访问控制技术

第5章 身份认证与访问控制技术

第5章 身份认证与访问控制技术

教学目标

● 理解身份认证的概念及常用认证方式方法

● 了解数字签名的概念、功能、原理和过程

● 掌握访问控制的概念、原理、类型、机制和策略

● 理解安全审计的概念、类型、跟踪与实施

● 了解访问列表与Telnet访问控制实验

5.1 身份认证技术概述

5.1.1 身份认证的概念

身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。

1. 身份认证的概念

认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，

系统对用户身份的鉴别过程。

2. 认证技术的类型

认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内

容。从鉴别对象上，分为消息认证和用户身份认证两种。

（1）消息认证：用于保证信息的完整性和不可否认性。

（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，

验证是对访问者身份的合法性进行确认。

从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，

5.1.2 常用的身份认证方式

1. 静态密码方式

静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。

2. 动态口令认证

动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态

1

网络安全实用技术

短信密码和动态口令牌（卡）两种方式，口令一次一密。

图5-1动态口令牌

3. USB Key认证

采用软硬件相结合、一次一密的强双因素（两种认证方法）

认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应

模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2

所示。

图5-2 网银USB Key

4. 生物识别技术

生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。

认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征

和行为特征两类。

5. CA认证

国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检

查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证

是一个复杂的过程，即CA认证过程，如表5-1所示。

表5-1 证书的类型与作用

证书名称

个人证书

单位证书

服务器证书

代码签名证书

证书类型

个人证书

主要功能描述

个人网上交易、网上支付、电子邮件等相关网络作业

单位身份证书 用于企事业单位网上交易、网上支付等

Email证书 用于企事业单位内安全电子邮件通信

部门证书

企业证书

个人证书

企业证书

用于企事业单位内某个部门的身份认证

用于服务器、安全站点认证等

用于个人软件开发者对其软件的签名

用于软件开发企业对其软件的签名

注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书。

CA主要职能是管理和维护所签发的证书，并提供各种证书服务，包括证书的签发、

更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。

CA的主要职能体现在3个方面：

（1）管理和维护客户的证书和证书作废表

（CRL）。

（2）维护整个认证过程的安全。

（3）提供安全审计的依据。

5.1.3 身份认证系统概述

1. 身份认证系统的构成

2

第5章 身份认证与访问控制技术

身份认证系统的组成包括：认证服务器、认证系统客户端和认证设备。系统主要通

过身份认证协议和认证系统软硬件进行实现。其中，身份认证协议又分为：单向认证协

议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果

双方都需要验证身份，则称双向认证协议。如图5-3所示。

图5-3 认证系统网络结构图

【案例5-1】AAA认证系统现阶段应用最广。认证（Authentication）是验证用

户身份与可使用网络服务的过程；授权（Authorization）是依据认证结果开放网络

服务给用户的过程；审计（Accounting）是记录用户对各种网络服务的用量，并计

费的过程。

2.常用认证系统及认证方法

1）固定口令认证

固定口令认证方式简单，易受攻击：

（1）网络数据流窃听（Sniffer）。

（2）认证信息截取/重放。

（3）字典攻击。

（4）穷举尝试（Brute Force）。

（5）窥探密码。

（6）社会工程攻击。

（7）垃圾搜索。

2）一次性口令密码体制

一次性口令认证系统组成：

（1）生成不确定因子。

（2）生成一次性口令。

3）双因素安全令牌及认证系统

（1）E-Securer的组成

图5-4 E-Securer安全认证系统

（2）E-Securer的安全性。

3

网络安全实用技术

（3）双因素身份认证系统的技术特点与优势。

4)单点登入系统

单点登入（Single Sign On，SSO）也称单次登入，是在多个应用系统中，用户只需

要登入一次就可以访问所有相互信任的应用系统。

单点登入优势体现在5个方面：

（1）管理简单。

（2）管理控制便捷。

（3）用户使用简捷。

（4）网络更安全。

（5）合并异构网络。

5）Infogo身份认证

盈高科技INFOGO推出的安全身份认证准入控制系统。其终端安全管理平台由MSAC

