4身份認證和訪問控制(武漢大學國際軟件學院信息安全課程).ppt

1、1,信息安全身份認證和訪問控制,楊敏 武漢大學 國際軟件學院 ,2,身份認證的基本概念 身份認證機制 訪問控制的基本概念 訪問控制實現(xiàn)方法 訪問控制策略,主要內(nèi)容,3,身份認證,The property that ensures that the identity of a subject or resource is the one claimed. 身份認證就是確認實體是它所聲明的。 身份認證是最重要的安全服務(wù)之一。實體的身份認證服務(wù)提供了關(guān)于某個實體身份的保證。（所有其它的安全服務(wù)都依賴于該服務(wù)） 身份認證可以對抗假冒攻擊的危險,4,身份認證的需求和目的,身份認證需求： 某一成員（聲稱者

2、）提交一個主體的身份并聲稱它是那個主體。 身份認證目的： 使別的成員（驗證者）獲得對聲稱者所聲稱的事實的信任。,5,身份認證分類,身份認證可以分為本地和遠程兩類。 本地身份認證（單機環(huán)境）：實體在本地環(huán)境的初始化鑒別（就是說，作為實體個人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信）。 需要用戶進行明確的操作 遠程身份認證（網(wǎng)絡(luò)環(huán)境）：連接遠程設(shè)備、實體和環(huán)境的實體鑒別。 通常將本地鑒別結(jié)果傳送到遠程。 （1）安全 （2）易用,6,身份認證分類,身份認證可以是單向的也可以是雙向的。 單向認證是指通信雙方中只有一方向另一方進行鑒別。 雙向認證是指通信雙方相互進行鑒別。,7,身份認證,進行身份認證的

3、幾種依據(jù) 用戶所知道的 ：密碼、口令 用戶所擁有的：身份證、護照、信用卡、鑰匙 用戶本身的特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個人動作方面的一些特征,8,主要內(nèi)容,身份認證的基本概念 身份認證機制 訪問控制的基本概念 訪問控制實現(xiàn)方法 訪問控制策略,9,常用的身份認證機制,A. 口令機制 B. 一次性口令機制 C. 基于智能卡的機制 D. 基于個人特征的機制,10,A.口令機制,常規(guī)的口令方案中的口令是不隨時間變化的口令，該機制提供弱鑒別(weak authentication)。 口令或通行字機制是最廣泛研究和使用的身份鑒別法。 口令系統(tǒng)有許多脆弱點 外部泄露 口令猜

4、測 線路竊聽 重放,11,對付外部泄露的措施, 教育、培訓； 嚴格組織管理辦法和執(zhí)行手續(xù)； 口令定期改變； 每個口令只與一個人有關(guān)； 輸入的口令不再現(xiàn)在終端上； 使用易記的口令，不要寫在紙上。,12,對付口令猜測的措施, 教育、培訓； 嚴格限制非法登錄的次數(shù)； 口令驗證中插入實時延遲； 限制最小長度，至少68字節(jié)以上 防止用戶特征相關(guān)口令， 口令定期改變； 及時更改預(yù)設(shè)口令； 使用機器產(chǎn)生的口令。,13,強壯口令應(yīng)符合的規(guī)則,個人名字或呢稱,電話號碼、生日等敏感信息,輸入8字符以上口令,記錄于紙上或放置于辦公處,使用重復的字符,=強壯的口令,14,對付線路竊聽的措施,使用保護口令機制：如單向函

5、數(shù)。 對于每個用戶，系統(tǒng)將帳戶和散列值對存儲在一個口令文件中，當用戶輸入口令x，系統(tǒng)計算其散列值H(x)，然后將該值與口令文件中相應(yīng)的散列值比較，若相同則允許登錄。 安全性僅依賴于口令,15,B.一次性口令機制,近似的強鑒別（towards strong authentication) 一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。,16,雙因素動態(tài)口令卡,雙因素動態(tài)口令卡 基于密鑰/時間雙因素的身份認證機制； 用戶登錄口令隨時間變化，口令一次性使用，無法預(yù)測，可以有效抵御密碼竊取和重放攻擊行為,17,雙因素動態(tài)口令卡,相關(guān)產(chǎn)品 如Security Dynamics公司的Se

