26.身份认证与访问控制

26.身份认证与访问控制

身份认证技术概述

身份认证的概念和种类
多数银行的网银服务，除了向客户提供U盾证书保护模式外，还推出了动态口令方式，可免除携带U盾的不便，这是一种动态密码技术，在使用网银过程中，输入用户名后，即可通过绑定的手机一次性收到本次操作的密码,非常安全快捷方便。

1. 身份认证的概念
通常，身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。

认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的识别和验证过程。

2. 身份认证的作用
身份认证与鉴别是信息安全中的第一道防线，对信息系统的安全有着重要意义。可以确保用户身份的真实、合法和唯一性，可以防止非法人员进入系统，通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生，严防“病从口入”关口。访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计，如图所示。

3.认证技术的种类
认证技术是用户身份认证与信息鉴别的重要手段，也是网络系统安全中一项重要内容。
从鉴别对象上,分为消息认证和用户身份认证:
（1）消息认证：用于保证信息的完整性和不可否认性。
（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。
从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，本章只讨论前者身份认证。

常用网络身份认证方式
1. 静态密码方式
静态密码方式是指以用户名及密码认证的方式，用户名/密码方式是最简单、最常用的身份认证方法，是基于“你知道什么”的验证手段。

2.动态口令认证
动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密。前者是将系统发给用户注册手机的动态短信密码进行身份认证。后者则以发给(机构)用户动态口令牌进行认证。

3. USB Key认证
采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式.其身份认证系统有两种认证模式：基于PKI体系的认证模式、基于冲击/响应模式。
4. 生物识别技术
是指通过可测量的身体或行为等生物特征信息进行身份认证的技术。

1. 指纹识别技术。
2. 视网膜识别技术。
3. 声音识别技术。

5. CA认证系统
CA(Certification Authority)认证是对网络用户身份证的发放、管理和确认验证的过程。
CA的主要职能体现在3个方面：
（1）管理和维护客户的证书和证书作废表（CRL）。
（2）维护整个认证过程的安全。
（3）提供安全审计的依据。

证书的类型与作用

身份认证系统构成及方法
1. 身份认证系统的构成
身份认证系统的组成一般包括三个部分：认证服务器、认证系统客户端和认证设备。系统主要通过身份认证协议和认证系统进行实现。身份认证协议又分为：单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。认证系统网络结构图，如图6-4。

AAA（Authentication，Authorization，Accounting）认证系统应用最广泛。其中认证（Authentication）是验证用户身份与可使用网络服务的过程,授权(Authorization)是依据认证结果开放网络服务给用户的过程，计费审计（Accounting）是记录用户对各种网络操作及服务的用量，并进行计费审计的过程。
AAA系统及接口是身份认证系统的关键部分。系统中专门设计的AAA平台，可实现灵活的认证、授权、审计功能，且系统预留了扩展接口，可根据具体业务系统的需要，灵活进行相应的扩展和调整。

常用认证系统及认证方法
（ 1） 固定口令认证及隐患
固定口令认证方式简单，易受攻击：
1）网络数据流窃听（S