安全生产_信息安全身份认证和访问控制讲义

1 信息安全身份认证和访问控制 杨敏武汉大学国际软件学院yangm 2 身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略 主要内容 3 身份认证 Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed 身份认证就是确认实体是它所声明的 身份认证是最重要的安全服务之一 实体的身份认证服务提供了关于某个实体身份的保证 所有其它的安全服务都依赖于该服务 身份认证可以对抗假冒攻击的危险 4 身份认证的需求和目的 身份认证需求 某一成员 声称者 提交一个主体的身份并声称它是那个主体 身份认证目的 使别的成员 验证者 获得对声称者所声称的事实的信任 5 身份认证分类 身份认证可以分为本地和远程两类 本地身份认证 单机环境 实体在本地环境的初始化鉴别 就是说 作为实体个人 和设备物理接触 不和网络中的其他设备通信 需要用户进行明确的操作远程身份认证 网络环境 连接远程设备 实体和环境的实体鉴别 通常将本地鉴别结果传送到远程 1 安全 2 易用 6 身份认证分类 身份认证可以是单向的也可以是双向的 单向认证是指通信双方中只有一方向另一方进行鉴别 双向认证是指通信双方相互进行鉴别 7 身份认证 进行身份认证的几种依据用户所知道的 密码 口令用户所拥有的 身份证 护照 信用卡 钥匙用户本身的特征 指纹 笔迹 声纹 手型 血型 视网膜 虹膜 DNA以及个人动作方面的一些特征 8 主要内容 身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略 9 常用的身份认证机制 A 口令机制B 一次性口令机制C 基于智能卡的机制D 基于个人特征的机制 10 A 口令机制 常规的口令方案中的口令是不随时间变化的口令 该机制提供弱鉴别 weakauthentication 口令或通行字机制是最广泛研究和使用的身份鉴别法 口令系统有许多脆弱点外部泄露口令猜测线路窃听重放 11 对付外部泄露的措施 教育 培训 严格组织管理办法和执行手续 口令定期改变 每个口令只与一个人有关 输入的口令不再现在终端上 使用易记的口令 不要写在纸上 12 对付口令猜测的措施 教育 培训 严格限制非法登录的次数 口令验证中插入实时延迟 限制最小长度 至少6 8字节以上 防止用户特征相关口令 口令定期改变 及时更改预设口令 使用机器产生的口令 13 强壮口令应符合的规则 个人名字或呢称 电话号码 生日等敏感信息 输入8字符以上口令 记录于纸上或放置于办公处 使用重复的字符 14 对付线路窃听的措施 使用保护口令机制 如单向函数 对于每个用户 系统将帐户和散列值对存储在一个口令文件中 当用户输入口令x 系统计算其散列值H x 然后将该值与口令文件中相应的散列值比较 若相同则允许登录 安全性仅依赖于口令 15 B 一次性口令机制 近似的强鉴别 towardsstrongauthentication 一次性口令机制确保在每次认证中所使用的口令不同 以对付重放攻击 16 双因素动态口令卡 双因素动态口令卡基于密钥 时间双因素的身份认证机制 用户登录口令随时间变化 口令一次性使用 无法预测 可以有效抵御密码窃取和重放攻击行为 17 双因素动态口令卡 相关产品如SecurityDynamics公司的SecureID设备基于时间同步的动态密码认证系统RSASecureID美国Axend 现被Symantec公司兼并 是较早推出双因素身份认证系统的公司 我国一些信息技术公司也相继推出了动态口令认证系统 如网泰金安信息技术公司 北京亿青创新信息技术有限公司 四川安盟电子信息安全有限公司等 18 双因素动态口令卡 举例 北京亿青创新信息技术有限公司 易码通 EasyPass 动态口令系统 动态口令卡是发给每个用户的动态口令发生器 通过同步信任认证算法 以时间为参数 每隔16 64秒产生一个一次性使用的 动态口令 19 双因素动态口令卡 举例 2468 723656 PIN TOKENCODE 20 令牌码的产生 令牌码的产生 时间 UCT时间算法 伪随机函数种子 随机数 Algorithm 21 认证过程 访问请求 加密的 访问请求被通过 加密的 登录者 ACE 代理 ACE 服务器 User ID 安盟password 1234234836 用户进入一个SecurID保护的网络 应用或服务 系统将提示用户输入用户名和一次性密码 PASSCODE PIN1234 22 种子 时间 354982 安盟身份认证服务器 安盟令牌 算法 种子 时间 354982 算法 相同的种子 相同的时间 时间同步技术 23 C 基于智能卡的机制 优点基于智能卡的认证方式是一种双因素的认证方式 PIN 智能卡 智能卡提供硬件保护措施和加密算法缺点智能卡和接口设备之间的信息流可能被截获智能卡可能被伪造职员的作弊行为 24 基于智能卡的机制 安全措施对持卡人 卡和接口设备的合法性的相互验证重要数据加密后传输卡和接口设备中设置安全区 安全区中保护逻辑电路或外部不可读的存储区明确有关人员的责任 并严格遵守设置止付名单 25 基于电子钥匙的机制 电子钥匙是一种通过USB直接与计算机相连 具有密码验证功能 可靠高速的小型存储设备 