电子商务安全与保密-第5章 身份认证与访问控制.ppt

1,华南理工大学计算机学院 本科课程电子商务安全与保密,大纲第五章 身份认证与访问控制,2,身份认证概念,身份认证又叫身份识别，它是通信和数据系统的正确识别通信用户或终端的个人身份的重要途径。身份认证是安全系统中的第一道关卡，如图44所示，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。,3,基本的身份认证方法,物理认证方法 主体特征认证 视网膜扫描、声音验证、指纹识别器。 口令机制 口令是约定的代码，假设只有用户和系统知道。 智能卡 访问不但需要口令，也需要使用物理智能卡。 一次性口令 用户每次使用不同的口令，需要口令发生器设备。,4,基本的身份认证方法,pap 协议（password authentication protocol） 用于 ppp（点对点）协议的身份认证协议，明文口令传输。 chap 协议（challenge handshake authentication protocol） 不在网络上传送口令信息， 比 pap 具有更强的安全性。,5,一次一密实现方式,请求-应答方式 验证者as需要与客户端产生相同的口令字（或者验证用户签名）用于验证用户身份。 询问-应答式 验证者提出问题（通常是随机数），由识别者回答，然后验证身份真实性。 schnorr协议，okanmto协议，gq协议,6,身份认证协议 kerberos,是美国麻省理工学院（mit）开发的一种身份鉴别服务。 “kerberos”的本意是希腊神话中守护地狱之门的守护者。 kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 kerberos建立的是一个实现身份认证的框架结构。 其实现采用的是对称密钥加密技术，而未采用公开密钥加密。 公开发布的kerberos版本包括版本4和版本5。,7,kerberos的设计思路（1）,基本思路： 使用一个（或一组）独立的认证服务器（as authentication server），来为网络中的客户提供身份认证服务； 认证服务器 (as)，用户口令由 as 保存在数据库中； as 与每个服务器共享一个惟一保密密钥（已被安全分发）。 会话过程： (1) c as: idc | pc | idv (2) as c: ticket (3) c v : idc | ticket ticket = ekvidc | adc | idv,8,kerberos的设计思路 （2）,问题： 用户希望输入口令的次数最少。但多次使用会导致安全性下降 口令以明文传送会被窃听。 解决办法 可重用票据（ticket reusable）。 引入票据许可服务器（tgs - ticket-granting server） 用于向用户分发服务器的访问票据 认证服务器 as 并不直接向客户发放访问应用服务器的票据，而是由 tgs 服务器来向客户发放 观众收款员售票员电影院检票员,9,kerberos中的票据,两种票据 两种票据在认证过程中的使用 一、服务许可票据（service granting ticket） 是客户要求服务时需要提供的票据； 用 ticketv 表示访问应用服务器 v 的票据。 ticketv 定义为 ekv idcadcidvts2lt2 ,10,kerberos中的票据,两种票据 二、票据许可票据（ticket granting ticket） 客户访问 tgs 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 as 发放； 用 tickettgs 表示访问 tgs 服务器的票据； tickettgs 在用户登录时向 as 申请一次，可多次重复使用； tickettgs 定义为 ektgs idcadcidtgsts1lt1 ,11,kerberos v4认证过程示意图,12,kerberos v4认证过程(1),第一阶段，认证服务器的交互，用于获取票据许可票据： (1) c as ：idcidtgsts1 (2) as c ：ekc kc,tgsidtgsts2lt2tickettgs 其中：tickettgs = ektgs kc,tgsidcadcidtgsts2lt2,13,kerberos v4认证过程(2),第二阶段，票据许可服务器的交互，用于获取服务许可票据： (3) c tgs ：idvtickettgsauc (4) tgs c ：ekc,tgs kc,vidvts4ticketv 其中： tickettgs = ektgs kc,tgsidcadcidtgsts2lt2 ticketv = ekv kc,vidcadcidvts4lt4 auc = ekc,tgs idcadcts3,14,kerberos v4认证过程(3),第三阶段，客户与应用服务器的交互，用于获得服务： (5) c v ：ticketvauc (6) v c ：ekc,v ts5 + 1 其中： ticketv = ekv kc,vidcadcidvts4lt4 auc = ekc,v idcadcts5,15,kerberos v4中各关键元素的说明(1),16,kerberos v4中各关键元素的说明(2),17,kerberos v4中各关键元素的说明(3),18,访问控制定义 资源的所有者或者控制者准许其他人访问这种资源，防止未授权的访问 对于进入系统的控制机制 主体：主体，即主动实体，它提出对资源访问请求；如用户，程序，进程等。 客体：客体，能包含或接受信息的被动实体，如如网络、计算机、数据库、文件、目录、计算机程序、 外设、网络。 安全策略：the set of laws, rules, and practices that regulate how an organization manages, protects, and distributes sensitive information. 安全策略模型（security policy model）：an informal presentation of a formal security policy model. 安全策略-形式化模型-计算机中表示 安全机制：实现安全策略的一整套软件、硬件的实体，它的作用就是保证安全策略的实现。,授权(authorization)和访问控制,19,访问控制的基本概念,访问（access） 对资源的使用，读、写、修改、删除等操作，例如访问存储器；访问文件、目录、外设；访问数据库；访问一个网站。 