身份認(rèn)證與訪問控制

1、第第3章章 身份認(rèn)證與訪問控制身份認(rèn)證與訪問控制信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制引引 言言 上章上章圍繞信息安全的基本目標(biāo)，講述了重要的加密技術(shù)，圍繞信息安全的基本目標(biāo)，講述了重要的加密技術(shù)，包括加密系統(tǒng)、加密標(biāo)準(zhǔn)和主要的信息加密算法。包括加密系統(tǒng)、加密標(biāo)準(zhǔn)和主要的信息加密算法。 加密加密作為最基本技術(shù)要求控制項，在建立其它安全機制作為最基本技術(shù)要求控制項，在建立其它安全機制中可以參與并提供有效的機密性和完整性、非否認(rèn)性等中可以參與并提供有效的機密性和完整性、非否認(rèn)性等控制，這些安全機制也包括本章講述身份認(rèn)證。控制，這些安全機制也包括

2、本章講述身份認(rèn)證。 本章本章講述身份認(rèn)證、訪問控制講述身份認(rèn)證、訪問控制2 2個信息安全重要技術(shù)個信息安全重要技術(shù)（機制），也是信息安全等級保護(hù)（機制），也是信息安全等級保護(hù)2 2個基本技術(shù)要求控個基本技術(shù)要求控制項。制項。引引 言言 在安全的信息訪問中，通信或訪問在安全的信息訪問中，通信或訪問雙方雙方必須通過某種形式來判明和必須通過某種形式來判明和確認(rèn)對方或雙方的真實身份及合法性，確認(rèn)對方或雙方的真實身份及合法性，身份認(rèn)證身份認(rèn)證；確認(rèn)身份后要根；確認(rèn)身份后要根據(jù)身份設(shè)置對系統(tǒng)資源的據(jù)身份設(shè)置對系統(tǒng)資源的訪問權(quán)限訪問權(quán)限，以實現(xiàn)不同身份合法用戶訪問，以實現(xiàn)不同身份合法用戶訪問指定的有限制指定

3、的有限制的信息資源，拒絕非授權(quán)身份用戶訪問信息資源，的信息資源，拒絕非授權(quán)身份用戶訪問信息資源，訪訪問控制問控制。 本章主要內(nèi)容：身份認(rèn)證技術(shù)概述（概念和方法）本章主要內(nèi)容：身份認(rèn)證技術(shù)概述（概念和方法） 安全身份認(rèn)證及其方案安全身份認(rèn)證及其方案 訪問控制技術(shù)概念訪問控制技術(shù)概念 訪問控制中授權(quán)關(guān)系訪問控制中授權(quán)關(guān)系 訪問控制策略（指導(dǎo)授權(quán)關(guān)系）訪問控制策略（指導(dǎo)授權(quán)關(guān)系）信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制3.1 身份認(rèn)證技術(shù)概述身份認(rèn)證技術(shù)概述 身份認(rèn)證的定義身份認(rèn)證的定義具體來講，身份認(rèn)證（具體來講，身份認(rèn)證（Identity AuthenticationIdentity Au

4、thentication）就是）就是通過對身份標(biāo)識的鑒別服務(wù)來通過對身份標(biāo)識的鑒別服務(wù)來確認(rèn)確認(rèn)其身份其身份及及其合法性其合法性。 身份認(rèn)證的方法基于身份標(biāo)識的不同大體身份認(rèn)證的方法基于身份標(biāo)識的不同大體上分為上分為：基于信息秘密的身份認(rèn)證基于信息秘密的身份認(rèn)證基于信任物體的身份認(rèn)證基于信任物體的身份認(rèn)證基于生物特征的身份認(rèn)證?；谏锾卣鞯纳矸菡J(rèn)證。 信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制身份標(biāo)識與鑒別身份標(biāo)識與鑒別 身份（身份（IdentityIdentity）標(biāo)識標(biāo)識 身份標(biāo)識就是能夠證明用戶身份的用戶獨有的特征標(biāo)志，此特征標(biāo)志要求具身份標(biāo)識就是能夠證明用戶身份的用戶獨有的特征標(biāo)

5、志，此特征標(biāo)志要求具有唯一性，如身份證、戶口簿、護(hù)照、公章、駕照、健康卡，還有網(wǎng)絡(luò)上使有唯一性，如身份證、戶口簿、護(hù)照、公章、駕照、健康卡，還有網(wǎng)絡(luò)上使用的網(wǎng)絡(luò)身份證等。用的網(wǎng)絡(luò)身份證等。 如：如：Socket=IP:port Socket=IP:port 標(biāo)識標(biāo)識 端的某一進(jìn)程端的某一進(jìn)程 單因素身份標(biāo)識包含一種身份信息；而多因素身份標(biāo)識包含多種身份信息。單因素身份標(biāo)識包含一種身份信息；而多因素身份標(biāo)識包含多種身份信息。 IDID（英文（英文IdentityIdentity的縮寫大寫）也稱為序列號或賬號，被認(rèn)為是身份標(biāo)識特的縮寫大寫）也稱為序列號或賬號，被認(rèn)為是身份標(biāo)識特征信息中相對唯一的編

6、碼，相當(dāng)于是一種征信息中相對唯一的編碼，相當(dāng)于是一種“身份證編號身份證編號”，如身份證號、學(xué)，如身份證號、學(xué)號、手機號、產(chǎn)品注冊號等。往往是區(qū)間編碼方式。號、手機號、產(chǎn)品注冊號等。往往是區(qū)間編碼方式。 如：員工如：員工IDID： NL00 010 0649NL00 010 0649 服務(wù)部門服務(wù)部門 北京地區(qū)北京地區(qū) 順序號順序號信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制身份標(biāo)識與鑒別身份標(biāo)識與鑒別 鑒別（服務(wù)）鑒別（服務(wù)） 鑒別是對通信的對方發(fā)來的信息驗證從而確定信息是否合法的過程。鑒別是對通信的對方發(fā)來的信息驗證從而確定信息是否合法的過程。通常分為身份鑒別和報文鑒別。通常分為身份鑒別和

7、報文鑒別。 身份鑒別身份鑒別( (服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段，服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段，對對方實體的合法性、真實性進(jìn)行確認(rèn)，對對方實體的合法性、真實性進(jìn)行確認(rèn)，防止防止非法用戶可能非法用戶可能通過通過偽偽造造和和欺騙欺騙身份等手段冒充合法用戶身份等手段冒充合法用戶。 報文鑒別（服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段，報文鑒別（服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段，對對方報文內(nèi)容鑒別，驗證收到的報文是否被篡改、假冒和偽造，對對方報文內(nèi)容鑒別，驗證收到的報文是否被篡改、假冒和偽造，以辨識真?zhèn)魏捅ＷC報文在通信中完整性。以辨識真?zhèn)魏捅ＷC報文在

