信息安全四訪問控制

信息安全基礎訪問控制目錄訪問控制概述（AccessControlsOverview）安全原則（SecurityPrinciples）標識、認證、授權(quán)和可問責（Identification,Authentication,Authorization,andAccountability）訪問控制模型（AccessControlModels）訪問控制方法和技術(shù)（AccessControlTechniquesandTechnologies）訪問控制管理（AccessControlAdministration）訪問控制方法（AccessControlMethods）可問責（Accountability）訪問控制實踐（AccessControlPractices）訪問控制監(jiān)控（AccessControlMonitoring）訪問控制威脅（ThreatstoAccessControl）訪問控制概述（AccessControlsOverview）主體（Subject）是指主動的實體，該實體造成了信息的流動和系統(tǒng)狀態(tài)的改變，主體通常包括人、進程和設備；客體（Object）是指包含或接受信息的被動實體。對對象的訪問意味著對其中所包含信息的訪問；訪問（Access）是使信息在主體和客體間流動的一種交互方式。主體：用戶、程序、進程客體：文件、存儲介質(zhì)、程序、進程訪問控制定義訪問控制（AccessControl）是一種對主體訪問客體行為進行限制的措施，它只允許得到授權(quán)的主體按照其得到授權(quán)的訪問范圍和形式訪問相關客體，其目的是為了落實最小特權(quán)（leastprivilege），防止非授權(quán)主體訪問客體及其包含信息、服務等，它包括對以下要素的規(guī)定：主體是否有權(quán)訪問客體？主題被授權(quán)訪問何種客體？主體可以對客體進行何種形式的操作？訪問控制通常還對訪問活動進行記錄，以便對活動進行審計。安全原則（SecurityPrinciples）保密性（confidentiality）防止信息泄漏給未授權(quán)的人；完整性（integrity）防止信息遭到未授權(quán)的更改；防止授權(quán)用戶越權(quán)修改信息；保護信息的一致性；系統(tǒng)內(nèi)部數(shù)據(jù)沒用相互矛盾的內(nèi)容；系統(tǒng)數(shù)據(jù)與現(xiàn)實中的數(shù)據(jù)一致；可用性（availability）授權(quán)用戶可以及時、不受中斷地訪問系統(tǒng)訪問控制的涵蓋范圍把各種訪問控制在我們的信息系統(tǒng)中適當混合搭配，可令每類控制最大限度發(fā)揮它們的力量，同時相互彌補各自的弱點。通過適當做到這一點，我們可以得出適合于機構(gòu)的安全解決方案，它立足于風險，能夠以較低成本獲取較高效益。保護機構(gòu)的關鍵方面設施——物理位置支持系統(tǒng)信息系統(tǒng)人員——管理者，最終用戶標識、認證、授權(quán)和可問責

（Identification,Authentication,Authorization,andAccountability）提供標識信息的主體核實標識信息使用一個標準確定主體能夠?qū)腕w執(zhí)行的操作追蹤用戶活動的審計日志和監(jiān)控標識、認證、授權(quán)和可問責

（Identification,Authentication,Authorization,andAccountability）標識（Identification）使系統(tǒng)識別主體身份的方法，如賬號、用戶名等；認證（Authentication）對主體所宣稱身份有效性進行驗證的方法，如通過口令驗證，PIN值，生物測定等授權(quán)（Authorization）授予主體訪問客體的權(quán)限，如可以讀取某文件；審計（Audit）對主體訪問客體的行為進行檢查以確保訪問控制有效性的手段身份標識身份標識通常應具有唯一性（unique）以便對不同主體的身份進行區(qū)分并支持訪問行為的可問責性（accountability），有時根據(jù)需要也可支持匿名或群組身份標識；訪問控制中的身份標識符（identifier）通常并非保密信息，其構(gòu)成在兼顧管理、使用和方便性的同時應盡量避免具有可推測性，即盡量防止由標識符推測出主體的特權(quán)、部門、名稱等敏感信息，反之亦然。標識要求唯一性，便于問責遵循一個標準的命名方案身份標識值不得描述用戶的職位和任務身份標識不得在用戶之間共享身份鑒別（Authentication）主體向系統(tǒng)提交身份標示符（identifier）和認證信息（authenticationinformation），系統(tǒng)將其與所存儲的相應認證信息進行比對以驗證主體身份的過程，基本認證信息可以由以下任一認證要素構(gòu)成或?qū)С觯褐黧w知道的（somethingtheentityknows），如口令（password）、PIN等秘密信息（secret）；主體保有的（somethingtheentitypossesses），如證件（badge）、智能卡（smartcard）等認證令牌（token）；主體本身（Somethingtheentityis），如指紋（fingerprint）等生物識別（biometric）特征；由認證信息由多種認證要素構(gòu)成或?qū)С龅恼J證被稱為多因素認證（Multi-factorauthentication）。身份管理身份管理是指通過一系列技術(shù)手段來管理有關授權(quán)用戶（其中包括員工、合同方、客戶、合作伙伴和供應商）訪問權(quán)的信息。身份管理在設計上對用戶身份、認證和授權(quán)數(shù)據(jù)實現(xiàn)了集中管理，從而提高了工作效率。這其中包括對目錄的使用以及管理用戶資料的機制身份管理的必要性我們?yōu)槭裁葱枰矸莨芾?？人工供應復雜環(huán)境外包風險遵守法律法規(guī)權(quán)威記錄系統(tǒng)身份管理的挑戰(zhàn)身份管理提出了哪些挑戰(zhàn)？一致性可靠性可用性效率可擴展性當事人數(shù)據(jù)生命周期解決方案和產(chǎn)品技術(shù)目錄Web訪問管理密碼管理遺留單點登錄賬戶管理配置文件升級目錄域名系統(tǒng)Windows注冊表…等大型目錄樹，是一種為讀取和搜索操作而進行過優(yōu)化的專用數(shù)據(jù)庫軟件，所有資源信息、用戶屬性、授權(quán)資料、角色、潛在訪問控制策略以及其他內(nèi)容都存儲在這一位置中LDAPWeb訪問管理WAM控制web瀏覽器與基于web的資產(chǎn)進行交互時能夠訪問哪些內(nèi)容電子商務、網(wǎng)上銀行、web服務等cookie密碼管理不同平臺，不同應用使用不同密碼忘記密碼，重置工作量大密碼同步自助式密碼重設輔助式密碼重設單點登錄SSO賬戶管理指配：每個賬戶的詳細信息外部內(nèi)部Web應用程序委托式管理客戶合作伙伴IT員工雇員WEB應用程序?qū)徲嬇c報告訪問管理身份認證與SSO，授權(quán)與RBAC，身份聯(lián)合，身份管理委托式管理，自助注冊和自助服務，用戶和群管理目錄服務

