BIT4信息系统安全机制身份管理.ppt
- 文档编号:1385286
- 上传时间:2022-10-21
- 格式:PPT
- 页数:45
- 大小:499.50KB
BIT4信息系统安全机制身份管理.ppt
《BIT4信息系统安全机制身份管理.ppt》由会员分享,可在线阅读,更多相关《BIT4信息系统安全机制身份管理.ppt(45页珍藏版)》请在冰豆网上搜索。
身份认证技术,孙建伟北京理工大学软件学院,提纲,身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证总结,身份认证技术概述,信息系统安全基础机制身份认证的需求身份认证的基本模型身份认证的途径常用的身份认证技术,信息系统安全技术体系发展,20世纪80年代中期,基于计算机保密模型(BellLapadula模型)的基础上的“可信计算机系统安全评价准则”(TCSEC)20世纪90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)20世纪90年代末六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CCforITSEC)CC标准综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求。
信息系统安全基础机制,支持多用户服务的信息系统之有效组织,依赖于基础的安全机制,包括访问者身份鉴别(认证)、对信息资源的访问授权和访问控制、对系统运行包括被访问操作的日志审计、数据保护等身份认证访问控制审计数据保护:
机密性、完整性、备份恢复,信息系统安全基础机制,典型支持多用户服务的信息系统多用户操作系统:
Windows2000、XP、Vista、NT;Unix数据库:
SQLServer,DB2,Oracle,Web应用其他网络应用:
MIS,ERP,都需要构建上述基础安全服务机制,信息系统安全基础机制,这些安全机制体现在基础的信息系统安全标准中,是基准性的要求可信计算机系统评估准则(TCSEC)可信网络解释(TNI)通用准则CC计算机信息系统安全保护等级划分准则信息安全保证技术框架信息系统安全保护等级应用指南,网络环境下对身份认证的需求,唯一的身份标识(ID):
uid,uiddomainDN:
C=CN/S=Beijing/O=TsinghuaUniversity/U=CS/CN=DuanHaixin/Email=抗被动的威胁(窃听),口令不在网上明码传输,源,目的,sniffer,网络环境下对身份认证的需求,抵抗主动的威胁,比如阻断、伪造、重放,网络上传输的认证信息不可重用,加密,解密,passwd,$%&)*=-,网络环境下对身份认证的需求,双向认证域名欺骗、地址假冒等路由控制单点登录(SingleSign-On)用户只需要一次认证操作就可以访问多种服务可扩展性的要求,身份认证的基本途径,基于你所知道的(Whatyouknow)知识、口令、密码基于你所拥有的(Whatyouhave)身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征(Whatyouare)指纹,笔迹,声音,手型,脸型,视网膜,虹膜双因素、多因素认证,身份认证的基本模型,申请者(Claimant)验证者(Verifier)认证信息AI(AuthenticationInformation)可信第三方(TrustedThirdParty),申请AI,验证AI,常用的身份认证技术/协议,简单口令认证质询/响应认证一次性口令认证(OTP)Kerberos认证基于公钥证书的身份认证基于生物特征的身份认证,提纲,身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X.509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证,基于口令的身份认证,简单口令应用系统保留帐号密码用户记忆帐号密码大量应用系统采用,是基础的认证手段强密码策略:
数字、字母、长度要求存在的安全隐患窃听、木马盗取、口令攻击、重放攻击,基于口令的身份认证,质询/响应认证(Challenge/Response)一次性口令(OTP)口令的管理,质询/握手认证协议(CHAP),ChallengeandResponseHandshakeProtocolClient和Server共享一个密钥,c,MAC=H(R,K),s,MAC=H(R,K),比较MAC和MAC,MAC的计算可以基于Hash算,对称密钥算法,公开密钥算法,质询/握手认证协议(CHAP),CHAP协议用于PPP链路认证,如客户端和接入服务器(NAS)之间双向认证,路由器之间双向认证。
询问握手认证协议(CHAP)通过三次握手周期性的校验对端的身份,在初始链路建立时完成,可以在链路建立之后的任何时候重复进行。
链路建立阶段结束之后,认证者向对端点发送“challenge”消息。
对端点用经过单向哈希函数计算出来的值做应答。
认证者根据它自己计算的哈希值来检查应答,如果值匹配,认证得到承认;否则,连接应该终止。
经过一定的随机间隔,认证者发送一个新的challenge给端点。
CHAP认证的特点密码不出现在网络上,防窃听通过递增改变的标识符和可变的询问值,CHAP防止了来自端点的重放攻击,使用重复校验可以限制暴露于单个攻击的时间。
一次性口令认证(OTP),S/KeySecurID,Token,Server,OTP,OTP,http:
/www.faqs.org/rfcs/rfc1760.htmlhttp:
/www.ietf.org/rfc/rfc2289.txt,动态口令,动态口令是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次动态口令终端短信密码硬件令牌:
当前最主流的是基于时间同步的硬件口令牌,它每60秒变换一次动态口令,动态口令一次有效,它产生6位/8位动态数字。
手机令牌:
手机令牌是一种手机客户端软件,它是基于时间同步方式,每隔30秒产生一个随机6位动态密码,口令管理,口令的要求:
包含一定的字符数;和ID无关;包含特殊的字符;大小写;不容易被猜测到。
跟踪用户所产生的所有口令,确保这些口令不相同,定期更改其口令。
使用字典式攻击的工具找出比较脆弱的口令。
口令管理,口令产生器不是让用户自己选择口令,口令产生器用于产生随机的和可拼写口令。
口令的时效强迫用户经过一段时间后就更改口令。
系统还记录至少5到10个口令,使用户不能使用刚刚使用的口令。
限制登录次数免受字典式攻击或穷举法攻击,口令管理,一个严重安全隐患每个人都有很多常用的网络应用,帐号、密码统一简化处理微博、微信、qq、多个邮箱、大众点评、云盘、百度、360、12306、Ctrip、淘宝、京东、当当.如何解决?