8、通信中完整性。 身份鑒別實體、報文鑒別信息整體（包括身份信息）身份鑒別實體、報文鑒別信息整體（包括身份信息）信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的過程身份認(rèn)證的過程 從網(wǎng)絡(luò)實現(xiàn)層面：從網(wǎng)絡(luò)實現(xiàn)層面：身份認(rèn)證的過程是端到端的訪問中需要實現(xiàn)的安身份認(rèn)證的過程是端到端的訪問中需要實現(xiàn)的安全連接建立過程。即端到端的連接需要通過身份鑒別建立合法的連全連接建立過程。即端到端的連接需要通過身份鑒別建立合法的連接訪問。接訪問。合法則用戶端進(jìn)程可以持續(xù)訪問授權(quán)合法則用戶端進(jìn)程可以持續(xù)訪問授權(quán)服務(wù)進(jìn)程，持續(xù)已有的會話；不合法服務(wù)進(jìn)程，持續(xù)已有的會話；不合法不能持續(xù)連接訪問。不能持續(xù)連接訪問。信息

9、安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的過程身份認(rèn)證的過程 從資源訪問層面：對于從資源訪問層面：對于網(wǎng)絡(luò)用戶網(wǎng)絡(luò)用戶在進(jìn)入系統(tǒng)或訪問受限在進(jìn)入系統(tǒng)或訪問受限系統(tǒng)系統(tǒng)資源資源時，身份認(rèn)證的過程是用戶對資源訪問時的用時，身份認(rèn)證的過程是用戶對資源訪問時的用戶合法身份鑒別過程。借助于端到端的訪問實現(xiàn)。戶合法身份鑒別過程。借助于端到端的訪問實現(xiàn)。clientServerDBDBDB身份鑒別信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的過程身份認(rèn)證的過程 從認(rèn)證的方向：從認(rèn)證的方向：單向認(rèn)證與雙向認(rèn)證過程；通信的雙方只需要一方單向認(rèn)證與雙向認(rèn)證過程；通信的雙方只需要一方被另一方鑒別

10、身份，這樣的認(rèn)證過程就是一種被另一方鑒別身份，這樣的認(rèn)證過程就是一種單向認(rèn)證單向認(rèn)證。通信的雙。通信的雙方需要互相認(rèn)證鑒別對方的身份，這樣的認(rèn)證過程是方需要互相認(rèn)證鑒別對方的身份，這樣的認(rèn)證過程是雙向認(rèn)證雙向認(rèn)證。 以單向口令認(rèn)證過程為例：以單向口令認(rèn)證過程為例： 身份認(rèn)證實現(xiàn)過程中，被鑒別的認(rèn)證信息要實現(xiàn)加密，涉及密身份認(rèn)證實現(xiàn)過程中，被鑒別的認(rèn)證信息要實現(xiàn)加密，涉及密鑰管理和分發(fā)服務(wù)。實際的身份認(rèn)證往往是多個過程才能實現(xiàn)的。鑰管理和分發(fā)服務(wù)。實際的身份認(rèn)證往往是多個過程才能實現(xiàn)的。信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的過程身份認(rèn)證的過程 身份認(rèn)證過程中涉及到身份認(rèn)證過程中

11、涉及到4 4個部分，也是身份認(rèn)證系統(tǒng)的組成部分。個部分，也是身份認(rèn)證系統(tǒng)的組成部分。 用戶組件：指擁有能提供用來證明他們身份證據(jù)的個體，也是用戶組件：指擁有能提供用來證明他們身份證據(jù)的個體，也是認(rèn)證系統(tǒng)中需要認(rèn)證的客戶端。認(rèn)證系統(tǒng)中需要認(rèn)證的客戶端。 輸入組件：指用戶和認(rèn)證系統(tǒng)產(chǎn)生和讀入身份標(biāo)識的接口，一輸入組件：指用戶和認(rèn)證系統(tǒng)產(chǎn)生和讀入身份標(biāo)識的接口，一般是計算機鍵盤、讀卡器、視頻采集儀器和其他相似的設(shè)備。般是計算機鍵盤、讀卡器、視頻采集儀器和其他相似的設(shè)備。 傳輸組件：身份認(rèn)證的傳輸部分，負(fù)責(zé)在輸入組件和能驗證用傳輸組件：身份認(rèn)證的傳輸部分，負(fù)責(zé)在輸入組件和能驗證用戶真實身份的組件之間傳

12、遞數(shù)據(jù)。戶真實身份的組件之間傳遞數(shù)據(jù)。 驗證組件：存儲的用戶身份信息并以此與企圖進(jìn)入系統(tǒng)的用戶驗證組件：存儲的用戶身份信息并以此與企圖進(jìn)入系統(tǒng)的用戶提供的身份標(biāo)識進(jìn)行比較，來確定用戶身份的合法性，也是認(rèn)證系提供的身份標(biāo)識進(jìn)行比較，來確定用戶身份的合法性，也是認(rèn)證系統(tǒng)中完成身份鑒別的服務(wù)器端。統(tǒng)中完成身份鑒別的服務(wù)器端。信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制基于信息秘密的身份認(rèn)證基于信息秘密的身份認(rèn)證 基于信息秘密的身份認(rèn)證是根據(jù)雙方共同所知道的秘密基于信息秘密的身份認(rèn)證是根據(jù)雙方共同所知道的秘密信息來證明用戶的身份（信息來證明用戶的身份（what you knowwhat you kn

13、ow），并通過對），并通過對秘密信息鑒別驗證身份。秘密信息鑒別驗證身份。 例如，基于口令、密鑰、例如，基于口令、密鑰、IPIP地址、地址、MACMAC地址等身份因素地址等身份因素的身份認(rèn)證。包括：的身份認(rèn)證。包括：1 1網(wǎng)絡(luò)身份證網(wǎng)絡(luò)身份證: :虛擬身份電子標(biāo)識虛擬身份電子標(biāo)識2 2靜態(tài)口令：設(shè)定的以靜態(tài)口令：設(shè)定的以“永久口令永久口令”為主為主, ,結(jié)合其它因結(jié)合其它因素的身份認(rèn)證。素的身份認(rèn)證。3 3一次性口令認(rèn)證一次性口令認(rèn)證信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制網(wǎng)絡(luò)身份證網(wǎng)絡(luò)身份證 網(wǎng)絡(luò)身份證就是在網(wǎng)絡(luò)上可以證明一個人身份及存在的虛擬證件。網(wǎng)絡(luò)身份證就是在網(wǎng)絡(luò)上可以證明一個人身

14、份及存在的虛擬證件。 虛擬身份電子標(biāo)識虛擬身份電子標(biāo)識VIeID (Virtual identity electronic VIeID (Virtual identity electronic identification) identification) 技術(shù)：技術(shù)：VIEIDVIEID是網(wǎng)絡(luò)身份證的工具或服務(wù)協(xié)議，也是未是網(wǎng)絡(luò)身份證的工具或服務(wù)協(xié)議，也是未來互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的基本構(gòu)成之一。來互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的基本構(gòu)成之一。 如如 （1 1）將用戶現(xiàn)實中的身份資料包括文字資料、語音、指紋等信息采集將用戶現(xiàn)實中的身份資料包括文字資料、語音、指紋等信息采集到權(quán)威服務(wù)機構(gòu)，然后生成一個賬戶。到權(quán)威服務(wù)

