身份認證與訪問控制

1、第第3章章 身份認證與訪問控制身份認證與訪問控制 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控 制 引引 言言 上章上章圍繞信息安全的基本目標，講述了重要的加密技術(shù)，圍繞信息安全的基本目標，講述了重要的加密技術(shù)， 包括加密系統(tǒng)、加密標準和主要的信息加密算法。包括加密系統(tǒng)、加密標準和主要的信息加密算法。 加密加密作為最基本技術(shù)要求控制項，在建立其它安全機制作為最基本技術(shù)要求控制項，在建立其它安全機制 中可以參與并提供有效的機密性和完整性、非否認性等中可以參與并提供有效的機密性和完整性、非否認性等 控制，這些安全機制也包括本章講述身份認證?？刂疲@些

2、安全機制也包括本章講述身份認證。 本章本章講述身份認證、訪問控制講述身份認證、訪問控制2 2個信息安全重要技術(shù)個信息安全重要技術(shù) （機制），也是信息安全等級保護（機制），也是信息安全等級保護2 2個基本技術(shù)要求控個基本技術(shù)要求控 制項。制項。 引引 言言 在安全的信息訪問中，通信或訪問在安全的信息訪問中，通信或訪問雙方雙方必須通過某種形式來判明和必須通過某種形式來判明和 確認對方或雙方的真實身份及合法性，確認對方或雙方的真實身份及合法性，身份認證身份認證；確認身份后要根；確認身份后要根 據(jù)身份設(shè)置對系統(tǒng)資源的據(jù)身份設(shè)置對系統(tǒng)資源的訪問權(quán)限訪問權(quán)限，以實現(xiàn)不同身份合法用戶訪問，以實現(xiàn)不同身份合法

3、用戶訪問 指定的有限制指定的有限制的信息資源，拒絕非授權(quán)身份用戶訪問信息資源，的信息資源，拒絕非授權(quán)身份用戶訪問信息資源，訪訪 問控制問控制。 本章主要內(nèi)容：身份認證技術(shù)概述（概念和方法）本章主要內(nèi)容：身份認證技術(shù)概述（概念和方法） 安全身份認證及其方案安全身份認證及其方案 訪問控制技術(shù)概念訪問控制技術(shù)概念 訪問控制中授權(quán)關(guān)系訪問控制中授權(quán)關(guān)系 訪問控制策略（指導(dǎo)授權(quán)關(guān)系）訪問控制策略（指導(dǎo)授權(quán)關(guān)系） 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 3.1 身份認證技術(shù)概述身份認證技術(shù)概述 身份認證的定義身份認證的定義 具體來講，身份認證（具體來講，身份認證（Identity Authenti

4、cationIdentity Authentication）就是）就是 通過對身份標識的鑒別服務(wù)來通過對身份標識的鑒別服務(wù)來確認確認其身份其身份及及其合法性其合法性。 身份認證的方法基于身份標識的不同大體身份認證的方法基于身份標識的不同大體上分為上分為： 基于信息秘密的身份認證基于信息秘密的身份認證 基于信任物體的身份認證基于信任物體的身份認證 基于生物特征的身份認證。基于生物特征的身份認證。 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 身份標識與鑒別身份標識與鑒別 身份（身份（IdentityIdentity）標識標識 身份標識就是能夠證明用戶身份的用戶獨有的特征標志，此特征標志要求具身

5、份標識就是能夠證明用戶身份的用戶獨有的特征標志，此特征標志要求具 有唯一性，如身份證、戶口簿、護照、公章、駕照、健康卡，還有網(wǎng)絡(luò)上使有唯一性，如身份證、戶口簿、護照、公章、駕照、健康卡，還有網(wǎng)絡(luò)上使 用的網(wǎng)絡(luò)身份證等。用的網(wǎng)絡(luò)身份證等。 如：如：Socket=IP:port Socket=IP:port 標識標識 端的某一進程端的某一進程 單因素身份標識包含一種身份信息；而多因素身份標識包含多種身份信息。單因素身份標識包含一種身份信息；而多因素身份標識包含多種身份信息。 IDID（英文（英文IdentityIdentity的縮寫大寫）也稱為序列號或賬號，被認為是身份標識特的縮寫大寫）也稱為序列

6、號或賬號，被認為是身份標識特 征信息中相對唯一的編碼，相當于是一種征信息中相對唯一的編碼，相當于是一種“身份證編號身份證編號”，如身份證號、學(xué)，如身份證號、學(xué) 號、手機號、產(chǎn)品注冊號等。往往是區(qū)間編碼方式。號、手機號、產(chǎn)品注冊號等。往往是區(qū)間編碼方式。 如：員工如：員工IDID： NL00 010 0649NL00 010 0649 服務(wù)部門服務(wù)部門 北京地區(qū)北京地區(qū) 順序號順序號 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 身份標識與鑒別身份標識與鑒別 鑒別（服務(wù)）鑒別（服務(wù)） 鑒別是對通信的對方發(fā)來的信息驗證從而確定信息是否合法的過程。鑒別是對通信的對方發(fā)來的信息驗證從而確定信息是否合

7、法的過程。 通常分為身份鑒別和報文鑒別。通常分為身份鑒別和報文鑒別。 身份鑒別身份鑒別( (服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段，服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段， 對對方實體的合法性、真實性進行確認，對對方實體的合法性、真實性進行確認，防止防止非法用戶可能非法用戶可能通過通過偽偽 造造和和欺騙欺騙身份等手段冒充合法用戶身份等手段冒充合法用戶。 報文鑒別（服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段，報文鑒別（服務(wù)）：網(wǎng)絡(luò)系統(tǒng)兩個實體建立連接或數(shù)據(jù)傳輸階段， 對對方報文內(nèi)容鑒別，驗證收到的報文是否被篡改、假冒和偽造，對對方報文內(nèi)容鑒別，驗證收到的報文是否被篡改、假冒和

8、偽造， 以辨識真?zhèn)魏捅ＷC報文在通信中完整性。以辨識真?zhèn)魏捅ＷC報文在通信中完整性。 身份鑒別實體、報文鑒別信息整體（包括身份信息）身份鑒別實體、報文鑒別信息整體（包括身份信息） 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 身份認證的過程身份認證的過程 從網(wǎng)絡(luò)實現(xiàn)層面：從網(wǎng)絡(luò)實現(xiàn)層面：身份認證的過程是端到端的訪問中需要實現(xiàn)的安身份認證的過程是端到端的訪問中需要實現(xiàn)的安 全連接建立過程。即端到端的連接需要通過身份鑒別建立合法的連全連接建立過程。即端到端的連接需要通過身份鑒別建立合法的連 接訪問。接訪問。 合法則用戶端進程可以持續(xù)訪問授權(quán)合法則用戶端進程可以持續(xù)訪問授權(quán) 服務(wù)進程，持續(xù)已有的會話；

