信息安全(身份认证与授权控制).ppt

信息安全----身份认证与授权控制 概述 James P. Anderson在1972年提出了一个经典安全模型的最初雏形。 身份认证系统识别主体身份，然后访问监控器。 访问控制是在主体身份得到认证后，根据用户身份和授权数据库决定用户能否访问客体。 审计系统贯穿于整个过程，记录用户的请求和行为。 身份认证 身份认证是指用户必须提供他是谁的证明。认证的目的就是弄清楚他是谁，具有什么特征。 单机状态下的身份认证 形式： 用户所知道的东西，如用户号，密码。 用户所拥有的东西：如智能卡、身份证、护照、密钥盘 用户所具有的生物特征，如指纹、声音、视网膜扫描、NDA等。 基于口令的认证方式 口令的存储： 直接明文存储 Hash散列存储（MD5加密，存储口令的散列值，而不是明文） 基于口令认证方式存在的安全问题： 单因素认证，安全性完全依赖于口令。 密码泄漏 基于智能卡的认证方式 智能卡（Smart Card）又称集成电路卡，即IC卡 双因素认证：智能卡+PIN(个人身份识别码) 基于智能卡认证方式存在的安全问题： 智能卡与接口设备之间的信息流通被截取 伪造智能卡 在交易中偷换智能卡 雇员作弊 基于生物特征的认证方式 指纹识别 网络环境下的身份认证 网络环境下的身份认证较为复杂，因为验证双方一般都通过网络而非直接接触，容易遭受黑客攻击，所以目前一般采用高强度的密码认证协议技术进行身份认证。 一次性口令（OTP，One-Time Password）技术 一次性口令产生和验证过程 Kerberos认证服务 MIT针对分布式网络环境开发的网络身份认证系统 Greek Kerberos是古希腊神话中的有三个头的狗，是地狱之门的守卫。 Modern Kerberos是指有三个组成部分的网络之门保护者： 认证（Authentication） 计费（Accounting） 审计（Audit） Kerberos4认证过程 第一阶段, 用户从AS获取：票据许可票据 第二阶段, 用户从TGS获取：服务许可票据 第三阶段, 用户从服务器获取：服务 Kerberos认证过程 第一阶段, 用户从AS获取：票据许可票据 (1) C-AS: IDc||IDtgs||TS1 (2) AS-C: EKc[Kc,tgs||IDtgs||TS2||lifetime2||Tickettgs] 其中: Tickettgs =EKtgs[Kc,tgs ||IDc ||ADc||IDtgs||TS2||lifetime2] 第二阶段, 用户从TGS获取：服务许可票据 (3) C-TGS: IDv|| Tickettgs ||Authenticatorc (4) TGS-C: EKc,tgs[Kc,v||IDv||TS4|| Ticketv] 其中: Authenticatorc =EKc,tgs[IDc||ADc||TS3] Ticketv =EKv[Kc,v||IDc||ADc||IDv||TS4||lifetime4] Kerberos认证过程(续…) 第三阶段, 用户从服务器获取服务 (5) C-V: Ticketv||Authenticatorv (6) V-C: EKc,v[TS5 + 1] 其中： Ticketv =EKv[Kc,v||IDc||ADc||IDv||TS4||lifetime4] Authenticatorv =EKc,v[IDc||ADc||TS5] RADIUS协议 Remote Authentication Dial-in User Service是一个在拨号网络中提供注册、验证和计费功能的工业标准. RADIUS是由郎讯公司提出的，现已成为一项通用的认证计费协议标准（RFC 2138，2139，2200） RADIUS认证要用到基于挑战/应答（Challenge/Response）的认证方式。 RADIUS结构图 RADIUS的认证过程 用户接入NAS NAS向RADIUS服务器使用Access-Require数据提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播； RADIUS服务器对用户名和密码的合法性进行检验，如果合法，给 NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问； 如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。 RADIUS的特点 RA