身份验证和访问控制.ppt

第四章身份验证和访问控制 身份认证 鉴别authentication 网络的普及使任何人都可以试图登录进入系统 确定用户合法身份 是进入网络和系统的第一道安全关口 也是用户获取权限的关键 身份认证解决 你是谁 Whoareyou 的问题 它是验证用户 系统或系统组件身份的一种能力 系统组件可以包括内部过程 如应用程序 或从一台计算机传到另一台计算机的网络包 身份验证方法 用户或系统可以用以下四种方法中的一种 证明他们是自己所声明的什么身份 证实你所知道的出示你所拥有的证明你是谁识别你在哪儿 证实你所知道的 口令验证是Internet和计算机世界中最普通的身份验证方法 当登录到一个计算机网络时 它通常会询问你的口令 这就是你所知道的 计算机把口令作为身份验证基础 如果把口令给了其他人 则计算机会授予这个人访问权 因为身份验证是基于已知的口令 这不是计算机的失误 而是人的错误 没有安全专家会把口令作为强鉴别机制 然而由于它简单 廉价和方便 因而不可能马上就消失 出示你所拥有的 这个方法稍微先进一些 因为需要通过物理设备进行身份验证 证明 你所拥有的 的一个好的例子是大楼准入门卡 任何通过了扫描仪扫瞄门卡的人将会准许进入大楼 但这种方法的局限是 身份验证的基础是持有门卡 如果你把卡给了其他人 这些人就可以进入大楼 因此 应该建立一种更复杂的进入大楼的身份验证的系统 不仅需要一张门卡 还要有口令 这样就结合了拥有物品和知晓内容两种机制 你是谁 用生物识别技术进行鉴别 就用户而言 证明 你是谁 的方法 是以一些无法轻易复制或偷走的物理 遗传或其他人类特征为基础的 指纹是一种已被接受的用于唯一地识别一个人的方法 手印是又一种被用于读取整个手而不是仅仅手指的特征和特性 声音图像对每一个人来说也是各不相的同 笔迹或签名不仅包括字母和符号的组合方式 也包括了签名时某些部分用力的大小 或笔接触纸的时间的长短和笔移动中的停顿等细微的差别 视网膜扫描是用红外线检查人眼各不相同的血管图像 其吸引人的地方是生物识别绝不可能丢失和被偷窃 但是 生物识别技术也存在着某些局限性 需要特殊硬件 这就限制了生物技术只能用在比较少的环境中 因为生物技术极为依赖生物体的生理特点 因此不可能给出极为准确的答案 比如没有两个签字是绝对相同的 即使来自一个人 还有一些莫明其妙的影响 例如疲劳程度 心境状况和健康状况等 在匹配算法中必须建立某些公差 假如某个调用者经鉴别只有93 的可信度 你是否让其登录 直到最近 先进的生物测定学身份验证方法非常昂贵 并且只在高度安全的环境中使用 目前 几百家公司已经生产出低成本的生物测定学解决方案 这种方法的例子包括指纹 面部特征扫描 视网膜眼部扫描和声音分析 例如 康柏公司提供标准鼠标大小的指纹扫描仪 它适合安装在监视器旁边 你在哪儿 你在哪儿 是最弱的身份验证形式 这种策略通过系统的位置确定你的身份 例如 UNIX系统的rlogin和rsh应用程序验证用户 主机或进程是部分根据它们IP地址的来源 但是 基于位置的身份验证方法很容易被愚弄 尤其是在本地网络 例如 服务器的IP地址是192 168 2 3 这个服务器中包含了有价值的信息 并且只允许IP地址为192 168 2 4的系统访问 假设有个系统的IP地址是192 168 2 5 只要重新设置系统 使用192 168 2 4作为IP地址 则服务器就会授权给这个非法系统 因为服务器只能靠位置进行验证 而没有其他方法 这种方式也无法抵御IP地址欺骗攻击 最常见的身分认证机制 口令 Password 在现实中 黑客攻击目标的时候 90 会把破译普通用户的口令作为第一步 比如先用 finger远端主机名 找出主机上的用户账号 然后用字典穷举法进行攻击 因为事实上 很多用户都把自己常用的英文单词或者自己的姓名作为口令 通过一些程序 自动地从计算机字典里面去找单词作为用户的口令输入给远端的主机 尝试进入系统 这个破译过程是由程序来完成的 如果这种方法不能奏效 黑客就会仔细地寻找目标的薄弱环节和漏洞 伺机夺取目标中存放口令的文件shadow或者passwd 在现代的Unix系统中 用户的基本信息都是存放在passwd文件中的 所有的口令都经过DES加密后专门放在shadow文件中 处于严密的保护下 老版本的Unix的口令都在passwd文件中 一旦获得了这个文件 就可以用专用的破解DES加密算法的程序来解析口令 口令的安全性口令是计算机和用户双方知道的某个 关键字 作为一个确认符号串只能由用户和操作系统本身识别 