9、不合法服務(wù)進程，持續(xù)已有的會話；不合法 不能持續(xù)連接訪問。不能持續(xù)連接訪問。 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 身份認證的過程身份認證的過程 從資源訪問層面：對于從資源訪問層面：對于網(wǎng)絡(luò)用戶網(wǎng)絡(luò)用戶在進入系統(tǒng)或訪問受限在進入系統(tǒng)或訪問受限 系統(tǒng)系統(tǒng)資源資源時，身份認證的過程是用戶對資源訪問時的用時，身份認證的過程是用戶對資源訪問時的用 戶合法身份鑒別過程。借助于端到端的訪問實現(xiàn)。戶合法身份鑒別過程。借助于端到端的訪問實現(xiàn)。 clientServer DB DB DB 身份鑒別 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 身份認證的過程身份認證的過程 從認證的方向：從認證的方向

10、：單向認證與雙向認證過程；通信的雙方只需要一方單向認證與雙向認證過程；通信的雙方只需要一方 被另一方鑒別身份，這樣的認證過程就是一種被另一方鑒別身份，這樣的認證過程就是一種單向認證單向認證。通信的雙。通信的雙 方需要互相認證鑒別對方的身份，這樣的認證過程是方需要互相認證鑒別對方的身份，這樣的認證過程是雙向認證雙向認證。 以單向口令認證過程為例：以單向口令認證過程為例： 身份認證實現(xiàn)過程中，被鑒別的認證信息要實現(xiàn)加密，涉及密身份認證實現(xiàn)過程中，被鑒別的認證信息要實現(xiàn)加密，涉及密 鑰管理和分發(fā)服務(wù)。實際的身份認證往往是多個過程才能實現(xiàn)的。鑰管理和分發(fā)服務(wù)。實際的身份認證往往是多個過程才能實現(xiàn)的。

11、信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 身份認證的過程身份認證的過程 身份認證過程中涉及到身份認證過程中涉及到4 4個部分，也是身份認證系統(tǒng)的組成部分。個部分，也是身份認證系統(tǒng)的組成部分。 用戶組件：指擁有能提供用來證明他們身份證據(jù)的個體，也是用戶組件：指擁有能提供用來證明他們身份證據(jù)的個體，也是 認證系統(tǒng)中需要認證的客戶端。認證系統(tǒng)中需要認證的客戶端。 輸入組件：指用戶和認證系統(tǒng)產(chǎn)生和讀入身份標識的接口，一輸入組件：指用戶和認證系統(tǒng)產(chǎn)生和讀入身份標識的接口，一 般是計算機鍵盤、讀卡器、視頻采集儀器和其他相似的設(shè)備。般是計算機鍵盤、讀卡器、視頻采集儀器和其他相似的設(shè)備。 傳輸組件：身份

12、認證的傳輸部分，負責(zé)在輸入組件和能驗證用傳輸組件：身份認證的傳輸部分，負責(zé)在輸入組件和能驗證用 戶真實身份的組件之間傳遞數(shù)據(jù)。戶真實身份的組件之間傳遞數(shù)據(jù)。 驗證組件：存儲的用戶身份信息并以此與企圖進入系統(tǒng)的用戶驗證組件：存儲的用戶身份信息并以此與企圖進入系統(tǒng)的用戶 提供的身份標識進行比較，來確定用戶身份的合法性，也是認證系提供的身份標識進行比較，來確定用戶身份的合法性，也是認證系 統(tǒng)中完成身份鑒別的服務(wù)器端。統(tǒng)中完成身份鑒別的服務(wù)器端。 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 基于信息秘密的身份認證基于信息秘密的身份認證 基于信息秘密的身份認證是根據(jù)雙方共同所知道的秘密基于信息秘密的

13、身份認證是根據(jù)雙方共同所知道的秘密 信息來證明用戶的身份（信息來證明用戶的身份（what you knowwhat you know），并通過對），并通過對 秘密信息鑒別驗證身份。秘密信息鑒別驗證身份。 例如，基于口令、密鑰、例如，基于口令、密鑰、IPIP地址、地址、MACMAC地址等身份因素地址等身份因素 的身份認證。包括：的身份認證。包括： 1 1網(wǎng)絡(luò)身份證網(wǎng)絡(luò)身份證: :虛擬身份電子標識虛擬身份電子標識 2 2靜態(tài)口令：設(shè)定的以靜態(tài)口令：設(shè)定的以“永久口令永久口令”為主為主, ,結(jié)合其它因結(jié)合其它因 素的身份認證。素的身份認證。 3 3一次性口令認證一次性口令認證 信息安全技術(shù)與應(yīng)用_第

14、3章 身份認證與訪問控制 網(wǎng)絡(luò)身份證網(wǎng)絡(luò)身份證 網(wǎng)絡(luò)身份證就是在網(wǎng)絡(luò)上可以證明一個人身份及存在的虛擬證件。網(wǎng)絡(luò)身份證就是在網(wǎng)絡(luò)上可以證明一個人身份及存在的虛擬證件。 虛擬身份電子標識虛擬身份電子標識VIeID (Virtual identity electronic VIeID (Virtual identity electronic identification) identification) 技術(shù)：技術(shù)：VIEIDVIEID是網(wǎng)絡(luò)身份證的工具或服務(wù)協(xié)議，也是未是網(wǎng)絡(luò)身份證的工具或服務(wù)協(xié)議，也是未 來互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的基本構(gòu)成之一。來互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的基本構(gòu)成之一。 如如 （1 1）將用戶現(xiàn)實

15、中的身份資料包括文字資料、語音、指紋等信息采集將用戶現(xiàn)實中的身份資料包括文字資料、語音、指紋等信息采集 到權(quán)威服務(wù)機構(gòu)，然后生成一個賬戶。到權(quán)威服務(wù)機構(gòu)，然后生成一個賬戶。賬戶內(nèi)包含賬戶內(nèi)包含VIeIDVIeID的賬戶的賬戶IDID、公鑰、公鑰 和私鑰和私鑰。 （2 2）當用戶在相應(yīng)客戶端識別系統(tǒng)中輸入）當用戶在相應(yīng)客戶端識別系統(tǒng)中輸入VIeIDVIeID的賬戶的賬戶IDID和公鑰，識和公鑰，識 別系統(tǒng)會在別系統(tǒng)會在VIEIDVIEID庫搜索公鑰解密還原出該庫搜索公鑰解密還原出該VIeIDVIeID持有人的資料從而識別其持有人的資料從而識別其 身份或某種資格。身份或某種資格。 網(wǎng)絡(luò)身份證應(yīng)具有

