认证技术与访问控制技术

认证与访问控制

一、认证技术

消息认证

产生认证码的函数：

消息加密：整个消息的密文作为认证码

消息认证码（MAC）：利用密钥对消息产生定长的值，并以该值作为认证码；基于DES的MAC算法

哈希函数：将任意长的消息映射为定长的哈希值，并以该哈希值作为认证码

身份认证

身份认证系统：认证服务器、认证系统客户端、认证设备

系统主要通过身份认证协议（单向认证协议和双向认证协议）和认证系统软硬件进行实现

认证手段：

1. 静态密码方式

2. 动态口令认证：动态短信密码，动态口令牌（卡）

3. USB Key认证：挑战/应答模式，基于PKI体系的认证模式

4. 生物识别技术

认证协议：基于口令的认证协议，基于对称密码的认证，基于公钥密码的认证

二、访问控制技术

2.1访问控制模型：

自主访问控制（DAC）：

访问矩阵模型

访问能力表（CL），访问控制表（ACL）；商业环境中，大多数系统，如主流操作系统、防火墙等

强制访问控制（MAC）：

实施强制访问控制的依据：安全标签

安全标签：

• 具有偏序关系的等级分类标签
• 非等级分类标签，比较主体和客体的安全标签等级

访问级别：最高秘密级，秘密级，机密级，无级别及；

Biba模型

Biba不允许向下读、向上写，保护数据完整性；

Bell-Lapadula模型

只允许向下读、向上写，保证数据的保密性；

Chinese Wall模型

多边安全系统中的模型，包括了MAC和DAC的属性

Clark-Wilson模型

基于角色的访问控制（RBAC）：

要素：用户，角色，许可；

面向企业，大型数据库的权限管理；

用户不能自主的将访问权限授权给别的用户；MAC基于多级安全需求，RBAC不是

2.2访问控制技术

1、集中访问控制：

集中式AAA管理协议包括认证（Authentication）、授权（Authorization）和审计（Auditing）。

RADIUS

拨号用户远程认证服务RADIUS：提供集中式AAA管理；客户端/服务器协议，运行在应用层，使用UDP协议；组合认证与授权服务

优点：简单明确，可扩充

TACACS

终端访问控制器访问控制系统TACACS：TACACS+使用TCP；更复杂的认证步骤；分隔认证、授权、审计

Diameter

协议的实现和RADIUS类似，采用TCP协议，支持分布式审计。

2、分布式访问控制

单点登录SSO、 Kerberos协议和SESAME；

单点登录SSO

Kerberos协议

网络认证协议，目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。

**核心：**在用户验证过程中引入可信的第三方，即Kerberos验证服务器，也被称为密钥分发服务器，负责执行用户和服务的安全验证。

使用最广泛的身份验证协议；能提供网络信息的保密性和完整性保障；支持双向的身份认证;

身份验证采用的是对称加密算法；

SESAME

SESAME：认证过程类似于Kerberos.

RADIUS运行在UDP协议上，并且没有定义重传机制，而Diameter运行在可靠的传输协议TCP、SCTP之上。Diameter 还支持窗口机制，每个会话方可以动态调整自己的接收窗口，以免发送超出对方处理能力的请求。RADIUS协议不支持失败恢复机制，而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误。RADIUS固有的C/S模式限制了它的进一步发展。Diameter采用了peer-to-peer模式，peer的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter还支持认证和授权分离，重授权可以随时根据需求进行。而RADIUS中认证与授权必须是成对出现的。