用于存储一些个人信息或证书 它内部的密码算法可以为数据传输提供安全的管道 是适合单机或网络应用的安全防护产品 其安全保护措施与智能卡相似 26 D 基于生物特征的机制 以人体唯一的 可靠的 稳定的生物特征为依据指纹识别视网膜识别虹膜识别手形识别签名识别声纹识别 27 身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略 主要内容 28 访问控制 安全服务 ISO7498 2定义了五大安全服务对象认证访问控制数据保密性数据完整性防抵赖性 29 基本概念 一般定义是针对越权使用资源的防御措施访问控制的基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资源的非法使用用户身份的识别和认证对访问的控制审计跟踪 30 访问控制 授权数据库 访问监视器 审计 身份认证 访问控制 31 访问控制系统的实体 主体 subject 发出访问操作 存取请求的主动方 通常可以是用户或用户的某个进程等客体 object 被访问的对象 通常可以是被调用的程序 进程 要存取的数据 信息 要访问的文件 系统或各种网络设备 设施等资源安全访问策略一套规则 用以确定一个主体是否对客体拥有访问权限 32 访问控制的目的 限制主体对访问客体的访问权限 从而使计算机系统在合法范围内使用 决定用户能做什么 也决定代表一定用户利益的程序能做什么 33 身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略 主要内容 34 访问控制的实现方法 A 访问控制矩阵B 访问能力表C 访问控制表D 授权关系表 35 A 访问控制矩阵 访问控制表示为一个矩阵的形式列表示客体 各种资源 行表示主体 通常为用户 行和列的交叉点表示某个主体对某个客体的访问权限 比如读 写 执行 修改 删除等 36 Own的确切含义可能因系统不同而异 通常一个文件的Own权限表示授予 authorize 或撤销 revoke 其他用户对该文件的访问控制权限 37 缺点 访问控制矩阵中很多单元是空白项为了减轻系统开销与浪费从主体 行 出发 表示矩阵的某一行的信息 访问能力表 AccessCapabilitiesList 从客体 列 出发 表示矩阵某一列的信息 访问控制表 AccessControlList 38 B 访问能力表 能力 Capability 是受一定机制保护的客体标志 标记了客体以及主体 访问者 对客体的访问权限 只有当一个主体对某个客体拥有访问的能力时 它才能访问这个客体 39 John Bob 40 访问能力表的优点 访问能力表着眼于某一主体的访问权限 以主体的出发点描述控制信息 因此很容易获得一个主体所被授权可以访问的客体及其权限 访问能力表的缺点 如果要求获得对某一特定客体有特定权限的所有主体比较困难 访问控制服务应该能够控制可访问某一个客体的主体集合 能够授予或取消主体的访问权限 于是出现了以客体为出发点的实现方式 访问控制表 41 C 访问控制表 访问控制表 ACL 对某个指定的资源指定任意一个用户的权限 还可以将具有相同权限的用户分组 并授予组的访问权限 File1 42 访问控制表的优点 访问控制表 ACL 表述直观 易于理解 比较容易查出对某一特定资源拥有访问权限的所有用户 有效地实施授权管理 在一些实际应用中 还对ACL进行了扩展 以进一步控制用户的合法访问时间 是否需要审计等访问控制表的局限 应用到网络规模较大 需求复杂的企业的内部网络时当网络中资源很多时 需要在ACL中设定大量的表项 而且为了实现整个组织范围内的一致的控制策略 需要各管理部门的密切合作 单纯使用ACL 不易实现最小权限原则及复杂的安全政策 43 D 授权关系表 使用一张表描述主体和客体之间的关系 可以对表进行排序 44 身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略 主要内容 45 访问控制策略 A 自主访问控制 DAC B 强制访问控制 MAC C 基于角色的访问控制 RBAC 46 A 自主访问控制 自主访问控制 DAC 最早出现在七十年代初期的分时系统中 它是多用户环境下最常用的一种访问控制手段 用户可以按自己的意愿对系统参数做适当的修改 可以决定哪个用户可以访问系统资源 DAC有时又被称为为基于主人的访问控制 47 自主访问控制 优点根据主体的身份及允许访问的权限进行决策自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体 灵活性高 被大量采用 Windows UNIX系统采用 缺点过于灵活 限制较弱 可能存在安全隐患如用户A把目标X的访问权赋予了用户B 用户B可能会把X访问权转赋予用户C 而A可能并不愿意让C访问X用户A把目标X的访问权赋予了用户B 而根据系统基本安全规则 B并不能访问X 48 自主访问控制 基于个人的策略 根据哪些用户可对一个目标实施哪一种行为的列表来表示 等价于用一个目标的访问矩阵列来描述基础 前提 一个隐含的 或者显式的缺省策略例如 全部权限否决最小特权原则 要求最大限度地限制每个用户为实施授权任务所需要的许可集合在不同的环境下 缺省策略不尽相同 例如 在公开的布告板环境中 