16、公開性（網(wǎng)絡(luò)身份證應(yīng)具有公開性（IPIP）、一致性（統(tǒng)一性）和保密性、區(qū)域性特）、一致性（統(tǒng)一性）和保密性、區(qū)域性特 點。點。 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 虛擬身份電子標識虛擬身份電子標識VIeID 目前在世界范圍內(nèi)提供目前在世界范圍內(nèi)提供VIEIDVIEID服務(wù)的公司有以下數(shù)家：服務(wù)的公司有以下數(shù)家： VIeID:VIeID:通用賬戶及身份管理通用賬戶及身份管理 OpenIDOpenID：跨站身份管理：跨站身份管理 ClaimIDClaimID：創(chuàng)建用戶檔案、信譽的網(wǎng)絡(luò)服務(wù)：創(chuàng)建用戶檔案、信譽的網(wǎng)絡(luò)服務(wù) CardSpaceCardSpace：微軟可支持多個數(shù)字身份的虛擬錢

17、包：微軟可支持多個數(shù)字身份的虛擬錢包 Liberty Web ServicesLiberty Web Services：身份和認證服務(wù)規(guī)范：身份和認證服務(wù)規(guī)范 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 一次性口令認證一次性口令認證 一次性口令認證也稱為一次性口令認證也稱為動態(tài)口令動態(tài)口令的認證，是一種按時間和的認證，是一種按時間和 使用次數(shù)來設(shè)置口令，每個口令只使用一次，口令不斷變使用次數(shù)來設(shè)置口令，每個口令只使用一次，口令不斷變 化的認證方法?；恼J證方法。 口令變動來源于產(chǎn)生口令的因素，包括固定因素（用戶名口令變動來源于產(chǎn)生口令的因素，包括固定因素（用戶名 或或IDID）和變動因素（

18、時間）。）和變動因素（時間）。 口令一般是長度為口令一般是長度為5 58 8的字符串；根據(jù)專門的算法生成；的字符串；根據(jù)專門的算法生成； 可以基于可以基于變動的時間或事件特征變動的時間或事件特征保持口令同步運算產(chǎn)生口保持口令同步運算產(chǎn)生口 令，也可以通過令，也可以通過異步運算隨機異步運算隨機形成口令。形成口令。 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 一次性口令認證一次性口令認證 動態(tài)口令認證的優(yōu)點：動態(tài)口令認證的優(yōu)點： 無須像保護靜態(tài)口令那樣定期修改口令，方便管理；無須像保護靜態(tài)口令那樣定期修改口令，方便管理； 一次一口令，有效防止黑客一次性口令竊取就獲得永久訪問權(quán)；一次一口令，有效

19、防止黑客一次性口令竊取就獲得永久訪問權(quán)； 由于口令使用后即被廢棄，可以有效防止身份認證中的重放攻由于口令使用后即被廢棄，可以有效防止身份認證中的重放攻 擊。擊。 動態(tài)口令認證的缺點：動態(tài)口令認證的缺點： 客戶端和服務(wù)器的時間或事件若不能保持良好同步，可能發(fā)生客戶端和服務(wù)器的時間或事件若不能保持良好同步，可能發(fā)生 合法用戶無法登錄；合法用戶無法登錄； 口令是一長串較長的數(shù)字組合，一旦輸錯就得重新操作?？诹钍且婚L串較長的數(shù)字組合，一旦輸錯就得重新操作。 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 一次性口令認證一次性口令認證 動態(tài)口令認證方法已被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運動態(tài)口令認證方法已被

20、廣泛運用在網(wǎng)銀、網(wǎng)游、電信運 營商、電子政務(wù)、企業(yè)等應(yīng)用訪問系統(tǒng)中。營商、電子政務(wù)、企業(yè)等應(yīng)用訪問系統(tǒng)中。 例如：短信一次性口令例如：短信一次性口令認證是以手認證是以手 機短信形式請求登錄，認證服務(wù)器通機短信形式請求登錄，認證服務(wù)器通 過短信網(wǎng)關(guān)發(fā)出包含過短信網(wǎng)關(guān)發(fā)出包含6 6位隨機數(shù)的動態(tài)位隨機數(shù)的動態(tài) 口令，短信形式發(fā)送到客戶的手機上。口令，短信形式發(fā)送到客戶的手機上。 信息安全技術(shù)與應(yīng)用_第3章 身份認證與訪問控制 信息安全技術(shù)_第3章 身份認證與訪問控制 基于信任物體的身份認證 根據(jù)你所擁有的東西來證明你的身份（根據(jù)你所擁有的東西來證明你的身份（what you what you ha

21、vehave），如通過信用卡、鑰匙牌、智能卡、口令牌實），如通過信用卡、鑰匙牌、智能卡、口令牌實 施的認證。施的認證。 智能卡（智能卡（ICIC卡）卡） 動態(tài)口令牌動態(tài)口令牌 USB Key USB Key 信息安全技術(shù)_第3章 身份認證與訪問控制 基于生物特征的身份認證基于生物特征的身份認證 生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或生物特征是指唯一的可以測量或可自動識別和驗證的生理特征或 行為特征。行為特征。 身體特征包括指紋、掌紋、視網(wǎng)膜、虹膜、人體氣味、臉型、手身體特征包括指紋、掌紋、視網(wǎng)膜、虹膜、人體氣味、臉型、手 的血管、的血管、DNADNA等；等； 行為特征包括簽名

22、、聲音、行走步態(tài)等。行為特征包括簽名、聲音、行走步態(tài)等。 基于生物特征的身份認證是指通過可測量的身體特征和行為特征基于生物特征的身份認證是指通過可測量的身體特征和行為特征 經(jīng)過經(jīng)過“生物識別技術(shù)生物識別技術(shù)”實現(xiàn)身份認證的一種方法。實現(xiàn)身份認證的一種方法。 身份認證可利用的生物特征需要滿足：普遍性、唯一性、可測量身份認證可利用的生物特征需要滿足：普遍性、唯一性、可測量 性和穩(wěn)定性，當然，在應(yīng)用過程中，還要考慮識別精度、識別速性和穩(wěn)定性，當然，在應(yīng)用過程中，還要考慮識別精度、識別速 度、對人體無傷害、用戶的接受性等因素。度、對人體無傷害、用戶的接受性等因素。 信息安全技術(shù)_第3章 身份認證與訪問

23、控制 生物特征識別過程 采樣：生物識別系統(tǒng)捕捉到生物特征的樣品，并對采樣的數(shù)據(jù)采樣：生物識別系統(tǒng)捕捉到生物特征的樣品，并對采樣的數(shù)據(jù) 進行初步的處理，將初步處理的樣品保存起來。進行初步的處理，將初步處理的樣品保存起來。 提取特征信息：設(shè)備提取采樣中唯一的生物特征信息，并轉(zhuǎn)化提取特征信息：設(shè)備提取采樣中唯一的生物特征信息，并轉(zhuǎn)化 成需要的數(shù)字格式。成需要的數(shù)字格式。 特征入庫：認證以前要提前將特征信息連同其他用戶身份信息特征入庫：認證以前要提前將特征信息連同其他用戶身份信息 如如IDID或或PINPIN等存儲到特征數(shù)據(jù)庫。等存儲到特征數(shù)據(jù)庫。 特征識別：生物特征識別有兩種識別方法是驗證和辨識，驗

