身份鉴别与访问控制技术综述

身份鉴别与访问控制技术综述魏明欣1，何长龙2，李伟平3(1.吉林省政府发展研究中心 长春 2.北京大学电子政务研究院 北京 3.长春吉大正元信息技术股份有限公司 长春)摘要：身份认证是网络安全的最基本元素，它们是用户登录网络时保证其使用和交易安全的首要因素。本文首先介绍了常用的身份鉴别和访问控制的基本概念，对身份鉴别和访问控制技术的机制、实现方法等及相关知识进行简要介绍，以期对初次接触这两个领域的读者有所帮助。一、概述身份鉴别与访问控制技术是信息安全理论与技术的一个重要方面。其原理，如图1所示。用户在访问网络信息时，必须首先进行身份鉴别，只有通过身份鉴别的用户请求，才能被转发到访问监控服务，访问监控服务根据访问请求中的身份和资源信息和取得对应的授权策略和资源的访问控制策略，以决定用户能否访问该资源。身份库由身份（用户）管理员管理，授权策略和资源的访问控制策略由安全管理员按照需要进行配置和管理。身份信息管理、授权策略和访问控制策略管理、用户在访问资源时所产生的身份鉴别信息、访问控制信息，以及入侵侦测系统实时或非实时地检测是否有入侵行为等系统运行期产生的安全审计信息均记录到安全审计系统，供审计人员审计。图1 身份鉴别与访问控制技术保护信息资源安全示意图下面将我们将对身份鉴别与访问控制所涉及的身份鉴别模型、身份鉴别技术、访问控制模型与访问控制技术进行一般性质的讨论。二、身份鉴别技术1身份鉴别模型身份鉴别机制的一般模型如图2所示。图2 身份鉴别模型鉴别模型一般由可信第三方、声称者和验证者共三部分组成。声称者向验证者声明自己的身份并出示用于验证其身份的凭证，验证者验证声称者的身份凭证，验证过程可由验证者独立完成也可委托可信第三方完成凭证的验证。按照鉴别的方向分类，身份鉴别分为单向鉴别和双向鉴别。单向鉴别时验证者鉴别声称者的身份，而双向鉴别时验证者和声称者相互验证对方向的身份。2.常用身份鉴别技术一般而言，身份鉴别可以基于如下一个或几个因素完成。用户知道的信息，如口令。用户拥有的物品，如智能卡。用户具有的生物特征，如指纹、声音、视网膜扫描等。常用的身份鉴别技术包括：（1）基于口令的鉴别方式基于口令的认证方式是最常用的一种技术。它是一种单因素的认证，安全性仅依赖于口令，口令一旦被泄露，用户即可能被冒充。更严重的是，用户往往选择简单、容易被猜测的口令，如与用户名相同的口令、生日、单词等。这个问题往往成为安全系统最薄弱的突破口。口令一般是采用密码技术处理后存放在口令文件中，如果口令文件被窃取，那么就可以进行离线的字典式攻击。这也是黑客最常用的手段之一。（2）基于智能卡的鉴别方式智能卡具有硬件加密功能，有较高的安全性。每个用户持有一张智能卡，智能卡存储着用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。进行认证时，用户输入PIN（个人身份识别码），智能卡认证PIN，成功后，即可读出智能卡中的秘密信息，进而利用该秘密信息与主机之间进行认证。基于智能卡的认证方式是一种双因素的认证方式（PIN智能卡），即使PIN或智能卡被窃取，用户仍不会被冒充。智能卡提供硬件保护措施和加密算法，可以利用这些功能加强安全性能，例如，可以把智能卡设置成用户只能得到加密后的某个秘密信息，从而防止秘密信息的泄露。（3）基于生物特征鉴别方式这种认证方式以人体惟一的、可靠的、稳定的生物特征（如指纹、虹膜、脸部、掌纹等）为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性、可靠性和有效性，与传统的身份确认手段相比，无疑产生了质的飞跃。近几年来，全球的生物识别技术已从研究阶段转向应用阶段。（4）一次性口令鉴别方式为解决固定口令的问题，安全专家提出了一次性口令（OTP：OneTimePassword）的密码体制，以保护关键的计算资源。OTP核心思路是在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。例如：登录密码=MD5(用户名密码时间），系统接收到登录口令后做一个验算即可验证用户的合法性。三、常用访问控制技术1访问控制模型当前访问控制系统大都采用了参考监控器这样的访问控制机制，见图3。参考监控器负责调解主体对系统资源（即客体）的访问，通过检测访问控制策略库中的规则来进行访问请求判断，然后执行。传统上，通过“主体动作客体”结构，访问控制策略设置了什么主体可以对什么客体执行什么操作。访问控制策略可以用访问矩阵来表示，行表示主体，列表示客体，每个元素表示主体对相应客体的访问权限。为了进行访问控制决策，一个参考监控器将访问控制策略和三组信息，即访问请求信息、提出访问请求的主体、被访问的客体信息，作为输入。在传统的访问控制模型中，访问请求信息通常就是操作请求类型，例如“READ”操作类型。在MAC、DAC中，操作通常为简单的READ、WRITE、EXECUTE等，RBAC可将操作请求扩展到在应用级上的一些操作，如审批、申请等。主体的信息分为两类：安全相关信息和安全不相关。安全相关的信息由安全管理员或用户管理员来控制，描述了主体的身份、组成员、允许的权限等安全属性。在授权管理模型中，主体中只有安全相关的信息才能用于访问控制决策。同样，被访问客体的信息也被分为安全相关信息的和安全不相关信息。类似于主体，在授权管理模型中，客体中只有安全相关的信息才被用在访问控制决策中，如客体名称、安全标签等。参考监控器将上面三组信息输入访问控制策略进行计算，计算的最终结果是对访问的“允许（allow）”或“禁止（deny）”。访问控制策略库参考监控器主体安全属性客体安全属性操作安全标签角色类型安全标签 标识 图3 访问控制参考模型从图3可以看出，在访问控制参考模型中，主体和客体是相互独立的，它们之间或者互不牵连，或者只通过一些共同的标记来进行联系（如安全标签）。主体有主体的结构和标记，客体有客体的结构和标记，中间满足特定的关系，就放行，否则就拦截。参考监控器所使用的主客体的信息是受限的，只有主客体的安全相关属性才能用于访问控制决策中。2.常用访问控制技术用访问控制实现方法包括：访问控制表（ACL)、访问能力表（Capabilities)和授权关系表。这些实现方法均可抽象为访问控制矩阵，其结构如图4所示的访问控制矩阵中，主体S1对客体O1、O2、O3具有Read权限，还对O1具有Write权限。图4 访问控制矩阵任何访问控制策略最终均可被模型化为访问矩阵形式。在访问控制矩阵中行对应于主体，列对应于客体，每个矩阵元素规定了相应的主体对应于相应的客体被准予的访问许可或实施行为。3、常用访问控制策略较为常用的访问控制策略包括自主访问控制、强制访问控制和基于角色的访问控制。自主访问控制（Discretionary Access Control，简称DAC）是一种常用的访问控制方式，它基于对主体或主体属性的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主的（可间接的）将访问权限或访问权的某个子集授予其它主体。NIST给出了基于角色的访问控制（Role Base Access）参考模型，该模型在用户和访问权限之间引入了角色的概念，它的基本特征是根据安全策略划分角色，对每个角色分配操作许可；为用户指派角色，用户通过角色间接地对信息资源进行访问。如图5 RBAC参考模型所示。图5： RBAC参考模型在RBAC模型中权限与角色相关联，用户通过取得适当的角色从而获得合适的权限。这可以有效的简化权限管理。在新