信息安全(身份认证与授权控制).ppt

信息平安

----身份认证与授权控制;概述;

身份认证系统识别主体身份，然后访问监控器。

访问控制是在主体身份得到认证后，根据用户身份和授权数据库决定用户能否访问客体。

审计系统贯穿于整个过程，记录用户的请求和行为。;身份认证;单机状态下的身份认证;基于口令的认证方式;基于智能卡的认证方式;基于生物特征的认证方式;虹膜识别技术

手形识别

签名识别

声纹识别

;网络环境下的身份认证;一次性口令〔OTP，One-TimePassword〕技术;根据动态因子的不同，动态口令认证技术主要分为两种，即同步认证技术和异步认证技术。其中同步认证技术又分为基于时间同步认证技术〔TimeSynchronous〕和基于事件同步认证技术〔EventSynchronous〕；异步认证技术即为挑战/应答认证技术〔Challenge/Response〕。;基于时间同步〔TimeSynchronous〕认证技术：以流逝的时间作变动因子。所谓同步指用户和认证效劳器产生的密码在时间上必须同步。

基于事件同步〔EventSynchronous〕认证技术：以变动的数字序列〔事件序列〕作变动因子，与用户的私钥共同产生动态密码。所谓同步指用户和认证效劳器保持相同的事件序列。

挑战/应答方式：由认证效劳器产生的随机数字序列〔Challenge〕作为变动因子，由于每一个Challenge都是唯一的、不会重复使用，并且Challenge是在同一个地方产生，所以不存在同步问题。;基于挑战/应答〔Challenge/Response〕方式的身份认证机制就是每次认证时认证效劳器端都给客户端发送一个不同的挑战字串，客户端程序收到这个挑战字串后，做出相应的应答。;

1)客户向认证效劳器发出请求，要求进行身份认证；

2)认证效劳器从用户数据库中查询用户是否是合法的用户，假设不是，那么不做进一

步处理；

3)认证效劳器内部产生一个随机数，作为“提问〞，发送给客户；

4)客户将用户名字和随机数合并，使用单向Hash函数〔例如MD5算法〕生成一个

字节串作为应答；

5)认证效劳器将应答串与自己的计算结果比较，假设二者相同，那么通过一次认证；

否那么，认证失败；

6)认证效劳器通知客户认证成功或失败。;一次性口令产生和验证过程;S/KEY认证过程的优点;S/KEY认证过程的缺点;Kerberos认证效劳;Kerberos认证主要用于解决密钥管理与分发问题中的

身份认证问题

涉及KDC(keyDistributionCenter)

Kerberos使用DES加密;Kerberos4认证过程;Kerberos认证过程;Kerberos认证过程(续…);RADIUS协议;RADIUS结构图;RADIUS的认证过程;RADIUS效劳器和NAS效劳器通过UDP协议进行通信，RADIUS效劳器的1812端口负责认证，1813端口负责计费工作。采用UDP的根本考虑是因为NAS和RADIUS效劳器大多在同一个局域网中，使用UDP更加快捷方便。

RADIUS协议应用范围很广，包括普通上网业务计费，支持VPN。;授权与访问控制;;;主体〔Subject〕：发出访问操作、存取要求的主动方，是用户或用户的某个进程；

客体〔Object〕：被访问的对象，是被调用的程序、进程，要存取的数据、信息、要访问的文件、系统或各种网络设备等资源；

平安访问政策：一套规那么，包括策略与机制，用以确定一个主体否对客体拥有访问能力。;访问控制模型;访问控制矩阵

访问控制列表〔AccessControllist〕

访问能力表

授权关系表;访问矩阵〔AccessMatrix〕;ACL是访问控制矩阵的另一种表示方式。它从主体出发，表达访问控制矩阵的每一行，无空集出现。

对一个特定资源指定任意一个用户的访问权限;

直观而易理解;

容易查出对某特定资源拥有访问权限的所有用户;

有效实施管理;;访问能力表也是是访问控制矩阵的另一种表示方式。它将访问控制矩阵的每一列作为一个客体而形成一个存取表。无空集出现。;授权〔Authorization〕关系列表;;

;访问控制策略并不互相排斥，可以综合应用;目前使用最多

在确认主体身份及所属组的根底上对访问进行限定。

根本思想：允许主体显示地指定其他主体对主体所拥有的信息资源是否可以访问及可执行的访问类型。〔Windows，UNIX〕

自主型：一个拥有一定权限的访问主体可以直接/间接的将权限传给其他主体。;自主访问控制根据访问者的身份和授权来决定访问模式，主体访问者对访问的控制有一定权力。

用户A可以将其对