24、證特征識別：生物特征識別有兩種識別方法是驗證和辨識，驗證 采用完整的樣品比對；而辨識即將讀取到的用戶的生物特征信息，采用完整的樣品比對；而辨識即將讀取到的用戶的生物特征信息， 與特征數(shù)據(jù)庫中的數(shù)據(jù)進行比較，計算出它們的相似程度，看是否與特征數(shù)據(jù)庫中的數(shù)據(jù)進行比較，計算出它們的相似程度，看是否 匹配來識別用戶身份。匹配來識別用戶身份。 信息安全技術(shù)_第3章 身份認證與訪問控制 指紋身份認證指紋身份認證 指紋特征指紋特征 一個人的指紋是唯一的，即使是雙胞胎的指紋也不相同。一個人的指紋是唯一的，即使是雙胞胎的指紋也不相同。 人的指紋有兩類特征：全局特征和局部特征。人的指紋有兩類特征：全局特征和局部特

25、征。要區(qū)分任意兩枚指紋要區(qū)分任意兩枚指紋 僅依靠全局特征是不夠的，還需要通過局部特征的位置、數(shù)目、類僅依靠全局特征是不夠的，還需要通過局部特征的位置、數(shù)目、類 型和方向才能唯一地確定。型和方向才能唯一地確定。 指紋的特征識別步驟：指紋的特征識別步驟： （1 1）圖像采集）圖像采集 （2 2）圖像預(yù)處理）圖像預(yù)處理 （3 3）細節(jié)特征的提?。┘毠?jié)特征的提取 （4 4）特征信息入庫）特征信息入庫 （5 5）匹配及識別）匹配及識別 信息安全技術(shù)_第3章 身份認證與訪問控制 虹膜身份認證虹膜身份認證 虹膜是一種在眼睛中瞳孔內(nèi)的織物狀的各色環(huán)狀物，每個虹膜都虹膜是一種在眼睛中瞳孔內(nèi)的織物狀的各色環(huán)狀物，

26、每個虹膜都 包含一個獨一無二的基于水晶體、細絲、斑點、凹點、皺紋、條包含一個獨一無二的基于水晶體、細絲、斑點、凹點、皺紋、條 紋等特征的結(jié)構(gòu)紋等特征的結(jié)構(gòu) 虹膜在眼睛的內(nèi)部，用外科手術(shù)很難改變其結(jié)構(gòu)；虹膜在眼睛的內(nèi)部，用外科手術(shù)很難改變其結(jié)構(gòu)； 由于瞳孔隨光線的強弱變化，想用偽造的虹膜代替活的虹膜是不由于瞳孔隨光線的強弱變化，想用偽造的虹膜代替活的虹膜是不 可能的。可能的。 同一個人的左右眼虹膜也有很大區(qū)別同一個人的左右眼虹膜也有很大區(qū)別 和指紋識別相比，虹膜識別技術(shù)采用非接觸式取像方式，對接觸和指紋識別相比，虹膜識別技術(shù)采用非接觸式取像方式，對接觸 面污染較小面污染較小 特點：具有可靠性高、

27、不易仿照；操作更簡便，檢驗的精確度可特點：具有可靠性高、不易仿照；操作更簡便，檢驗的精確度可 以更高，識別的錯誤率非常底。生物識別產(chǎn)品市場占有優(yōu)勢。以更高，識別的錯誤率非常底。生物識別產(chǎn)品市場占有優(yōu)勢。 信息安全技術(shù)_第3章 身份認證與訪問控制 視網(wǎng)膜身份認證視網(wǎng)膜身份認證 人的視網(wǎng)膜上面血管的圖樣可以利用光學(xué)方法透過人眼人的視網(wǎng)膜上面血管的圖樣可以利用光學(xué)方法透過人眼 晶體來測定。視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面晶體來測定。視網(wǎng)膜識別技術(shù)要求激光照射眼球的背面 以獲得視網(wǎng)膜特征的唯一性。以獲得視網(wǎng)膜特征的唯一性。 視網(wǎng)膜身份認證的優(yōu)點是：視網(wǎng)膜身份認證的優(yōu)點是： 耐久性：視網(wǎng)膜是一種極其

28、固定的生物特征，因為它耐久性：視網(wǎng)膜是一種極其固定的生物特征，因為它 是是“隱藏隱藏”的，故而不易磨損，老化或是為疾病影響；的，故而不易磨損，老化或是為疾病影響； 非接觸性的：視網(wǎng)膜是不可見的，故而不會被偽造。非接觸性的：視網(wǎng)膜是不可見的，故而不會被偽造。 缺點是視網(wǎng)膜技術(shù)未經(jīng)過任何測試，可能會給使用者帶缺點是視網(wǎng)膜技術(shù)未經(jīng)過任何測試，可能會給使用者帶 來健康的損壞，這需要進一步的研究；對于消費者，視來健康的損壞，這需要進一步的研究；對于消費者，視 網(wǎng)膜技術(shù)沒有吸引力；很難進一步降低它的成本。網(wǎng)膜技術(shù)沒有吸引力；很難進一步降低它的成本。 信息安全技術(shù)_第3章 身份認證與訪問控制 語音身份認證語

29、音身份認證 任何兩個人的聲紋頻譜圖都有差異，語音身份認證，就任何兩個人的聲紋頻譜圖都有差異，語音身份認證，就 是通過對所記錄的語音與被鑒人聲紋的比較，進行身份是通過對所記錄的語音與被鑒人聲紋的比較，進行身份 認證。認證。 視網(wǎng)膜身份認證的優(yōu)點是：視網(wǎng)膜身份認證的優(yōu)點是： 語音識別作為一種非接語音識別作為一種非接 觸式的識別系統(tǒng)，用戶可以很自然地接受，觸式的識別系統(tǒng)，用戶可以很自然地接受， 聲音進聲音進 行采樣，濾波等數(shù)字化處理相對成熟。行采樣，濾波等數(shù)字化處理相對成熟。 缺點：但聲音變化的范圍太大，音量、速度和音質(zhì)的變?nèi)秉c：但聲音變化的范圍太大，音量、速度和音質(zhì)的變 化會影響到采集的結(jié)果，這樣

