第5章身份认证与访问控制技术教学目标●理解身份认证的概念及常用认证方式方法●了解数字签名的概念、功能、原理和过程●掌握访问控制的概念、原理、类型、机制和策略●理解安全审计的概念、类型、跟踪与实施●了解访问列表与Telnet访问控制实验5.1 身份认证技术概述5.1.1 身份认证的概念身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。

1. 身份认证的概念认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。

2. 认证技术的类型认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。

从鉴别对象上，分为消息认证和用户身份认证两种。

（1）消息认证：用于保证信息的完整性和不可否认性。

（2）身份认证：鉴别用户身份。

包括识别和验证两部分。

识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。

从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，5.1.2 常用的身份认证方式1. 静态密码方式静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。

2. 动态口令认证动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密。

图5-1动态口令牌3. USB Key认证采用软硬件相结合、一次一密的强双因素（两种认证方法）认证模式。

其身份认证系统主要有两种认证模式：基于冲击/响应模式和基于PKI体系的认证模式。

常用的网银USB Key如图5-2所示。

图5-2 网银USB Key4. 生物识别技术生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。

认证系统测量的生物特征一般是用户唯一生理特征或行为方式。

生物特征分为身体特征和行为特征两类。

5. CA认证国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。

用于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。

发放、管理和认证是一个复杂的过程，即CA认证过程，如表5-1所示。

表5-1 证书的类型与作用证书名称证书类型主要功能描述个人证书个人证书个人网上交易、网上支付、电子邮件等相关网络作业单位证书单位身份证书用于企事业单位网上交易、网上支付等Email证书用于企事业单位内安全电子邮件通信部门证书用于企事业单位内某个部门的身份认证服务器证书企业证书用于服务器、安全站点认证等代码签名证书个人证书用于个人软件开发者对其软件的签名企业证书用于软件开发企业对其软件的签名注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书。

CA主要职能是管理和维护所签发的证书，并提供各种证书服务，包括证书的签发、更新、回收、归档等。

CA系统的主要功能是管理其辖域内的用户证书。

CA的主要职能体现在3个方面：（1）管理和维护客户的证书和证书作废表（CRL）。

（2）维护整个认证过程的安全。

（3）提供安全审计的依据。

5.1.3 身份认证系统概述1. 身份认证系统的构成身份认证系统的组成包括：认证服务器、认证系统客户端和认证设备。

系统主要通过身份认证协议和认证系统软硬件进行实现。

其中，身份认证协议又分为：单向认证协议和双向认证协议。

若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。

如图5-3所示。

图5-3 认证系统网络结构图【案例5-1】AAA认证系统现阶段应用最广。

认证（Authentication）是验证用户身份与可使用网络服务的过程；授权（Authorization）是依据认证结果开放网络服务给用户的过程；审计（Accounting）是记录用户对各种网络服务的用量，并计费的过程。

2.常用认证系统及认证方法1）固定口令认证固定口令认证方式简单，易受攻击：（1）网络数据流窃听（Sniffer）。

（2）认证信息截取/重放。

（3）字典攻击。

（4）穷举尝试（Brute Force）。

（5）窥探密码。

（6）社会工程攻击。

（7）垃圾搜索。

2）一次性口令密码体制一次性口令认证系统组成：（1）生成不确定因子。

（2）生成一次性口令。

3）双因素安全令牌及认证系统（1）E-Securer的组成图5-4 E-Securer安全认证系统（2）E-Securer的安全性。

（3）双因素身份认证系统的技术特点与优势。

4)单点登入系统单点登入（Single Sign On，SSO）也称单次登入，是在多个应用系统中，用户只需要登入一次就可以访问所有相互信任的应用系统。

单点登入优势体现在5个方面：（1）管理简单。

（2）管理控制便捷。

（3）用户使用简捷。

（4）网络更安全。

（5）合并异构网络。

5）Infogo身份认证盈高科技INFOGO推出的安全身份认证准入控制系统。

其终端安全管理平台由MSAC 安全准入套件、ITAM资产管理套件、MSEP桌面套件（包括应用管理、补丁管理、终端运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理）和MSM移动存储介质管理套件组成。