LDAP目錄，元目錄，虛擬目錄身份指派誰，什么，何時何地為何，

規(guī)則與訪問策略，集成架構(gòu)監(jiān)控和管理應用程序ERPCRM系統(tǒng)和存儲庫操作系統(tǒng)HR大型機NOS/目錄企業(yè)身份管理系統(tǒng)組件用戶資料更新與數(shù)字身份數(shù)字身份：用戶的身份可能包含屬性（部門，職位，輪班時間，許可級別）、權(quán)利（可用資源，授權(quán)權(quán)利）、特征（體重、性別，生物測定如頭像，指紋等）身份聯(lián)合多個應用或系統(tǒng)可能聯(lián)合使用身份，如酒店和航空公司門戶網(wǎng)站各種常用身份驗證方法訪問控制和標記語言生物特征口令密碼感知密碼一次性密碼密鑰密碼短語存儲卡智能卡標記語言GML->SGML->HTMLXMLSPML=>RA,PSP,PSTSAML—SOAP--HTTPXACML生物測定學生理性生物測定行為性生物測定準確，可重復生物識別技術(shù)的特點生物識別技術(shù)在身份認證方面的優(yōu)點包括：

與生俱來、無需賦予；

無需記憶、不會遺失；

難以仿冒和復制；

比其它認證信息具有更高的安全性；身份認證技術(shù)的缺點有：

需要專業(yè)設備，成本較高；

識別精度還有待提高；

接受度受到成本、性能、習慣、文化等因素制約。生物識別靜態(tài)：指紋，手掌掃描，手部外形，視網(wǎng)膜掃描，虹膜掃描，面部掃描，手型拓撲動態(tài)：動態(tài)簽名，動態(tài)擊鍵，聲紋生物識別技術(shù)的工作原理選擇生物學特征（characteristic）做為生物標識測量的目標：對所選擇生物學特征進行測量，如采集圖像或測量主體生命活動（lifesign）信息，并將其中被稱為匹配點（matchpoint）的關鍵信息記錄在模板（template）中，將模板存儲在生物識別系統(tǒng)的數(shù)據(jù)庫里，這一過程被稱為注冊（enrollment），此過程一般耗時2分鐘；生物識別技術(shù)可用于認證，也被稱為正匹配（positivematching）或一對一匹配（one-to-onematching）或身份識別，也被稱為負匹配（negativematching）或一對多匹配（on-to-manymatching）；用戶需要進行身份識別或認證時，系統(tǒng)再次對主體的這些特征進行測量，并將測量結(jié)果與數(shù)據(jù)庫中的模板進行匹配，并根據(jù)匹配結(jié)果確定認證或身份識別的結(jié)果，此過程平均耗時6秒鐘。生物學特征（BiometricTraits）由基因組成決定的遺傳學型（genotypic）特征，如：面容（facialgeometry）；手形（handgeometry）；DNA特征（DNApatterns）;由胎兒發(fā)育期形成的隨機型（randotypic）特征，如：指紋（fingerprints）；虹膜特征（irispatters）；手部血管特征（hand-veinpatterns）；人通過學習和訓練形成的動作（behavioral）特征，如：簽名動力學（signaturedynamics）；擊鍵特征（keyboardtypingpatterns）。生物識別的錯誤率表示合法用戶被拒絕或被認為是非法用戶的錯誤拒絕率（falserejectionrate，F(xiàn)RR），也被稱為I型錯誤（typeIerror）或錯誤否定（falsenegative）；表示非法用戶被接受或認為是合法用戶錯誤接受率（falseacceptancerate,FAR），也被稱為II型錯誤（typeIIerror）或錯誤肯定（falsepositive）；通過調(diào)整閥值等參數(shù)使系統(tǒng)錯誤拒絕率和錯誤接受率相等時，這個錯誤率被稱為交叉錯誤率（crossovererrorrate，CER），被稱為相等錯誤率（equalerrorrate，EER），它是表示生物識別系統(tǒng)性能的重要參數(shù)；系統(tǒng)無法注冊用戶的比率被稱為注冊故障率（failuretoenrollrate，F(xiàn)TErate）。%安全性FAR(II)FRR(I)CER影響用戶接受生物識別的因素侵犯性（invasiveness），有些生物測量方法（虹膜掃描和指紋讀取）需要人體部位與測量設備密切接觸，這會使一些用戶感覺受到侵犯，聲音識別和面容識別這方面相對要好一些；舒適度（psychologicalandphysicalcomfort），生物識別的目的（尋找嫌疑犯還是保護用戶？），手段（指紋常用來辨別犯罪嫌疑人）、易用性（是否便捷？）都影響到用戶的接受性；隱私（privacy），生物特征是純碎的個人信息，用戶有理由擔心這些信息的用途和安全性，如這些信息是否會被出售給第三方？這種信息是否會被用來監(jiān)視用戶的私人活動？信息是否會泄漏而造成他人假冒用戶身份？特征的替換（characteristicreplacement），生物特征是難以替換的，如果這些特征信息泄漏可能造成無法挽回的影響?？诹顧C制口令是目前使用最廣泛的的身份認證機制。從形式上看，口令是字母、數(shù)字或特殊字符構(gòu)成的字符串，只有被認證者知道。提示：銀行卡密碼、郵箱登錄密碼、保險柜密碼等，準確地說應該叫口令，因為密碼（密鑰）是用來加密信息的，而口令是用來作為某種鑒別的秘密口令及其種類口令是做為認證信息的秘密數(shù)據(jù)值，通常是字符串，口令主要包括以下類型：普通口令，也被稱為靜態(tài)口令（staticpassword），通常難以記憶或容易被猜測；動態(tài)口令（dynamicpassword），也被稱為一次性口令（one-timepassword），該口令由令牌（toke）設備根據(jù)時間、密鑰、算法等因素產(chǎn)生，每次產(chǎn)生的口令只能使用一次；認知口令（Cognitivepassword），使用基于事實和觀點的認知數(shù)據(jù)（knowledge-based）作為用戶認證信息，容易記憶而外人難以猜測，如用戶個人愛好等私人信息；短語（Passphrases），有多個單詞和符號組成的字符串，通常超過規(guī)定的口令長度，由系統(tǒng)轉(zhuǎn)換為虛擬口令（virtualpassword）后做為認證信息使用；身份識別碼（PINCodes），通常是指銀行業(yè)務系統(tǒng)中用于身份識別和認證的字符串?？诹畹膯栴}口令容易被猜測和偷窺，如使用電話號碼、生日、常用單詞等簡單、容易猜測的字符串，以及在輸入口令時被他人看到；口令被擁有者泄漏給他人，如與告訴同事或受到“人際工程（socialengineering）”方式的攻擊；口令容易在傳輸過程中被截獲，如使用登錄電子郵件賬戶（使用POP協(xié)議）是賬戶口令可以被網(wǎng)絡嗅探器（sniffer）截獲，傳輸中對口令進行簡單加密也無法有效保護系統(tǒng)；存儲口令的加密（HASH）文件如果泄漏會受到口令破解（passwordcracking）工具的字典攻擊（dictionaryattack）或蠻力攻擊（bruteforceattack）?？诹畹幕竟ぷ鬟^程第一步：系統(tǒng)提示用戶輸入用戶名和口令第二步：用戶輸入用戶名和口令，使用戶名和口令以明文形式傳遞到服務器上，客戶機確定取消登錄屏幕用戶名：