30、直接影響比對的結(jié)果。另化會影響到采集的結(jié)果，這樣直接影響比對的結(jié)果。另 外，聲音識別系統(tǒng)還很容易被錄在磁帶上的聲音欺騙，外，聲音識別系統(tǒng)還很容易被錄在磁帶上的聲音欺騙， 這樣降低了語音識別系統(tǒng)的安全可靠性。這樣降低了語音識別系統(tǒng)的安全可靠性。 信息安全技術(shù)_第3章 身份認證與訪問控制 基于生物特征的身份認證的優(yōu)點基于生物特征的身份認證的優(yōu)點 相比其他認證方法有下列優(yōu)點：相比其他認證方法有下列優(yōu)點： 非易失：生物特征基本不存在丟失、遺忘或被盜的非易失：生物特征基本不存在丟失、遺忘或被盜的 問題。問題。 難偽造：用于身份認證的生物特征很難被偽造。難偽造：用于身份認證的生物特征很難被偽造。 方便性：

31、生物特征隨身方便性：生物特征隨身“攜帶攜帶”，隨時隨地可用。，隨時隨地可用。 信息安全技術(shù)_第3章 身份認證與訪問控制 3.2 安全的身份認證 身份認證面臨的主要威脅身份認證面臨的主要威脅 欺騙標識：通過盜取或欺騙用戶的信任憑證或嘗試用一個假的欺騙標識：通過盜取或欺騙用戶的信任憑證或嘗試用一個假的 身份標識試探獲取對系統(tǒng)的訪問權(quán)。身份標識試探獲取對系統(tǒng)的訪問權(quán)。 篡改數(shù)據(jù)：非經(jīng)授權(quán)對認證信息進行修改。篡改數(shù)據(jù)：非經(jīng)授權(quán)對認證信息進行修改。 拒絕承認：用戶拒絕承認以自己的身份執(zhí)行過特定操作或數(shù)據(jù)拒絕承認：用戶拒絕承認以自己的身份執(zhí)行過特定操作或數(shù)據(jù) 傳輸。傳輸。 信息泄露：私有數(shù)據(jù)的暴露，用戶監(jiān)

32、聽到在網(wǎng)絡(luò)上傳送的明文信息泄露：私有數(shù)據(jù)的暴露，用戶監(jiān)聽到在網(wǎng)絡(luò)上傳送的明文 信息等都是信息泄露。信息等都是信息泄露。 重放攻擊：攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認證憑據(jù)，重放攻擊：攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認證憑據(jù)， 利用這一目的主機已接收過的認證報文，再不斷惡意或欺詐性地重利用這一目的主機已接收過的認證報文，再不斷惡意或欺詐性地重 復(fù)發(fā)給認證服務(wù)器。復(fù)發(fā)給認證服務(wù)器。 信息安全技術(shù)_第3章 身份認證與訪問控制 身份認證的安全措施身份認證的安全措施 （1 1）身份信息加密以防止信息泄露和篡改數(shù)據(jù)）身份信息加密以防止信息泄露和篡改數(shù)據(jù) 需要在認證信息的傳輸和存儲時采用加密技術(shù)以保需要

33、在認證信息的傳輸和存儲時采用加密技術(shù)以保 證認證中的數(shù)據(jù)在傳送或存儲過程中證認證中的數(shù)據(jù)在傳送或存儲過程中未被泄露和篡改未被泄露和篡改。 傳輸中的認證信息加密可以采用對稱密鑰加密體制，也傳輸中的認證信息加密可以采用對稱密鑰加密體制，也 可以采用非對稱密鑰加密體制；可以采用非對稱密鑰加密體制； 對服務(wù)器數(shù)據(jù)庫中的身份信息加密存儲，以防止黑客入對服務(wù)器數(shù)據(jù)庫中的身份信息加密存儲，以防止黑客入 侵獲得身份信息假冒合法用戶非法訪問；侵獲得身份信息假冒合法用戶非法訪問； 信息安全技術(shù)_第3章 身份認證與訪問控制 身份認證的安全措施身份認證的安全措施 （2 2）采用安全的認證方式抵御重放攻擊）采用安全的認

34、證方式抵御重放攻擊 挑戰(zhàn)挑戰(zhàn)/ /應(yīng)答認證模式應(yīng)答認證模式 注：一般注：一般采用不重復(fù)使用的大的隨機數(shù)作為挑戰(zhàn)采用不重復(fù)使用的大的隨機數(shù)作為挑戰(zhàn)（值）（值）， 若挑戰(zhàn)值變化量不大，攻擊者只需截獲足夠的挑戰(zhàn)應(yīng)答若挑戰(zhàn)值變化量不大，攻擊者只需截獲足夠的挑戰(zhàn)應(yīng)答 之間的關(guān)系，又可以進行重放攻擊了。之間的關(guān)系，又可以進行重放攻擊了。 數(shù)字時間戳方式數(shù)字時間戳方式 數(shù)字時間戳（數(shù)字時間戳（digital time-stampdigital time-stamp，DTSDTS）就是用來有效）就是用來有效 證明電子數(shù)據(jù)的收發(fā)時間內(nèi)容。證明電子數(shù)據(jù)的收發(fā)時間內(nèi)容。 認證服務(wù)器接收時只有報文時間戳與本地時間足夠

35、接近時，認證服務(wù)器接收時只有報文時間戳與本地時間足夠接近時， 才認為是一個合法的新報文，否則認為是重放攻擊報文。才認為是一個合法的新報文，否則認為是重放攻擊報文。 信息安全技術(shù)_第3章 身份認證與訪問控制 身份認證的安全措施身份認證的安全措施 （3 3）數(shù)字簽名有效抵制欺騙標識和拒絕承認）數(shù)字簽名有效抵制欺騙標識和拒絕承認 應(yīng)用數(shù)字簽名的身份鑒別有效防止冒用別人名義發(fā)起認應(yīng)用數(shù)字簽名的身份鑒別有效防止冒用別人名義發(fā)起認 證和發(fā)出（收到）身份信息后拒絕承認。證和發(fā)出（收到）身份信息后拒絕承認。 認證結(jié)果證明：認證結(jié)果證明： 用戶身份信息用戶身份信息M M在傳輸中沒有被別人冒用，剛才驗證在傳輸中沒

36、有被別人冒用，剛才驗證 的身份信息的身份信息M M就是用戶的；用戶不能否認驗證確認的身份就是用戶的；用戶不能否認驗證確認的身份 信息和以此身份信息登錄后的操作和審計結(jié)果。信息和以此身份信息登錄后的操作和審計結(jié)果。 信息安全技術(shù)_第3章 身份認證與訪問控制 身份認證的安全措施身份認證的安全措施 （4 4）加強身份信息管理，防止私有信息泄露）加強身份信息管理，防止私有信息泄露 管理好個人的身份標識，輕易不要被欺騙泄露或告知他人，尤管理好個人的身份標識，輕易不要被欺騙泄露或告知他人，尤 其是信任物體身份標識硬件，借用或丟失會造成身份冒用。其是信任物體身份標識硬件，借用或丟失會造成身份冒用。 提高口令