6、cureID設(shè)備 基于時間同步的動態(tài)密碼認證系統(tǒng)RSA SecureID 美國Axend(現(xiàn)被Symantec公司兼并)是較早推出雙因素身份認證系統(tǒng)的公司。 我國一些信息技術(shù)公司也相繼推出了動態(tài)口令認證系統(tǒng)。如網(wǎng)泰金安信息技術(shù)公司、北京億青創(chuàng)新信息技術(shù)有限公司、四川安盟電子信息安全有限公司等。,18,雙因素動態(tài)口令卡-舉例,北京億青創(chuàng)新信息技術(shù)有限公司-易碼通（EasyPass）動態(tài)口令系統(tǒng)。 動態(tài)口令卡是發(fā)給每個用戶的動態(tài)口令發(fā)生器，通過同步信任認證算法，以時間為參數(shù)，每隔16-64秒產(chǎn)生一個一次性使用的“動態(tài)口令”。,19,雙因素動態(tài)口令卡-舉例,2468,723656,PIN,TOKEN

7、CODE,20,令牌碼的產(chǎn)生,令牌碼的產(chǎn)生? 時間 UCT時間 算法 偽隨機函數(shù) 種子 隨機數(shù),Algorithm,=,21,認證過程,訪問請求 (加密的),訪問請求被通過 (加密的),登錄者,ACE/代理,ACE/服務(wù)器,User-ID: 安盟 password: 1234 234836,用戶進入一個 SecurID保護的網(wǎng)絡(luò), 應(yīng)用或服務(wù)。系統(tǒng)將提示用戶輸入用戶名和一次性密碼 (PASSCODE),PIN 1234,22,種子,時間,354982,安盟身份認證服務(wù)器,安盟令牌,算法,種子,時間,354982,算法,相同的種子,相同的時間,時間同步技術(shù),23,C.基于智能卡的機制,優(yōu)點 基于

8、智能卡的認證方式是一種雙因素的認證方式（PIN+智能卡） 智能卡提供硬件保護措施和加密算法 缺點 智能卡和接口設(shè)備之間的信息流可能被截獲 智能卡可能被偽造 職員的作弊行為,24,基于智能卡的機制,安全措施 對持卡人、卡和接口設(shè)備的合法性的相互驗證 重要數(shù)據(jù)加密后傳輸 卡和 接口設(shè)備中設(shè)置安全區(qū)，安全區(qū)中保護邏輯電路或外部不可讀的存儲區(qū) 明確有關(guān)人員的責任，并嚴格遵守 設(shè)置止付名單,25,基于電子鑰匙的機制,電子鑰匙是一種通過USB直接與計算機相連、具有密碼驗證功能、可靠高速的小型存儲設(shè)備，用于存儲一些個人信息或證書，它內(nèi)部的密碼算法可以為數(shù)據(jù)傳輸提供安全的管道，是適合單機或網(wǎng)絡(luò)應(yīng)用的安全防護產(chǎn)

9、品。其安全保護措施與智能卡相似。,26,D.基于生物特征的機制,以人體唯一的、可靠的、穩(wěn)定的生物特征為依據(jù) 指紋識別 視網(wǎng)膜識別 虹膜識別 手形識別 簽名識別 聲紋識別,27,身份認證的基本概念 身份認證機制 訪問控制的基本概念 訪問控制實現(xiàn)方法 訪問控制策略,主要內(nèi)容,28,訪問控制安全服務(wù),ISO7498-2定義了五大安全服務(wù) 對象認證 訪問控制 數(shù)據(jù)保密性 數(shù)據(jù)完整性 防抵賴性,29,基本概念,一般定義 是針對越權(quán)使用資源的防御措施 訪問控制的基本任務(wù)是防止非法用戶即未授權(quán)用戶進入系統(tǒng)和合法用戶即授權(quán)用戶對系統(tǒng)資源的非法使用 用戶身份的識別和認證 對訪問的控制 審計跟蹤,30,訪問控制,

