4身份认证和访问控制(武汉大学国际软件学院信息安全课程)

1信息安全身份认证和访问控制杨敏武汉大学国际软件学院yangm@whu.edu.cn武汉大学国际软件学院2身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容武汉大学国际软件学院3身份认证Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.身份认证就是确认实体是它所声明的。身份认证是最重要的安全服务之一。实体的身份认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务）身份认证可以对抗假冒攻击的危险武汉大学国际软件学院4身份认证的需求和目的身份认证需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体。身份认证目的：使别的成员（验证者）获得对声称者所声称的事实的信任。武汉大学国际软件学院5身份认证分类身份认证可以分为本地和远程两类。本地身份认证（单机环境）：实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。需要用户进行明确的操作远程身份认证（网络环境）：连接远程设备、实体和环境的实体鉴别。通常将本地鉴别结果传送到远程。（1）安全（2）易用武汉大学国际软件学院6身份认证分类身份认证可以是单向的也可以是双向的。单向认证是指通信双方中只有一方向另一方进行鉴别。双向认证是指通信双方相互进行鉴别。武汉大学国际软件学院7身份认证进行身份认证的几种依据用户所知道的：密码、口令用户所拥有的：身份证、护照、信用卡、钥匙用户本身的特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征武汉大学国际软件学院8主要内容身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略武汉大学国际软件学院9常用的身份认证机制A.口令机制B.一次性口令机制C.基于智能卡的机制D.基于个人特征的机制武汉大学国际软件学院10A.口令机制常规的口令方案中的口令是不随时间变化的口令，该机制提供弱鉴别(weakauthentication)。口令或通行字机制是最广泛研究和使用的身份鉴别法。口令系统有许多脆弱点外部泄露口令猜测线路窃听重放武汉大学国际软件学院11对付外部泄露的措施•教育、培训；•严格组织管理办法和执行手续；•口令定期改变；•每个口令只与一个人有关；•输入的口令不再现在终端上；•使用易记的口令，不要写在纸上。武汉大学国际软件学院12对付口令猜测的措施•教育、培训；•严格限制非法登录的次数；•口令验证中插入实时延迟；•限制最小长度，至少6~8字节以上•防止用户特征相关口令，•口令定期改变；•及时更改预设口令；•使用机器产生的口令。武汉大学国际软件学院13强壮口令应符合的规则个人名字或呢称电话号码、生日等敏感信息输入8字符以上口令记录于纸上或放置于办公处使用重复的字符XXXX++++=强壮的口令武汉大学国际软件学院14对付线路窃听的措施使用保护口令机制：如单向函数。对于每个用户，系统将帐户和散列值对存储在一个口令文件中，当用户输入口令x，系统计算其散列值H(x)，然后将该值与口令文件中相应的散列值比较，若相同则允许登录。安全性仅依赖于口令武汉大学国际软件学院15B.一次性口令机制近似的强鉴别（towardsstrongauthentication)一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。武汉大学国际软件学院16双因素动态口令卡双因素动态口令卡基于密钥/时间双因素的身份认证机制；用户登录口令随时间变化，口令一次性使用，无法预测，可以有效抵御密码窃取和重放攻击行为武汉大学国际软件学院17双因素动态口令卡相关产品如SecurityDynamics公司的SecureID设备基于时间同步的动态密码认证系统RSASecureID美国Axend(现被Symantec公司兼并)是较早推出双因素身份认证系统的公司。我国一些信息技术公司也相继推出了动态口令认证系统。如网泰金安信息技术公司、北京亿青创新信息技术有限公司、四川安盟电子信息安全有限公司等。武汉大学国际软件学院18双因素动态口令卡--举例北京亿青创新信息技术有限公司---易码通（EasyPass）动态口令系统。动态口令卡是发给每个用户的动态口令发生器，通过同步信任认证算法，以时间为参数，每隔16-64秒产生一个一次性使用的“动态口令”。武汉大学国际软件学院19双因素动态口令卡--举例Login:JSMITHPasscode:2468723656PINTOKENCODE令牌码:每60秒变化一次唯一的64-bit种子内部电池与UCT时钟同步PASSCODE=+PINTOKENCODE武汉大学国际软件学院20令牌码的产生•令牌码的产生?•时间–UCT时间•算法–伪随机函数•种子–随机数Algorithm111011010001010101101010101010=武汉大学国际软件学院21认证过程访问请求(加密的)访问请求被通过(加密的)登录者ACE/代理ACE/服务器User-ID:安盟password:1234234836PIN数据库1234234836算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit种子时钟算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit种子时钟用户进入一个SecurID保护的网络,应用或服务。系统将提示用户输入用户名和一次性密码(PASSCODE)PIN1234武汉大学国际软件学院22种子时间354982安盟身份认证服务器安盟令牌算法种子时间354982算法相同的种子相同的时间时间同步技术武汉大学国际软件学院23C.