【网络安全技术】（4）-----身份认证和访问控制------身份认证技术_openeuler访问控制、身份验证、加密

概述

• 认证：通过对网络系统使用过程中的主客体进行鉴别确认身份后，对其赋予恰当的标志、标签、证书等的过程。

• 身份认证：是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。
  身份认证的作用：
  确保用户身份的真实性、合法性和有效性。
  身份认证的种类和方法：

   	 - 消息认证。保证消息的完整性和可审查性。
   	 - 身份认证。鉴别身份用户。
  1
  2

身份认证基本方法：

	1. 用户物件认证；
	2. 用户有关信息确认；
	3. 体貌特征识别；
1
2
3

常见的身份认证技术：

• 基于秘密信息的身份认证方法

    - 口令认证；
    - 单向认证：
    - 	是指通信双方只需要一方被另一方鉴别的过程。解决方案：一是采用对称密钥加密体制，有一个可信任的第三方即KDC（密钥分发中心）实现通信双方的身份认证和密钥分发；二是非对称密钥加密体制，无需第三方的参与。
    - 双向认证。通信双方需要各自互相鉴别各自的身份，然后交换会话密钥；
    - 零知识认证。
  1
  2
  3
  4
  5

• 基于物理安全的身份认证方法
  依赖于用户持有的硬件。
  身份认证系统及认证方式
  用户与主机间的认证方式：

• 用户名及密码认证方式

• 智能卡认证

• 动态令牌认证

• 身份认证系统的组成
  身份认证系统主要由身份认证协议和有关硬件实现的，认证协议有：双项认证协议和单向认证协议。
  AAA系统由认证、授权、审计3部分构成。认证是验证用户的身份与可用的网络服务；授权依据认证结果开放网络服务给用户；审计记录用户对各种网络服务的用量，并提供给计费系统。
  - 认证服务器
  - 认证系统客户端软件
  - 认证设备
  - USB key认证。采用软硬件结合、一次一密的强双因子认证模式。基于USB key的身份认证系统主要有两种应用模式：基于挑战/应答认证模式、基于PKI体系的认证模式。
  - 生物识别认证技术。通过可测量的身体或行为等生物特征进行身份认证的技术。

• 指纹识别；

• 视网膜识别；

• 声音识别；

登录认证与授权管理

固态口令安全问题：

• 网络数据流窃听

• 认证信息截取/重放

• 字典攻击

• 穷举尝试

• 窥探窃取

• 社会工程

• 垃圾搜索
  一次性口令（One Time Password）密码体制
  OTP主要思路：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。
  （1）不确定因子的选择与口令生成

• 口令序列

• 挑战/回答

• 时间同步

• 事件同步
  （2）一次性口令的生成方式

• 硬件卡

• 软件

• IC卡
  双因素安全令牌及认证系统
  （1）组成：安全身份认证服务器、联创安全令牌、认证代理、认证应用开发包。
  1）身份认证服务器提供数据存储、AAA服务、管理等功能，是整个系统的核心部分。
  2）双因素安全令牌用于生成用户当前登录的动态口令，采用加密算法及可靠设计，可防止读取密码信息。
  3)认证代理安装在被保护设备上，被保护系统通过认证代理向认证服务器发送认证请求，从而保证被保护系统身份认证的安全。双因素身份认证系统的技术特点与优势：

• 双因素身份认证

• 基于角色的权限管理

• 完善详细的审计

• 高通用性

• 高可靠性

• E-Securer自动定时数据备份，防止关键数据丢失

• 高并发量

• 管理界面简洁易用

• 开放式体系
  用户单次登陆认证
  单次登陆是指用户只向网络进行一次身份验证，以后无需另外验证身份，便可访问所有被授权的网络资源。
  SSO面临的挑战：

• 多种应用平台

• 不同的安全机制

• 不同的账户服务系统
  SSO的优点：

• 管理更简单

• 管理控制更方便

• 用户使用更便捷

• 更高的网络安全性

• 合并异构网络
  用户认证与授权管理目标：

• 目录服务系统

• 身份管理系统

• 认证管理系统

• 系统资源多样，访问管理系统多种

• 集成平台

• 监控服务可附加在平台中，也可独立
  原则：

• 统一规划管理，分布部署实施

• 建立统一的信息安全服务平台，提供统一的身份认证和访问管理服务

• 保护现有IT投资，并便于未来扩展