10、授權(quán)數(shù)據(jù)庫,訪問監(jiān)視器,審計,身份認證,訪問控制,31,訪問控制系統(tǒng)的實體,主體（subject） 發(fā)出訪問操作、存取請求的主動方，通常可以是用戶或用戶的某個進程等 客體（object） 被訪問的對象，通?？梢允潜徽{(diào)用的程序、進程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源 安全訪問策略 一套規(guī)則，用以確定一個主體是否對客體擁有訪問權(quán)限。,32,訪問控制的目的,限制主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用； 決定用戶能做什么，也決定代表一定用戶利益的程序能做什么,33,身份認證的基本概念 身份認證機制 訪問控制的基本概念 訪問控制實現(xiàn)方法 訪問控制策略,

11、主要內(nèi)容,34,訪問控制的實現(xiàn)方法,A. 訪問控制矩陣 B. 訪問能力表 C. 訪問控制表 D. 授權(quán)關(guān)系表,35,A.訪問控制矩陣,訪問控制表示為一個矩陣的形式 列表示客體（各種資源） 行表示主體（通常為用戶） 行和列的交叉點表示某個主體對某個客體的訪問權(quán)限（比如讀、寫、執(zhí)行、修改、刪除等）,36,Own的確切含義可能因系統(tǒng)不同而異，通常一個文件的Own權(quán)限表示授予（authorize）或撤銷（revoke）其他用戶對該文件的訪問控制權(quán)限。,37,缺點: 訪問控制矩陣中很多單元是空白項 為了減輕系統(tǒng)開銷與浪費 從主體（行）出發(fā)，表示矩陣的某一行的信息訪問能力表（Access Capabili

12、ties List） 從客體（列）出發(fā)，表示矩陣某一列的信息訪問控制表（Access Control List）,38,B.訪問能力表,能力（Capability）是受一定機制保護的客體標志，標記了客體以及主體（訪問者）對客體的訪問權(quán)限。 只有當一個主體對某個客體擁有訪問的能力時，它才能訪問這個客體。,39,John,Bob,40,訪問能力表的優(yōu)點： 訪問能力表著眼于某一主體的訪問權(quán)限，以主體的出發(fā)點描述控制信息，因此很容易獲得一個主體所被授權(quán)可以訪問的客體及其權(quán)限。 訪問能力表的缺點： 如果要求獲得對某一特定客體有特定權(quán)限的所有主體比較困難。 訪問控制服務(wù)應(yīng)該能夠控制可訪問某一個客體的主體集

13、合，能夠授予或取消主體的訪問權(quán)限。于是出現(xiàn)了以客體為出發(fā)點的實現(xiàn)方式訪問控制表。,41,C.訪問控制表,訪問控制表（ACL）對某個指定的資源指定任意一個用戶的權(quán)限，還可以將具有相同權(quán)限的用戶分組，并授予組的訪問權(quán)限,File1,42,訪問控制表的優(yōu)點： 訪問控制表（ACL）表述直觀、易于理解，比較容易查出對某一特定資源擁有訪問權(quán)限的所有用戶，有效地實施授權(quán)管理。 在一些實際應(yīng)用中，還對ACL進行了擴展，以進一步控制用戶的合法訪問時間，是否需要審計等 訪問控制表的局限：應(yīng)用到網(wǎng)絡(luò)規(guī)模較大、需求復雜的企業(yè)的內(nèi)部網(wǎng)絡(luò)時 當網(wǎng)絡(luò)中資源很多時，需要在ACL中設(shè)定大量的表項。而且為了實現(xiàn)整個組織范圍內(nèi)的一

14、致的控制策略，需要各管理部門的密切合作。 單純使用ACL，不易實現(xiàn)最小權(quán)限原則及復雜的安全政策,43,D.授權(quán)關(guān)系表,使用一張表描述主體和客體之間的關(guān)系，可以對表進行排序,44,身份認證的基本概念 身份認證機制 訪問控制的基本概念 訪問控制實現(xiàn)方法 訪問控制策略,主要內(nèi)容,45,訪問控制策略,A. 自主訪問控制（DAC） B. 強制訪問控制（MAC） C. 基于角色的訪問控制（RBAC）,46,A.自主訪問控制,自主訪問控制（DAC） 最早出現(xiàn)在七十年代初期的分時系統(tǒng)中，它是多用戶環(huán)境下最常用的一種訪問控制手段。 用戶可以按自己的意愿對系統(tǒng)參數(shù)做適當?shù)男薷?，可以決定哪個用戶可以訪問系統(tǒng)資源。

