《信息系统安全机制-身份管理ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息系统安全机制-身份管理ppt课件.ppt(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能身份认证技术孙建伟北京理工大学软件学院为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能提纲n身份认证技术概述n基于口令的身份认证nKerberos 身份认证协议n基于X509的身份认证n基于生物特征的身份认证nWeb
2、应用、Web服务中的身份认证为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能身份认证技术概述n信息系统安全基础机制n身份认证的需求n身份认证的基本模型n身份认证的途径n常用的身份认证技术为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能信息系统安全技术体系发展n20
3、世纪80年代中期,基于计算机保密模型(BellLapadula模型)的基础上的“可信计算机系统安全评价准则”(TCSEC)n 20世纪90年代初,英、法、德、荷四国针对TCSEC准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)n20世纪90年代末六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CC for ITSEC)nCC标准综合了国际上已有的评测准则和技术标准的精华,给出了框架和原则要求。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社
4、会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能信息系统安全基础机制n支持多用户服务的信息系统之有效组织,依赖于基础的安全机制,包括访问者身份鉴别(认证)、对信息资源的访问授权和访问控制、对系统运行包括被访问操作的日志审计、数据保护等n身份认证n访问控制n审计n数据保护:机密性、完整性、备份恢复为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能信息系统安
5、全基础机制n典型支持多用户服务的信息系统n多用户操作系统:nWindows2000、XP、Vista、NT;Unixn数据库:nSQL Server,DB2,Oracle,nWeb应用n其他网络应用:MIS,ERP,n都需要构建上述基础安全服务机制为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能信息系统安全基础机制n这些安全机制体现在基础的信息系统安全标准中,是基准性的要求n可信计算机系统评估准则(可信计算机系统评估准则(TCS
6、EC)n可信网络解释可信网络解释(TNI)n通用准则通用准则CC n计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 n信息安全保证技术框架信息安全保证技术框架n信息系统安全保护等级应用指南信息系统安全保护等级应用指南 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能网络环境下对身份认证的需求n唯一的身份标识(ID):nuid,uiddomainnDN:C=CN/S=Beijing/O=Tsinghua Un
7、iversity/U=CS/CN=Duan Haixin/Email=n抗被动的威胁(窃听),口令不在网上明码传输源目的sniffer 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能网络环境下对身份认证的需求n抵抗主动的威胁,比如阻断、伪造、重放,网络上传输的认证信息不可重用加密解密passwd$%&)*=-,为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,
8、贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能网络环境下对身份认证的需求双向认证域名欺骗、地址假冒等路由控制单点登录(Single Sign-On)用户只需要一次认证操作就可以访问多种服务可扩展性的要求 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能身份认证的基本途径n基于你所知道的(What you know)n知识、口令、密码n基于你所拥有的(What you have)
9、n身份证、信用卡、钥匙、智能卡、令牌等n基于你的个人特征(What you are)n指纹,笔迹,声音,手型,脸型,视网膜,虹膜n双因素、多因素认证 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能身份认证的基本模型n申请者(Claimant)n验证者(Verifier)n认证信息AI(Authentication Information)n可信第三方(Trusted Third Party)申请AI验证AI申请AI验证AI交换
10、AI 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能常用的身份认证技术/协议n简单口令认证n质询/响应认证n一次性口令认证(OTP)nKerberos认证n基于公钥证书的身份认证n基于生物特征的身份认证 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能提纲n身份
11、认证技术概述n基于口令的身份认证nKerberos 身份认证协议n基于X509的身份认证n基于生物特征的身份认证nWeb应用、Web服务中的身份认证 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能基于口令的身份认证n质询/响应认证(Challenge/Response)n一次性口令(OTP)n口令的管理 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全