15、機構(gòu)，然后生成一個賬戶。賬戶內(nèi)包含賬戶內(nèi)包含VIeIDVIeID的賬戶的賬戶IDID、公鑰、公鑰和私鑰和私鑰。 （2 2）當(dāng)用戶在相應(yīng)客戶端識別系統(tǒng)中輸入）當(dāng)用戶在相應(yīng)客戶端識別系統(tǒng)中輸入VIeIDVIeID的賬戶的賬戶IDID和公鑰，識和公鑰，識別系統(tǒng)會在別系統(tǒng)會在VIEIDVIEID庫搜索公鑰解密還原出該庫搜索公鑰解密還原出該VIeIDVIeID持有人的資料從而識別其持有人的資料從而識別其身份或某種資格。身份或某種資格。 網(wǎng)絡(luò)身份證應(yīng)具有公開性（網(wǎng)絡(luò)身份證應(yīng)具有公開性（IPIP）、一致性（統(tǒng)一性）和保密性、區(qū)域性特）、一致性（統(tǒng)一性）和保密性、區(qū)域性特點。點。信息安全技術(shù)與應(yīng)用_第3章 身

16、份認(rèn)證與訪問控制虛擬身份電子標(biāo)識虛擬身份電子標(biāo)識VIeID目前在世界范圍內(nèi)提供目前在世界范圍內(nèi)提供VIEIDVIEID服務(wù)的公司有以下數(shù)家：服務(wù)的公司有以下數(shù)家： VIeID:VIeID:通用賬戶及身份管理通用賬戶及身份管理 OpenIDOpenID：跨站身份管理：跨站身份管理 ClaimIDClaimID：創(chuàng)建用戶檔案、信譽的網(wǎng)絡(luò)服務(wù)：創(chuàng)建用戶檔案、信譽的網(wǎng)絡(luò)服務(wù) CardSpaceCardSpace：微軟可支持多個數(shù)字身份的虛擬錢包：微軟可支持多個數(shù)字身份的虛擬錢包 Liberty Web ServicesLiberty Web Services：身份和認(rèn)證服務(wù)規(guī)范：身份和認(rèn)證服務(wù)規(guī)范 信

17、息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制一次性口令認(rèn)證一次性口令認(rèn)證 一次性口令認(rèn)證也稱為一次性口令認(rèn)證也稱為動態(tài)口令動態(tài)口令的認(rèn)證，是一種按時間和的認(rèn)證，是一種按時間和使用次數(shù)來設(shè)置口令，每個口令只使用一次，口令不斷變使用次數(shù)來設(shè)置口令，每個口令只使用一次，口令不斷變化的認(rèn)證方法?；恼J(rèn)證方法?？诹钭儎觼碓从诋a(chǎn)生口令的因素，包括固定因素（用戶名口令變動來源于產(chǎn)生口令的因素，包括固定因素（用戶名或或IDID）和變動因素（時間）。）和變動因素（時間）。口令一般是長度為口令一般是長度為5 58 8的字符串；根據(jù)專門的算法生成；的字符串；根據(jù)專門的算法生成；可以基于可以基于變動的時間或事件特征變

18、動的時間或事件特征保持口令同步運算產(chǎn)生口保持口令同步運算產(chǎn)生口令，也可以通過令，也可以通過異步運算隨機異步運算隨機形成口令。形成口令。信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制一次性口令認(rèn)證一次性口令認(rèn)證 動態(tài)口令認(rèn)證的優(yōu)點：動態(tài)口令認(rèn)證的優(yōu)點： 無須像保護(hù)靜態(tài)口令那樣定期修改口令，方便管理；無須像保護(hù)靜態(tài)口令那樣定期修改口令，方便管理； 一次一口令，有效防止黑客一次性口令竊取就獲得永久訪問權(quán)；一次一口令，有效防止黑客一次性口令竊取就獲得永久訪問權(quán)； 由于口令使用后即被廢棄，可以有效防止身份認(rèn)證中的重放攻由于口令使用后即被廢棄，可以有效防止身份認(rèn)證中的重放攻擊。擊。 動態(tài)口令認(rèn)證的缺點：動

19、態(tài)口令認(rèn)證的缺點： 客戶端和服務(wù)器的時間或事件若不能保持良好同步，可能發(fā)生客戶端和服務(wù)器的時間或事件若不能保持良好同步，可能發(fā)生合法用戶無法登錄；合法用戶無法登錄； 口令是一長串較長的數(shù)字組合，一旦輸錯就得重新操作?？诹钍且婚L串較長的數(shù)字組合，一旦輸錯就得重新操作。信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制一次性口令認(rèn)證一次性口令認(rèn)證 動態(tài)口令認(rèn)證方法已被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運動態(tài)口令認(rèn)證方法已被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運營商、電子政務(wù)、企業(yè)等應(yīng)用訪問系統(tǒng)中。營商、電子政務(wù)、企業(yè)等應(yīng)用訪問系統(tǒng)中。 例如：短信一次性口令例如：短信一次性口令認(rèn)證是以手認(rèn)證是以手 機短信形式請求登錄，認(rèn)

20、證服務(wù)器通機短信形式請求登錄，認(rèn)證服務(wù)器通 過短信網(wǎng)關(guān)發(fā)出包含過短信網(wǎng)關(guān)發(fā)出包含6 6位隨機數(shù)的動態(tài)位隨機數(shù)的動態(tài) 口令，短信形式發(fā)送到客戶的手機上?？诹睿绦判问桨l(fā)送到客戶的手機上。 信息安全技術(shù)與應(yīng)用_第3章 身份認(rèn)證與訪問控制信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制基于信任物體的身份認(rèn)證 根據(jù)你所擁有的東西來證明你的身份（根據(jù)你所擁有的東西來證明你的身份（what you what you havehave），如通過信用卡、鑰匙牌、智能卡、口令牌實），如通過信用卡、鑰匙牌、智能卡、口令牌實施的認(rèn)證。施的認(rèn)證。智能卡（智能卡（ICIC卡）卡）動態(tài)口令牌動態(tài)口令牌USB Key USB Ke

21、y 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制基于生物特征的身份認(rèn)證基于生物特征的身份認(rèn)證 生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或行為特征。行為特征。 身體特征包括指紋、掌紋、視網(wǎng)膜、虹膜、人體氣味、臉型、手身體特征包括指紋、掌紋、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管、的血管、DNADNA等；等； 行為特征包括簽名、聲音、行走步態(tài)等。行為特征包括簽名、聲音、行走步態(tài)等。 基于生物特征的身份認(rèn)證是指通過可測量的身體特征和行為特征基于生物特征的身份認(rèn)證是指通過可測量的身體特征和行為特征經(jīng)過經(jīng)過“生物識別技術(shù)生物識別技術(shù)”實現(xiàn)

22、身份認(rèn)證的一種方法。實現(xiàn)身份認(rèn)證的一種方法。 身份認(rèn)證可利用的生物特征需要滿足：普遍性、唯一性、可測量身份認(rèn)證可利用的生物特征需要滿足：普遍性、唯一性、可測量性和穩(wěn)定性，當(dāng)然，在應(yīng)用過程中，還要考慮識別精度、識別速性和穩(wěn)定性，當(dāng)然，在應(yīng)用過程中，還要考慮識別精度、識別速度、對人體無傷害、用戶的接受性等因素。度、對人體無傷害、用戶的接受性等因素。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制生物特征識別過程 采樣：生物識別系統(tǒng)捕捉到生物特征的樣品，并對采樣的數(shù)據(jù)采樣：生物識別系統(tǒng)捕捉到生物特征的樣品，并對采樣的數(shù)據(jù)進(jìn)行初步的處理，將初步處理的樣品保存起來。進(jìn)行初步的處理，將初步處理的樣品保存起來。 提