课堂讨论1．什么是身份认证？身份认证技术有哪几种类型？2．常用的身份认证方式有哪些？并举例说明。

2．常用认证系统和认证方法有哪些？5.2数字签名概述5.2.1 数字签名的概念及功能1. 数字签名的概念及种类数字签名（Digital Signature）又称公钥数字签名或电子签章，是以电子形式存储于信息中或以附件或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署人对数据中所包信息的认可。

基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制的数字签名。

包括普通数字签名和特殊数字签名两种。

2. 数字签名的功能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。

数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。

最终目的是实现6种安全保障功能：（１）必须可信。

（２）无法抵赖。

（３）不可伪造。

（４）不能重用。

（５）不许变更。

（６）处理快、应用广。

5.2.2 数字签名的原理及过程1．数字签名算法的组成数字签名算法主要有两部分组成：签名算法和验证算法。

签名者可使用一个秘密的签名算法签署一个数据文件，所得的签名可通过一个公开的验证算法进行验证。

常用数字签名主要是公钥加密（非对称加密）算法的典型应用。

2．数字签名基本原理及过程在网络环境中，数字签名可以代替现实中的“亲笔签字”。

整个数字签名的基本原理采用的是双加密方式，先将原文件用对称密钥加密后传输，并将其密钥用接收方公钥加密发给对方。

一套完整的数字签名通常定义签名和验证两种互补的运算。

单独的数字签名只是一加密过程，签名验证则是一个解密的过程。

基本原理及过程，如图5-5所示。

图5-5 数字签名原理及过程课堂讨论1．数字签名和现实中的签名有哪些区别和联系？2．数字签名的基本原理及过程怎样？5.3 访问控制技术概述5.3.1 访问控制的概念及原理1.访问控制的概念及要素访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。

通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。

访问控制包括三个要素：（1）主体S（Subject）。

是指提出访问资源具体请求。

（2）客体O（Object）。

是指被访问资源的实体。

（3）控制策略A（Attribution）。

2.访问控制的功能及原理访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。

访问控制的内容包括认证、控制策略实现和安全审计，如图5-6所示。

图5-6 访问控制功能及原理5.3.2 访问控制的类型及机制访问控制可以分为两个层次：物理访问控制和逻辑访问控制。

1. 访问控制的类型访问控制类型有3种模式：1）自主访问控制自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权。

包括在文件，文件夹和共享资源中设置许可。

图5-7 Linux系统中的自主访问控制2）强制访问控制强制访问控制（MAC）是系统强制主体服从访问控制策略。

是由系统对用户所创建的对象，按照规则控制用户权限及操作对象的访问。

主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。

MAC的安全级别常用的为4级：绝密级、秘密级、机密级和无级别级，其中T>S>C>U。

系统中的主体（用户，进程）和客体（文件，数据）都分配安全标签，以标识安全等级。

3）基于角色的访问控制角色（Role）是一定数量的权限的集合。

指完成一项任务必须访问的资源及相应操作权限的集合。

角色作为一个用户与权限的代理层，表示为权限和用户的关系，所有的授权应该给予角色而不是直接给用户或用户组。

基于角色的访问控制（RBAC）是通过对角色的访问所进行的控制。

使权限与角色相关联，用户通过成为适当角色的成员而得到其角色的权限。

可极大地简化权限管理。

RBAC模型的授权管理方法，主要有3种：①根据任务需要定义具体不同的角色。

②为不同角色分配资源和操作权限。

③给一个用户组（Group，权限分配的单位与载体）指定一个角色。

RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则。

2.访问控制机制访问控制机制是检测和防止系统未授权访问，并对保护资源所采取的各种措施。

是在文件系统中广泛应用的安全防护方法，一般是在操作系统的控制下，按照事先确定的规则决定是否允许主体访问客体，贯穿于系统全过程。

访问控制矩阵（Access Contro1 Matrix）是最初实现访问控制机制的概念模型，以二维矩阵规定主体和客体间的访问权限。

主要采用以下2种方法。

1）访问控制列表访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。

2）能力关系表能力关系表（Capabilities List ）是以用户为中心建立访问权限表。

与ACL 相反，表中规定了该用户可访问的文件名及权限，利用此表可方便地查询一个主体的所有授权。

相反，检索具有授权访问特定客体的所有主体，则需查遍所有主体的能力关系表。

3. 单点登入的访问管理根据登入的应用类型不同，可将SSO 分为3种类型。