密碼：

客戶機登錄請求服務器ID=adminPassword=tang4口令的基本工作過程第三步：服務器驗證用戶名和口令第四步：服務器通知用戶IDPasswordtadedf324resthr45admintang4……服務器用戶鑒別程序ID=adminPassword=tang4用戶數(shù)據(jù)庫客戶機登錄成功服務器歡迎admin，您可以1.查看賬戶2.轉(zhuǎn)賬匯款……口令機制的身份認證模型該口令認證模型包括聲稱者和驗證者，上圖中的客戶機是聲稱者，而保存有用戶數(shù)據(jù)庫的服務器是驗證者ID口令ID口令比較聲稱者驗證者口令機制面臨的威脅ID口令ID口令比較聲稱者驗證者危及驗證者的攻擊線路竊聽重放攻擊對付線路竊聽的措施必須在客戶端對口令進行加密，可以使用單向散列函數(shù)在客戶端對口令進行加密，而服務器端也只保存口令的散列值IDp’IDp’比較聲稱者驗證者f口令pID數(shù)據(jù)庫中存放的是加密的口令口令經(jīng)MD5算法加密后的密文對付字典攻擊存在的缺陷是：由于散列函數(shù)的算法是公開的，攻擊者可以設計一張p和p’的對應表（稱為口令字典），其中p是攻擊者猜測的所有可能的口令，然后計算每個p的散列值p’。接下來，攻擊者通過截獲鑒別信息p’，在口令字典中查找p’對應的口令p，就能以很高的概率獲得聲稱者的口令，這種方式稱為字典攻擊。對付這種攻擊的方法可以將單向散列函數(shù)對ID和口令p的連接串求散列值，即p’=f(p,id)。這樣攻擊者截獲鑒別信息p’后，必須針對每個ID單獨設計一張(p,id)和p’的對應表，大大增加了攻擊的難度對付線路竊聽和字典攻擊IDp’IDp’比較聲稱者驗證者f口令pID對付危及驗證者的攻擊對口令系統(tǒng)的另一個潛在威脅是，通過內(nèi)部攻擊危及驗證者的口令文件或數(shù)據(jù)庫，如不懷好意的系統(tǒng)管理員可能會竊取用戶數(shù)據(jù)庫中的口令從事非法用途。這種攻擊會危及到系統(tǒng)中所有用戶的口令。對付危及驗證者的攻擊的措施：首先應保證用戶口令不能以明文形式存放在驗證端數(shù)據(jù)庫中。前面介紹的對付線路竊聽的措施為對抗這種攻擊提供了好處將單向散列函數(shù)應用于驗證系統(tǒng)，而不是聲稱系統(tǒng)對付危及驗證者的措施

IDpIDp’比較聲稱者驗證者口令pIDf

同樣，由于未保護的口令在網(wǎng)絡上傳輸，上述方案容易受到線路竊聽的攻擊。所以，我們應該綜合前兩個方案的優(yōu)點。對付竊聽和危及驗證者的措施

IDp’IDq比較聲稱者驗證者口令pIDhf

把口令加密傳輸可以讓攻擊者無法知道真實的口令，可是，這對聰明的攻擊者并不造成麻煩。他只需把監(jiān)聽的消息錄制下來，再用其它的軟件把口令的散列值原封不動的重放給驗證者進行認證，而驗證者看到正確的口令散列值就認為是登錄成功的用戶，這樣攻擊者就可以冒名頂替受害者，從認證者處獲取服務了，我們稱這種形式的攻擊為重放攻擊。重放攻擊重放攻擊的過程認證信息$qwe~2*&E#5^$qwe~2*&E#5^$qwe~2*&E#5^攻擊者聲稱者驗證者

f密碼pnr’IDnID

fID

p比較對付重放攻擊的一種方法摻入一個隨機數(shù)n，使線路上傳輸?shù)恼J證信息每次都不相同

上述方案中的n是一個非重復值，認證方負責檢查n是否以前曾被用過。若用過，則請求被拒絕。非重復值可用的實現(xiàn)方法有時戳，隨機數(shù)等。若用時戳方法的話，則兩邊要維護時鐘的同步。很明顯，時戳的精度越高，抵抗攻擊的強度也越好。若用隨機數(shù)的話，認證方必須保存以往用過的所有隨機數(shù)，避免重復，隨著服務次數(shù)的增加，這張表會越來越大。對付重放攻擊的方法比較聲稱者驗證者ID