23、取特征信息：設(shè)備提取采樣中唯一的生物特征信息，并轉(zhuǎn)化提取特征信息：設(shè)備提取采樣中唯一的生物特征信息，并轉(zhuǎn)化成需要的數(shù)字格式。成需要的數(shù)字格式。 特征入庫：認(rèn)證以前要提前將特征信息連同其他用戶身份信息特征入庫：認(rèn)證以前要提前將特征信息連同其他用戶身份信息如如IDID或或PINPIN等存儲到特征數(shù)據(jù)庫。等存儲到特征數(shù)據(jù)庫。 特征識別：生物特征識別有兩種識別方法是驗證和辨識，驗證特征識別：生物特征識別有兩種識別方法是驗證和辨識，驗證采用完整的樣品比對；而辨識即將讀取到的用戶的生物特征信息，采用完整的樣品比對；而辨識即將讀取到的用戶的生物特征信息，與特征數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行比較，計算出它們的相似程度，看

24、是否與特征數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行比較，計算出它們的相似程度，看是否匹配來識別用戶身份。匹配來識別用戶身份。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制指紋身份認(rèn)證指紋身份認(rèn)證 指紋特征指紋特征 一個人的指紋是唯一的，即使是雙胞胎的指紋也不相同。一個人的指紋是唯一的，即使是雙胞胎的指紋也不相同。 人的指紋有兩類特征：全局特征和局部特征。人的指紋有兩類特征：全局特征和局部特征。要區(qū)分任意兩枚指紋要區(qū)分任意兩枚指紋僅依靠全局特征是不夠的，還需要通過局部特征的位置、數(shù)目、類僅依靠全局特征是不夠的，還需要通過局部特征的位置、數(shù)目、類型和方向才能唯一地確定。型和方向才能唯一地確定。 指紋的特征識別步驟：指紋的特征

25、識別步驟： （1 1）圖像采集）圖像采集 （2 2）圖像預(yù)處理）圖像預(yù)處理 （3 3）細(xì)節(jié)特征的提?。┘?xì)節(jié)特征的提取 （4 4）特征信息入庫）特征信息入庫 （5 5）匹配及識別）匹配及識別 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制虹膜身份認(rèn)證虹膜身份認(rèn)證 虹膜是一種在眼睛中瞳孔內(nèi)的織物狀的各色環(huán)狀物，每個虹膜都虹膜是一種在眼睛中瞳孔內(nèi)的織物狀的各色環(huán)狀物，每個虹膜都包含一個獨一無二的基于水晶體、細(xì)絲、斑點、凹點、皺紋、條包含一個獨一無二的基于水晶體、細(xì)絲、斑點、凹點、皺紋、條紋等特征的結(jié)構(gòu)紋等特征的結(jié)構(gòu) 虹膜在眼睛的內(nèi)部，用外科手術(shù)很難改變其結(jié)構(gòu)；虹膜在眼睛的內(nèi)部，用外科手術(shù)很難改變其結(jié)構(gòu)；

26、由于瞳孔隨光線的強弱變化，想用偽造的虹膜代替活的虹膜是不由于瞳孔隨光線的強弱變化，想用偽造的虹膜代替活的虹膜是不可能的。可能的。 同一個人的左右眼虹膜也有很大區(qū)別同一個人的左右眼虹膜也有很大區(qū)別 和指紋識別相比，虹膜識別技術(shù)采用非接觸式取像方式，對接觸和指紋識別相比，虹膜識別技術(shù)采用非接觸式取像方式，對接觸面污染較小面污染較小 特點：具有可靠性高、不易仿照；操作更簡便，檢驗的精確度可特點：具有可靠性高、不易仿照；操作更簡便，檢驗的精確度可以更高，識別的錯誤率非常底。生物識別產(chǎn)品市場占有優(yōu)勢。以更高，識別的錯誤率非常底。生物識別產(chǎn)品市場占有優(yōu)勢。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制視網(wǎng)膜身份

27、認(rèn)證視網(wǎng)膜身份認(rèn)證 人的視網(wǎng)膜上面血管的圖樣可以利用光學(xué)方法透過人眼人的視網(wǎng)膜上面血管的圖樣可以利用光學(xué)方法透過人眼晶體來測定。視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面晶體來測定。視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面以獲得視網(wǎng)膜特征的唯一性。以獲得視網(wǎng)膜特征的唯一性。 視網(wǎng)膜身份認(rèn)證的優(yōu)點是：視網(wǎng)膜身份認(rèn)證的優(yōu)點是： 耐久性：視網(wǎng)膜是一種極其固定的生物特征，因為它耐久性：視網(wǎng)膜是一種極其固定的生物特征，因為它是是“隱藏隱藏”的，故而不易磨損，老化或是為疾病影響；的，故而不易磨損，老化或是為疾病影響； 非接觸性的：視網(wǎng)膜是不可見的，故而不會被偽造。非接觸性的：視網(wǎng)膜是不可見的，故而不會被偽造。缺點是

28、視網(wǎng)膜技術(shù)未經(jīng)過任何測試，可能會給使用者帶缺點是視網(wǎng)膜技術(shù)未經(jīng)過任何測試，可能會給使用者帶來健康的損壞，這需要進(jìn)一步的研究；對于消費者，視來健康的損壞，這需要進(jìn)一步的研究；對于消費者，視網(wǎng)膜技術(shù)沒有吸引力；很難進(jìn)一步降低它的成本。網(wǎng)膜技術(shù)沒有吸引力；很難進(jìn)一步降低它的成本。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制語音身份認(rèn)證語音身份認(rèn)證 任何兩個人的聲紋頻譜圖都有差異，語音身份認(rèn)證，就任何兩個人的聲紋頻譜圖都有差異，語音身份認(rèn)證，就是通過對所記錄的語音與被鑒人聲紋的比較，進(jìn)行身份是通過對所記錄的語音與被鑒人聲紋的比較，進(jìn)行身份認(rèn)證。認(rèn)證。 視網(wǎng)膜身份認(rèn)證的優(yōu)點是：視網(wǎng)膜身份認(rèn)證的優(yōu)點是： 語音

29、識別作為一種非接語音識別作為一種非接觸式的識別系統(tǒng)，用戶可以很自然地接受，觸式的識別系統(tǒng)，用戶可以很自然地接受， 聲音進(jìn)聲音進(jìn)行采樣，濾波等數(shù)字化處理相對成熟。行采樣，濾波等數(shù)字化處理相對成熟。缺點：但聲音變化的范圍太大，音量、速度和音質(zhì)的變?nèi)秉c：但聲音變化的范圍太大，音量、速度和音質(zhì)的變化會影響到采集的結(jié)果，這樣直接影響比對的結(jié)果。另化會影響到采集的結(jié)果，這樣直接影響比對的結(jié)果。另外，聲音識別系統(tǒng)還很容易被錄在磁帶上的聲音欺騙，外，聲音識別系統(tǒng)還很容易被錄在磁帶上的聲音欺騙，這樣降低了語音識別系統(tǒng)的安全可靠性。這樣降低了語音識別系統(tǒng)的安全可靠性。 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制基于