安全准入套件、ITAM资产管理套件、MSEP桌面套件（包括应用管理、补丁管理、终端

运维管理、安全评估及加固、违规外联、网络流量安全管理、行为管理）和MSM移动存

储介质管理套件组成。

课堂讨论

1．什么是身份认证？身份认证技术有哪几种类型？

2．常用的身份认证方式有哪些？并举例说明。

2．常用认证系统和认证方法有哪些？

5.2数字签名概述

5.2.1 数字签名的概念及功能

1. 数字签名的概念及种类

数字签名（Digital Signature）又称公钥数字签名或电子签章，是以电子形式存储于信

息中或以附件或逻辑上与之有联系的数据，用于辨识数据签署人的身份，并表明签署人

对数据中所包信息的认可。

基于公钥密码体制和私钥密码体制都可获得数字签名，目前主要是基于公钥密码体

制的数字签名。包括普通数字签名和特殊数字签名两种。

2. 数字签名的功能

保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签

名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。最终目的是实现6

种安全保障功能：

（１）必须可信。（２）无法抵赖。 （３）不可伪造。

（４）不能重用。（５）不许变更。 （６）处理快、应用广。

4

第5章 身份认证与访问控制技术

5.2.2 数字签名的原理及过程

1．数字签名算法的组成

数字签名算法主要有两部分组成：签名算法和验证算法。签名者可使用一个秘密的

签名算法签署一个数据文件，所得的签名可通过一个公开的验证算法进行验证。

常用数字签名主要是公钥加密（非对称加密）算法的典型应用。

2．数字签名基本原理及过程

在网络环境中，数字签名可以代替现实中的“亲笔签字”。

整个数字签名的基本原理采用的是双加密方式，先将原文件用对称密钥加密后传输，

并将其密钥用接收方公钥加密发给对方。一套完整的数字签名通常定义签名和验证两种

互补的运算。单独的数字签名只是一加密过程，签名验证则是一个解密的过程。基

本原理及过程，如图5-5所示。

图5-5 数字签名原理及过程

课堂讨论

1．数字签名和现实中的签名有哪些区别和联系？

2．数字签名的基本原理及过程怎样？

5.3 访问控制技术概述

5.3.1 访问控制的概念及原理

1.访问控制的概念及要素

访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其

使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络

资源的访问。

5

网络安全实用技术

访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围

内得以有效使用和管理。

访问控制包括三个要素：

（1）主体S（Subject）。是指提出访问资源具体请求。

（2）客体O（Object）。是指被访问资源的实体。

（3）控制策略A（Attribution）。

2.访问控制的功能及原理

访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法

的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的

访问。访问控制的内容包括认证、控制策略实现和安全审计，如图5-6所示。

请求访问

用户

访问控制 执行功能

（AEF）

客体

主体访问控

制信息

访问控制 决策功能

（ADF）

客体访问控

制信息

访问控制策略规则

上下文信息（如时间、地点等）

图5-6 访问控制功能及原理

5.3.2 访问控制的类型及机制

访问控制可以分为两个层次：物理访问控制和逻辑访问控制。

1. 访问控制的类型

访问控制类型有3种模式：

1）自主访问控制

自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执

行基于系统实体身份及其到系统资源的接入授权。包括在文件，文件夹和共享资源中设

置许可。

【案例5-3】在Linux系统中，访问控制采用了DAC模式，如图5-7中所

示。高优先级主体可将客体的访问权限授予其他主体。

6

第5章 身份认证与访问控制技术

图5-7 Linux系统中的自主访问控制

2）强制访问控制

强制访问控制（MAC）是系统强制主体服从访问控制策略。是由系统对用户所创建

的对象，按照规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制

的进程、文件、段、设备等客体实施强制访问控制。

MAC的安全级别常用的为4级：绝密级、秘密级、机密级和无级别级，其中T>S>C>U。

系统中的主体（用户，进程）和客体（文件，数据）都分配安全标签，以标识安全等级。

3）基于角色的访问控制

角色（Role）是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操

作权限的集合。角色作为一个用户与权限的代理层，表示为权限和用户的关系，所有的

授权应该给予角色而不是直接给用户或用户组。

基于角色的访问控制（RBAC）是通过对角色的访问所进行的控制。使权限与角色相

关联，用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。

RBAC模型的授权管理方法，主要有3种：

① 根据任务需要定义具体不同的角色。

② 为不同角色分配资源和操作权限。

③ 给一个用户组（Group，权限分配的单位与载体）指定一个角色。

RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则。

2.访问控制机制

访问控制机制是检测和防止系统未授权访问，并对保护资源所采取的各种措施。是在

文件系统中广泛应用的安全防护方法，一般是在操作系统的控制下，按照事先确定的规

