CISP培训鉴别与访问控制培训课件.ppt

鉴别与访问控制 版本：3.0 发布日期：2014-12-1 生效日期：2015-1-1 讲师姓名： 课程内容 2 知识域：鉴别 知识子域：鉴别的类型 理解标识、鉴别的概念和作用 理解单向鉴别、双向鉴别和第三方鉴别的区别 知识子域：鉴别的方法 理解基于所知、所有和生物特征的三种基本鉴别方法及其特点 理解每种鉴别方法及组合鉴别方法的强度 3 标识 标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定 标识的主要作用：访问控制和审计 访问控制：标识用于控制是否允许特定的操作 审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来 4 鉴别 确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体 口令、挑战-应答、生物特征鉴别 所有其它的安全服务都依赖于该服务 需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体 目的：使别的成员（验证者）获得对声称者所声称的事实的信任 5 标识和鉴别的作用 作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份 访问控制直接对机密性、完整性、可用性及合法使用资源提供支持 作为数据源认证的一种方法 与数据完整性机制结合起来使用 作为审计追踪的支持 在审计追踪记录时，提供与某一活动关联的确知身份 6 鉴别系统的组成 被验证者P（Prover）：出示身份标识的人，又称声称者（Claimant） 验证者V（Verifier）：检验声称者提出的身份标识的正确性和合法性，决定是否满足要求 可信赖者TP（Trusted Third Party）：参与鉴别的第三方，参与调解纠纷 P V TP 7 鉴别的类型 单向鉴别和双向鉴别 单向鉴别：通信双方中只有一方向另一方进行鉴别 双向鉴别：通信双方相互进行鉴别 第三方鉴别：由可信第三方来确认身份 本地鉴别和远程鉴别 本地鉴别：实体在本地环境的初始化鉴别 远程鉴别：连接远程设备的实体鉴别 8 鉴别的方法 基于你所知道的（What you know ） 知识、口令、密码 基于你所拥有的（What you have ） 身份证、信用卡、钥匙、智能卡、令牌等 基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜 双因素、多因素认证 9 常见的鉴别技术 基于口令的身份认证 基于生物特征的身份认证 基于个人令牌的身份认证 10 基于口令的身份认证 口令是使用最广泛的身份鉴别方法 选择原则：易记、难猜测、抗分析能力强 口令提供弱鉴别，面临的威胁： 口令猜测 线路窃听 重放攻击 …… 11 防止线路窃听 使用保护口令机制：单向函数 攻击者很容易构造一张q与p对应的表，表中的p尽可能包含所期望的值 解决办法：在口令后使用随机数 12 一次性口令机制 确保在每次鉴别中所使用的口令不同，以对付重放攻击 口令的确定方法： 两端共同拥有一串随机口令，在该串的某一位置保持同步 两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步 使用时间戳，两端维持同步的时钟 13 基于个人令牌的身份认证 集成电路卡（Integrated Circuit Card）简称IC卡，其中镶嵌集成电路芯片 IC卡的分类 IC卡接口类型 接触式IC卡 非接触式IC卡 双界面卡 嵌入集成电路芯片的形式和类型 非加密存储卡 逻辑加密卡 （EEPROM存储单元阵列 + 密码控制逻辑单元) CPU卡（又称智能卡） 14 智能卡的安全特性 硬件 与外界通信前，先完成智能卡与终端间的认证 加入安全传感器，防止在数据被读出或写入时被修改 发生异常，智能卡复位，或者置标志位，使智能卡操作系统做出相应反应 存储器加密，不保存任何明文 软件 使用需要通过双因素认证，进入操作智能卡的安全状态 信息采用文件系统进行保存，依据类型或密钥的不同，提供不同的访问操作 支持DES、3DES和RSA等密码算法 15 基于生物特征的身份认证（一） 每个人所具有的唯一生理特征 指纹，视网膜，声音，虹膜、语音、面部、签名等 指纹 一些曲线和分叉以及一些非常微小的特征 提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询 手掌、手型 手掌有折痕，起皱，还有凹槽 还包括每个手指的指纹 人手的形状（手的长度，宽度和手指）表示了手的几何特征 16 基于生物特征的身份认证（二） 视网膜扫描 扫描眼球后方的视网膜上面的血管的图案； 虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分 虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶 语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词 面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和