p

fnn

f密碼pr’IDID比較對付重放攻擊的另一種方法該案稱為挑戰(zhàn)-應答機制，較好的抵抗了重放攻擊。但付出的代價是增加了一次通信對付重放攻擊-要求輸入驗證碼對付重放攻擊的三種方法①加隨機數(shù)。雙方記住使用過的隨機數(shù)，如發(fā)現(xiàn)報文中有以前使用過的隨機數(shù)，就認為是重放攻擊。缺點是需要額外保存使用過的隨機數(shù)，②加時間戳。該方法優(yōu)點是不用額外保存其他信息；缺點是認證雙方需要準確的時間同步，同步越好，受攻擊的可能性就越小。③加流水號。就是雙方在報文中添加一個逐步遞增的整數(shù)，只要接收到一個不連續(xù)的流水號報文（太大或太?。?，就認定有重放威脅在實際中，常將方法①和②組合使用電子認證令牌分類硬令牌（hardtoken）：包含受保護密鑰的硬件設備，其密鑰只有在輸入口令或通過生物識別后才能使用，密鑰禁止輸出；軟令牌（softtoken）：存儲在磁盤或其它介質(zhì)中的密鑰，密鑰應受到口令或其它方式加密，使用后的非加密密鑰應及時刪除；一次性口令設備令牌（one-timepassworddevicetoken）：產(chǎn)生用于用戶認證目的的一次性口令的個人硬件設備，設備上通常包含顯示部件，可以包含輸入、生物識別或計算機接口部件，口令由對稱密鑰、當前參數(shù)（時間、計數(shù)值或驗證設備的問詢內(nèi)容）以及相應算法產(chǎn)生，所產(chǎn)生的一次性口令應具有較短的生命期（如一分鐘或更短）。常見令牌技術(shù)傳統(tǒng)證件（photoID）：貼有照片的證件如身份證、駕駛證、工作證、通行證、護照等；存儲卡（memorycards）：存儲信息但沒有處理能力的IC卡、磁卡等小型存儲設備；智能卡（smartcards）：存儲有用戶和認證信息并且有處理能力的IC卡，可以進行問詢——應答式認證，比如存儲卡的安全性高；一次性口令令牌（tokens）：時間同步（timesynchronous）令牌；異步（asynchronous）令牌；非接觸式（proximity）令牌授權(quán)身份驗證需要和授權(quán)配合完成工作。需要比較細粒度的控制。操作系統(tǒng)、應用系統(tǒng)都需要訪問準則基于角色的授權(quán)使用組授權(quán)物理和邏輯控制時間約束事務性約束默認拒絕目前主流的acl最小權(quán)限原則能完成工作的最小權(quán)限單點登錄單點登錄（SingleSignOn），簡稱SSO，是指用戶只需向網(wǎng)絡進行一次身份認證，以后再無需另外驗證身份，便可訪問所有被授權(quán)的網(wǎng)絡資源單點登錄的好處（1）方便用戶的使用（2）更合理有效的管理用戶（3）提高了系統(tǒng)的整體安全性

單點登錄系統(tǒng)的分類經(jīng)紀人模型（Broker-BasedSSO）代理模型（Agent-BasedSSO）網(wǎng)關模型（Gateway-BasedSSO）單點登錄系統(tǒng)的一般實現(xiàn)技術(shù)單點登錄的技術(shù)實現(xiàn)機制：當用戶第一次訪問應用系統(tǒng)1的時候，因為還沒有登錄，會被引導到認證系統(tǒng)中進行登錄；根據(jù)用戶提供的登錄信息，認證系統(tǒng)進行身份效驗，如果通過效驗，應該返回給用戶一個認證的憑證—Ticket；用戶再訪問別的應用的時候，就會將這個Ticket帶上，作為自己認證的憑據(jù)

