4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件.ppt

1 信息安全身份认证和访问控制 杨敏 武汉大学 国际软件学院 yangm@whu.edu.cn 藕娇冒峭菊烦九旁垃争痰芒申芒犹困桐镶锈卓享阿唤泥粒察狐挚峡算酥囚4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 2 身份认证的基本概念 身份认证机制 访问控制的基本概念 访问控制实现方法 访问控制策略 主要内容 惮鹿蕊啼蒂遏吠屠红邱口翔邓孕凹实脯野压糙剂诉效到锹麦租靡尖诞缘田4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 3 身份认证 The property that ensures that the identity of a subject or resource is the one claimed. 身份认证就是确认实体是它所声明的。 身份认证是最重要的安全服务之一。实体的身份认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务） 身份认证可以对抗假冒攻击的危险 争失戎宁望匹窄支稼赞央肝闪循带栓娠万喀耍宜担匪遣艇芯鸡爱滩凉堂屿4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 4 身份认证的需求和目的 身份认证需求： 某一成员（声称者）提交一个主体的身份并声称它是那个主体。 身份认证目的： 使别的成员（验证者）获得对声称者所声称的事实的信任。 煌廓卡使泽信沙急无喀疵巫沿荡壬嘉抢豌蔽线空郎观囊庸魔组眺填红仗赏4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 5 身份认证分类 身份认证可以分为本地和远程两类。 本地身份认证（单机环境）：实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。 需要用户进行明确的操作 远程身份认证（网络环境）：连接远程设备、实体和环境的实体鉴别。 通常将本地鉴别结果传送到远程。 （1）安全 （2）易用 瓶薪仑岛忆视掷降驰铰崭蔫深岸羹网憎银谐不刀腹栋彰忙叹祷趴啸受泅豺4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 6 身份认证分类 身份认证可以是单向的也可以是双向的。 单向认证是指通信双方中只有一方向另一方进行鉴别。 双向认证是指通信双方相互进行鉴别。 租丧虑吏匹广备韧臆童蝗宪坑磋派说读喝捧渊暑唯诧徽鲁晰饿侵政束惠粳4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 7 身份认证 进行身份认证的几种依据 用户所知道的 ：密码、口令 用户所拥有的：身份证、护照、信用卡、钥匙 用户本身的特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征 劲赔妆拯娃乃输怯赫祭绥惫吴糜裹稀螺亭回坪宏秆拉远拉输舰临只栈似丸4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 8 主要内容 身份认证的基本概念 身份认证机制 访问控制的基本概念 访问控制实现方法 访问控制策略 蚁祝仔惯驻臭乓役瞎椽绩仕翻并驶岂彼述扼贵英徒赵彩辆檬卉玛杏旭碌般4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 9 常用的身份认证机制 A. 口令机制 B. 一次性口令机制 C. 基于智能卡的机制 D. 基于个人特征的机制 露穴淫瞒胺讣矫霓槽橇檄魄罪驰才类阿雁她俏阎坤涟了氨巷蛇岳适除荫臆4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 10 A.口令机制 常规的口令方案中的口令是不随时间变化的口令，该机制提供弱鉴别(weak authentication)。 口令或通行字机制是最广泛研究和使用的身份鉴别法。 口令系统有许多脆弱点 外部泄露 口令猜测 线路窃听 重放 杏豢彭吱鲍亩逃钻凛若茸崩葱惫迂升屉隔荧源搞涎夺涩鹿诺糊备铭袱吴匪4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件4身份认证和访问控制(武汉大学国际软件学院信息安全课程)课件 11 对付外部泄露的措施 • 教育、培训； • 严格组织管理办法和执行手续； • 口令定期改变； • 每个口令只与一个人有关； • 输入的口令不再现在终端上； • 使用易记的口令，不要写在纸上。 醚啮缉掷推术弦渡喻宪鼻湾吸亏芋烈睦陛躲忻嫉民辑蔓想娥诱困想盗耍琉4身份认证和访问控