30、生物特征的身份認(rèn)證的優(yōu)點基于生物特征的身份認(rèn)證的優(yōu)點 相比其他認(rèn)證方法有下列優(yōu)點：相比其他認(rèn)證方法有下列優(yōu)點： 非易失：生物特征基本不存在丟失、遺忘或被盜的非易失：生物特征基本不存在丟失、遺忘或被盜的問題。問題。 難偽造：用于身份認(rèn)證的生物特征很難被偽造。難偽造：用于身份認(rèn)證的生物特征很難被偽造。 方便性：生物特征隨身方便性：生物特征隨身“攜帶攜帶”，隨時隨地可用。，隨時隨地可用。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制3.2 安全的身份認(rèn)證 身份認(rèn)證面臨的主要威脅身份認(rèn)證面臨的主要威脅 欺騙標(biāo)識：通過盜取或欺騙用戶的信任憑證或嘗試用一個假的欺騙標(biāo)識：通過盜取或欺騙用戶的信任憑證或嘗試用一個假

31、的身份標(biāo)識試探獲取對系統(tǒng)的訪問權(quán)。身份標(biāo)識試探獲取對系統(tǒng)的訪問權(quán)。 篡改數(shù)據(jù)：非經(jīng)授權(quán)對認(rèn)證信息進(jìn)行修改。篡改數(shù)據(jù)：非經(jīng)授權(quán)對認(rèn)證信息進(jìn)行修改。 拒絕承認(rèn)：用戶拒絕承認(rèn)以自己的身份執(zhí)行過特定操作或數(shù)據(jù)拒絕承認(rèn)：用戶拒絕承認(rèn)以自己的身份執(zhí)行過特定操作或數(shù)據(jù)傳輸。傳輸。 信息泄露：私有數(shù)據(jù)的暴露，用戶監(jiān)聽到在網(wǎng)絡(luò)上傳送的明文信息泄露：私有數(shù)據(jù)的暴露，用戶監(jiān)聽到在網(wǎng)絡(luò)上傳送的明文信息等都是信息泄露。信息等都是信息泄露。 重放攻擊：攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認(rèn)證憑據(jù)，重放攻擊：攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認(rèn)證憑據(jù)，利用這一目的主機已接收過的認(rèn)證報文，再不斷惡意或欺詐性地重利用這一目的主機

32、已接收過的認(rèn)證報文，再不斷惡意或欺詐性地重復(fù)發(fā)給認(rèn)證服務(wù)器。復(fù)發(fā)給認(rèn)證服務(wù)器。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的安全措施身份認(rèn)證的安全措施 （1 1）身份信息加密以防止信息泄露和篡改數(shù)據(jù)）身份信息加密以防止信息泄露和篡改數(shù)據(jù) 需要在認(rèn)證信息的傳輸和存儲時采用加密技術(shù)以保需要在認(rèn)證信息的傳輸和存儲時采用加密技術(shù)以保證認(rèn)證中的數(shù)據(jù)在傳送或存儲過程中證認(rèn)證中的數(shù)據(jù)在傳送或存儲過程中未被泄露和篡改未被泄露和篡改。 傳輸中的認(rèn)證信息加密可以采用對稱密鑰加密體制，也傳輸中的認(rèn)證信息加密可以采用對稱密鑰加密體制，也可以采用非對稱密鑰加密體制；可以采用非對稱密鑰加密體制；對服務(wù)器數(shù)據(jù)庫中的身份

33、信息加密存儲，以防止黑客入對服務(wù)器數(shù)據(jù)庫中的身份信息加密存儲，以防止黑客入侵獲得身份信息假冒合法用戶非法訪問；侵獲得身份信息假冒合法用戶非法訪問；信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的安全措施身份認(rèn)證的安全措施（2 2）采用安全的認(rèn)證方式抵御重放攻擊）采用安全的認(rèn)證方式抵御重放攻擊 挑戰(zhàn)挑戰(zhàn)/ /應(yīng)答認(rèn)證模式應(yīng)答認(rèn)證模式注：一般注：一般采用不重復(fù)使用的大的隨機數(shù)作為挑戰(zhàn)采用不重復(fù)使用的大的隨機數(shù)作為挑戰(zhàn)（值）（值），若挑戰(zhàn)值變化量不大，攻擊者只需截獲足夠的挑戰(zhàn)應(yīng)答若挑戰(zhàn)值變化量不大，攻擊者只需截獲足夠的挑戰(zhàn)應(yīng)答之間的關(guān)系，又可以進(jìn)行重放攻擊了。之間的關(guān)系，又可以進(jìn)行重放攻擊了。 數(shù)

34、字時間戳方式數(shù)字時間戳方式數(shù)字時間戳（數(shù)字時間戳（digital time-stampdigital time-stamp，DTSDTS）就是用來有效）就是用來有效證明電子數(shù)據(jù)的收發(fā)時間內(nèi)容。證明電子數(shù)據(jù)的收發(fā)時間內(nèi)容。認(rèn)證服務(wù)器接收時只有報文時間戳與本地時間足夠接近時，認(rèn)證服務(wù)器接收時只有報文時間戳與本地時間足夠接近時，才認(rèn)為是一個合法的新報文，否則認(rèn)為是重放攻擊報文。才認(rèn)為是一個合法的新報文，否則認(rèn)為是重放攻擊報文。 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的安全措施身份認(rèn)證的安全措施（3 3）數(shù)字簽名有效抵制欺騙標(biāo)識和拒絕承認(rèn)）數(shù)字簽名有效抵制欺騙標(biāo)識和拒絕承認(rèn)應(yīng)用數(shù)字簽名的身份

35、鑒別有效防止冒用別人名義發(fā)起認(rèn)應(yīng)用數(shù)字簽名的身份鑒別有效防止冒用別人名義發(fā)起認(rèn)證和發(fā)出（收到）身份信息后拒絕承認(rèn)。證和發(fā)出（收到）身份信息后拒絕承認(rèn)。認(rèn)證結(jié)果證明：認(rèn)證結(jié)果證明： 用戶身份信息用戶身份信息M M在傳輸中沒有被別人冒用，剛才驗證在傳輸中沒有被別人冒用，剛才驗證的身份信息的身份信息M M就是用戶的；用戶不能否認(rèn)驗證確認(rèn)的身份就是用戶的；用戶不能否認(rèn)驗證確認(rèn)的身份信息和以此身份信息登錄后的操作和審計結(jié)果。信息和以此身份信息登錄后的操作和審計結(jié)果。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制身份認(rèn)證的安全措施身份認(rèn)證的安全措施（4 4）加強身份信息管理，防止私有信息泄露）加強身份信息管理，