所有應用系統(tǒng)共享一個身份認證系統(tǒng)；所有應用系統(tǒng)能夠識別和提取Ticket信息；應用系統(tǒng)能夠識別已經(jīng)登錄過的用戶，能自動判斷當前用戶是否登錄過，從而完成單點登錄的功能。單次登錄（singlesign-on）隨著信息技術(shù)的廣泛使用，機構(gòu)員工為了完成工作通常需要訪問多個不同（可能是異構(gòu)的或遠程）的系統(tǒng)，需要記住各個系統(tǒng)的不同賬戶和口令；單次登錄（SSO）技術(shù)使用戶登錄一次可以訪問多個系統(tǒng)或應用，方便了用戶使用及其賬戶和授權(quán)等系統(tǒng)管理工作，提高了工作效率；單次登錄的缺點是同樣給攻擊者提供了便利，而且也可能是單一故障點（singlefailurepoint），在登錄高峰期容易形成瓶頸。單次登錄的利弊利弊高效的登錄流程單點破壞鼓勵用戶創(chuàng)建更強的口令單點故障與老式設備無法實現(xiàn)互操作部署困難集中式管理單點登錄成為登錄的根本Kerberos協(xié)議Kerberos是一種美國麻省理工學院（MIT）提出、基于受信第三方和對稱加密技術(shù)、支持單次登錄、應該廣泛的認證協(xié)議；Kerberos的密鑰分發(fā)中心（keydistributioncenter，KDC）存儲包括用戶和服務在內(nèi)的所有主體（principals）的密鑰，提供認證服務（authenticationservice，AS）和票證授予服務（ticketgrantingservice，TGS），并為會話發(fā)放密鑰；Kerberos通過向用戶授予票證（ticket）的方式授予用戶訪問權(quán)，票證基本信息包括用戶主體標示符、服務主體名稱、票證有效期等內(nèi)容；KDC在發(fā)放票證時都附帶隨機生成的唯一的會話密鑰（sessionkey），用戶與KDC以及用戶與服務器直接的會話使用會話密鑰加密以確保通訊的保密性和完整性；Kerberos在開放和復雜環(huán)境中分配對稱密鑰易造成安全缺陷和管理負擔，且其授權(quán)管理是非集中式的。密鑰分配中心（KDC）KDC服務器同時兼任認證服務器（AS）和票證發(fā)放服務器（TGS）職能：認證服務器根據(jù)與KDC共享并保存在KDC數(shù)據(jù)庫的用戶口令，通過一個預先交換過的私鑰認證當事人的身份。用戶工作站上的Kerberos軟件請求得到口令，用以創(chuàng)建共享密鑰，供解密得自認證服務器的票證之用——認證便在這一過程中完成。Kerberos的工作過程用戶向KDC提交用戶ID和所請求的服務名稱以申請票證授予票證（ticketgrantingticket，TGT）；AS將用戶密鑰加密的TGS會話密鑰（sessionkey）和TGT發(fā)送給用戶；用戶使用解密獲得的TGT向KDC申請訪問服務器的服務票證（serviceticket）；TGS向用戶授予服務器密鑰加密的服務票證和訪問會話密鑰；用戶使用服務票證訪問服務器，服務器使用其密鑰解開服務票證以確定用戶身份。歐洲安全多環(huán)境應用系統(tǒng)（SESAME）歐洲安全多環(huán)境應用系統(tǒng)（SecureEuropeanSystemForApplicationsinaMulti-VendorEnvironment，SESAME），被認為是一種歐洲版本的Kerberos，它建造在GSS-API之上，提供單點登錄服務和分布式環(huán)境中的數(shù)據(jù)安全性；SESAMEv4是專為解決Kerberos存在的一些缺陷：Kerberos的擴展對稱和非對稱密鑰分布式認證安全斷言標記語言（SAML）2002年以來，SAML-v2如果需要允許程序時，就必須在存有那些Web應用程序數(shù)據(jù)的系統(tǒng)之間以標準化的方式安全共享這些真正的身份驗證數(shù)據(jù)。這便是安全斷言標記語言（SecurityAssertionMarkupLanguage，SAML）的功能是一個XML標準，允許在安全域之間交換身份驗證和授權(quán)數(shù)據(jù)。SAML數(shù)據(jù)可以通過不同類型的協(xié)議傳輸，但常用的一個協(xié)議是簡單對象訪問協(xié)議（SimpleObjectAccessProtocol，SOAP）安全域術(shù)語“域”早在Microsoft創(chuàng)辦之前就已存在。術(shù)語“安全域”建立在域的基礎之上，增加的內(nèi)容只是這個邏輯結(jié)構(gòu)（域）內(nèi)的資源在相同安全策略下運行，并且由同一個組管理。不用的域由邏輯邊界分隔。域可以采用層次化結(jié)構(gòu)，這種結(jié)構(gòu)說明了不同域之間的關系以及不同域內(nèi)主體的通信方式。域不僅適用于網(wǎng)絡設備和區(qū)段，而且還可以應用于用戶和進程。目錄服務由多個應用構(gòu)成，提供了分層組織和管理網(wǎng)絡用戶和資源用戶的手段，同時還能按名稱的關聯(lián)關系檢索信息：輕量目錄訪問協(xié)議（LDAP）網(wǎng)絡信息服務（NIS）域名系統(tǒng)（DNS）X.400X.500活動目錄Kerberos認證協(xié)議Kerberos協(xié)議的主要特點1）采用對稱密碼體制，而未采用公鑰密碼體制，Kerberos與網(wǎng)絡上的每個實體（用戶和應用服務器）共享一個不同的密鑰，是否知道該密鑰便是身份的證明；2）為客戶機/服務器應用程序提供身份認證服務，而不能被瀏覽器/服務器程序采用；3）具有可伸縮性，能夠支持大數(shù)量的用戶和服務器進行雙向認證。Kerberos數(shù)據(jù)庫Kerberos用戶(C)認證服務器(AS)票據(jù)許可服務器(TGS)應用服務器(V)Kerberos認證模型Kerberos共享密鑰和認證初步方案共享用戶口令KC共享對稱密鑰KV用戶(C)應用服務器(V)認證服務器(AS)IDC,IDVEKc(Ticket)用戶(C)應用服務器(V)認證服務器(AS)IDC,Ticket。

圖3.24Kerberos共享密鑰初步方案 圖3.25Kerberos認證初步方案引入TGS這樣就完全解決了應用服務器V認證用戶的問題，但不能實現(xiàn)單點登錄。引入票據(jù)許可服務器TGS（Ticket-GrantingServer），讓認證服務器AS并不直接向用戶發(fā)放訪問應用服務器的票據(jù)（服務許可票據(jù)），而是由TGS向用戶發(fā)放。用戶在AS處認證成功后，AS發(fā)放一張票據(jù)許可票據(jù)Tickettgs給用戶，票據(jù)許可票據(jù)相當于購票許可證。引入TGS后Kerberos共享密鑰方案共享用戶口令KC共享對稱密鑰KV用戶(C)應用服務器(V)票據(jù)許可服務器(TGS)認證服務器(AS)共享對稱密鑰Ktgs引入TGS后Kerberos的認證方案IDC,IDtgs用戶(C)應用服務器(V)票據(jù)許可服務器(TGS)認證服務器(AS)TickettgsEKc(Tickettgs)TicketvIDC||Ticketv引入會話密鑰但圖中TGS與用戶之間沒有共享任何密鑰，因此TGS無法對發(fā)送給用戶的TicketV加密，這導致攻擊者可以截獲票據(jù)，然后將票據(jù)重放給V以冒充用戶騙取服務。為此，Kerberos引入了會話密鑰，由AS為用戶與TGS之間生成一會話密鑰Kc,tgs，將這個密鑰與Tickettgs一起用Kc加密后分發(fā)給用戶，同時將這個密鑰放在Ticket’tgs里分發(fā)給TGS，（Ticket’tgs就是包含Kc,tgs的Tickettgs，Ticket’tgs=EKtgs[Kc,tgs,IDC,ADC,IDtgs]）。這里，AS起到了為用戶和TGS分發(fā)對稱密鑰的作用。

引入會話密鑰后Kerberos認證方案IDC,IDtgs用戶(C)應用服務器(V)票據(jù)許可服務器(TGS)認證服務器(AS)EKc(Kc,tgs,Ticket’tgs)EKc,tgs(Ticketv)TicketvKerberos認證模型的最終方案IDC,IDtgs用戶(C)應用服務器(V)票據(jù)許可服務器(TGS)認證服務器(AS)EKc(Kc,tgs,Tickettgs)EKc,tgs(KC,V,Ticket’v)Ticket’v(含Kc,v)||EKc,v[IDC||ADC||TS5]EKc,v(TS5+1)Kerberos認證過程總結(jié)①在認證過程中，總共使用了5個對稱密鑰，分別是Kc、Ktgs、Kv、Kc,tgs、Kc,v，其中2個會話密鑰每次都是由AS或TGS臨時生成的，這樣每次使用的密鑰都不同，防止了對票據(jù)的重放。②實際上，Kerberos為防止票據(jù)重放，還在傳輸?shù)南⒅泻推睋?jù)中每次都加入了時間戳。③用戶登錄后的整個過程僅使用一張票據(jù)許可票據(jù)，而每請求一次服務需使用一張服務許可票據(jù)

