第8章　鉴别认证及访问控制技术.ppt

第8章　鉴别认证及访问控制技术 8.1 身份认证技术概述 8.2 登录认证和授权管理 8.3 数字签名技术 8.4 专用数字签名方法 8.5 访问控制技术 8.6 安全审计技术 本章要点 身份认证技术的概念、种类和方法 数字签名技术及应用 数字时间戳技术 访问控制技术及应用 安全审计技术及应用 8.1 身份认证技术概述 8.1.1 身份认证的概念 1. 认证技术的概念 认证（Authentication）是通过对网络系统使用过程中的主客体进行鉴别，并经过确认主客体的身份以后，给这些主客体赋予恰当的标志、标签、证书等的过程。 身份认证（Identity and Authentication Management）是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。 认证是为了防止敌方的主动攻击。 认证包括三个方面： 消息认证 身份认证 数字签名 8.1.1 身份认证的概念 2. 身份认证的作用 身份认证与鉴别是信息安全中的第一道防线，是保证计算机网络系统安全的重要措施之一,对信息系统的安全有着重要的意义。 身份认证可以确保用户身份的真实、合法和唯一性。 认证是对用户身份和认证信息的生成、存储、同步、验证和维护的整个过程的管理。 作用：可以防止非法人员进入系统，防止非法人员通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性的情况的发生，严防“病从口入”关口。 8.1.1 身份认证的概念 3. 认证技术种类(1) 认证技术是计算机网络安全中的一个重要内容，一般可以分为两种： (1) 消息认证：用于保证信息的完整性和抗否认性。通常用户确认网上信息的真假及信息是否被修改或伪造，就需要消息认证 (2) 身份认证：用于鉴别用户身份。包括 ① 识别：明确并区分访问者的身份 ② 验证：对访问者声称的身份进行确认 8.1.1 身份认证的概念 3. 认证技术种类(2) 常用的身份认证技术主要包括： (1) 基于秘密信息的身份认证方法 ① 口令认证 ② 单项认证 ③ 双向认证 ④ 零知识认证 共同特点是：只依赖于用户知道的某个秘密的信息 (2)基于物理安全的身份认证方法 基于生物学的认证方案包括 基于指纹识别的身份认证 基于声音识别的身份认证 基于虹膜识别的身份认证等技术。 基于智能卡的身份认证机制在认证时需要一个硬件，称为智能卡。智能卡中存有秘密信息，通常是一个随机数，只有持卡人才能被认证。 8.1.1 身份认证的概念 4. 身份认证系统的组成 身份认证系统的组成包括 认证服务 认证系统用户端软件 认证设备 身份认证系统主要是通过身份认证协议和有关软硬件实现的。其中身份认证协议有两种： 双向认证协议 单向认证协议 8.1.2 身份认证技术方法 认证技术是信息安全理论与技术的一个重要方面。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控设备，根据用户的身份和授权数据库，决定用户是否能够访问某个资源。 身份认证在安全系统中的地位极其重要，是最基本的安全服务，其他的安全服务都要依赖于对用户身份的认证。 一般身份认证可分为： 用户与主机间的认证 主机与主机之间的认证。 8.1.2 身份认证技术方法 目前，计算机及网络系统中常用的身份认证方式主要有以下几种： 1. 用户名及密码方式 用户名及密码方式是最简单也是最常用的身份认证方法，由用户自己设定，只有用户本人知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。 2. 智能卡认证 智能卡是一种内置集成的电路芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。 智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。 8.1.2 身份认证技术方法 目前，计算机及网络系统中常用的身份认证方式主要有以下几种： 3. 动态令牌认证 动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。 采用一次一密的方法。 例：建行（见备注） 8.1.2 身份认证技术方法 目前，计算机及网络系统中常用的身份认证方式主要有以下几种： 4. USB Key认证 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。 USB Key内置单片机或智能