本書從應(yīng)用的角度介紹計(jì)算機(jī)信息系統(tǒng)安全技術(shù)。全書按照“威脅—防護(hù)—管理”的思路組織為5章,內(nèi)容包括信息系統(tǒng)安全威脅、數(shù)據(jù)安全保護(hù)、身份認(rèn)證與訪問控制、網(wǎng)絡(luò)安全保護(hù)和信息系統(tǒng)安全管理。
本書深入淺出,結(jié)構(gòu)新穎,緊扣本質(zhì),適合教學(xué),可以激發(fā)讀者的求知欲。書中還配有豐富的實(shí)驗(yàn)和習(xí)題,供讀者驗(yàn)證和自測(cè)。本書適合作為計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)、信息管理與信息系統(tǒng)專業(yè)、網(wǎng)絡(luò)專業(yè)和信息安全專業(yè)的“信息系統(tǒng)安全概論”課程的教材或教學(xué)參考書,也可供有關(guān)技術(shù)人員參考。
張基溫,先后擔(dān)任名古屋大學(xué)訪問學(xué)者,山西財(cái)經(jīng)大學(xué)、江南大學(xué)、華東政法大學(xué)、常熟理工學(xué)院、福建工程學(xué)院、廣西職業(yè)技術(shù)學(xué)院、晉城學(xué)院等多所大學(xué)、華南農(nóng)業(yè)大學(xué)珠江學(xué)院的專職、客座或兼職教授,北京大學(xué)博雅方略城市發(fā)展與信息化研究中心研究員,南京大學(xué)出版社總編顧問,太原高新技術(shù)區(qū)IT研究院實(shí)驗(yàn)室主任,山西省緊缺人才專家委員會(huì)副主任,中國(guó)信息經(jīng)濟(jì)學(xué)會(huì)常務(wù)理事,全國(guó)高等院校計(jì)算機(jī)基礎(chǔ)教育研究會(huì)常務(wù)理事兼課程建設(shè)委員會(huì)副主任,中國(guó)計(jì)算機(jī)學(xué)會(huì)教育專業(yè)委員會(huì)委員,國(guó)家NIT考試委員會(huì)委員,江蘇省計(jì)算機(jī)基礎(chǔ)教學(xué)指導(dǎo)委員會(huì)委員,山西省新世紀(jì)專家學(xué)者協(xié)會(huì)副會(huì)長(zhǎng)。為清華大學(xué)出版社、電子工業(yè)出版社、中國(guó)水利水電出版社、南京大學(xué)出版社、中國(guó)鐵道出版社等主編了信息管理與信息系統(tǒng)專業(yè)、計(jì)算機(jī)實(shí)驗(yàn)與實(shí)踐、大學(xué)生信息素養(yǎng)等多個(gè)系列教材。研究和教學(xué)領(lǐng)域涉及計(jì)算機(jī)科學(xué)與技術(shù)、信息安全、信息經(jīng)濟(jì)學(xué)、電子政務(wù)與電子商務(wù)、服務(wù)科學(xué)、新媒體,已發(fā)表學(xué)術(shù)論文一百余篇,出版著作百余種。
第3章 身份認(rèn)證與訪問控制
信息系統(tǒng)中的一切活動(dòng)都是由訪問行為所引起的。為了系統(tǒng)的安全,需要對(duì)訪問進(jìn)行管制約束。訪問涉及兩個(gè)方面:主體(通常指用戶)和客體(也稱為資源,即數(shù)據(jù))。身份認(rèn)證(identity authentication)是指對(duì)于主體合法性的認(rèn)證;訪問控制(access control)是指對(duì)于主體的訪問行為進(jìn)行授權(quán)(authorization)的過程。
如果認(rèn)為一個(gè)信息系統(tǒng)有一個(gè)入口,則身份認(rèn)證就是在信息系統(tǒng)的入口進(jìn)行的身份檢查;而訪問控制則規(guī)定訪問者進(jìn)入系統(tǒng)以后可以對(duì)哪些資源分別進(jìn)行什么樣的訪問操作。兩者之間的關(guān)系如圖3.1所示。
圖3.1 用戶對(duì)資源訪問的過程
3.1 基于憑證比對(duì)的身份認(rèn)證