口令的实际使用往往降低了其安全性 三个方面 口令字符串的选择口令数据存放口令查找匹配 口令的选择 世界100强的公司 小型公司和拥有强大安全保证的互联网服务供应商们的薄弱环节 那就是 在它们的用户中有的人可能会使用那些比较容易被猜破的密码 有些人喜欢使用宠物的名字作为密码 还有的人则把所喜欢的人的名字当成密码 他们以为在这些密码前面或者后面添加一到两个数字就很聪明了 其实也不尽然 这些简单的方法对于今天的计算机来说都显得太过幼稚 因为当今的计算机每秒钟可以对几百万的密码进行破译尝试 它们通常可以在一分钟之内把一个密码破译出来 在对3300个用户密码的进行调查过程中 调查人员发现 有17 的密码是用三个或三个以下的数字和字符组成的 有15 的密码由四个数字或字符组成 在所有被检查的密码中 几乎有近一半在持续不到六个小时的搜索中被发现 如果一个公司的CEO用 god123 来保护重要文件的话 那么即使是非常好的安全组和高技术数字屏障也无济于事 惊人的数字 应该定期检查系统是否存在无口令的用户 其次应定期运行口令破译程序以检查系统中是否存在弱口令 这些措施可以显著地减少系统面临的通过口令入侵的威胁 另外 系统管理员应保护好自己的口令 并要求用户定期更换自己的口令 口令的记录存放口令的文件往往是攻击者首先寻找的目标 口令加密是对口令的一种保护方法 通常采用的加密口令表的方法是传统加密法和单向加密法 口令加密法传统加密法 加密整个口令表或者只加密口令序列 当系统收到用户输入的口令后 所存储的口令被解密 然后将两者进行比较 该方法的缺陷在于 在某一瞬间会在内存中得到用户口令的明文 任何人只要拥有对内存的存取权即可获得 单向加密法 一种加密相对简单但解密却相当难的加密函数 口令表中的口令以密文形式存放 用户输入的口令也被加密 然后将两种加密形式进行比较 口令的安全保护 强制性措施 仅允许操作系统本身存取 或者仅允许那些需要访问该表的系统模块 如用户身分鉴别模块 用户登录注册或注销模块 存取 不允许其他无关的系统模块存取 必须防止入侵者采用磁盘分析程序 磁盘诊断工具等软件查找口令 对敏感磁盘区域进行保护 口令表以明文形式存放是不允许的 对口令的加密存放将大大加强口令的安全系数 系统入侵者采用的口令攻击 穷举法尝试 尝试所有可能的口令 经验法尝试 最常用和可能的口令 字典攻击 破译口令文件 口令数据区 询问用户 窃取口令 窥探口令输入 编程截取口令 信息查找 侦察程序 口令破解过程1 硬件问题要进行成功的大型口令文件的破解活动 机器应该具备的条件 采用分布式破解法 DistributedCracking 破解口令 分布式破解法就是入侵者用独立的几个进程 并行地执行破解工作 其实现有几种方法 其中之一就是把口令文件分解成几块 在各自独立的机器上分别破解这几块文件 通过这种方法 破解工作被分散到不同工作站上进行 花费的时间和资源就少了 2 口令破解机制字表被送到加密进程加密 通常是一次加密一个单词 加密过程中使用了各种规则 每加密一个单词 就把它与目标口令 同样是加密的 对比 如果不匹配 就开始处理下一个单词 最终如果有一个单词与目标口令匹配 则认为口令被破解 相应的明码正文单词被存入文件 一个相关但更强大的方式是事先把一个字典 或多个字典 中的所有的单词计算 分类并保存好 一旦职业计算机罪犯已经编译好了一个加密字典 那么用户口令只是一个简单的搜索过程 这种方式是非常快的 当然也要占用更多的存储空间 可以使用一个相对简单的公式来评价口令机制的缺陷 K C E T K是口令空间的绝对容量 这是一个攻击者侵入特定用户帐号所需要搜索的空间 C是一个常量 表示攻击者对一个系统中平均每个用户所要付出的努力 E代表DES加密方法中的加密次数 秒 T是攻击者攻击时所能花费的最多秒数 时间是字典攻击的基础 攻击者只能在有限时间内侵入一个口令 因为口令也许改变等等 只要口令空间 K 和常量 C 的乘积超过加密速度 E 和最大允许时间 T 的乘积 系统在理论上是足够安全的 但是有效的口令空间因为易于猜测的口令而减小 当K和C已二十年未变时 E则因CPU和其他系统组件的发展而在每年戏剧性地增长 更糟的是 不断发展的存储技术使攻击者能事先编译好整个加密字典 这减少了成功攻击所需的时间 口令的取值范围在Unix下 可以当作口令来用的字符一共有 10 数字 33 标点符号 26 2 大小写字母 95个如果口令取任意5个字母 1位数字或符号的可能性是 52 52 52 52 52 43 163亿 