37、、提高口令、PINPIN等身份標識設(shè)置的復(fù)雜度，提高身份標識的猜等身份標識設(shè)置的復(fù)雜度，提高身份標識的猜 測難度，有效地防止身份探測。測難度，有效地防止身份探測。 增加身份認證因素，采用雙因素或多因素的認證方式可以更好增加身份認證因素，采用雙因素或多因素的認證方式可以更好 克服由于身份信息泄露造成的安全威脅。克服由于身份信息泄露造成的安全威脅。 上述提到的多因素認證、數(shù)字時間戳認證、信息加密的身份認上述提到的多因素認證、數(shù)字時間戳認證、信息加密的身份認 證、挑戰(zhàn)證、挑戰(zhàn)/ /響應(yīng)認證等都是安全的認證模式，有效保障身份認證的響應(yīng)認證等都是安全的認證模式，有效保障身份認證的 非否認性、保密性、正確

38、性和完整性。非否認性、保密性、正確性和完整性。 信息安全技術(shù)_第3章 身份認證與訪問控制 口令認證的安全方案 口令認證的威脅口令認證的威脅 網(wǎng)絡(luò)數(shù)據(jù)流竊聽；網(wǎng)絡(luò)數(shù)據(jù)流竊聽； 認證信息截取認證信息截取/ /重放；重放； 字典攻擊；字典攻擊； 窮舉嘗試；窮舉嘗試； 窺探口令；窺探口令； 騙取口令；騙取口令； 垃圾搜索；垃圾搜索； 口令安全性管理口令安全性管理 （1 1）口令的安全存儲）口令的安全存儲 一是直接明文存儲口令，二是哈希散列存儲口令。一是直接明文存儲口令，二是哈希散列存儲口令。 （2 2）口令的安全設(shè)置）口令的安全設(shè)置 （3 3）口令的加密傳輸）口令的加密傳輸 （4 4）驗證碼）驗證碼

39、口令認證中通過加入驗證碼可以控制登錄或注冊時間和節(jié)奏，有效防口令認證中通過加入驗證碼可以控制登錄或注冊時間和節(jié)奏，有效防 止對某一個特定注冊用戶用特定程序自動進行口令的窮舉嘗試。止對某一個特定注冊用戶用特定程序自動進行口令的窮舉嘗試。 信息安全技術(shù)_第3章 身份認證與訪問控制 基于指紋的電子商務(wù)身份認證 認證特點認證特點 基于指紋的電子商務(wù)身份認證系統(tǒng)綜合了指紋識別、數(shù)字簽名和加密基于指紋的電子商務(wù)身份認證系統(tǒng)綜合了指紋識別、數(shù)字簽名和加密 技術(shù)，有效地解決了客戶端身份信息的存儲和管理問題；同時，通過認證技術(shù)，有效地解決了客戶端身份信息的存儲和管理問題；同時，通過認證 過程中使用時間戳和隨機數(shù)

40、阻止了第三方的重放攻擊。過程中使用時間戳和隨機數(shù)阻止了第三方的重放攻擊。 認證過程 信息安全技術(shù)_第3章 身份認證與訪問控制 Kerberos身份認證身份認證 KerberosKerberos是麻省理工學(xué)院開發(fā)的一個認證服務(wù)方案是麻省理工學(xué)院開發(fā)的一個認證服務(wù)方案. .它工作在它工作在Client/ServerClient/Server 模式下，以可信賴的模式下，以可信賴的KDCKDC和使用和使用DESDES對稱密鑰口令算法，實現(xiàn)密鑰分配和集中對稱密鑰口令算法，實現(xiàn)密鑰分配和集中 的身份認證。的身份認證。 一個完整的一個完整的KerberosKerberos系統(tǒng)主要由以下幾個部分組成：系統(tǒng)主要

41、由以下幾個部分組成： 用戶（用戶（ClientClient）：發(fā)起認證服務(wù)的一方。）：發(fā)起認證服務(wù)的一方。 服務(wù)器（服務(wù)器（ServerServer）：最終鑒別客戶認證信息的一方。）：最終鑒別客戶認證信息的一方。 認證服務(wù)器（認證服務(wù)器（Authentication ServerAuthentication Server，ASAS）：用來進行密鑰分配和驗證用戶身份。）：用來進行密鑰分配和驗證用戶身份。 票據(jù)分配服務(wù)器（票據(jù)分配服務(wù)器（Ticket Granting ServerTicket Granting Server，TGSTGS）：發(fā)放身份證明票據(jù)（憑證）。）：發(fā)放身份證明票據(jù)（憑證）。

42、 票據(jù)（票據(jù)（ticket-granting ticketticket-granting ticket，TGTTGT）：為雙方身份認證專門生成的憑證。）：為雙方身份認證專門生成的憑證。 密鑰分配中心（密鑰分配中心（Key Distribution CenterKey Distribution Center，KDCKDC）：由認證服務(wù)器和票據(jù)分配服）：由認證服務(wù)器和票據(jù)分配服 務(wù)器組成。務(wù)器組成。 鑒別碼（鑒別碼（AuthenticatorAuthenticator）：用戶生成的最終認證信息。）：用戶生成的最終認證信息。 信息安全技術(shù)_第3章 身份認證與訪問控制 Kerberos身份認證過程身份

43、認證過程 Kerberos的基本認證過程： 信息安全技術(shù)_第3章 身份認證與訪問控制 Kerberos身份認證過程身份認證過程 認證過程中的票據(jù)和認證信息：認證過程中的票據(jù)和認證信息： TGT1=TicketTGT1=Ticket用戶身份標識用戶身份標識 ； TGT2=TicketSession KeyTGT2=TicketSession Key，用戶身份標識，用戶主機，用戶身份標識，用戶主機IPIP地址，服地址，服 務(wù)器名，有效期，時間戳務(wù)器名，有效期，時間戳 ； K KCSession KeyCSession Key； K KSTGT2STGT2； Authenticator =Sessi

44、on KeyAuthenticator =Session Key用戶身份標識，用戶主機用戶身份標識，用戶主機IPIP； 信息安全技術(shù)_第3章 身份認證與訪問控制 Kerberos身份認證身份認證 KerberosKerberos認證具有如下優(yōu)點：認證具有如下優(yōu)點： 認證在認證在用戶和認證服務(wù)器之間進行，用戶和認證服務(wù)器之間進行，減少了服務(wù)器對身份信息管理和減少了服務(wù)器對身份信息管理和 存儲的開銷和黑客入侵后的安全風(fēng)險。存儲的開銷和黑客入侵后的安全風(fēng)險。 支持雙向認證。支持雙向認證。 認證過程整個過程可以說是一個典型的挑戰(zhàn)認證過程整個過程可以說是一個典型的挑戰(zhàn)/ /響應(yīng)方式，在防止重響應(yīng)方式，在

