CISP培训鉴别与访问控制.pptx

鉴别与访问控制版本：3.0发布日期：2014-12-1生效日期：2015-1-1 讲师姓名：强制访问控制模型访问控制基本概念自主访问控制模型鉴别的方法鉴别的类型集中访问控制基于角色的访问控制模型非集中访问控制课程内容鉴别访问控制模型鉴别与访问控制访问控制技术知识子域知识域知识体知识域：鉴别知识子域：鉴别的类型理解标识、鉴别的概念和作用理解单向鉴别、双向鉴别和第三方鉴别的区别知识子域：鉴别的方法理解基于所知、所有和生物特征的三种基本鉴别方法及其特点理解每种鉴别方法及组合鉴别方法的强度标识标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定标识的主要作用：访问控制和审计访问控制：标识用于控制是否允许特定的操作审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来鉴别确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体口令、挑战-应答、生物特征鉴别所有其它的安全服务都依赖于该服务需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体目的：使别的成员（验证者）获得对声称者所声称的事实的信任标识和鉴别的作用作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份访问控制直接对机密性、完整性、可用性及合法使用资源提供支持作为数据源认证的一种方法与数据完整性机制结合起来使用作为审计追踪的支持在审计追踪记录时，提供与某一活动关联的确知身份鉴别系统的组成被验证者P（Prover）：出示身份标识的人，又称声称者（Claimant）验证者V（Verifier）：检验声称者提出的身份标识的正确性和合法性，决定是否满足要求可信赖者TP（Trusted Third Party）：参与鉴别的第三方，参与调解纠纷TPP V鉴别的类型单向鉴别和双向鉴别单向鉴别：通信双方中只有一方向另一方进行鉴别双向鉴别：通信双方相互进行鉴别第三方鉴别：由可信第三方来确认身份本地鉴别和远程鉴别本地鉴别：实体在本地环境的初始化鉴别远程鉴别：连接远程设备的实体鉴别鉴别的方法基于你所知道的（What you know ）知识、口令、密码基于你所拥有的（What you have ）身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征（What you are）指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素、多因素认证常见的鉴别技术基于口令的身份认证基于生物特征的身份认证基于个人令牌的身份认证基于口令的身份认证口令是使用最广泛的身份鉴别方法选择原则：易记、难猜测、抗分析能力强口令提供弱鉴别，面临的威胁：口令猜测线路窃听重放攻击……防止线路窃听使用保护口令机制：单向函数攻击者很容易构造一张q与p对应的表，表中的p尽可能包含所期望的值解决办法：在口令后使用随机数一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击口令的确定方法：两端共同拥有一串随机口令，在该串的某一位置保持同步两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步使用时间戳，两端维持同步的时钟基于个人令牌的身份认证集成电路卡（Integrated Circuit Card）简称IC卡，其中镶嵌集成电路芯片IC卡的分类IC卡接口类型接触式IC卡非接触式IC卡双界面卡嵌入集成电路芯片的形式和类型非加密存储卡逻辑加密卡 （EEPROM存储单元阵列 + 密码控制逻辑单元)CPU卡（又称智能卡）智能卡的安全特性硬件与外界通信前，先完成智能卡与终端间的认证加入安全传感器，防止在数据被读出或写入时被修改发生异常，智能卡复位，或者置标志位，使智能卡操作系统做出相应反应存储器加密，不保存任何明文软件使用需要通过双因素认证，进入操作智能卡的安全状态信息采用文件系统进行保存，依据类型或密钥的不同，提供不同的访问操作支持DES、3DES和RSA等密码算法基于生物特征的身份认证（一）每个人所具有的唯一生理特征指纹，视网膜，声音，虹膜、语音、面部、签名等指纹一些曲线和分叉以及一些非常微小的特征提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询手掌、手型 手掌有折痕，起皱，还有凹槽还包括每个手指的指纹 人手的形状（手的长度，宽度和手指）表示了手的几何特征 基于生物特征的身份认证（二）视网膜扫描 扫描眼球后方的视网膜上面的血管的图案；虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状认证结果指纹图象采集仪图象输入通道指纹细节匹配指纹识别的实现原理通过特殊的光电扫描和计算机图像处理技术，对指纹进行采集、分析和比对，自动、迅速、准确地认证出个人