网络安全技术及应用,第5章 身份认证与访问控制,2.访问控制的模式主要的访问控制模式有三种：(1)自主访问控制（DAC）(2)强制访问控制（MAC）(3)基于角色的访问控制（RBAC）,网络安全技术及应用,第5章 身份认证与访问控制,3.访问控制规则(1)访问者 主体对客体的访问可以基于身份，也可以基于角色。即“访问者”可以是身份标识，也可以是角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。(2)资源 对资源的保护应包括两个层面：物理层和逻辑层。(3)访问控制规则 四要素：访问者、资源、访问请求和访问响应。,网络安全技术及应用,第5章 身份认证与访问控制,4.单点登录的访问管理 根据登录的应用类型不同，可以将单点登录SSO分为以下三种类型：(1)对桌面资源的统一访问管理(2)Web单点登录(3)对传统C/S结构应用的统一访问管理,网络安全技术及应用,第5章 身份认证与访问控制,5.4.3 访问控制的安全策略1.安全策略实施原则(1)最小特权原则(2)最小泄漏原则(3)多级安全策略2.基于身份的规则的安全策略 建立基于身份安全策略和基于规则安全策略的基础是授权行为。(1)基于身份的安全策略(2)基于规则的安全策略,网络安全技术及应用,第5章 身份认证与访问控制,3.综合访问控制策略 访问控制技术的目标是防止对任何资源的非法访问。从应用方面的访问控制策略包括以下几个方面。(1)入网访问控制(2)网络的权限控制(3)目录级安全控制(4)属性安全控制(5)网络服务器安全控制(6)网络监测和锁定控制(7)网络端口和节点的安全控制(8)防火墙控制,网络安全技术及应用,第5章 身份认证与访问控制,5.4.4 认证服务与访问控制系统1.AAA技术概述 AAA(Authentication、Authorization和Accounting，简称AAA)是指认证、鉴权和审计，基于AAA技术的中心认证系统正是用于远程用户的管理。AAA并非一种具体的实现技术，而是一种安全体系结构，它所实现的功能用简单形象的比喻来说，即：它是谁?可以做什么?最后做了些什么?AAA系统提供的服务有认证、鉴权、审计3种。,网络安全技术及应用,第5章 身份认证与访问控制,2.远程鉴权拨入用户服务 远程鉴权拨入用户服务(Remote Authentication Dial In User Service，简称RADIUS)，主要用于管理通过远程线路拨入企业网络获得相应访问资源的分散用户。当用户想要通过远程网络与网络接入服务器建立连接时，运行RADIUS协议的网络接入服务器作为客户端负责把用户的认证、鉴权和审计信息发送给事先配置好的RADIUS服务器。RADIUS服务器同时根据用户的动作进行审计并记录其计费信息。,网络安全技术及应用,第5章 身份认证与访问控制,3.终端访问控制器访问控制系统 终端访问控制器访问控制系统TACACS（Terminal Access Controller Access Control System）的功能是通过一个或多个中心服务器为网络设备提供访问控制服务。TACACS是Cisco私有的协议，它支持独立的身份认证、鉴权和审计功能。,网络安全技术及应用,第5章 身份认证与访问控制,5.5 安全审计技术5.5.1 安全审计概述1.安全审计的概念及目的 计算机网络安全审计（Audit）是通过一定的安全策略，利用记录及分析系统活动和用户活动的历史操作事件，按照顺序检查、审查和检验每个事件的环境及活动，其中系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动，如用户使用何种资源、使用的时间、执行何种操作等方面，发现系统的漏洞和入侵现为并改进系统的性能和安全。安全审计就是对系统的记录与行为进行独立的审查与估计。,网络安全技术及应用,第5章 身份认证与访问控制,2.安全审计的类型 安全审计有三种类型：(1)系统级审计(2)应用级审计(3)用户级审计,网络安全技术及应用,第5章 身份认证与访问控制,3.安全审计系统的基本结构 安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图所示。,网络安全技术及应用,第5章 身份认证与访问控制,5.5.2 系统日记审计1.系统日志的内容 系统日志的内容包括日志系统可根据安全的强度要求，选择记录下列部分或全部的事件。(1)审计功能的启动和关闭。(2)使用身份验证机制。(3)将客体引入主体的地址空间。(4)删除客体。(5)管理员、安全员、审计员和一般操作人员的操作。(6)其他专门定义的可审计事件。,网络安全技术及应用,第5章 身份认证与访问控制,2.安全审计的记录机制 不同的系统可以采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其他专用记录系统完成。通常，大部分情况都采用系统调用Syslog方式记录日志，也可以用SNMP记录。,网络安全技术及应用,第5章 身份认证与访问控制,3.日志分析 日志分析就是在日志中寻找模式，主要内容如下：(1)潜在侵害分析(2)基于异常检测的轮廓(3)简单攻击探测(4)复杂攻击探测,网络安全技术及应用,第5章 身份认证与访问控制,4.审计事件查阅 审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次保证查阅的安全：(1)审计查阅(2)有限审计查阅(3)可选审计查阅,网络安全技术及应用,第5章 身份认证与访问控制,5.审计事件存储 审计事件的存储也有安全要求，具体有如下几种情况。(1)受保护的审计踪迹存储(2)审计数据的可用性保证(3)防止审计数据丢失,网络安全技术及应用,第5章 身份认证与访问控制,5.5.3 审计跟踪1.审计跟踪概念及意义(1)审计跟踪（Audit Trail）是系统活动记录，这些记录可以重构、评估、审查环境和活动的次序，这些环境和活动是同一项事务的开始到最后结束期间围绕或导致一项操作、一个过程或一个事件相关的。因此,审计跟踪可以用于实现：确定和保持系统活动中每个人的责任、重建事件、评估损失、检测系统问题区、提供有效的灾难恢复、阻止系统的不当使用等。,网络安全技术及应用,第5章 身份认证与访问控制,1.审计跟踪概念及意义(2)安全审计跟踪机制的意义在于：经过事后的安全审计可以检测和调查安全漏洞。(1)它不仅能够识别谁访问了系统，还能指出系统正被怎样的使用。(2)对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。(3)系统事件的记录可以更迅速系统地识别问题，而且是后面阶段事故处理的重要依据。(4)通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以提供发现可能产生破坏性行为的有力证据。,网络安全技术及应用,第5章 身份认证与访问控制,2.审计跟踪主要问题 安全审计跟踪主要考虑以下几个方面问题：(1)要选择记录信息内容(2)记录信息条件和情况(3)为了交换安全审计跟踪信息所采用的语法和语义定义,网络安全技术及应用,第5章 身份认证与访问控制,5.5.4 安全审计的实施 实施有关的问题包括：(1)保护审计数据(2)审查审计数据(3)用于审计分析的工具,网络安全技术及应用,第5章 身份认证与访问控制,本章小结 本章讲述了身份认证的概念、技术方法；简单介绍、用户登录认证、认证授权管理案例；访问控制概述、模式及管理、安全策略、认证服务与访问控制系统、准入控制与身份认证管理案例；最后介绍了安全审计概念、系统日记审计、审计跟踪、安全审计的实施等。,网络安全技术及应用,第5章 身份认证与访问控制,