45、防止重 放攻擊方面起到有效的作用。放攻擊方面起到有效的作用。 KerberosKerberos協(xié)議的推廣和應(yīng)用具有靈活性。協(xié)議的推廣和應(yīng)用具有靈活性。 KerberosKerberos已廣泛應(yīng)用于已廣泛應(yīng)用于InternetInternet和和IntranetIntranet認證服務(wù)和安全訪問，具認證服務(wù)和安全訪問，具 有高度的安全可靠和較好的擴展性，成為當今比較重要的實用認證方案。有高度的安全可靠和較好的擴展性，成為當今比較重要的實用認證方案。 信息安全技術(shù)_第3章 身份認證與訪問控制 基于基于X.509數(shù)字證書的認證數(shù)字證書的認證 X.509X.509是一個標準的鑒別框架；構(gòu)建一種基于公開

46、密鑰體制的業(yè)務(wù)是一個標準的鑒別框架；構(gòu)建一種基于公開密鑰體制的業(yè)務(wù) 密鑰管理和身份認證。認證過程基于密鑰管理和身份認證。認證過程基于PKIPKI支持，支持，PKIPKI利用利用X.509X.509標準標準 的數(shù)字證書方式實現(xiàn)密鑰分配和管理。的數(shù)字證書方式實現(xiàn)密鑰分配和管理。 公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI:PKI:一種利用公鑰理論和技術(shù)提供密鑰分發(fā)和數(shù)字一種利用公鑰理論和技術(shù)提供密鑰分發(fā)和數(shù)字 證書管理的安全服務(wù)平臺。證書管理的安全服務(wù)平臺。 數(shù)字證書：數(shù)字證書：數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及 身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)，是用來

47、標志和證明網(wǎng)絡(luò)通信雙方身身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)，是用來標志和證明網(wǎng)絡(luò)通信雙方身 份的數(shù)字信息文件。份的數(shù)字信息文件。 PKIPKI的最基本元素是數(shù)字證書，所有安全操作都主要是通過數(shù)字證的最基本元素是數(shù)字證書，所有安全操作都主要是通過數(shù)字證 書來實現(xiàn)。書來實現(xiàn)。 信息安全技術(shù)_第3章 身份認證與訪問控制 X.509框架下的框架下的PKI PKIPKI的組成：的組成： RARA（注冊中心）：（注冊中心）： CACA（認證中心）：（認證中心）： 證書發(fā)布庫：證書發(fā)布庫： 密鑰管密鑰管 理與備份系統(tǒng)：理與備份系統(tǒng)： 證書撤銷處理系統(tǒng)：證書撤銷處理系統(tǒng)： 應(yīng)用接口系統(tǒng)：應(yīng)用接口系統(tǒng)： 信息安全技術(shù)_

48、第3章 身份認證與訪問控制 X.509標準證書標準證書 最廣泛接受的最廣泛接受的X.509X.509標準證書組成：標準證書組成： 證書的版本號（證書的版本號（versionversion）：該證書使用的了）：該證書使用的了X.509X.509的哪種版本。的哪種版本。 證書的序列號（證書的序列號（serial numberserial number）：每個證書都有一個唯一的證書序列號。）：每個證書都有一個唯一的證書序列號。 證書所使用的簽名算法（證書所使用的簽名算法（algorithm+parametersalgorithm+parameters）：指定證書使用的數(shù)字簽名）：指定證書使用的數(shù)字簽

49、名 加密算法和加密算法和HashHash算法；在解密對方用戶數(shù)字簽名時使用。算法；在解密對方用戶數(shù)字簽名時使用。 證書的發(fā)行機構(gòu)名稱（證書的發(fā)行機構(gòu)名稱（issuer nameissuer name）：證書頒發(fā)者標識名。）：證書頒發(fā)者標識名。 證書的有效期（證書的有效期（not before-not afternot before-not after）：證書有效時間段，它的計時范圍為）：證書有效時間段，它的計時范圍為 1950195020492049。 證書所有人的名稱（證書所有人的名稱（subject namesubject name）：證書擁有者主體識別名。）：證書擁有者主體識別名。 證書

50、所有人的公開密鑰（證書所有人的公開密鑰（algorithm+parameters+Keyalgorithm+parameters+Key）：公鑰加密算法、參數(shù)）：公鑰加密算法、參數(shù) 和公鑰。和公鑰。 證書簽發(fā)者唯一身份標識符（證書簽發(fā)者唯一身份標識符（issuer unique nameissuer unique name）。）。 證書擁有者唯一身份標識符（證書擁有者唯一身份標識符（subject unique namesubject unique name）。）。 10 10 證書發(fā)行者對證書的簽名（證書發(fā)行者對證書的簽名（encryptedencrypted）：證書頒發(fā)者私鑰生成的簽名和算

51、法。）：證書頒發(fā)者私鑰生成的簽名和算法。 信息安全技術(shù)_第3章 身份認證與訪問控制 數(shù)字證書分為簽名證書和加密證書：簽名證書用于對用戶認證信息數(shù)字數(shù)字證書分為簽名證書和加密證書：簽名證書用于對用戶認證信息數(shù)字 簽名使用，來解密簽名和簽名使用，來解密簽名和HashHash運算；加密證書用于對發(fā)送給用戶的數(shù)據(jù)運算；加密證書用于對發(fā)送給用戶的數(shù)據(jù) 進行加密使用。進行加密使用。 在用戶取得在用戶取得PKIPKI加密數(shù)字證書的前提下，就可以申請簽名證書和加密證加密數(shù)字證書的前提下，就可以申請簽名證書和加密證 書的簽發(fā)。簽發(fā)過程如圖：書的簽發(fā)。簽發(fā)過程如圖： 證書作用：證書作用： （1 1）數(shù)字證書可以作

52、為身份憑）數(shù)字證書可以作為身份憑 證，使雙方了解對方身份；證，使雙方了解對方身份； （2 2）可以用來信息加密防止信）可以用來信息加密防止信 息竊取和泄露；息竊取和泄露； （3 3）可以用來解密數(shù)字簽名從而使發(fā)送方不能抵賴和防止假冒。）可以用來解密數(shù)字簽名從而使發(fā)送方不能抵賴和防止假冒。 證書簽發(fā)的基本流程證書簽發(fā)的基本流程 信息安全技術(shù)_第3章 身份認證與訪問控制 基于基于X.509證書的認證過程證書的認證過程 基于基于X.509X.509的雙向認證（為例）：的雙向認證（為例）： A A發(fā)送信息：發(fā)送信息：A A生成一個隨機數(shù)生成一個隨機數(shù)Y Ya a，可以用來防止假冒和偽造；接著用，可以用

