BIT4信息系统安全机制-身份管理全解.ppt

动态口令 动态口令是根据专门的算法生成一个不可预测的随机数字组合，每个密码只能使用一次 动态口令终端 短信密码 硬件令牌: 当前最主流的是基于时间同步的硬件口令牌，它每60秒变换一次动态口令，动态口令一次有效，它产生6位/8位动态数字。 手机令牌: 手机令牌是一种手机客户端软件，它是基于时间同步方式，每隔30秒产生一个随机6位动态密码 口令管理 一个严重安全隐患 每个人都有很多常用的网络应用，帐号、密码统一简化处理 微博、微信、qq、多个邮箱、大众点评、云盘、百度、360、12306、Ctrip、淘宝、京东、当当...... 如何解决？ 多因素认证、PKI SAML – 安全断言标记语言 SAML是一种基于XML的安全性标准，用于在Internet不同的安全域中交换身份验证和授权凭证。权限信息是通过声明主体来传递的。 SAML规范描述了SAML的4个主要成分，分别为声明、请求和响应的协议、绑定和配置文件。 SAML – 安全断言标记语言 声明 声明可能包含有关主体所执行的身份验证操作的有关信息、主体属性以及是否允许该主体访问特定资源的授权决策。 SMAL提供如下3种类型的声明： 身份验证声明，在该声明中，主体的身份已经过验证。身份验证声明中描述了身份验证信息。 属性声明：该声明包含有关主体的特定信息，如主体的信用限制、访问级别、信用等级或其他合法声明。 授权策略声明：该声明指明主体可以执行或被授权执行的操作。例如，该声明可以指明主体是否已经过授权、可执行特定的事务。 SAML – 安全断言标记语言 协议 协议定义了请求或者接收信息的统一方式，该信息就是指声明。 可以请求或者接收身份验证信息、属性信息和授权信息。 SAML定义了一个请求和响应的协议，请求包括SubjectQuery、AuthenticationQuery、AttributeQuery和AuthorizationDecisionQuery。 总结 身份认证在信息安全中的地位 是安全的前提：授权、访问控制、审计、取证 基础是受认证主体的特殊性 密码、生物特征、证书私钥 抗攻击 攻击模式：口令试探、网络嗅探 抗攻击方法：一次性口令、动态口令 集中认证问题 Windows kerbros Web Service：XML SAML SSO单点登录 口令管理 口令的要求： 包含一定的字符数； 和ID无关； 包含特殊的字符； 大小写； 不容易被猜测到。 跟踪用户所产生的所有口令，确保这些口令不相同， 定期更改其口令。 使用字典式攻击的工具找出比较脆弱的口令。 口令管理 口令产生器 不是让用户自己选择口令，口令产生器用于产生随机的和可拼写口令。 口令的时效 强迫用户经过一段时间后就更改口令。 系统还记录至少5到10个口令，使用户不能使用刚刚使用的口令。 限制登录次数 免受字典式攻击或穷举法攻击 提纲 身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证 Kerberos 简介 Kerberos 麻省理工学院为Athena 项目开发的一个认证服务系统 目标是把UNIX认证、记帐、审计的功能扩展到网络环境： 公共的工作站，只有简单的物理安全措施 集中管理、受保护的服务器 多种网络环境，假冒、窃听、篡改、重发等威胁 基于Needham-Schroeder认证协议，可信第三方 基于对称密钥密码算法,实现集中的身份认证和密钥分配, 通信保密性、完整性 认证服务 票据发放服务（Ticket Granting Service） 票据（Ticket） 是一种临时的证书，用tgs 或 应用服务器的密钥加密 TGS 票据 服务票据 加密： Kerberos V4 的认证过程 AS TGS 请求tickettgs Tickettgs+ 会话密钥 请求ticketv Ticketv+会话密钥 请求服务 提供服务器认证符 （1） （2） （3） （4） （5） （6） 多管理域环境下的认证 Client AS TGS Kerberos AS TGS Kerberos Server 1.请求本地Tickettgs 2. 本地Tickettgs 3. 请求远程tickettgs 共享密钥相互注册 4. 远程ticket tgs 5.请求远程服务ticket 6.远程服务ticket 7.请求远程服务 提纲 身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证 基于X509公钥证书的认证 X509 认证框架 X509证书 基于公钥证书的认证过程 不同管理域的问题 X509 认证框架 Cer