多因素认证、PKI,提纲,身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证,Kerberos简介,Kerberos麻省理工学院为Athena项目开发的一个认证服务系统目标是把UNIX认证、记帐、审计的功能扩展到网络环境:
公共的工作站,只有简单的物理安全措施集中管理、受保护的服务器多种网络环境,假冒、窃听、篡改、重发等威胁基于Needham-Schroeder认证协议,可信第三方基于对称密钥密码算法,实现集中的身份认证和密钥分配,通信保密性、完整性,认证服务票据发放服务(TicketGrantingService)票据(Ticket)是一种临时的证书,用tgs或应用服务器的密钥加密TGS票据服务票据加密:
KerberosV4的认证过程,AS,TGS,请求tickettgs,Tickettgs+会话密钥,请求ticketv,Ticketv+会话密钥,请求服务,提供服务器认证符,
(1),
(2),(3),(4),(5),(6),多管理域环境下的认证,Client,AS,TGS,Kerberos,AS,TGS,Kerberos,Server,1.请求本地Tickettgs,2.本地Tickettgs,3.请求远程tickettgs,共享密钥相互注册,4.远程tickettgs,5.请求远程服务ticket,6.远程服务ticket,7.请求远程服务,提纲,身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证,基于X509公钥证书的认证,X509认证框架X509证书基于公钥证书的认证过程不同管理域的问题,X509认证框架,CertificateAuthority签发证书RegistryAuthority验证用户信息的真实性Directory用户信息、证书数据库没有保密性要求证书获取从目录服务中得到在通信过程中交换,Directory,CA,RA,用户,用户,注册,签发证书、证书回收列表,申请,签发,查询,身份认证,证书的结构,algorithm,Issueruniquename,Algorithms,SubjectName,extensions,version,Serialnumber,parameters,Issuername,NotBeforeNotAfter,parameters,Key,subjectuniquename,AlgorithmsparametersEncrypted,签名算法,有效期,主体的公钥信息,V2扩展,V3扩展,证书的结构,符号记法CA=CAV,SN,AI,CA,TA,A,ApY表示证书权威机构Y发给用户X的证书YI表示Y对I的签名,由I和用Y的私钥加密的散列码组成证书的安全性任何具有CA公钥的用户都可以验证证书有效性除了CA以外,任何人都无法伪造、修改证书,签名的过程,单向认证(One-WayAuthentication),A,B,AtA,rA,B,SgnData,EKUbKab,tA:
时间戳rA:
Nonce,用于监测报文重发的一个随机序列值SgnData:
待发送的数据EKUbKab:
用B的公钥加密的会话密钥,B收到数据以后,用A的公钥验证数字签名,从而确信的确是从A发送来的;通过tA验证时效性,通过rA验证没有重发,签名的过程,双向认证(Two-WayAuthentication),A,B,1.AtA,rA,B,SgnData,EKUbKab,tA:
时间戳rA:
Nonce,用于监测报文重发SgnData:
待发送的数据EKUbKab:
用B的公钥加密的会话密钥,2.BtB,rB,A,rA,SgnData,EKUbKba,不同信任域的问题,如果A无法安全获得X2的公钥,则无法验证B的证书X2的有效性CA之间的交叉证书A验证B的证书路径:
X2,X1,X1,X2,X1,X2,A,B,X1,X1,X2,X2,提纲,身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证,生理特征介绍,每个人所具有的唯一生理特征指纹,视网膜,声音,视网膜、虹膜、语音、面部、签名等指纹一些曲线和分叉以及一些非常微小的特征;提取指纹中的一些特征并且存储这些特征信息:
节省资源,快速查询;手掌、手型手掌有折痕,起皱,还有凹槽;还包括每个手指的指纹;人手的形状(手的长度,宽度和手指)表示了手的几何特征,生理特征介绍(续),视网膜扫描扫描眼球后方的视网膜上面的血管的图案;虹膜扫描虹膜是眼睛中位于瞳孔周围的一圈彩色的部分;虹膜有其独有的图案,分叉,颜色,环状,光环以及皱褶;语音识别记录时说几个不同的单词,然后识别系统将这些单词混杂在一起,让他再次读出给出的一系列单词。
面部扫描人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚形状。
提纲,身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证Web应用、Web服务中的身份认证,Web服务中的身份认证,基于XML的安全技术及标准XML签名XML加密XKMSXML秘钥管理系统SAML安全断言标记语言XACMLXML访问控制标记语言,SAML安全断言标记语言,SAML是一种基于XML的安全性标准,用于在Internet不同的安
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- BIT4 信息系统安全 机制 身份 管理