身份認(rèn)證是信息系統(tǒng)安全的第一道屏障,用于檢驗(yàn)主體身份的合法性,用它控制哪些用戶能夠登錄到系統(tǒng)(服務(wù)器)并獲取系統(tǒng)資源,控制準(zhǔn)許用戶進(jìn)入的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)計(jì)算機(jī)上訪問。
最基本的身份認(rèn)證是需要用戶提供能代表身份的憑證與系統(tǒng)中存儲(chǔ)的憑證進(jìn)行比對(duì)。用于比對(duì)的身份憑證可分為下列3種。
(1)用戶所知道的秘密,如口令(password)、個(gè)人識(shí)別號(hào)(PIN)和密鑰等。
(2)用戶所擁有的信物,如信用卡、IC卡、USB Key、印章和證件等。
(3)用戶自身的特征,如筆跡、步態(tài)、聲音、指紋、虹膜紋和唇紋等。
身份認(rèn)證可以是一方對(duì)另一方的認(rèn)證,也可以是雙方的互相認(rèn)證。前者稱為單向認(rèn)證,后者稱為雙向認(rèn)證。
3.1.1 生物特征身份認(rèn)證
生物特征身份憑證一般采用用戶固有的生物特征和行為特征,要求這些具有唯一性和永久性。下面介紹幾種主要的生物身份憑證及其驗(yàn)證方法。
1. 指紋
指紋是歷史最為悠久的生物身份憑證。據(jù)著名指紋專家劉持平先生論證,早在7000年前我們的祖先就開始進(jìn)行指紋識(shí)別的研究。到了春秋戰(zhàn)國(guó)時(shí)代,手印檢驗(yàn)不僅廣泛應(yīng)用于政府和民間的書信與郵件往來之中,并已經(jīng)開始用于偵訊破案之中。
指紋是一種十分精細(xì)的拓?fù)鋱D形。如圖3.2所示,一枚指紋不足方寸,上面密布著100~120個(gè)特征細(xì)節(jié),這么多的特征參數(shù)組合的數(shù)量達(dá)到640億種(英國(guó)學(xué)者高爾頓提出的數(shù)字)。并且由于它從胎兒4個(gè)月時(shí)生成后保持終生不變,因此,用它作為人的唯一標(biāo)識(shí),是非常可靠的。
指紋識(shí)別主要涉及4個(gè)過程:讀取指紋圖像、提取指紋特征、保存數(shù)據(jù)和比對(duì)。目前已經(jīng)開發(fā)出計(jì)算機(jī)指紋識(shí)別系統(tǒng),可以比較精確地進(jìn)行指紋的自動(dòng) 識(shí)別。
2. 虹膜
虹膜是位于眼睛黑色瞳孔與白色鞏膜之間的環(huán)形部分(見圖3.3(a))。它在總體上呈由里向外的放射狀結(jié)構(gòu)(見圖3.3(b)),并包含許多相互交錯(cuò)的類似斑點(diǎn)、細(xì)絲、冠狀、條紋、隱窩等形狀的細(xì)微特征。這些細(xì)微特征信息也被稱為虹膜的紋理信息,主要由胚胎發(fā)育環(huán)境的差異決定,因此對(duì)每個(gè)人都具有唯一性、穩(wěn)定性和非侵犯性。
圖3.3 眼睛與虹膜
虹膜識(shí)別系統(tǒng)主要由虹膜圖像采集裝置、活體虹膜檢測(cè)算法、特征提取和匹配幾個(gè)模塊組成。
3. 面像
采用面像作為身份憑證的識(shí)別系統(tǒng)包括兩個(gè)技術(shù)環(huán)節(jié):面像檢測(cè)和面像識(shí)別。
1)面像檢測(cè)
面像檢測(cè)主要實(shí)現(xiàn)面像的檢測(cè)和定位,即從輸入圖像中找到面像及面像的位置,并將人臉從背景中分割出來。現(xiàn)有的面像檢測(cè)方法可以分為3類。
(1)基于規(guī)則的面像檢測(cè):總結(jié)了特定條件下可用于檢測(cè)面像的知識(shí)(如臉型、膚色等),并把這些知識(shí)歸納成指導(dǎo)面像檢測(cè)的規(guī)則。
(2)基于模板匹配的面像檢測(cè):首先構(gòu)造具有代表性的面像模板,通過相關(guān)匹配或其他相似性度量檢測(cè)面像。
。3)基于統(tǒng)計(jì)學(xué)習(xí)的面像檢測(cè):主要利用面部特征點(diǎn)結(jié)構(gòu)灰度分布的共同性來檢測(cè)面像。
……