所有用户都可以得到所有公开的信息对于特定的用户 有时候需要提供显式的否定许可例如 对于违纪的内部员工 禁止访问内部一些信息 49 自主访问控制 基于组的策略 一组用户对于一个目标具有同样的访问许可 是基于身份的策略的另一种情形相当于 把访问矩阵中多个行压缩为一个行 实际使用时先定义组的成员对用户组授权同一个组可以被重复使用组的成员可以改变 50 B 强制访问控制 强制访问控制 MAC 基于规则的访问控制 主体和客体分别定义安全等级标记 在自主访问控制的基础上还必须受到安全标记的约束 安全标记是限制在目标上的一组安全属性信息项 在访问控制中 一个安全标记隶属于一个用户 一个目标 一个访问请求 系统强制主体服从访问控制策略 主要用于多层次安全级别的军事应用中 51 强制访问控制 将主体和客体分级定义用户的可信任级别及信息的敏感程度 如 绝密级 机密级 秘密级 无密级 根据主体和客体的级别关系决定访问模式访问控制关系分为上读 下写 完整性 下读 上写 保密性 通过梯度安全标签实现单向信息流通模式 52 强制访问控制 安全标签是限制在目标上的一组安全属性信息项 在访问控制中 一个安全标签隶属于一个用户 一个目标 一个访问请求或传输中的一个访问控制信息 最通常的用途是支持多级访问控制策略 在处理一个访问请求时 目标环境比较请求上的标签和目标上的标签 应用策略规则 如BellLapadula规则 决定是允许还是拒绝访问 53 强制访问控制 强制访问控制 MAC 中 系统包含主体集S和客体集O 每个S中的主体s及客体集中的客体o 都属于一固定的安全类SC 安全类SC 包括两个部分 有层次的安全级别和无层次的安全范畴 构成一偏序关系 Bell LaPadula 保证保密性Biba 保证完整性 54 强制访问控制 Bell LaPadula模型 BLP模型 安全属性用二元组表示 密级 类别集合 密级集合为 绝密 机密 秘密 无密 且绝密 机密 秘密 无密类别集合是系统中非分层元素集合中的一个子集 具体的元素依赖于所考虑的环境和应用领域安全属性的集合满足偏序关系为每个用户分配一个安全属性 为每个客体也分配一个安全属性 55 强制访问控制 Bell LaPadula模型中主体对客体访问的两个规则简单安全原则 仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时 才允许该主体读该客体 即主体只能读密级等于或低于它的客体星规则 仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时 才允许该主体写该客体 即主体只能写等于或高于它的客体 56 强制访问控制 下读 低信任级别的用户不能读高敏感度的信息 只能读比它信任级别更低的低敏感信息上写 不允许高敏感度的信息写入低敏感度区域 只能写入更高敏感度区域实现数据的保密性 主体 客体 TS 绝密 S 机密 C 秘密 U 无密 57 例如 某单位部分行政机构如下图 58 假设计算机系统中的数据的密级为 一般 秘密 机密 绝密定义校长的安全级C校长 绝密 人事处 教务处 财务处 设备处 即校长的密级为绝密 部门属性为所有的部门 教务处长的安全级C教 机密 教务处 财务处长的安全级C财 机密 财务处 财务一科长的安全级C一财 秘密 财务处 财务处工作人员的安全级C工 一般 财务处 假设财务一科长产生了一份工作文件A 文件A的安全级定义为与一科长的安全级相同 即CA 秘密 财务处 那么 对于文件A 只有校长和财务处长能看到 而教务处长不能看 尽管教务处长的密级是机密级 可以看秘密级的文件 但教务处长的部门属性仅是 教务处 他无权看财务处的信息 59 强制访问控制 BLP模型的不足应用领域较窄 使用不灵活 一般只用于军方等具有明显等级观念的领域完整性方面控制的不够好 强调信息向高安全级的方向流动 对高安全级信息的完整性保护不够 60 强制访问控制 Biba模型Biba等人于70年代提出的 它主要是针对信息完整性保护方面的 与BLP模型类似 Biba模型用完整性等级取代了BLP模型中的敏感等级 而访问控制的限制正好与BLP模型相反 61 强制访问控制 Biba模型的规则简单完整规则 仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时 才允许该主体写该客体 即主体只能向下写 而不能向上写 也就是说主体只能写 修改 完整性级别等于或低于它的客体 完整性制约规则 星规则 仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时 才允许该主体读客体 即主体只能从上读 而不能从下读 62 强制访问控制 缺陷实现工作量大管理不便不够灵活过于偏重保密性 对其他方面 如系统连续工作能力 授权的可管理性等方面考虑不足 63 C 基于角色的访问控制 20世纪90年代出现 可以有效地克服传统访问控制技术中存在的不足之处 减少授权管理的复杂性 降低管理开销 起源于UNIX系统等操作系统中组的概念基于角色的访问控制是一个复合的规则 可以被认为是DAC和MAC的变体 一个身份被分配给一个被授权的组 基本思路 管理员创建角色 给角色分配权限 给角色分配用户 角色所属的用户可以执行相应的权限 64 基于角色的访问控