36、防止私有信息泄露 管理好個人的身份標(biāo)識，輕易不要被欺騙泄露或告知他人，尤管理好個人的身份標(biāo)識，輕易不要被欺騙泄露或告知他人，尤其是信任物體身份標(biāo)識硬件，借用或丟失會造成身份冒用。其是信任物體身份標(biāo)識硬件，借用或丟失會造成身份冒用。 提高口令、提高口令、PINPIN等身份標(biāo)識設(shè)置的復(fù)雜度，提高身份標(biāo)識的猜等身份標(biāo)識設(shè)置的復(fù)雜度，提高身份標(biāo)識的猜測難度，有效地防止身份探測。測難度，有效地防止身份探測。 增加身份認(rèn)證因素，采用雙因素或多因素的認(rèn)證方式可以更好增加身份認(rèn)證因素，采用雙因素或多因素的認(rèn)證方式可以更好克服由于身份信息泄露造成的安全威脅?？朔捎谏矸菪畔⑿孤对斐傻陌踩{。 上述提到的多因素

37、認(rèn)證、數(shù)字時間戳認(rèn)證、信息加密的身份認(rèn)上述提到的多因素認(rèn)證、數(shù)字時間戳認(rèn)證、信息加密的身份認(rèn)證、挑戰(zhàn)證、挑戰(zhàn)/ /響應(yīng)認(rèn)證等都是安全的認(rèn)證模式，有效保障身份認(rèn)證的響應(yīng)認(rèn)證等都是安全的認(rèn)證模式，有效保障身份認(rèn)證的非否認(rèn)性、保密性、正確性和完整性。非否認(rèn)性、保密性、正確性和完整性。 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制口令認(rèn)證的安全方案 口令認(rèn)證的威脅口令認(rèn)證的威脅 網(wǎng)絡(luò)數(shù)據(jù)流竊聽；網(wǎng)絡(luò)數(shù)據(jù)流竊聽； 認(rèn)證信息截取認(rèn)證信息截取/ /重放；重放； 字典攻擊；字典攻擊； 窮舉嘗試；窮舉嘗試； 窺探口令；窺探口令； 騙取口令；騙取口令； 垃圾搜索；垃圾搜索； 口令安全性管理口令安全性管理（1 1）口令

38、的安全存儲）口令的安全存儲 一是直接明文存儲口令，二是哈希散列存儲口令。一是直接明文存儲口令，二是哈希散列存儲口令。（2 2）口令的安全設(shè)置）口令的安全設(shè)置（3 3）口令的加密傳輸）口令的加密傳輸（4 4）驗證碼）驗證碼 口令認(rèn)證中通過加入驗證碼可以控制登錄或注冊時間和節(jié)奏，有效防口令認(rèn)證中通過加入驗證碼可以控制登錄或注冊時間和節(jié)奏，有效防止對某一個特定注冊用戶用特定程序自動進(jìn)行口令的窮舉嘗試。止對某一個特定注冊用戶用特定程序自動進(jìn)行口令的窮舉嘗試。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制基于指紋的電子商務(wù)身份認(rèn)證 認(rèn)證特點認(rèn)證特點 基于指紋的電子商務(wù)身份認(rèn)證系統(tǒng)綜合了指紋識別、數(shù)字簽名和加密

39、基于指紋的電子商務(wù)身份認(rèn)證系統(tǒng)綜合了指紋識別、數(shù)字簽名和加密技術(shù)，有效地解決了客戶端身份信息的存儲和管理問題；同時，通過認(rèn)證技術(shù)，有效地解決了客戶端身份信息的存儲和管理問題；同時，通過認(rèn)證過程中使用時間戳和隨機數(shù)阻止了第三方的重放攻擊。過程中使用時間戳和隨機數(shù)阻止了第三方的重放攻擊。認(rèn)證過程信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制Kerberos身份認(rèn)證身份認(rèn)證 KerberosKerberos是麻省理工學(xué)院開發(fā)的一個認(rèn)證服務(wù)方案是麻省理工學(xué)院開發(fā)的一個認(rèn)證服務(wù)方案. .它工作在它工作在Client/ServerClient/Server模式下，以可信賴的模式下，以可信賴的KDCKDC和使用和

40、使用DESDES對稱密鑰口令算法，實現(xiàn)密鑰分配和集中對稱密鑰口令算法，實現(xiàn)密鑰分配和集中的身份認(rèn)證。的身份認(rèn)證。 一個完整的一個完整的KerberosKerberos系統(tǒng)主要由以下幾個部分組成：系統(tǒng)主要由以下幾個部分組成： 用戶（用戶（ClientClient）：發(fā)起認(rèn)證服務(wù)的一方。）：發(fā)起認(rèn)證服務(wù)的一方。 服務(wù)器（服務(wù)器（ServerServer）：最終鑒別客戶認(rèn)證信息的一方。）：最終鑒別客戶認(rèn)證信息的一方。 認(rèn)證服務(wù)器（認(rèn)證服務(wù)器（Authentication ServerAuthentication Server，ASAS）：用來進(jìn)行密鑰分配和驗證用戶身份。）：用來進(jìn)行密鑰分配和驗證用戶

41、身份。 票據(jù)分配服務(wù)器（票據(jù)分配服務(wù)器（Ticket Granting ServerTicket Granting Server，TGSTGS）：發(fā)放身份證明票據(jù)（憑證）。）：發(fā)放身份證明票據(jù)（憑證）。 票據(jù)（票據(jù)（ticket-granting ticketticket-granting ticket，TGTTGT）：為雙方身份認(rèn)證專門生成的憑證。）：為雙方身份認(rèn)證專門生成的憑證。 密鑰分配中心（密鑰分配中心（Key Distribution CenterKey Distribution Center，KDCKDC）：由認(rèn)證服務(wù)器和票據(jù)分配服）：由認(rèn)證服務(wù)器和票據(jù)分配服務(wù)器組成。務(wù)器組成。

42、鑒別碼（鑒別碼（AuthenticatorAuthenticator）：用戶生成的最終認(rèn)證信息。）：用戶生成的最終認(rèn)證信息。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制Kerberos身份認(rèn)證過程身份認(rèn)證過程Kerberos的基本認(rèn)證過程：信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制Kerberos身份認(rèn)證過程身份認(rèn)證過程 認(rèn)證過程中的票據(jù)和認(rèn)證信息：認(rèn)證過程中的票據(jù)和認(rèn)證信息： TGT1=TicketTGT1=Ticket用戶身份標(biāo)識用戶身份標(biāo)識 ； TGT2=TicketSession KeyTGT2=TicketSession Key，用戶身份標(biāo)識，用戶主機，用戶身份標(biāo)識，用戶主機IPIP地址，

43、服地址，服務(wù)器名，有效期，時間戳務(wù)器名，有效期，時間戳 ； K KCSession KeyCSession Key； K KSTGT2STGT2； Authenticator =Session KeyAuthenticator =Session Key用戶身份標(biāo)識，用戶主機用戶身份標(biāo)識，用戶主機IPIP；信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制Kerberos身份認(rèn)證身份認(rèn)證 KerberosKerberos認(rèn)證具有如下優(yōu)點：認(rèn)證具有如下優(yōu)點：認(rèn)證在認(rèn)證在用戶和認(rèn)證服務(wù)器之間進(jìn)行，用戶和認(rèn)證服務(wù)器之間進(jìn)行，減少了服務(wù)器對身份信息管理和減少了服務(wù)器對身份信息管理和存儲的開銷和黑客入侵后的安全風(fēng)險