访问可以被描述为一个三元组 (s, a, o) 主体，发起者 : subject，initiator 客体，目标 : object, target 访问操作 : access,object,read/write/exec,20,基本模型：reference monitor,reference monitor,主体,客体,控制规则库,访问控制模型：reference monitor 解释了主体和客体之间实施访问控制的机制 构造应用监视器的原则： 完整性：不受外界干扰 禁止旁路：任何访问控制请求，都引用监视器仲裁 可验证性：足够小，以至于能证明它是正确的,21,访问控制规则,基于身份帐号和口令 基于角色 基于地址ip 基于时间上/下班时间 基于异常事件三次登陆自动锁死 基于服务数量并发访问 如何协调这些策略 规定策略的优先级 否定策略的优先级,22,传统的访问控制技术/策略 自主访问控制（discretionary access control），最早出现在六十年代末期的分时系统中 。 强制访问控制（mandatory access control ），最早出现在七十年代，八十年代得到普遍应用。 它们最鲜明的特点：策略和技术可以不区分，依赖于特定的安全策略。,23,自主访问控制：客体的主人全权管理有关该客体的访问授权，有权泄漏、修改该客体的有关信息 . 而且主体间存在权限的转移。有些学者把dac称为基于主人的访问控制 访问权限-访问模式。 它的实现理论基础：访问控制矩阵（access control matrix）.一个方向为所有的主体，另一方向为所有客体，中间每个元素为对应主体对对应客体所拥有的访问权限。,24,基于主体的dac实现： 权力表：表明主体对所有客体的权限。当删除一个客体时，要检查所有主体的权利表。 基于客体的dac实现 访问控制链表acl：表明客体对所有主体的权限。当删除一个主体时，要检查所有客体的acl。 基于组的保护位方式,25,优点/功能： 简单 在一定程度上实现了多用户环境下的权限隔离和资源保护 缺点 资源管理过于分散 ，系统安全难以保证 无法抵御特洛伊木马（trojan horse ）的攻击。 改进： hru访问控制模型 ：客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的资源管理方案。 由于本质上的问题，引入了强制访问控制,26,访问控制表(acl, access control list),访问控制列表 对应于访问控制矩阵中的一列内容 基于身份的访问控制策略和基于角色的访问控制策略都可以用acl来实现 优点： 控制粒度比较小 适用于被区分的用户数比较小的情况，并且这些用户的授权情况相对比较稳定的情形,27,自主型访问控制政策,/bin/ls rootacl tmp# chown root ls rootacl tmp# ls -l -rw-r-r- 1 nobody nobody 770 oct 18 15:16 4011.tmp -rw- 1 root users 48 oct 28 11:41 ls srwxrwxrwx 1 root root 0 aug 29 09:04 mysql.sock drwxrwxr-x 2 duan uan 4096 oct 23 23:41 ssl rootacl tmp# chmod o+rw ls rootacl tmp# ls -l -rw-r-r- 1 nobody nobody 770 oct 18 15:16 4011.tmp -rw-rw- 1 root users 48 oct 28 11:41 ls srwxrwxrwx 1 root root 0 aug 29 09:04 mysql.sock drwxrwxr-x 2 duan duan 4096 oct 23 23:41 ssl rootacl tmp#,28,多级军事安全策略-强制访问控制模型 主体 -签证 客体-秘级 访问类属性（签证、秘级）是一个二元组（security_level,category）-敏感标号 安全级：表示用数字表示的安全等级。这些安全等级是线性有序的比如分为：普通、秘密、机密、绝密等，每一个访问类包含单一的安全级 类别集合：表示不同的部门集合，彼此间独立，无序的 。,29,两个重要的安全特性（公理） simple security condition：主体读客体，当且仅当用户的安全等级必须大于或等于该信息的安全级，并且该用户必须具有包含该信息所有访问类别的类别集合 *-property (star property) ：一个主体/用户要写一个客体，当且仅当用户的安全等级不大于该客体安全等级，并且该客体包含该用户的所有类别 。 上述两个特性保证了信息的单向流动，即信息只能向高安全属性的方向流动，mac就是通过信息的单向流动来防止信息的扩散，抵御特洛伊木马对系统保密性的攻击。,30,mac的不足 : 应用的领域比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域； 完整性方面控制不够，它重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。 改进 : 美国securecomputing 公司提出了te（type enforcement）控制技术，该技术把主体和客体分别进行归类，它们之间是否有访问授权由te授权表决定，te授权表由安全管理员负责管理和维护。,31,发展 rbac(role_based access control)的概念早在七十年代就已经提出，但在相当长的一段时间内没有得到人们的关注。进入九十年代，rbac又引起了人们极大的关注，目前美国很多学者和研究机构都在从事这方面的研究，。 原因：安全需求的发展,32,在rbac中，在用户(user)和访问许可权(permission)之间引入角色(role)的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消，而且登陆到系统中的用户可以根据自己的需要动态激活自己拥有的角色（见图1中的sessions），避免了用户无意中危害系统安全。 三层管理已满足最小特权原则 ssd/dsd,33,34,优点： 首先，rbac是一种策略无关的访问控制技术，它不局限于特定的安全策略，几乎可以描述任何的安全策略，甚至dac和m