第5章身份认证与访问控制汇总课件.ppt
《第5章身份认证与访问控制汇总课件.ppt》由会员分享,可在线阅读,更多相关《第5章身份认证与访问控制汇总课件.ppt(49页珍藏版)》请在三一办公上搜索。
1、贾铁军 沈学东 苏庆刚等编著机械工业出版社,网络安全技术及应用,第5章 身份认证与访问控制,本章要点 身份认证技术的概念、种类和方法 数字签名技术及应用 访问控制技术及应用 安全审计技术及应用,网络安全技术及应用,第5章 身份认证与访问控制,教学目标 理解身份认证技术的概念、种类和方法 了解登录认证与授权管理 掌握访问控制技术及应用 掌握安全审计技术及应用,网络安全技术及应用,第5章 身份认证与访问控制,5.1 身份认证技术概述5.1.1 身份认证的概念1.认证技术的概念 认证(Authentication)是通过对网络系统使用过程中的主客体进行鉴别,并经过确认主客体的身份以后,给这些主客体赋
2、予恰当的标志、标签、证书等的过程。身份认证(Identity and Authentication Management)是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程。,网络安全技术及应用,第5章 身份认证与访问控制,2.身份认证的作用 身份认证与鉴别是信息安全中的第一道防线,是保证计算机网络系统安全的重要措施之一,对信息系统的安全有着重要的意义。身份认证可以确保用户身份的真实、合法和唯一性。认证是对用户身份和认证信息的生成、存储、同步、验证和维护的整个过程的管理。因此,可以防止非法人员进入系统,防止非法人员通过各种违法操作获取
3、不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生,严防“病从口入”关口。,网络安全技术及应用,第5章 身份认证与访问控制,3.认证技术种类(1)认证技术是计算机网络安全中的一个重要内容,一般可以分为两种:(1)消息认证:保证信息的完整性和抗否认性(2)身份认证:1)识别 2)验证 常用的身份认证技术主要包括:(1)基于秘密信息的身份认证方法 1)口令认证 2)单项认证 3)双向认证 4)零知识认证(2)基于物理安全的身份认证方法,网络安全技术及应用,第5章 身份认证与访问控制,3.认证技术种类(2)基于生物学的认证方案包括基于指纹识别的身份认证、基于声音识别的身份认证以及基于
4、虹膜识别的身份认证等技术。基于智能卡的身份认证机制在认证时需要一个硬件,称为智能卡。智能卡中存有秘密信息,通常是一个随机数,只有持卡人才能被认证。,网络安全技术及应用,第5章 身份认证与访问控制,4.身份认证系统的组成认证服务器认证系统用户端软件认证设备AAA系统(认证、授权、审计)是身份认证系统的关键,网络安全技术及应用,5.1.2 身份认证技术方法 认证技术是信息安全理论与技术的一个重要方面。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控设备,根据用户的身份和授权数据库,决定用户是否能够访问某个资源。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其他的安全服务
5、都要依赖于对用户身份的认证。一般身份认证可分为用户与主机间的认证和主机与主机之间的认证。,目前,计算机及网络系统中常用的身份认证方式主要有以下几种:1.用户名及密码方式 用户名及密码方式是最简单也是最常用的身份认证方法,由用户自己设定,只有用户本人知道。只要能够正确输入密码,计算机就认为操作者就是合法用户。,网络安全技术及应用,第5章 身份认证与访问控制,2.智能卡认证 智能卡是一种内置集成的电路芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。,网络安全技
6、术及应用,第5章 身份认证与访问控制,3.动态令牌认证 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。,网络安全技术及应用,第5章 身份认证与访问控制,4.USB Key认证 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB
7、 Key内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。,网络安全技术及应用,第5章 身份认证与访问控制,5.生物识别技术 生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。,网络安全技术
8、及应用,第5章 身份认证与访问控制,6.CA认证 CA(Certification Authority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。CA 的作用是检查证书持有者身份的合法性,并签发证书(用数学方法在证书上签字),以防证书被伪造或篡改。网络身份证的发放、管理和认证就是一个复杂的过程,也就是CA认证。,网络安全技术及应用,第5章 身份认证与访问控制,5.2 登录认证与授权管理5.2.1 双因素安全令牌及认证系统1.固定口令安全问题 网络数据流窃听认证信息窃取/重放字典攻击穷举尝试窥探社会工程垃圾搜索,网络安全技术及应用,第5章 身份认证与访问控制,2
9、.双因素安全令牌及认证系统 双因素身份认证系统的组成安全身份认证服务器(提供数据存储、AAA服务、管理等功能)双因素安全令牌(动态口令卡)认证代理,第5章 身份认证与访问控制,网络安全技术及应用,双因素身份认证系统的功能各种主机系统用户登录身份认证、登录审计各种网络设备(路由器、交换机等)用户登录身份认证、访问控制、审计VPN用户的接入身份认证、访问控制、审计各种应用系统的用户登录身份认证、审计,第5章 身份认证与访问控制,网络安全技术及应用,5.2.2 用户登录认证1.单次登录所面临的挑战 单次登录(Single Sign On,简称SSO)是指用户只向网络进行一次身份验证,以后再无需另外验
10、证身份,便可访问所有被授权的网络资源。单次登录技术SSO所面临的挑战包括几个方面。(1)多种应用平台(2)不同的安全机制(3)不同的账户服务系统,第5章 身份认证与访问控制,网络安全技术及应用,2.单次登录的优点实现单次登录SSO,对于用户的好处主要有:(1)管理更简单(2)管理控制更方便(3)用户使用更快捷(4)更高的网络安全性(5)合并异构网络,网络安全技术及应用,第5章 身份认证与访问控制,5.2.2 认证授权管理1.认证与授权管理目标(1)用户认证与认证授权管理目标包括以下7个方面:(1)目录服务系统是架构的基础模块(2)身份管理系统是实现不同应用的身份存储统一管理的基础。(3)认证管
11、理系统并非必须,各系统往往自带认证模块。(4)访问管理系统因为系统资源的多样性呈现多种,目前最为成熟的是对Web资源的访问管理(称为Web SSO),网络安全技术及应用,第5章 身份认证与访问控制,1.认证与授权管理目标(2)(5)集成平台(门户服务器、应用服务器或EAI平台)提供统一入口管理,建议认证管理系统和访问管理系统施加在集成平台上以实现统一认证和授权管理。(6)监控服务可以附加在各类平台(集成平台、认证管理系统、访问管理系统等)中,也可以是独立的产品。(7)采用以上架构,可以提供身份信息的统一存储和统一管理,并实现身份认证及资源访问的集成管理,同时最大程度地保护我行现有的IT投资。,
12、网络安全技术及应用,第5章 身份认证与访问控制,2.认证授权管理的原则 为达成以上的目标模式,应遵循以下的指导原则:(1)统一规划管理,分步部署实施(2)建立统一的信息安全服务平台,提供统一的身份认证和访问管理服务(3)保护现有IT投资,并便于未来扩展,网络安全技术及应用,第5章 身份认证与访问控制,5.4 访问控制技术5.4.1 访问控制概述1.访问控制的概念(1)访问控制(Visit Control)是指对网络中的某些资源访问进行的控制,只有被授予不同权限的用户,才有资格访问特定的资源、程序或数据。为了保护数据的安全性,还可限定一些数据资源的读写范围。是在保障授权用户能获取所需资源的同时拒
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 身份 认证 访问 控制 汇总 课件
链接地址:https://www.31ppt.com/p-2175764.html