44、。存儲的開銷和黑客入侵后的安全風(fēng)險。 支持雙向認(rèn)證。支持雙向認(rèn)證。 認(rèn)證過程整個過程可以說是一個典型的挑戰(zhàn)認(rèn)證過程整個過程可以說是一個典型的挑戰(zhàn)/ /響應(yīng)方式，在防止重響應(yīng)方式，在防止重放攻擊方面起到有效的作用。放攻擊方面起到有效的作用。 KerberosKerberos協(xié)議的推廣和應(yīng)用具有靈活性。協(xié)議的推廣和應(yīng)用具有靈活性。 KerberosKerberos已廣泛應(yīng)用于已廣泛應(yīng)用于InternetInternet和和IntranetIntranet認(rèn)證服務(wù)和安全訪問，具認(rèn)證服務(wù)和安全訪問，具有高度的安全可靠和較好的擴展性，成為當(dāng)今比較重要的實用認(rèn)證方案。有高度的安全可靠和較好的擴展性，成為當(dāng)

45、今比較重要的實用認(rèn)證方案。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制基于基于X.509數(shù)字證書的認(rèn)證數(shù)字證書的認(rèn)證 X.509X.509是一個標(biāo)準(zhǔn)的鑒別框架；構(gòu)建一種基于公開密鑰體制的業(yè)務(wù)是一個標(biāo)準(zhǔn)的鑒別框架；構(gòu)建一種基于公開密鑰體制的業(yè)務(wù)密鑰管理和身份認(rèn)證。認(rèn)證過程基于密鑰管理和身份認(rèn)證。認(rèn)證過程基于PKIPKI支持，支持，PKIPKI利用利用X.509X.509標(biāo)準(zhǔn)標(biāo)準(zhǔn)的數(shù)字證書方式實現(xiàn)密鑰分配和管理。的數(shù)字證書方式實現(xiàn)密鑰分配和管理。 公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI:PKI:一種利用公鑰理論和技術(shù)提供密鑰分發(fā)和數(shù)字一種利用公鑰理論和技術(shù)提供密鑰分發(fā)和數(shù)字證書管理的安全服務(wù)平臺。證書管理的安

46、全服務(wù)平臺。 數(shù)字證書：數(shù)字證書：數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。份的數(shù)字信息文件。 PKIPKI的最基本元素是數(shù)字證書，所有安全操作都主要是通過數(shù)字證的最基本元素是數(shù)字證書，所有安全操作都主要是通過數(shù)字證書來實現(xiàn)。書來實現(xiàn)。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制X.509框架下的框架下的PKI PKIPKI的組成：的組成： RARA（注冊中心）：（注冊中心）： CACA（認(rèn)證中心）：（認(rèn)證中心）

47、： 證書發(fā)布庫：證書發(fā)布庫： 密鑰管密鑰管理與備份系統(tǒng)：理與備份系統(tǒng)： 證書撤銷處理系統(tǒng)：證書撤銷處理系統(tǒng)： 應(yīng)用接口系統(tǒng)：應(yīng)用接口系統(tǒng)：信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制X.509標(biāo)準(zhǔn)證書標(biāo)準(zhǔn)證書 最廣泛接受的最廣泛接受的X.509X.509標(biāo)準(zhǔn)證書組成：標(biāo)準(zhǔn)證書組成： 證書的版本號（證書的版本號（versionversion）：該證書使用的了）：該證書使用的了X.509X.509的哪種版本。的哪種版本。 證書的序列號（證書的序列號（serial numberserial number）：每個證書都有一個唯一的證書序列號。）：每個證書都有一個唯一的證書序列號。 證書所使用的簽名算法（證

48、書所使用的簽名算法（algorithm+parametersalgorithm+parameters）：指定證書使用的數(shù)字簽名）：指定證書使用的數(shù)字簽名加密算法和加密算法和HashHash算法；在解密對方用戶數(shù)字簽名時使用。算法；在解密對方用戶數(shù)字簽名時使用。 證書的發(fā)行機構(gòu)名稱（證書的發(fā)行機構(gòu)名稱（issuer nameissuer name）：證書頒發(fā)者標(biāo)識名。）：證書頒發(fā)者標(biāo)識名。 證書的有效期（證書的有效期（not before-not afternot before-not after）：證書有效時間段，它的計時范圍為）：證書有效時間段，它的計時范圍為1950195020492049

49、。 證書所有人的名稱（證書所有人的名稱（subject namesubject name）：證書擁有者主體識別名。）：證書擁有者主體識別名。 證書所有人的公開密鑰（證書所有人的公開密鑰（algorithm+parameters+Keyalgorithm+parameters+Key）：公鑰加密算法、參數(shù)）：公鑰加密算法、參數(shù)和公鑰。和公鑰。 證書簽發(fā)者唯一身份標(biāo)識符（證書簽發(fā)者唯一身份標(biāo)識符（issuer unique nameissuer unique name）。）。 證書擁有者唯一身份標(biāo)識符（證書擁有者唯一身份標(biāo)識符（subject unique namesubject unique n

50、ame）。）。10 10 證書發(fā)行者對證書的簽名（證書發(fā)行者對證書的簽名（encryptedencrypted）：證書頒發(fā)者私鑰生成的簽名和算法。）：證書頒發(fā)者私鑰生成的簽名和算法。 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制 數(shù)字證書分為簽名證書和加密證書：簽名證書用于對用戶認(rèn)證信息數(shù)字?jǐn)?shù)字證書分為簽名證書和加密證書：簽名證書用于對用戶認(rèn)證信息數(shù)字簽名使用，來解密簽名和簽名使用，來解密簽名和HashHash運算；加密證書用于對發(fā)送給用戶的數(shù)據(jù)運算；加密證書用于對發(fā)送給用戶的數(shù)據(jù)進(jìn)行加密使用。進(jìn)行加密使用。 在用戶取得在用戶取得PKIPKI加密數(shù)字證書的前提下，就可以申請簽名證書和加密證加密數(shù)字

51、證書的前提下，就可以申請簽名證書和加密證書的簽發(fā)。簽發(fā)過程如圖：書的簽發(fā)。簽發(fā)過程如圖： 證書作用：證書作用：（1 1）數(shù)字證書可以作為身份憑）數(shù)字證書可以作為身份憑 證，使雙方了解對方身份；證，使雙方了解對方身份；（2 2）可以用來信息加密防止信）可以用來信息加密防止信 息竊取和泄露；息竊取和泄露；（3 3）可以用來解密數(shù)字簽名從而使發(fā)送方不能抵賴和防止假冒。）可以用來解密數(shù)字簽名從而使發(fā)送方不能抵賴和防止假冒。證書簽發(fā)的基本流程證書簽發(fā)的基本流程信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制基于基于X.509證書的認(rèn)證過程證書的認(rèn)證過程 基于基于X.509X.509的雙向認(rèn)證（為例）：的雙向認(rèn)證

52、（為例）： A A發(fā)送信息：發(fā)送信息：A A生成一個隨機數(shù)生成一個隨機數(shù)Y Ya a，可以用來防止假冒和偽造；接著用，可以用來防止假冒和偽造；接著用A A的的私鑰加密構(gòu)成私鑰加密構(gòu)成K KaaT Ta, a, Y Ya, Ba, B（T Ta a為時間戳）發(fā)送給為時間戳）發(fā)送給B B。 B B接收信息：先從接收信息：先從PKIPKI獲取獲取A A的公鑰證書，并從證書中提取的公鑰證書，并從證書中提取A A的公鑰，通過的公鑰，通過解密解密K KaaT Ta, a, Y Ya, Ba, B，驗證，驗證A A的身份是否屬實。從的身份是否屬實。從 T Ta, a, Y Ya, Ba, B驗證自己是驗證自