12、国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能质询/握手认证协议(CHAP)nChallenge and Response Handshake ProtocolnClient和Server共享一个密钥Login,IDcIDc,RIDc,MACcMAC=H(R,K)sMAC=H(R,K)比较比较MAC和和MACOK/DisconnectMAC的计算可以基于的计算可以基于Hash算算,对称密钥算法,公开对称密钥算法,公开密钥算法密钥算法 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神
13、,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能一次性口令认证(OTP)S/Key SecurIDTokenServerchallengeOTPPass phrase+challengeOTPhttp:/www.faqs.org/rfcs/rfc1760.htmlhttp:/www.ietf.org/rfc/rfc2289.txtOTPID 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图
14、书室育人功能口令管理n口令管理 n口令属于“他知道什么”这种方式,容易被窃取。n口令的错误使用:选择一些很容易猜到的口令;把口令告诉别人;把口令写在一个贴条上并把它贴在键盘旁边。n口令管理的作用:生成了合适的口令口令更新能够完全保密 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能口令管理口令的要求:包含一定的字符数;和ID无关;包含特殊的字符;大小写;不容易被猜测到。跟踪用户所产生的所有口令,确保这些口令不相同,定期更改其口令
15、。使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份:网络管理员使用的工具:口令检验器攻击者破获口令使用的工具:口令破译器 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能口令管理口令产生器 不是让用户自己选择口令,口令产生器用于产生随机的和可拼写口令。口令的时效 强迫用户经过一段时间后就更改口令。系统还记录至少5到10个口令,使用户不能使用刚刚使用的口令。限制登录次数 免受字典式攻击或穷举法攻击 为深入学习
16、习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能提纲n身份认证技术概述n基于口令的身份认证nKerberos 身份认证协议n基于X509的身份认证n基于生物特征的身份认证nWeb应用、Web服务中的身份认证 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能Kerberos
17、简介nKerberos 麻省理工学院为Athena 项目开发的一个认证服务系统n目标是把UNIX认证、记帐、审计的功能扩展到网络环境:n公共的工作站,只有简单的物理安全措施n集中管理、受保护的服务器n多种网络环境,假冒、窃听、篡改、重发等威胁n基于Needham-Schroeder认证协议,可信第三方n基于对称密钥密码算法,实现集中的身份认证和密钥分配,通信保密性、完整性 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能n认证服
18、务n票据发放服务(Ticket Granting Service)n票据(Ticket)n是一种临时的证书,用tgs 或 应用服务器的密钥加密nTGS 票据n服务票据n加密:为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能Kerberos V4 的认证过程ASTGS请求请求tickettgsTickettgs+会话密钥会话密钥请求请求ticketvTicketv+会话密钥会话密钥请求服务提供服务器认证符(1)(2)(3)(4)(
19、5)(6)为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能多管理域环境下的认证ClientASTGSKerberosASTGSKerberosServer1.请求本地Tickettgs2.本地Tickettgs3.请求远程tickettgs共享密钥共享密钥相互注册相互注册4.远程ticket tgs5.请求远程服务ticket6.远程服务ticket7.请求远程服务 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深
20、入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能提纲n身份认证技术概述n基于口令的身份认证nKerberos 身份认证协议n基于X509的身份认证n基于生物特征的身份认证nWeb应用、Web服务中的身份认证 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能基于X509公钥证书的认证X509 认证框架X509证书基于公钥证书的
21、认证过程不同管理域的问题 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能X509 认证框架Certificate Authority签发证书Registry Authority 验证用户信息的真实性Directory 用户信息、证书数据库没有保密性要求证书获取从目录服务中得到在通信过程中交换DirectoryCARA用户用户用户用户注册注册签发证书、证书回收列表签发证书、证书回收列表申请签发查询身份认证身份认证 为深入学习习近
22、平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能证书的结构algorithmIssuer unique nameAlgorithmsSubject NameextensionsversionSerial numberparametersIssuer nameNot BeforeNot AfterparametersKeysubject unique nameAlgorithms parametersEncrypted签名算法有效期主体的公钥信
23、息V2扩展扩展V3扩展扩展 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能证书的结构n符号记法CA =CA V,SN,AI,CA,TA,A,ApY 表示 证书权威机构Y 发给用户X的证书YI 表示Y 对I 的签名,由I 和用Y的私钥加密的散列码组成n证书的安全性n任何具有CA公钥的用户都可以验证证书有效性n除了CA以外,任何人都无法伪造、修改证书 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代