但是如果5个字母是常用的词 那么假设常用的词是5000个 考虑到大小写 可能性将有 5000 2 2 2 2 2 43 688万种可能性 这已经可以利用微机来进行穷举了 这样的简单口令用不了3分钟就能破译 所以6位的口令都是很不安全的 遗憾的是许多用户都是这么设定的 而黑客不需要破解所有用户的口令 他们只需要一个普通用户的口令就足够了 只要潜入系统 就可以利用系统的漏洞而获得系统的控制权 所以使用简单口令是对整个主机安全的不负责任 这是我们首先应该重视的问题 增加组成口令的字符种类 增加字符种类可增加口令的破译难度 从而使此种攻击方法失去吸引力 采用较长的口令 当口令的字符数超过5时 其组合数将呈指数增长趋势 口令越长 被发现和破译的可能性就越低 怎样选择好的口令 避免使用常规名称 术语和单词 非常规的字符组合会增大攻击者穷举搜索的难度 而不能使用简单的字典搜索 因此 既要选择不太可能的字符串作口令 又需要易于记忆 这是一对矛盾 保护口令秘密 不要将口令书面记录 也不要告诉任何人 定期更换 放弃过时口令 口令失效后禁止用户操作和存取 或者强迫用户修改口令 采用一次性口令 即每次使用后都作更换的口令 由八位字符组成的密码应该说是非常保险的 即使对于今天高速运行的计算机来说也是这样 尽管有些密码破译程序可以在Pentium4处理器上在一秒钟内测试近八百万种组合方式 但是要破译一个八位密码仍然需要13年的时间 建议 二 其他身分鉴别机制多重鉴别机制多重口令 在系统登录的各个环节 系统操作的某个层次 都可以设置口令和关键字 只有每次口令都正确 才能真正进入系统 即使入侵者窃取到了开始的登录口令 也很难获取所有口令 在多口令中每一处口令失败 可以退回到最开始登录过程 或者给出安全报警 限制猜测 将身分鉴别与存取权限等其他机制相结合 可以形成多种多重鉴别机制 例如 当用户企图存取其他用户或者系统保密区域时 该用户被鉴别为非法用户 系统检测到这些违章存取操作时 可以记录 停止 断开或挂起这些操作 给出警告 直到系统安全管理员清除这一现象 管理帐号每个使用系统的人都应该在该系统上拥有一个帐号 每个帐号与一个唯一的用户名和一个保密的口令相关 一个用户名指出谁使用系统 而口令则确认用户就是他或她所宣称的那个人 没有确认 要保证个人对其行为负责或实现基本的安全控制是不可能的 系统中最重要的是管理员账号 root账号 一旦root帐号被侵入 系统则 属于 攻击者了 他可以修改任何文件或操作参数数 插入恶意代码 为未来攻击增加假用户 然后通过修改日志文件消除痕迹 进行账号管理除了前面讨论的口令安全外 还要考虑怎样建立用户名 使用用户名作为账号就是一种不安全的方法 一个外部人员可以通过电话总机或Web搜索得到某人的姓名并猜出合法的用户名 一旦他们拥有了用户名 就只有口令阻止他们访问系统了 怎样保护系统的口令 1 口令的生命期和控制用户应该定期改变自己的口令 例如一个月换一次 长期不换口令如果口令被偷就会引起安全问题 经常更换口令可以帮助减少损失 比如两个星期更换一次口令总比一直保留原有口令损失要小 管理员可以为口令设定生命期 这样当口令生命期到后 系统就会强制用户更改系统密码 2 WindowsNT的账户口令管理 口令时效口令时效管理用户必须多长时间修改口令 下面是能够在大多数操作系统中找到的口令时效的子组件 最大口令时效 最小口令时效 口令历史 最小口令长度 口令复杂度 加密选项 口令锁定口令锁定是被用来对付猜测口令的主要工具 在输入的非法口令达到给定的次数之后 它禁用这个账户 这种技术在阻止远程暴力攻击或基于字典穷举口令攻击的时候特别有用 锁定的次数最好定在3 5次非法登录尝试 账户复位账户复位选项允许经过一段给定的时间间隔之后 选择是否让账户自动复位 启用账户复位选项通常是必要的 因为合法用户可能忘记他们的口令 特别是当接近要求改变口令的时期 回顾 关于账号和口令维护的问题 1 不要将口令告诉别人 也不要几个人共享一个口令 不要把它记在本子上或计算机周围 2 不要用系统指定的口令 第一次进入系统就修改口令 不要沿用系统给用户的缺省口令 关闭掉Unix供货商随操作系统配备的所有缺省账号 3 最好不要用电子邮件传送口令 如果一定需要这样做 则最好对电子邮件进行加密处理 4 如果账户长期不用 管理员应将其暂停 如果雇员离开公司 则管理员应及时把他的账户消除 不要保留一些不用的账号 5 管理员也可以限制用户的登录时间 比如说只有在工作时间 用户才能登录到计算机上 6 限制登录次数 