第四章身份认证和访问控制精要.pptVIP

身份认证概述 身份认证（Authentication）是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。 (实体认证 Entity Authentication) 身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。身份认证是第一道设防 只有实现了有效的身份认证，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。 (所有其它的安全服务都依赖于该服务) 在真实世界中，验证一个用户的身份主要通过以下三种方式： 所知道的。根据用户所知道的信息（what you know）来证明用户的身份。 所拥有的。根据用户所拥有的东西（what you have）来证明用户的身份。 本身的特征。直接根据用户独一无二的体态特征（who you are）来证明用户的身份，例如人的指纹、笔迹、DNA、视网膜及身体的特殊标志等。 认证、授权与审计 认证、授权与审计统称为AAA或3A Authentication-Authorization-Accounting 认证-解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。 授权-指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资源使用权限。 审计-记帐、审核，出于安全考虑，所有用户的行为都要留下记录，以便进行核查。所采集的数据应该包括登录和注销的用户名、主机名及时间。 用户对资源的访问过程 基于密码(口令-Password)身份认证 密码认证的特点-密码是用户与计算机之间；计算机与计算机之间共享的一个秘密，在通信过程中其中一方向另一方提交密码，表示自己知道该秘密，从而通过另一方的认证。 基于密码(口令-Password)身份认证 不使用默认密码；设置足够长的口令； 不要使用结构简单的词或数字组合； 增加口令的组合复杂度； 使用加密； 避免共享口令；定期更换口令 位数6位；大小写字母、特殊符号构成；口令定期改变；不使用生日、姓名、单词等作为口令-字典攻击；限制登录次数…… 基于密码(口令-Password)身份认证 不要暴露账户是否存在的信息； -输入一个用户名后，不论账户是否存在，都在相同时间里要求输入口令。 就密码的安全使用来说，计算机系统应该具备下列安全性 -入侵者即使取得储存在系统中的密码也无法达到登录的目的。这需要在密码认证的基础上再增加其他的认证方式，如地址认证。 -通过监听网络上传送的信息而获得的密码是不能用的。最有效的方式是数据加密。 -计算机系统必须能够发现并防止各类密码尝试攻击。可使用密码安全策略。 密码认证的安全性 -系统中只保存密码(口令)的其他形式 早在1974年，Purdy就提到为了保护密码的安全，绝对不能以明文的方式储存密码，提出将密码以单向函数y=f(x)转换后，以加密的方式将密码与账户资料存放在一个验证表中，单向函数应具有下列特性： 知道x可以很容易计算出y。 知道y要算出x，在计算上是不可行的。 UNIX系统中的口令存储 UNIX系统使用crypt()保证系统密码的安全，这一函数完成单向加密的功能。基于DES算法。 验证口令 一次性密码 使用一次性密码(OTP：One Time Password) （即“一次一密”）技术可以防止重放攻击的发生，这相当于用户随身携带一个密码本，按照与目标主机约定好的次序使用这些密码，并且每一个密钥只使用一次，当密码全部用完后再向系统管理员申请新的密码本。S/Key认证系统就是基于这种思想的一次性密码认证系统。 -在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以对付重放攻击。 密码认证中的其他问题 社会工程学 社会工程学（Social Engineering）是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。 -钓鱼- 按键记录软件 是一种间谍软件，它以木马方式值入到用户的计算机后，可以偷偷地记录下用户的每次按键动作，并按预定的计划把收集到的信息通过电子邮件等方式发送出去。-击键记录 API- 搭线窃听 攻击者通过窃听网络数据，如果密码使用明文传输，可被非法获取。目前，在IP网络中Telnet、FTP、HTTP等大量的通信协议来用明文来传输密码，这意味着在客户端和服务器端之间传输的所有信息（其中包括明文密码和用户数据）都有可能被窃取。 字典攻击 攻击者可以把所有用户可能选取的密码列举出来生成一个文