用户身份验证-Read.PPTVIP

第6章 用户身份验证 学习目标： 1）理解为何身份验证是网络安全的一个关键因素 2）描述用户、客户端和会话身份验证 3）了解口令安全系统存在的潜在缺陷 4）理解口令安全工具的使用 6.1 常规身份验证过程 身份验证就是辨别用户身份并根据他们的身份为其提供网络服务的行动。大多数类型的身份验证需要用户向身份验证防火墙或服务器提供下列信息中的一项： 1）一段信息，如口令。 2）物理上拥有某物的证据，例如智能卡（一种内嵌了用来存储用户数据的微芯片的塑料卡） 3）身体特征部分信息，如指纹、语音识别或视网膜扫描。 在网络计算领域中，身份验证主要采用下列三种特定形式中的一种（按最低到最高安全级别的序列列出）： 1）基本身份验证：服务器维护一个包含用户名和口令的本地文件，并根据它来匹配由客户端提供的 用户-口令对。这是最常见的身份验证方式，它的缺点是口令会经常被忘记、盗窃或意外的暴露。 2）质询-响应身份验证：身份验证计算机或防火墙产生一个随机的代码和数字（即质询），并将它发送给希望接受身份验证的用户。用户加入他获他的秘密PIN或口令后再提交该代码或数字。 3）集中式身份验证服务：一台集中服务器负责处理三个相互独立的基本身份验证过程：身份验证、授权和审核。 这些类型的的身份验证中的每一种都要求用户在某个时刻输入口令。因此他们也可以称为单因子身份验证：用户仅需知道一项内容（口令）来启动身份验证过程。像智能卡那样的物理对象或者其他类型的物理令牌则提供了更为严格的双因子身份验证方式，在这种情况下，用户不仅需要拥有某种东西（令牌），而且要知道某些东西（PIN或口令），才可获得访问权限。 （使用生理特征如视网膜扫描、指纹等，作为身份验证手段主要应用于大型的必威体育官网网址企业中，如银行机构和信用卡中心 ） 6．2 防火墙实现身份验证过程的方式 大多数系统配备有身份验证方案。WEB服务器可以被设置为对需要访问某些受保护内容的客户端进行身份验证。同样，防火墙也能够进行用户身份验证。事实上，很多企业也是依靠防火墙来提供比一般的系统更安全的身份验证。身份验证是防火墙 的一项重要功能。 当调用防火墙的规则，将它应用到特定的个人或用户组时，就需要启用身份验证。 防火墙可识别具有特定IP地址的用户，在用户经过授权后，该IP地址然后就可以在内部网络主机上用来发送和接收信息。 防火墙执行身份验证的确切步骤可能会相互不同，但通常的过程是一样的： 1）客户端请求访问一种资源 2）防火墙解释请求，并提示用户输入用户名和口令 3）用户提交信息给防火墙 4）用户通过身份验证 5）根据防火墙的规则集检查请求 6）如果请求与一条存在的规则相匹配，那么允许用户的访问 7）用户访问请求的资源 6.3 防火墙身份验证的类型 6.3.1 用户身份验证 用户身份验证是最简单的身份验证类型。程序在接收到请求时，会提示用户输入用户名和口令。用户提交这些信息后，该软件就根据其数据库中的用户名和口令来检查该信息，如果匹配，那么就允许用户通过身份验证。 6.3.2 客户端身份验证 客户端身份验证与用户身份验证相似，但附加了使用权限的限制。用户身份验证通过向防火墙提供一对包含在数据库中的用户和口令对来获得通过，然后防火墙就允许用户对所请求的资源访问一段时间（3个小时）或者是一定的次数（3次）。 在配置客户端身份验证的过程中，需要创建两种类型的身份验证中的任何一种： 1）标准的登录系统，该系统中，客户端通过身份验证后，被允许访问用户需要的任何资源，或是执行任何需要的功能，例如传输文件或查看Web页。 2）特殊的登录系统，在系统中，用户每次想访问受保护网络上的服务器或服务时，客户端都需要身份验证。 6.3.3 会话身份验证 无论什么时候客户端需要连接到一个网络资源并建立会话（交换信息的一段时间）时，会话身份验证都需要进行身份验证。会话身份验证可用于任何服务。需要被身份验证的客户端包含一个软件代理来提供身份验证信息；当请求建立连接时，服务器或防火墙会检测该代理。如果必要，防火墙截获连接请求，并与该代理联系。该代理执行身份验证，而防火墙则允许对请求资源的连接。 身份验证模式 6.4 集中式身份验证 集中式身份验证服务器为用户维护身份验证信息，而不管用户处于哪个位置、通过什么方式连接到网络。 在集中式身份验证服务器设置中，服务器有时也称为访问控制服务器，它缓解了为网络上每台服务器提供一个独立的用户名和口令数据库的需要，从而使得用户改变口令数据库的需要，从而使得用户改变口令或添加新用户时无需单独地更新服务器。 集中式身份验证的过程： 局域网上的客户端请求访问位于应用服务器上的程序时，它首先必须使用身份验证服务器进行身份验证，这基于两个层次的信任关系：客户端信任身份验