则决定是否允许主体访问客体，贯穿于系统全过程。

访问控制矩阵（Access Contro1 Matrix）是最初实现访问控制机制的概念模型，以二

维矩阵规定主体和客体间的访问权限。

主要采用以下2种方法。

1）访问控制列表

访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，用于

路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。

7

网络安全实用技术

2）能力关系表

能力关系表（Capabilities List）是以用户为中心建立访问权限表。与ACL相反，表

中规定了该用户可访问的文件名及权限，利用此表可方便地查询一个主体的所有授权。

相反，检索具有授权访问特定客体的所有主体，则需查遍所有主体的能力关系表。

3. 单点登入的访问管理

根据登入的应用类型不同，可将SSO分为3种类型。

1）对桌面资源的统一访问管理

对桌面资源的访问管理，包括两个方面：

①登入Windows后统一访问Microsoft应用资源。

②登入Windows后访问其他应用资源。

2）Web单点登入

由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现，如图5-8所示。

客户端-Web应用

SSO

浏览器Web应用

门户-后台

SSO

后台应用

浏览器

Web

访问管理

浏览器

企业信息

门户

后台应用

浏览器Web应用后台应用

图5-8 Web单点登入访问管理系统

3）传统C/S 结构应用的统一访问管理

在传统C/S 结构应用上，实现管理前台的统一或统一入口是关键。采用Web客户端

作为前台是企业最为常见的一种解决方案。

5.3.3 访问控制的安全策略

访问控制的安全策略是指在某个自治区域内（属于某个组织的一系列处理和通信资

源范畴），用于所有与安全相关活动的一套访问控制规则。其安全策略有三种类型：基于

身份的安全策略、基于规则的安全策略和综合访问控制方式。

1. 安全策略实施原则

访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。

（1）最小特权原则。

（2）最小泄露原则。

（3）多级安全策略。

8

第5章 身份认证与访问控制技术

2. 基于身份和规则的安全策略

授权行为是建立身份安全策略和规则安全策略的基础，两种安全策略为：

1）基于身份的安全策略

（1）基于个人的安全策略。

（2）基于组的安全策略。

2）基于规则的安全策略

在基于规则的安全策略系统中，所有数据和资源都标注了安全标记，用户的活动进

程与其原发者具有相同的安全标记。

3. 综合访问控制策略

综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点，有效地解决了

访问控制问题，保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访

问。具有良好灵活性、可维护性、可管理性、更细粒度的访问控制性和更高安全性。

HAC主要包括：

（1）入网访问控制。

（2）网络的权限控制。

（3）目录级安全控制。

（4）属性安全控制。

（5）网络服务器安全控制。

（6）网络监控和锁定控制。

（7）网络端口和结点的安全控制。

5.3.4 认证服务与访问控制系统

技术概述

5.1.3中 AAA认证系统的功能包括3个部分：认证、鉴权和审计。

AAA一般运行于网络接入服务器，提供一个有力的认证、鉴权、审计信息采集和配

置系统。网络管理者可根据需要选用适合需要的具体网络协议及认证系统。

2.远程鉴权拨入用户服务

远程鉴权拨入用户服务（RADIUS）主要用于管理远程用户的网络登入。主要基于

C/S架构，客户端最初是NAS服务器，现在任何运行RADIUS客户端软件的计算机都可

成为其客户端。RADIUS协议认证机制灵活，可采用PAP、CHAP或Unix登入认证等多

种方式。其模型如图5-9所示。

9

网络安全实用技术

远程登录

RADIUS交换机

认证服务器

（RADIUS）

Internet

用户

网关

图5-9 RADIUS模型

1）RADIUS协议主要工作过程

2）RADIUS的加密方法

3）RADIUS的重传机制

3.终端访问控制系统

终端访问控制（TACACS）功能：通过一个或几个中心服务器为网络设备提供访问控

制服务。与上述区别，它是Cisco专用协议，具有独立身份认证、鉴权和审计等功能。

5.3.5 准入控制与身份认证管理

1. 准入控制技术

思科公司和微软的网络准入控制NAP其原理和本质一致，不仅对用户身份进行认证，

还对用户的接入设备进行安全状态评估（包括防病毒软件、系统补丁等），使每个接入点

都具有较高的可信度和健壮性，从而保护网络基础设施。华为2005年推出端点准入防御

产品。

2. 准入控制技术方案比较

不同厂商准入控制方案在原理上类似，但实现方式各不相同。主要区别4个方面。

1）选取协议

2）身份认证管理方式

3）策略管理

4）准入控制

3．准入控制技术中的身份认证

身份认证技术的发展过程，从软件到软硬件结合，从单一因子认证到双因素认证，

从静态认证到动态认证。目前常用的身份认证方式包括：用户名/密码方式、公钥证书方

式、动态口令方式等。采用单独方式都有优劣。

身份认证技术的安全性，关键在于组织采取的安全策略。 身份认证是网络准入控

制的基础。

4. 准入控制技术的现状与发展

10

第5章 身份认证与访问控制技术

准入控制技术出现方案整合的趋势。TNC组织促进标准化的快速发展，希望通过构

建框架和规范保证互操作性，准入控制正在向标准化、软硬件相结合的方向发展。

课堂讨论

1．访问控制的模式有哪些种？其中的区别和联系如何？

2．准入技术的几种技术方案有何区别和联系？

5.4 安全审计概述

5.4.1 安全审计概述