15、DAC有時又被稱為為基于主人的訪問控制,47,自主訪問控制,優(yōu)點 根據(jù)主體的身份及允許訪問的權(quán)限進行決策 自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體。 靈活性高，被大量采用，Windows、UNIX系統(tǒng)采用。 缺點 過于靈活、限制較弱、可能存在安全隱患 如用戶A把目標X的訪問權(quán)賦予了用戶B，用戶B可能會把X訪問權(quán)轉(zhuǎn)賦予用戶C，而A可能并不愿意讓C訪問X 用戶A把目標X的訪問權(quán)賦予了用戶B，而根據(jù)系統(tǒng)基本安全規(guī)則，B并不能訪問X。,48,自主訪問控制基于個人的策略,根據(jù)哪些用戶可對一個目標實施哪一種行為的列表來表示。 等價于用一個目標的訪問矩陣列來描述 基礎(chǔ)(前提)：

16、一個隱含的、或者顯式的缺省策略 例如，全部權(quán)限否決 最小特權(quán)原則：要求最大限度地限制每個用戶為實施授權(quán)任務(wù)所需要的許可集合 在不同的環(huán)境下，缺省策略不盡相同，例如，在公開的布告板環(huán)境中，所有用戶都可以得到所有公開的信息 對于特定的用戶，有時候需要提供顯式的否定許可 例如，對于違紀的內(nèi)部員工，禁止訪問內(nèi)部一些信息,49,自主訪問控制基于組的策略,一組用戶對于一個目標具有同樣的訪問許可。是基于身份的策略的另一種情形 相當于，把訪問矩陣中多個行壓縮為一個行。 實際使用時 先定義組的成員 對用戶組授權(quán) 同一個組可以被重復使用 組的成員可以改變,50,B.強制訪問控制,強制訪問控制（MAC） 基于規(guī)則的

17、訪問控制，主體和客體分別定義安全等級標記，在自主訪問控制的基礎(chǔ)上還必須受到安全標記的約束。 安全標記是限制在目標上的一組安全屬性信息項。在訪問控制中，一個安全標記隸屬于一個用戶、一個目標、一個訪問請求。 系統(tǒng)強制主體服從訪問控制策略。主要用于多層次安全級別的軍事應(yīng)用中。,51,強制訪問控制,將主體和客體分級 定義用戶的可信任級別及信息的敏感程度，如，絕密級，機密級，秘密級，無密級。 根據(jù)主體和客體的級別關(guān)系決定訪問模式 訪問控制關(guān)系分為 上讀/下寫（完整性） 下讀/上寫（保密性） 通過梯度安全標簽實現(xiàn)單向信息流通模式。,52,強制訪問控制,安全標簽是限制在目標上的一組安全屬性信息項。在訪問控制

18、中，一個安全標簽隸屬于一個用戶、一個目標、一個訪問請求或傳輸中的一個訪問控制信息。 最通常的用途是支持多級訪問控制策略。 在處理一個訪問請求時，目標環(huán)境比較請求上的標簽和目標上的標簽，應(yīng)用策略規(guī)則（如Bell Lapadula規(guī)則）決定是允許還是拒絕訪問。,53,強制訪問控制,強制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=包括兩個部分：有層次的安全級別和無層次的安全范疇。構(gòu)成一偏序關(guān)系 Bell-LaPadula：保證保密性 Biba：保證完整性,54,強制訪問控制,Bell-LaPadula模型（BLP模型）