24、中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能签名的过程n单向认证(One-Way Authentication)AB A tA,rA,B,SgnData,EKUbKab tA:时间戳 rA:Nonce,用于监测报文重发的一个随机序列值SgnData:待发送的数据 EKUbKab :用B的公钥加密的会话密钥B 收到数据以后,用收到数据以后,用A的公钥验证数字签名,从而确信的的公钥验证数字签名,从而确信的确是从确是从A 发送来的发送来的;通过通过tA验证时效性,通过验证时效性,通过rA验证没有重发验证没有重
25、发 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能签名的过程n双向认证(Two-Way Authentication)AB1.A tA,rA,B,SgnData,EKUbKab tA:时间戳时间戳 rA:Nonce,用于监测报文重发用于监测报文重发SgnData:待发送的数据待发送的数据 EKUbKab :用用B的公钥加密的会话密钥的公钥加密的会话密钥2.B tB,rB,A,rA,SgnData,EKUbKba 为深入学习习近
26、平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能不同信任域的问题n如果A 无法安全获得X2的公钥,则无法验证B的证书 X2的有效性nCA之间的交叉证书nA验证B的证书路径:X2 ,X1X1X2X1X2ABX1X1X2X2 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能提纲n身
27、份认证技术概述n基于口令的身份认证nKerberos 身份认证协议n基于X509的身份认证n基于生物特征的身份认证nWeb应用、Web服务中的身份认证 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能生理特征介绍n每个人所具有的唯一生理特征n指纹,视网膜,声音,视网膜、虹膜、语音、面部、签名等n指纹n一些曲线和分叉以及一些非常微小的特征;n提取指纹中的一些特征并且存储这些特征信息:节省资源,快速查询;n手掌、手型 n手掌有折痕,
28、起皱,还有凹槽;n还包括每个手指的指纹;n人手的形状(手的长度,宽度和手指)表示了手的几何特征 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能生理特征介绍(续)n视网膜扫描 n扫描眼球后方的视网膜上面的血管的图案;n虹膜扫描 n虹膜是眼睛中位于瞳孔周围的一圈彩色的部分;n虹膜有其独有的图案,分叉,颜色,环状,光环以及皱褶;n语音识别 n记录时说几个不同的单词,然后识别系统将这些单词混杂在一起,让他再次读出给出的一系列单词。n面
29、部扫描 n人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚形状。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能提纲n身份认证技术概述n基于口令的身份认证nKerberos 身份认证协议n基于X509的身份认证n基于生物特征的身份认证nWeb应用、Web服务中的身份认证 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分
30、发挥中小学图书室育人功能充分发挥中小学图书室育人功能Web服务中的身份认证基于基于XML的安全技术及标准的安全技术及标准XMLXML签名签名XMLXML加密加密XKMSXKMSXMLXML秘钥管理系统秘钥管理系统 SAMLSAML安全断言标记语言安全断言标记语言XACMLXACMLXML XML 访问控制标记语言访问控制标记语言 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能SAML 安全断言标记语言安全断言标记语言SAML是
31、一种基于是一种基于XML的安全性标准,用的安全性标准,用于在于在Internet不同的安全域中交换身份验不同的安全域中交换身份验证和授权凭证。权限信息是通过声明主证和授权凭证。权限信息是通过声明主体来传递的。体来传递的。SAML规范描述了规范描述了SAML的的4个主要成分,个主要成分,分别为声明、请求和响应的协议、绑定分别为声明、请求和响应的协议、绑定和配置文件。和配置文件。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能SAM
32、L 安全断言标记语言安全断言标记语言声明声明声明可能包含有关主体所执行的身份验证操作的有声明可能包含有关主体所执行的身份验证操作的有关信息、主体属性以及是否允许该主体访问特定资关信息、主体属性以及是否允许该主体访问特定资源的授权决策。源的授权决策。SMAL提供如下提供如下3种类型的声明:种类型的声明:身份验证声明,在该声明中,主体的身份已经过验证。身身份验证声明,在该声明中,主体的身份已经过验证。身份验证声明中描述了身份验证信息。份验证声明中描述了身份验证信息。属性声明:该声明包含有关主体的特定信息,如主体的信属性声明:该声明包含有关主体的特定信息,如主体的信用限制、访问级别、信用等级或其他合
33、法声明。用限制、访问级别、信用等级或其他合法声明。授权策略声明:该声明指明主体可以执行或被授权执行的授权策略声明:该声明指明主体可以执行或被授权执行的操作。例如,该声明可以指明主体是否已经过授权、可执操作。例如,该声明可以指明主体是否已经过授权、可执行特定的事务。行特定的事务。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神贯彻全国教育大会精神,充分发挥中小学图书室育人功能充分发挥中小学图书室育人功能SAML 安全断言标记语言安全断言标记语言协议协议协议定义了请求或者接收信息的统一方式,协议定义了请求或者接收信息的统一方式,该信息就是指声明。该信息就是指声明。可以请求或者接收身份验证信息、属性信息可以请求或者接收身份验证信息、属性信息和授权信息。和授权信息。SAML定义了一个请求和响应的协议,请求定义了一个请求和响应的协议,请求包括包括SubjectQuery、AuthenticationQuery、AttributeQuery和和AuthorizationDecisionQuery。