为了防止对账户多次尝试口令以闯入系统 系统可以限制登记企图的次数 这样可以防止有人不断地尝试使用不同的口令和登录名 7 最后一次登录 该方法报告最后一次系统登录的时间 日期 这样可以提供线索了解是否有人非法访问 8 定期地查看日志文件 以便检查成功登录和不成功登录 定期地查看LoginRefused消息日志文件 9 去掉guest账号 或者更安全的方法是 根本就不创建guest账号 10 一定要关闭所有没有口令却可以运行命令的账号 访问控制 无论何时 一个系统要保证个人 系统或进程只访问它们所期望的资源 就会涉及访问控制 accesscontrol 为什么要进行访问控制 合法用户对系统资源的滥用 非法用户因欺骗而进入系统 成为 合法 用户 可共享实体种类和数目增加 既有硬件也有软件 用户认证和以及保护机制本身也需保护 访问控制跟在用户或系统身份验证之后 系统在进行验证后使用访问控制模式 控制用户在系统中可以访问的资源 这些模式被用于准予或拒绝特权 实现访问控制的两种普遍方法是 访问控制列表 accesscontrol1ists 和执行控制列表 executioncontrollists 访问控制列表 ACL 访问控制列表是与对象 如Web服务器硬盘上的目录或文件夹 有关的个人用户或组的清单 现代信息系统把所有的资源看做是对象 就网络而言 对象可以是设备 如打印机 远程系统 甚至还可以是远程系统的磁盘 ACL决定是否用户可以访问特殊的对象 如果用户具有访问一个对象的权力 则ACL明确定义了用户可以对此对象做哪些事情 执行控制列表 ECL 执行控制列表列出了应用程序运行时可以操作的资源和行为 应用程序和操作系统都使用ECL 任何支持ECL的操作系统或应用程序能够确定程序或操作系统的哪些活动是恰当的 哪些活动是不恰当的 ECL的例子有以下这些 Windows2000本地和域安全策略设置 Linux系统的可插入身份验证模块 PAM 浏览器沙箱 sandboxing 可以保证限制Java和JavaScript应用程序 例如 通过设置MicrosoftInternetExplorer或NetscapeNavigator不再执行JavaScript或VBScript的应用程序 这样恶意的Java应用程序就不会很容易地危及整个系统的安全 Windows2000对象为实现安全特性 Windows2000将系统中任何类型的所有资源都当做特殊对象来处理 这些对象包含资源本身和访问它的必要机制与程序 Microsoft的安全性以下列对象的原则为基础 Windows2000的访问控制 对象代表所有的资源对象可以包括数据和函数所有对对象的访问首先要被Windows2000的安全子系统进行验证核实有几种类型的对象存在 每种对象类型决定对象可以做的事情 Windows2000中的主要对象类型有 文件 文件夹 打印机 I O设备 窗口 线程 进程 内存这种结构的主要目的是保证一致性 这种设计要求所有的访问必须以相同的方式被授权 减少了安全机制被绕过的可能性 本地的Windows2000安全子系统包括下列关键组件 安全标识号 访问令牌 安全描述符 访问控制列表 这些组件的使用和相互作用控制用户的行为 Windows2000安全子系统 安全组件 安全标识号安全标识号 securityidentifier SID 是分配给所有用户 组和计算机的统计上的惟一号码 每次一个新的用户或组被建立时 它就收到一个惟一的SID 访问令牌登录过程的部分主要目的是 在用户被验证之后 分配给所有用户访问令牌 accesstokens 访问令牌由用户的SID 用户所属组的SID和用户名组成 安全描述符Windows2000中的每个对象有一个安全描述符 securitydescriptor 作为它属性的一部分 安全描述符由对象所有者的SID 组的SID 访问控制列表组成 访问控制列表访问控制列表 accesscontrollists ACL 有两种类型 选择性的和系统的 选择ACL保存用户和组的列表 还有它们适当的权限 或者被准许 或者被拒绝 系统ACL包含为了此对象被审核事件的列表 Windows2000安全子系统了解了Windows2000中的通用安全组件之后 下面将讨论Windows2000中的软件 用于让安全措施起作用 这个软件的集合被称为安全子系统 securitysubsystem 安全子系统包括几部分 Winlogon 图形身份认证和验证动态链接库 GINA 本地安全颁发机构 LSA 验证软件包 AP Wi