瘦客戶端單點登錄技術(shù)示例KerberosSesame安全域目錄服務瘦客戶端訪問控制的日常審計確?？捎涃~性（accountability）的實現(xiàn)日常審計的重點：用戶是否訪問或執(zhí)行了超出其職務描述的內(nèi)容。以便對授權(quán)情況進行評估和調(diào)整用戶是否經(jīng)常犯同樣的錯誤。以便是否需要加強培訓或是程序存在缺陷是否有很多用戶具有訪問敏感信息（SensitiveInformation）的權(quán)限。以便發(fā)現(xiàn)敏感信息授權(quán)的問題對非授權(quán)訪問（UnauthorizedAccess）、濫用特權(quán)（PrivilegeMisuse）等安全事件（SecurityIncidents）的跟蹤有時也被稱為違例跟蹤/報告（ViolationTracking/reporting）訪問控制模型（AccessControlModels）主要的訪問控制類型包括：自主訪問控制（discretionaryaccesscontrol，DAC）強制訪問控制（mandatoryaccesscontrol，MAC）非自主訪問控制（non-discretionaryaccesscontrol）基于上下文的訪問控制（Context-basedaccesscontrol，CBAC）基于內(nèi)容的訪問控制（contentdependentaccesscontrol，CDAC）基于視圖的訪問控制（view-basedaccesscontrol，VBAC）自主訪問控制有客體的擁有者（owner）設置客體的訪問許可（permission），通常通過設置訪問控制列表（accesscontrollist，ACL）實現(xiàn)；系統(tǒng)根據(jù)主體的身份或所屬的組確定其訪問特權(quán)（privilege）；通常所遵循的是需知（needtoknow）原則；其自主性（discretionary）在于獲得訪問許可的主體可以隨意將訪問權(quán)傳遞給其它主體，故該類型易受木馬程序攻擊；此類訪問控制粒度可以做得很細，但是同時需要非常繁雜和分散的配置工作，所以通常無法執(zhí)行嚴格的安全政策和進行非常有效的控制；基于身份的（identity-based）訪問控制和用戶指定的（user-directed）訪問控制以及二者混和（hybrid）的訪問控制都屬此類。UNIX和Windows操作系統(tǒng)的訪問控制就是自主訪問控制的例子。強制訪問控制基于信息敏感性（sensitivity）設置主體和客體的安全標簽（securitylabel）；主體的許可級別（caearance）；客體的安全級別（classification）；級別由安全等級（如絕密、機密、秘密、內(nèi)部、公開）和安全類別（category）兩部分組成，安全類別根據(jù)需知原則確定，比如軍事、外交、人事、經(jīng)濟等；只有主體的許可級別大于等于（等級高于或等于、類別包含或相同）客體的安全級別的情況下，主體才可以訪問客體；這種控制的強制性（mandatory）在于主體能否獲得訪問權(quán)取決于安全政策（policy），獲得訪問許可的主體不能隨意將訪問權(quán)傳遞給其它任何主體，所以這種訪問控制類型可以防止病毒的傳播；基于規(guī)則的（rule-based）和管理指定的（administratively）訪問控制類型屬于強制訪問控制，此類訪問控制適合于安全級別要求較高的軍事和政府機關。非自主訪問控制由集中的授權(quán)者（如管理員）根據(jù)主體在機構(gòu)中的角色（role）把相應的訪問權(quán)授予主體，授權(quán)者通常設定組（group）和主體組成員資格（membership）的方式授予主體該組所有角色所擁有的訪問權(quán)；角色包括職務（duties）、任務（tasks）、責任（responsibilities）、義務（obligations）和資質(zhì)（qualifications）；基于角色的（role-base）、基于任務的（task-based）以及基于格子的（latticed-based）訪問控制屬于非自主訪問控制；基于角色的訪問控制（RBAC）用來彌補DAC控制能力不足、難以集中管理而MAC過于嚴格、不夠靈活的缺陷，適合于人員較多且流動頻繁的機構(gòu)，符合結(jié)構(gòu)化組織機構(gòu)的特點，有助于減輕復雜系統(tǒng)中賬戶和授權(quán)等安全管理工作的負擔和降低管理成本。基于上下文的訪問控制是否授予主體訪問客體的權(quán)限不僅取決于主體和客體本身的特點而且取決于訪問事件的當前狀況，如：在防火墻應用中，是否允許數(shù)據(jù)包穿越防火墻不僅根據(jù)防火墻所設置的靜態(tài)規(guī)則決定，而且根據(jù)連接的當前狀況（如是否已有連接存在邏輯關系）決定；在存儲配額管理應用中，是否允許用戶存儲空間不僅取決于所授予用戶的靜態(tài)訪問權(quán)限，而且根據(jù)用戶已經(jīng)占用的存儲空間數(shù)量決定。基于內(nèi)容的訪問控制主體對客體的訪問權(quán)取決于所訪問客體的內(nèi)容，此類訪問控制的特點包括：需要對所訪問客體的內(nèi)容進行掃描，所以系統(tǒng)開銷比較大；具有比較細的控制粒度，適合對一類數(shù)據(jù)中某些敏感信息進行保護；系統(tǒng)管理開銷比較大，需要進行大量的配置工作；此類控制首先被用于保護數(shù)據(jù)庫中某些敏感數(shù)據(jù)，如護士被允許查看病人的化驗結(jié)果，但如果化驗項目是HIV檢驗，系統(tǒng)將不允許一般護士查看結(jié)果，而只允許特定人員訪問?；谝晥D的訪問控制主要用于保護數(shù)據(jù)庫系統(tǒng)，使用被稱為視圖（view）的事先定義的接口將客體資源分割為不同資源子集（sub-resource），不同的用戶使用不同的視圖訪問工作所需的信息達到訪問控制的目的，例如：同樣是對病人數(shù)據(jù)庫的訪問，醫(yī)院財務人員和護士所需訪問的信息各不相同，使用基于視圖的訪問控制可以將他們的訪問限定在工作所需的范圍之內(nèi)此類訪問控制可以做得很細的控制粒度，但同時需要大量而復雜的配置工作。從隱私權(quán)意識角度出發(fā)的基于角色訪問控制（PARBAC或P-RBAC）用戶角色UA私人數(shù)據(jù)許可PA數(shù)據(jù)許可數(shù)據(jù)行動目的目的綁定條件義務訪問控制管理集中式管理，由專門的訪問控制管理人員集中對訪問控制進行設置和管理，這種方式：