53、來防止假冒和偽造；接著用A A的的 私鑰加密構(gòu)成私鑰加密構(gòu)成K KaaT Ta, a, Y Ya, Ba, B（T Ta a為時間戳）發(fā)送給為時間戳）發(fā)送給B B。 B B接收信息：先從接收信息：先從PKIPKI獲取獲取A A的公鑰證書，并從證書中提取的公鑰證書，并從證書中提取A A的公鑰，通過的公鑰，通過 解密解密K KaaT Ta, a, Y Ya, Ba, B，驗證，驗證A A的身份是否屬實。從的身份是否屬實。從 T Ta, a, Y Ya, Ba, B驗證自己是驗證自己是 否是信息的接收人，驗證時間戳是否接近當前時間，否是信息的接收人，驗證時間戳是否接近當前時間，Y Ya a檢驗是否有

54、重放。檢驗是否有重放。 B B發(fā)送信息：發(fā)送信息：B B生成一個隨機數(shù)生成一個隨機數(shù)Y Yb b，接著用，接著用B B的私鑰加密構(gòu)成的私鑰加密構(gòu)成K KbbT Tb, b, Y Yb, A, b, A, Y Yaa發(fā)送給發(fā)送給A A。 A A接收信息：先從接收信息：先從PKIPKI獲得獲得B B的公鑰證書，并從證書中提取的公鑰證書，并從證書中提取A A的公鑰，通過的公鑰，通過 解密解密K KbbT Tb, b, Y Yb, A, b, A, Y Yaa，驗證，驗證B B的身份是否屬實。從的身份是否屬實。從 T Tb, b, Y Yb, A, b, A, Y Yaa驗驗 證自己是否是信息的接收人

55、；驗證時間戳證自己是否是信息的接收人；驗證時間戳TbTb是否接近當前時間，是否接近當前時間，Y Yb b檢驗是檢驗是 否有重放。否有重放。 信息安全技術(shù)_第3章 身份認證與訪問控制 基于基于X.509證書的認證過程證書的認證過程 基于基于X.509X.509證書的認證的特點：證書的認證的特點： 通過支持認證中的公鑰加密和數(shù)字簽名，從而有效防止通過支持認證中的公鑰加密和數(shù)字簽名，從而有效防止 身份信息泄露、偽造、冒用和拒絕承認的安全問題；身份信息泄露、偽造、冒用和拒絕承認的安全問題； 身份信息由可信的身份信息由可信的PKIPKI權(quán)威機構(gòu)管理和備份，很好地維權(quán)威機構(gòu)管理和備份，很好地維 護了身份信

56、息，防止信息丟失。護了身份信息，防止信息丟失。 在此基礎(chǔ)上，借助于時間戳和隨機數(shù)參與認證，更好地在此基礎(chǔ)上，借助于時間戳和隨機數(shù)參與認證，更好地 防止了重放攻擊；防止了重放攻擊； 典型的類似于網(wǎng)絡(luò)數(shù)字身份證件的認證形式，具有靈活典型的類似于網(wǎng)絡(luò)數(shù)字身份證件的認證形式，具有靈活 適用的特點，被廣泛應(yīng)用適用的特點，被廣泛應(yīng)用 。 信息安全技術(shù)_第3章 身份認證與訪問控制 3.3 訪 問 控 制 訪問控制訪問控制是通過某種途徑準許或限制訪問能力及訪問范是通過某種途徑準許或限制訪問能力及訪問范 圍的一種手段。圍的一種手段。 每個想獲得訪問的用戶都必須經(jīng)過鑒別或身份認證，這每個想獲得訪問的用戶都必須經(jīng)過

57、鑒別或身份認證，這 樣才能根據(jù)用戶對資源制定的訪問權(quán)利，控制用戶對資樣才能根據(jù)用戶對資源制定的訪問權(quán)利，控制用戶對資 源按授權(quán)訪問。源按授權(quán)訪問。 訪問控制訪問控制通過限制對關(guān)鍵資源的訪問，防止非法用戶的通過限制對關(guān)鍵資源的訪問，防止非法用戶的 侵入或因為合法用戶的不慎操作而造成的破壞，從而保侵入或因為合法用戶的不慎操作而造成的破壞，從而保 證信息資源受控地、合法地使用。證信息資源受控地、合法地使用。 信息安全技術(shù)_第3章 身份認證與訪問控制 訪問控制的概念訪問控制的概念 訪問控制包括訪問控制包括3 3個要素：個要素： 主體（主體（subjectsubject）：發(fā)出訪問指令、存取要求的主動方

58、，通?？梢裕喊l(fā)出訪問指令、存取要求的主動方，通常可以 是用戶或用戶的某個進程等。是用戶或用戶的某個進程等。 客體（客體（objectobject）：被訪問的對象，通常可以是被調(diào)用的程序、進）：被訪問的對象，通常可以是被調(diào)用的程序、進 程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、 設(shè)施等資源。設(shè)施等資源。 訪問控制策略（訪問控制策略（AttributionAttribution）：一套規(guī)則，用以確定一個主體是）：一套規(guī)則，用以確定一個主體是 否對客體擁有訪問權(quán)力或控制關(guān)系的描述。否對客體擁有訪問權(quán)力或控制關(guān)系的描述。 基于

59、基于3 3要素，要素，訪問控制的目的可概括為：限制主體對訪問客體的訪訪問控制的目的可概括為：限制主體對訪問客體的訪 問權(quán)限，從而使計算機系統(tǒng)資源按照安全訪問策略能被在合法范圍問權(quán)限，從而使計算機系統(tǒng)資源按照安全訪問策略能被在合法范圍 內(nèi)使用。內(nèi)使用。 信息安全技術(shù)_第3章 身份認證與訪問控制 訪問控制關(guān)系描述訪問控制關(guān)系描述 訪問控制策略體現(xiàn)了訪問的授權(quán)關(guān)系即訪問控制策略體現(xiàn)了訪問的授權(quán)關(guān)系即訪問控制關(guān)系訪問控制關(guān)系。 主要通過以下四種方法設(shè)計描述訪問控制關(guān)系：主要通過以下四種方法設(shè)計描述訪問控制關(guān)系： 訪問控制矩陣訪問控制矩陣 訪問能力表訪問能力表 訪問控制表訪問控制表 授權(quán)關(guān)系表授權(quán)關(guān)系表

60、 信息安全技術(shù)_第3章 身份認證與訪問控制 訪問控制矩陣訪問控制矩陣 訪問控制矩陣：行表示客體（各種資源），列表示主體（通常為用訪問控制矩陣：行表示客體（各種資源），列表示主體（通常為用 戶），行和列的交叉點表示某個主體對某個客體的訪問權(quán)限（比如戶），行和列的交叉點表示某個主體對某個客體的訪問權(quán)限（比如 讀、寫、執(zhí)行、修改、刪除等）。讀、寫、執(zhí)行、修改、刪除等）。 關(guān) 系 file1file2file3fle4account1account2 Jack own r w own r w inquiry credit Maryr own r w wr inquiry debit inquiry c