1. 安全审计的概念及目的

计算机安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活

动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善

系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和

目的包括5个方面：

（1）对潜在攻击者起到威慑和警示作用。

（2）测试系统的控制情况，及时调整。

（3）对已出现的破坏事件，做出评估并提供依据。

（4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。

（5）协助发现入侵或潜在的系统漏洞及隐患。

2. 安全审计的类型

从审计级别上可分为3种类型：

（1）系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体

时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。

（2）应用级审计。主要针对的是应用程序的活动信息。

（3）用户级审计。主要是审计用户的操作活动信息。

5.4.2 系统日记审计

1. 系统日志的内容

系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。

对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引发事件的

用户IP地址、事件源及目的地位置、事件类型等。

2. 安全审计的记录机制

对各种网络系统应采用不同记录日志机制。记录方式有3种：由操作系统完成，也

11

网络安全实用技术

可以由应用系统或其他专用记录系统完成。

3. 日志分析

日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据，并分

析系统运行情况。主要任务包括：

（1）潜在威胁分析。 （2）异常行为检测。

（3）简单攻击探测。 （4）复杂攻击探测。

4. 审计事件查阅与存储

审计系统可成为追踪入侵、恢复系统的直接证据，其自身的安全性更为重要。审计

系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施：

（1）审计查阅。 （2）有限审计查阅。 （3）可选审计查阅。

审计事件的存储安全要求：

（1）保护审计记录的存储。

（2）保证审计数据的可用性。

（3）防止审计数据丢失。

5.4.3 审计跟踪

1. 审计跟踪的概念及意义

审计跟踪（Audit Trail）指按事件顺序检查、审查、检验其运行环境及相关事件活动

的过程。审计跟踪主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供

有效的应急灾难恢复、防止系统故障或使用不当等方面。

审计跟踪作为一种安全机制，主要审计目标：

（1）审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。

（2）可发现试图绕过保护机制的入侵行为或其他操作。

（3）能够发现用户的访问权限转移行为。

（4）制止用户企图绕过系统保护机制的操作事件。

审计跟踪是提高系统安全性的重要工具。安全审计跟踪的意义：

（1）利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。

（2）审计信息可以确定事件和攻击源，用于检查计算机犯罪。

（3）通过对安全事件的收集、积累和分析，可对其中的某些站点或用户进行审计跟

踪，以提供发现可能产生破坏性行为的证据。

（4）既能识别访问系统的来源，又能指出系统状态转移过程。

2. 审计跟踪的主要问题

安全审计跟踪重点考虑：

（1）选择记录信息。

12

第5章 身份认证与访问控制技术

（2）确定审计跟踪信息所采用的语法和语义定义。

审计是系统安全策略的一个重要组成部分，它贯穿整个系统运行过程中，覆盖不同

的安全机制，为其他安全策略的改进和完善提供了必要的信息。

5.4.4 安全审计的实施

为了确保审计实施的可用性和正确性，需要在保护和审查审计数据的同时，做好计

划分步实施。具体实施主要包括：保护审查审计数据及审计步骤。

1. 保护审查审计数据

1）保护审计数据

应当严格限制在线访问审计日志。

审计数据保护的常用方法是使用数据签名和只读设备存储数据。

审计跟踪信息的保密性也应进行严格保护。

2）审查审计数据

审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。

2．安全审计实施主要步骤

审计是一个连续不断改进提高的过程。审计的重点是评估企业现行的安全政策、策

略、机制和系统监控情况。审计实施主要步骤：

（1）确定安全审计。

（2）做好审计计划。

（3）查阅审计历史。

（4）实施安全风险评估。

（5）划定审计范畴。

（6）确定审计重点和步骤。

（7）提出改进意见。

课堂讨论

1．安全审计的类型有哪些种类？

2．系统日志分析都有哪些方法？

3．审计跟踪的概念及意义是什么？

5.5 本章小结

身份认证和访问控制是网络安全的重要技术，是网络安全登入的首要保障。本章概

述了身份认证概念、种类，以及常用的身份认证的方式方法。主要简单介绍了双因素安

全令牌及认证系统、用户登入认证、认证授权管理案例。并简要介绍了数字签名的概念、

功能、种类、原理、应用、技术实现方法和过程。另外，介绍了访问控制的概念、原理、

13

网络安全实用技术

类型、安全机制、安全模式、安全策略、认证服务与访问控制系统、准入控制与身份认

证管理案例等。其次，介绍了安全审计概念、系统日志审计、审计跟踪、安全审计的实

施等，审计核心是风险评估。最后，通过概述访问列表与Telnet访问控制同步实验，可

使理论与实践结合并达到学以致用、融会贯通的目的。

14