有利于執(zhí)行統(tǒng)一、嚴格的安全政策；

在訪問需求變化較多的環(huán)境中訪問控制管理的負擔比較重，容易形成瓶頸；非集中式管理，由資源的擁有者對訪問控制進行設置和管理，資源的擁有者通常是職能部門的管理者（functionalmanagers），這種方式：

有利于資源的擁有者對資源進行更直接、更精細的訪問控制；

容易造成在執(zhí)行訪問控制的過程和標準上的不一致性；混合式管理，由專門的管理人員集中對訪問控制進行基本設置和管理，由資源的擁有者對訪問控制進行具體設置和管理，這種方式有利于彌補以上兩種方式的不足，但基本和具體訪問控制管理工作的劃分是需要解決的關鍵問題。集中式認證服務目前主流的集中式認證服務主要解決對各種網(wǎng)絡設備進行訪問時的認證（authentication）、授權(quán)（authorization）和記賬（accounting）問題，所以又被稱為AAA服務；AAA服務的主要特點包括：分布式（客戶端/服務器）安全構(gòu)架（distributedsecuritymodel）；認證事務（authenticationtransaction）；靈活的認證機制（authenticationmechanisms）；可擴充協(xié)議（extensibleprotocaol）主流的AAA服務器包括：RADIUS；TACACS；DIAMETERTACACS+TACACS+是思科對TACACS進行安全增強后的專有協(xié)議版本，使用不如RADIUS廣泛，思科以外支持產(chǎn)品較少；TACACS+使用TCP進行通訊，通訊數(shù)據(jù)均通過MD5算法和共享密鑰加密；TACACS+具有口令和授權(quán)遞歸查詢（recursivelookup）和外部調(diào)用（callout）功能；TACACS+不能做為代理（proxy）將認證信息傳遞給其它認證服務器，但是可以使用外部調(diào)用功能與第三方認證機制（如kerberos和SecurelD）交互。撥號用戶遠程認證服務（RADIUS）RADIUS（remoteauthenticationdial-inuserservice）是目前使用最為廣泛的AAA協(xié)議，很多操作系統(tǒng)和網(wǎng)絡產(chǎn)品都支持這種認證服務，該服務工作方式如下：網(wǎng)絡訪問服務器（NAS）接收到用戶端的認證信息后，做為RADIUS服務器的客戶端，它將用戶的口令加密（使用MD5算法和NAS與RADIUS服務器的共享密鑰）后與其它用戶信息一起轉(zhuǎn)發(fā)到RADIUS服務器；如果這是為問詢-應答認證方式，NAS會將RADIUS服務器的問詢信息轉(zhuǎn)發(fā)給用戶端，并將用戶端的應答信息轉(zhuǎn)發(fā)給RADIUS服務器；RADIUS服務器將認證結(jié)果和服務配置信息返回NAS，NAS根據(jù)接收到的認證結(jié)果決定是否提供以及怎樣提供訪問服務；RADIUS服務器可做為代理（proxy）將認證和記賬信息轉(zhuǎn)發(fā)到其它認證服務器，如NDS、X.500或PDC；如NAS支持記賬功能，RADIUS服務器還可以記錄NAS提供的記賬信息；RADIUS使用UDP協(xié)議進行通訊，效率比較高。DIAMETERDiameter是在RADIUS基礎上與其向后兼容的新的AAA協(xié)議，該協(xié)議框架結(jié)構(gòu)包括一個基本協(xié)議和一些擴展協(xié)議。服務的通用功能在基本協(xié)議中實現(xiàn)，而與應用有關的功能在擴展機制中實現(xiàn)?；緟f(xié)議數(shù)據(jù)包由定長數(shù)據(jù)包頭和若干屬性值對（AVPs）組成，并使用SCTP協(xié)議或TCP協(xié)議封裝，AVP承載所有命令、連接參數(shù)、AAA和安全數(shù)據(jù)；支持漫游操作（roamop）、可擴展認證協(xié)議（EAP）、認證中繼和代理，廠商可通過自定義AVP擴充其功能。門戶網(wǎng)站訪問聯(lián)合登錄OnceinsystemPortlet訪問控制部署原則訪問控制的目的是使適當?shù)弥黧w以適當?shù)姆绞皆L問適當?shù)目腕w，而阻止任何其它不適當?shù)脑L問，訪問的適當性主要遵循：最小特權(quán)（leastprivilege）原則；需知（needtoknow）原則；不同的訪問控制類型具有不同的特點，適合不同的應用環(huán)境，其特點主要表現(xiàn)在：控制的粒度（finenessofgranularity）；管理的簡便性（managementsimplification）訪問控制方法和技術(shù)