19、安全屬性用二元組表示（密級，類別集合） 密級集合為絕密，機密，秘密，無密，且絕密機密秘密無密 類別集合是系統(tǒng)中非分層元素集合中的一個子集，具體的元素依賴于所考慮的環(huán)境和應(yīng)用領(lǐng)域 安全屬性的集合滿足偏序關(guān)系 為每個用戶分配一個安全屬性，為每個客體也分配一個安全屬性,55,強制訪問控制,Bell-LaPadula模型中主體對客體訪問的兩個規(guī)則 簡單安全原則：僅當主體的敏感級不低于客體敏感級且主體的類別集合包含客體時，才允許該主體讀該客體。即主體只能讀密級等于或低于它的客體 星規(guī)則：僅當主體的敏感級不高于客體敏感級且客體的類別集合包含主體的類別集合時，才允許該主體寫該客體。即主體只能寫等于或高于它的

20、客體。,56,強制訪問控制,下讀：低信任級別的用戶不能讀高敏感度的信息，只能讀比它信任級別更低的低敏感信息 上寫：不允許高敏感度的信息寫入低敏感度區(qū)域，只能寫入更高敏感度區(qū)域 實現(xiàn)數(shù)據(jù)的保密性,主體,客體,TS（絕密）、S（機密）、C（秘密）、U（無密）,57,例如，某單位部分行政機構(gòu)如下圖：,58,假設(shè)計算機系統(tǒng)中的數(shù)據(jù)的密級為： 一般秘密機密絕密 定義校長的安全級 C校長（絕密，人事處,教務(wù)處,財務(wù)處,設(shè)備處）， （即校長的密級為絕密，部門屬性為所有的部門） 教務(wù)處長的安全級 C教=(機密,教務(wù)處) 財務(wù)處長的安全級 C財=(機密,財務(wù)處) 財務(wù)一科長的安全級 C一財=(秘密,財務(wù)處) 財

21、務(wù)處工作人員的安全級 C工=(一般,財務(wù)處) 假設(shè)財務(wù)一科長產(chǎn)生了一份工作文件A，文件A的安全級定義為與一科長的安全級相同，即CA=(秘密,財務(wù)處)，那么，對于文件A，只有校長和財務(wù)處長能看到，而教務(wù)處長不能看，盡管教務(wù)處長的密級是機密級，可以看秘密級的文件，但教務(wù)處長的部門屬性僅是教務(wù)處,他無權(quán)看財務(wù)處的信息。,59,強制訪問控制,BLP模型的不足 應(yīng)用領(lǐng)域較窄，使用不靈活，一般只用于軍方等具有明顯等級觀念的領(lǐng)域 完整性方面控制的不夠好，強調(diào)信息向高安全級的方向流動，對高安全級信息的完整性保護不夠,60,強制訪問控制,Biba模型 Biba等人于70年代提出的，它主要是針對信息完整性保護方面

22、的。與BLP模型類似，Biba模型用完整性等級取代了BLP模型中的敏感等級，而訪問控制的限制正好與BLP模型相反：,61,強制訪問控制,Biba模型的規(guī)則 簡單完整規(guī)則。僅當主體的完整級大于等于客體的完整級且主體的類別集合包含客體的類別集時，才允許該主體寫該客體。即主體只能向下寫，而不能向上寫，也就是說主體只能寫（修改）完整性級別等于或低于它的客體。 完整性制約規(guī)則（星規(guī)則）。僅當主體的完整級不高于客體完整級且客體的類別集合包含主體的類別集合時，才允許該主體讀客體。即主體只能從上讀，而不能從下讀。,62,強制訪問控制,缺陷 實現(xiàn)工作量大 管理不便 不夠靈活 過于偏重保密性，對其他方面，如系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等方面考慮不足,63,C.基于角色的訪問控制,20世紀90年代出現(xiàn)，可以有效地克服傳統(tǒng)訪問控制技術(shù)中存在的不足之處，減少授權(quán)管理的復雜性，降低管理開銷。 起源于UNIX系統(tǒng)等操作系統(tǒng)中組的概念 基于角色的訪問控制是一個復合的規(guī)則，可以被認為是DAC和MAC的變體。一個身份被分配給一個被授權(quán)的組。 基本思路：管理員創(chuàng)建角色，給角色分配權(quán)限，給角色分配用戶，角色所屬的用戶可以執(zhí)行相應(yīng)的權(quán)限,64