53、己是否是信息的接收人，驗證時間戳是否接近當(dāng)前時間，否是信息的接收人，驗證時間戳是否接近當(dāng)前時間，Y Ya a檢驗是否有重放。檢驗是否有重放。 B B發(fā)送信息：發(fā)送信息：B B生成一個隨機數(shù)生成一個隨機數(shù)Y Yb b，接著用，接著用B B的私鑰加密構(gòu)成的私鑰加密構(gòu)成K KbbT Tb, b, Y Yb, A, b, A, Y Yaa發(fā)送給發(fā)送給A A。 A A接收信息：先從接收信息：先從PKIPKI獲得獲得B B的公鑰證書，并從證書中提取的公鑰證書，并從證書中提取A A的公鑰，通過的公鑰，通過解密解密K KbbT Tb, b, Y Yb, A, b, A, Y Yaa，驗證，驗證B B的身份是否

54、屬實。從的身份是否屬實。從 T Tb, b, Y Yb, A, b, A, Y Yaa驗驗證自己是否是信息的接收人；驗證時間戳證自己是否是信息的接收人；驗證時間戳TbTb是否接近當(dāng)前時間，是否接近當(dāng)前時間，Y Yb b檢驗是檢驗是否有重放。否有重放。 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制基于基于X.509證書的認(rèn)證過程證書的認(rèn)證過程 基于基于X.509X.509證書的認(rèn)證的特點：證書的認(rèn)證的特點： 通過支持認(rèn)證中的公鑰加密和數(shù)字簽名，從而有效防止通過支持認(rèn)證中的公鑰加密和數(shù)字簽名，從而有效防止身份信息泄露、偽造、冒用和拒絕承認(rèn)的安全問題；身份信息泄露、偽造、冒用和拒絕承認(rèn)的安全問題； 身份

55、信息由可信的身份信息由可信的PKIPKI權(quán)威機構(gòu)管理和備份，很好地維權(quán)威機構(gòu)管理和備份，很好地維護(hù)了身份信息，防止信息丟失。護(hù)了身份信息，防止信息丟失。 在此基礎(chǔ)上，借助于時間戳和隨機數(shù)參與認(rèn)證，更好地在此基礎(chǔ)上，借助于時間戳和隨機數(shù)參與認(rèn)證，更好地防止了重放攻擊；防止了重放攻擊； 典型的類似于網(wǎng)絡(luò)數(shù)字身份證件的認(rèn)證形式，具有靈活典型的類似于網(wǎng)絡(luò)數(shù)字身份證件的認(rèn)證形式，具有靈活適用的特點，被廣泛應(yīng)用適用的特點，被廣泛應(yīng)用 。信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制3.3 訪 問 控 制 訪問控制訪問控制是通過某種途徑準(zhǔn)許或限制訪問能力及訪問范是通過某種途徑準(zhǔn)許或限制訪問能力及訪問范圍的一種手段

56、。圍的一種手段。 每個想獲得訪問的用戶都必須經(jīng)過鑒別或身份認(rèn)證，這每個想獲得訪問的用戶都必須經(jīng)過鑒別或身份認(rèn)證，這樣才能根據(jù)用戶對資源制定的訪問權(quán)利，控制用戶對資樣才能根據(jù)用戶對資源制定的訪問權(quán)利，控制用戶對資源按授權(quán)訪問。源按授權(quán)訪問。 訪問控制訪問控制通過限制對關(guān)鍵資源的訪問，防止非法用戶的通過限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或因為合法用戶的不慎操作而造成的破壞，從而保侵入或因為合法用戶的不慎操作而造成的破壞，從而保證信息資源受控地、合法地使用。證信息資源受控地、合法地使用。 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制訪問控制的概念訪問控制的概念 訪問控制包括訪問控制包括3 3個要素

57、：個要素： 主體（主體（subjectsubject）：發(fā)出訪問指令、存取要求的主動方，通?？梢裕喊l(fā)出訪問指令、存取要求的主動方，通常可以是用戶或用戶的某個進(jìn)程等。是用戶或用戶的某個進(jìn)程等。 客體（客體（objectobject）：被訪問的對象，通常可以是被調(diào)用的程序、進(jìn)）：被訪問的對象，通?？梢允潜徽{(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源。設(shè)施等資源。 訪問控制策略（訪問控制策略（AttributionAttribution）：一套規(guī)則，用以確定一個主體是）：一套規(guī)則，用以確定一個主體是否對

58、客體擁有訪問權(quán)力或控制關(guān)系的描述。否對客體擁有訪問權(quán)力或控制關(guān)系的描述。 基于基于3 3要素，要素，訪問控制的目的可概括為：限制主體對訪問客體的訪訪問控制的目的可概括為：限制主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)資源按照安全訪問策略能被在合法范圍問權(quán)限，從而使計算機系統(tǒng)資源按照安全訪問策略能被在合法范圍內(nèi)使用。內(nèi)使用。 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制訪問控制關(guān)系描述訪問控制關(guān)系描述 訪問控制策略體現(xiàn)了訪問的授權(quán)關(guān)系即訪問控制策略體現(xiàn)了訪問的授權(quán)關(guān)系即訪問控制關(guān)系訪問控制關(guān)系。 主要通過以下四種方法設(shè)計描述訪問控制關(guān)系：主要通過以下四種方法設(shè)計描述訪問控制關(guān)系： 訪問控制矩陣訪問控

59、制矩陣 訪問能力表訪問能力表 訪問控制表訪問控制表 授權(quán)關(guān)系表授權(quán)關(guān)系表信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制訪問控制矩陣訪問控制矩陣 訪問控制矩陣：行表示客體（各種資源），列表示主體（通常為用訪問控制矩陣：行表示客體（各種資源），列表示主體（通常為用戶），行和列的交叉點表示某個主體對某個客體的訪問權(quán)限（比如戶），行和列的交叉點表示某個主體對某個客體的訪問權(quán)限（比如讀、寫、執(zhí)行、修改、刪除等）。讀、寫、執(zhí)行、修改、刪除等）。 關(guān) 系file1file2file3fle4account1account2JackownrwownrwinquirycreditMaryrownrwwrinquiry

60、debitinquirycreditLilyrwrownrwinquirydebit借（debit）操作和貸（credit）操作與寫操作類似，可以改動重寫賬戶信息 信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制訪問能力表訪問能力表 矩陣在描述訪問控制關(guān)系是有很多空白頁。因此，可以矩陣在描述訪問控制關(guān)系是有很多空白頁。因此，可以從主體（行）出發(fā)，表達(dá)矩陣某一行的信息，這就是從主體（行）出發(fā)，表達(dá)矩陣某一行的信息，這就是訪訪問能力表（問能力表（capabilitycapability）信息安全技術(shù)_第3章 身份認(rèn)證與訪問控制訪問控制表訪問控制表 矩陣在描述訪問控制關(guān)系是有很多空白頁。因此，可以從客體（列