（AccessControlTechniquesandTechnologies）訪問控制層行政管理性控制物理性控制技術(shù)性控制行政管理性控制策略和措施人員控制規(guī)定雇員應當如何與安全機制交互以及處理與之相關的不服從行為監(jiān)管結(jié)構(gòu)管理層必須構(gòu)造監(jiān)管結(jié)構(gòu)，使每位雇員都應當有一個能夠匯報工作的上級，上級必須對該員工到行為負責，并形成關聯(lián)關系安全意識培訓人是最薄弱的環(huán)節(jié)測試所有的安全控制、機制和措施需要周期性進行測試，以確保它們合理地支持安全策略、目標和目的。物理性控制網(wǎng)絡分段物理和邏輯手段周邊安全不同區(qū)域的訪問控制計算機控制計算機鎖及其他物理保護手段工作區(qū)分隔特定的人進入特定的區(qū)域布線不同環(huán)境下的布線方式控制區(qū)根據(jù)每個區(qū)域所發(fā)生活動的敏感程度分成不同的區(qū)域技術(shù)性控制系統(tǒng)訪問網(wǎng)絡體系結(jié)構(gòu)網(wǎng)絡訪問加密盒協(xié)議審計技術(shù)性控制訪問控制功能周邊安全入侵檢測系統(tǒng)需要用戶名和密碼以進行身份驗證訪問控制列表訪問控制功能威懾：打消潛在攻擊者的攻擊意圖預防：避免事故的發(fā)生糾正：在事故發(fā)生后修復組件或系統(tǒng)恢復：將控制恢復回常規(guī)操作檢測：有助于標識事故和活動補償：提供備用控制措施指令：根據(jù)法律或環(huán)境要求制定的強制型控制物理訪問控制服務預防檢測糾正威懾恢復補償避免意外事件的發(fā)生標識已發(fā)生的意外事件糾正已發(fā)生的意外事件阻止安全違規(guī)行為還原資源和功能提供其他控制選擇柵欄●●鎖●●證件系統(tǒng)●●保安●●生物測定學系統(tǒng)●●陷阱門●●照明●●運動探測器●●閉路電視●●非現(xiàn)場設施●●控制類型控制類別行政管理控制服務預防檢測糾正威懾恢復補償避免意外事件的發(fā)生標識已發(fā)生的意外事件糾正已發(fā)生的意外事件阻止安全違規(guī)行為還原資源和功能提供其他控制選擇安全策略●●監(jiān)控和監(jiān)督●●任務分離●●工作輪換●●信息分類●●人員措施●●調(diào)查●●測試●●安全意識培訓●●控制類型控制類別技術(shù)方面控制服務預防檢測糾正威懾恢復補償避免意外事件的發(fā)生標識已發(fā)生的意外事件糾正已發(fā)生的意外事件阻止安全違規(guī)行為還原資源和功能提供其他控制選擇ACL●●路由器●●加密●●審計日志●●IDS●●防病毒軟件●●●服務器鏡像●●智能卡●●撥號回叫系統(tǒng)●●數(shù)據(jù)備份●●控制類型控制類別可問責性（Accountability）審計要素安全存儲審計跟蹤使用適當?shù)膶徲嫻ぞ呖刂迫罩镜拇笮榱吮Ｗo數(shù)據(jù)，日志必須不被未授權(quán)修改培訓合適的人員以合理方式檢查數(shù)據(jù)確保只有管理員才能刪除日志日志應當包含所有高權(quán)限帳戶（根帳號、管理員）的活動可問責性系統(tǒng)級事件應用程序級事件用戶級事件系統(tǒng)性能登錄嘗試登錄ID每次登錄嘗試的日期和時間用戶和終端的封鎖管理工具的使用使用的設備執(zhí)行的功能更改配置文件的請求錯誤消息打開和關閉的文件文件的修改應用程序內(nèi)的安全違規(guī)身份標識和身份驗證嘗試使用的文件、服務和資源運行的命令安全違規(guī)事件類型可問責性審計信息的檢查手動檢查審計審計簡約工具（audit-reductiontool），減少審計日志內(nèi)信息的數(shù)量。擊鍵監(jiān)控檢查和記錄用戶在操作過程中的鍵盤輸入的監(jiān)控行為跟蹤用戶每次擊鍵記錄的審計過程保護審計數(shù)據(jù)和日志信息只有特定的人才能查看、更改和刪除審計跟蹤信息訪問控制實踐（AccessControlPractices）拒絕未知用戶或匿名帳戶對系統(tǒng)的訪問限制和監(jiān)控管理員以及其他高級帳戶的訪問在登錄嘗試失敗次數(shù)達到特定值后掛起或延遲訪問功能用戶一離開公司，就立刻刪除他的帳戶將不活動帳戶掛起30-60天實施嚴格的訪問準則實施“知其所需”和最小特權(quán)原則禁止不必要的系統(tǒng)功能、服務和端口更換為賬戶設置的默認密碼限制和監(jiān)控全局訪問規(guī)則確保登錄ID不是對工作職能的描述刪除帳戶和組成員資格的多余訪問規(guī)則從資源訪問列表中刪除多余的用戶ID、帳戶和角色型帳戶實施密碼輪換實現(xiàn)密碼需求（長度、內(nèi)容、生命期、分發(fā)、存儲和傳輸）定期對系統(tǒng)、用戶事件和活動進行審計，并檢查相關報告保護審計日志信息的未授權(quán)泄露客體重用無意識泄露信息將先前包含一個或多個客體的介質(zhì)重新分配給主體。敏感數(shù)據(jù)應當由數(shù)據(jù)所有者進行分類（秘密、絕密、機密、未分類等）嚴格控制和審計數(shù)據(jù)的存儲和訪問方式消磁防止機密信息泄露的措施，它可以將介質(zhì)恢復回原始狀態(tài)發(fā)射安全電子設備中發(fā)射電子信號泄露造成的風險TEMPEST技術(shù)TEMPEST（TransientElectromagneticPulseEmanationSurveillanceTechnology）技術(shù)是電磁環(huán)境安全防護（電磁安防）的一部分，是包括了對電磁泄漏信號中所攜帶的敏感信息進行分析、測試、接收、還原以及防護的一系列技術(shù)，TEMPEST是一系列的構(gòu)成信息安全保密領域的總稱。技術(shù)復雜、笨重和昂貴，因此只用于高度保護的高度敏感區(qū)域白噪聲具有均勻頻譜的隨機電子信號控制區(qū)在某些環(huán)境的設備表面，使用特殊材料屏蔽電子信號訪問控制監(jiān)控（AccessControlMonitoring）入侵檢測（IntrusionDetection）入侵防御系統(tǒng)（IntrusionPreventionSystems）入侵檢測（IntrusionDetection）網(wǎng)絡型IDS監(jiān)控網(wǎng)絡通信配置為監(jiān)控攻擊行為、解析審計日志、終止連接、在攻擊發(fā)生時向管理員報警、保護文件系統(tǒng)、揭示攻擊者的方法、說明需要修復哪些脆弱