身份认证与访问控制-1.ppt

* * * * * * * * * * * * * * * * * * * * * * * 信息安全技术_第3章 身份认证与访问控制 强制访问控制 BLP模型优点： 保证了客体的高度安全性，保证了信息流总是低安全级别的实体流向高安全级别的实体。 BLP模型缺点： 高安全级别的主体拥有的数据永远不能被低安全级别的主体访问，降低了系统的可用性。 “向上写”的策略使得低安全级别的主体篡改敏感数据成为可能，破坏了系统的数据完整性。 MAC由于过于偏重保密性，造成实现工作量太大，管理不便，灵活性差。 信息安全技术_第3章 身份认证与访问控制 基于角色的访问控制 基于角色的访问控制（Role Based Access Control，RBAC）是通过对角色的访问所进行的控制。 角色（role）是一定数量的权限的集合，指完成一项任务必须访问的资源及相应操作权限的集合，表示为权限和用户的关系。 基本思想是：与DAC和MAC思路不同， DAC和MAC访问控制直接将访问主体和客体相联系，而RBAC在中间加入了角色。授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。通过角色沟通主体与客体，真正决定访问权限的是用户对应的角色。 目的：可以简化主体（用户）、权限、客体间的复杂的授权管理，灵活实现访问控制策略。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息安全技术_第3章 身份认证与访问控制 指纹身份认证 指纹特征 一个人的指纹是唯一的，即使是双胞胎的指纹也不相同。 人的指纹有两类特征：全局特征和局部特征。要区分任意两枚指纹仅依靠全局特征是不够的，还需要通过局部特征的位置、数目、类型和方向才能唯一地确定。 指纹的特征识别步骤： （1）图像采集 （2）图像预处理 （3）细节特征的提取 （4）特征信息入库 （5）匹配及识别 信息安全技术_第3章 身份认证与访问控制 虹膜身份认证 虹膜是一种在眼睛中瞳孔内的织物状的各色环状物，每个虹膜都包含一个独一无二的基于水晶体、细丝、斑点、凹点、皱纹、条纹等特征的结构 虹膜在眼睛的内部，用外科手术很难改变其结构； 由于瞳孔随光线的强弱变化，想用伪造的虹膜代替活的虹膜是不可能的。 同一个人的左右眼虹膜也有很大区别 和指纹识别相比，虹膜识别技术采用非接触式取像方式，对接触面污染较小 特点：具有可靠性高、不易仿照；操作更简便，检验的精确度可以更高，识别的错误率非常底。生物识别产品市场占有优势。 信息安全技术_第3章 身份认证与访问控制 视网膜身份认证 人的视网膜上面血管的图样可以利用光学方法透过人眼晶体来测定。视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。 视网膜身份认证的优点是： ①耐久性：视网膜是一种极其固定的生物特征，因为它是“隐藏”的，故而不易磨损，老化或是为疾病影响； ②非接触性的：视网膜是不可见的，故而不会被伪造。 缺点是视网膜技术未经过任何测试，可能会给使用者带来健康的损坏，这需要进一步的研究；对于消费者，视网膜技术没有吸引力；很难进一步降低它的成本。 信息安全技术_第3章 身份认证与访问控制 语音身份认证 任何两个人的声纹频谱图都有差异，语音身份认证，就是通过对所记录的语音与被鉴人声纹的比较，进行身份认证。 视网膜身份认证的优点是： ①语音识别作为一种非接触式的识别系统，用户可以很自然地接受， ②声音进行采样，滤波等数字化处理相对成熟。 缺点：但声音变化的范围太大，音量、速度和音质的变化会影响到采集的结果，这样直接影响比对的结果。另外，声音识别系统还很容易被录在磁带上的声音欺骗，这样降低了语音识别系统的安全可靠性。 信息安全技术_第3章 身份认证与访问控制 基于生物特征的身份认证的优点 相比其他认证方法有下列优点： ① 非易失：生物特征基本不存在丢失、遗忘或被盗的问题。 ② 难伪造：用于身份认证的生物特征很难被伪造。 ③ 方便性：生物特征随身“携带”，随时随地可用。 信息安全技术_第3章 身份认证与访问控制 3.2 安全的身份认证 身份认证面临的主要威胁 ① 欺骗标识：通过盗取或欺骗用户的信任凭证或尝试用一个假的身份标识试探获取对系统的访问权。 ② 篡改数据：非经授权对认证信息进行修改。 ③ 拒绝承认：用户拒绝承认以自己的身份执行过特定操作或数据传输。 ④ 信息泄露：私有数据的暴露，用户监听到在网络上传送的明文信息等都是信息泄露。 ⑤ 重放攻击：攻击者利用网络监听或者其他方式盗取认证凭据，利用这一目的主机已接收过的认证报文，再不断恶意或欺诈性地重复发给认证服务器。 信息安全技术_第3章 身份认证与访问控制 身份认证的安全措施 （1）身份信息加密以防止信