基于智能卡的机制优点基于智能卡的认证方式是一种双因素的认证方式（PIN+智能卡）智能卡提供硬件保护措施和加密算法缺点智能卡和接口设备之间的信息流可能被截获智能卡可能被伪造职员的作弊行为武汉大学国际软件学院24基于智能卡的机制安全措施对持卡人、卡和接口设备的合法性的相互验证重要数据加密后传输卡和接口设备中设置安全区，安全区中保护逻辑电路或外部不可读的存储区明确有关人员的责任，并严格遵守设置止付名单武汉大学国际软件学院25基于电子钥匙的机制电子钥匙是一种通过USB直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备，用于存储一些个人信息或证书，它内部的密码算法可以为数据传输提供安全的管道，是适合单机或网络应用的安全防护产品。其安全保护措施与智能卡相似。武汉大学国际软件学院26D.基于生物特征的机制以人体唯一的、可靠的、稳定的生物特征为依据指纹识别视网膜识别虹膜识别手形识别签名识别声纹识别武汉大学国际软件学院27身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容武汉大学国际软件学院28访问控制——安全服务ISO7498-2定义了五大安全服务对象认证访问控制数据保密性数据完整性防抵赖性武汉大学国际软件学院29基本概念一般定义是针对越权使用资源的防御措施访问控制的基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资源的非法使用用户身份的识别和认证对访问的控制审计跟踪武汉大学国际软件学院30访问控制授权数据库访问监视器审计身份认证访问控制武汉大学国际软件学院31访问控制系统的实体主体（subject）发出访问操作、存取请求的主动方，通常可以是用户或用户的某个进程等客体（object）被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源安全访问策略一套规则，用以确定一个主体是否对客体拥有访问权限。武汉大学国际软件学院32访问控制的目的限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么武汉大学国际软件学院33身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容武汉大学国际软件学院34访问控制的实现方法A.访问控制矩阵B.访问能力表C.访问控制表D.授权关系表武汉大学国际软件学院35A.访问控制矩阵访问控制表示为一个矩阵的形式列表示客体（各种资源）行表示主体（通常为用户）行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等）武汉大学国际软件学院36File1File2File3File4Account1Account2JohnOwnRWOwnRWInquiryCreditAliceROwnRWWInquiryDebitInquiryCreditBobRWROwnRWInquiryDebitOwn的确切含义可能因系统不同而异，通常一个文件的Own权限表示授予（authorize）或撤销（revoke）其他用户对该文件的访问控制权限。武汉大学国际软件学院37缺点:访问控制矩阵中很多单元是空白项为了减轻系统开销与浪费从主体（行）出发，表示矩阵的某一行的信息——访问能力表（AccessCapabilitiesList）从客体（列）出发，表示矩阵某一列的信息——访问控制表（AccessControlList）武汉大学国际软件学院38B.访问能力表能力（Capability）是受一定机制保护的客体标志，标记了客体以及主体（访问者）对客体的访问权限。只有当一个主体对某个客体拥有访问的能力时，它才能访问这个客体。武汉大学国际软件学院39File1OwnRWFile3OwnRWFile1RWFile2RFile4OwnRWJohnBob武汉大学国际软件学院40访问能力表的优点：访问能力表着眼于某一主体的访问权限，以主体的出发点描述控制信息，因此很容易获得一个主体所被授权可以访问的客体及其权限。访问能力表的缺点：如果要求获得对某一特定客体有特定权限的所有主体比较困难。访问控制服务应该能够控制可访问某一个客体的主体集合，能够授予或取消主体的访问权限。于是出现了以客体为出发点的实现方式——访问控制表。武汉大学国际软件学院41C.访问控制表访问控制表（ACL）对某个指定的资源指定任意一个用户的权限，还可以将具有相同权限的用户分组，并授予组的访问权限JohnOwnRWBobRFile1AliceRW武汉大学国际软件学院42访问控制表的优点：访问控制表（ACL）表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。在一些实际应用中，还对ACL进行了扩展，以进一步控制用户的合法访问时间，是否需要审计等访问控制表的局限：应用到网络规模较大、需求复杂的企业的内部网络时当网络中资源很多时，需要在ACL中设定大量的表项。而且为了实现整个组织范围内的一致的控制策略，需要各管理部门的密切合作。单纯使用ACL，不易实现最小权限原则及复杂的安全政策武汉大学国际软件学院43D.授权关系表使用一张表描述主体和客体之间的关系，可以对表进行排序主体访问权限客体JohnOwnFile1JohnRFile1JohnWFile1JohnOwnFile3JohnRFile3JohnWFile3AliceRFile1………………武汉大学国际软件学院44身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容武汉大学国际软件学院45访问控制策略A.自主访问控制（DAC）B.强制访问控制（MAC）C.