信息安全管理 第03讲 信息安全认证

第03讲信息安全认证第第0303讲讲信息安全认证信息安全认证1概述•访问控制：控制用户和系统与其他的系统和资源进行通信和交互。–保护免受未授权访问–为授权做准备•标识、认证、授权和稽核–标识：一种能够确保主体（用户、程序获进程）就是它所宣称的那个实体的方法–认证：证明、确认标识的正确性–授权：认证通过后，对主体访问资源的能力的安排。是操作系统的核心功能。–稽查：对主体行为的审核和记录2标识与认证•生物标识和认证•口令•有感知的口令•一次性口令•令牌装置•密码认证•存储卡•智能卡生物标识和认证•等误判率：随着敏感度的变化，错判与漏判的比率会发生变化，两者比率相同时的数值•指纹、手掌轮廓、视网膜（眼球后方视网膜上的血管的图形）、虹膜（瞳孔周围彩色部分）、动态签名、动态键盘输入、语音识别、面部特征、手型拓扑口令机制•口令或通行字机制是昀广泛研究和使用的身份鉴别法。通常为长度为5~8的字符串。选择原则：易记、难猜、抗分析能力强。•口令系统有许多脆弱点：–外部泄露–口令猜测–线路窃听–危及验证者–重放•对付外部泄露的措施–教育、培训；–严格组织管理办法和执行手续；–口令定期改变；–每个口令只与一个人有关；–输入的口令不再现在终端上；–使用易记的口令，不要写在纸上。•对付口令猜测的措施–教育、培训；–严格限制非法登录的次数；–口令验证中插入实时延迟；–限制昀小长度，至少6~8字节以上–防止用户特征相关口令，–口令定期改变；–及时更改预设口令；–使用机器产生的口令。•对付线路窃听的措施:使用保护口令机制(如单向函数)q′fididq比较是或不是p′id声称者验证者消息•对付重放攻击的措施r′idnrvgfidqg比较是或不是p′声称者验证者消息q′idnrvsalt有感知的口令•常规问题＋个性化回答一次性口令•令牌装置＋同步机制•令牌装置＋异步机制（交互应答＋认证服务器通信＝“间接的同步”）密码认证•对称密码体制认证•公钥密码体制认证•HASH认证•……存储卡•直接使用存在卡中的信息与库中信息比对•可结合普通口令机制，双重比对智能卡•卡本身具有认证比对功能，加强卡自身安全保护•随后再进一步认证3授权•授权方法•默认拒绝授权方法•角色访问方法：不同角色的业务访问需求可能类似•组访问原则方法：需要同样访问权限的用户的集合•物理和逻辑位置访问原则：•时间：•事务类型限制：事务实例取值的不同，访问权限赋予可能也不同。（银行取钱，职责不同，能操作的金额应该不一致；数据库管理员负责建立人事数据库，但他未必有权访问这些数据记录）默认拒绝•一般授权的基本原则–默认拒绝–需要知晓:授予能够实现业务的昀小权限，与昀小特权原则一致4单点登录•脚本方式•Kerberos•Sesame脚本方式•包含有每一用户ID、口令字和对应平台登录命令的批处理文件–用户使用方便–管理员需要事先编写脚本–管理员跟踪活替换口令更改机制–脚本本身的机密性、完整性要求极高–平台升级可能会要求脚本升级Kerberos•分布式单点登录的实例•使用对称加密算法体系•主要组件：–密钥分发中心：存有所有用户和服务的密钥；具有密钥分发和认证功能；客户和服务充分信任KDC是系统安全的基础–实体对象：主体，用户、程序或服务，–票证：用户主体之间访问认证•Kerberos认证过程（见图）–用户向AS认证–AS发送初时票证给用户–用户请求访问文件服务器–TGS使用会话迷药创建新票证–用户提取一个绘画迷药并将票证发给文件服务器•Kerberos弱点：–单点故障–必须实施处理大量信息–密钥需要暂时性的存在工作站上，存在威胁–会话密钥被解密后仍保留在缓存中，存在威胁–对密码猜测的字典攻击–密钥更新过程复杂Sesame•SecureEuropeanSystemforapplicationinaMulti-vendorEnvironment•一定程度弥补Kerberos不足，同时基于对称和非对称密码体制•PAS（特权证书）取代访问票证：主体身份、允许访问范围、允许访问时间、有效期限等信息•PAS包括数字签名信息，证明PAC来源的可信•认证过程–用户发送证书–AS发送令牌以与PAS通信–用户将令牌发给PAS，请求访问资源–PAS创建并发送PAC给用户–用户发送PAC向资源认证–（参见下图）5访问控制模型•自主访问控制•强制访问控制•基于角色的访问控制•基于任务的访问控制自主访问控制•自主访问控制模型（DACModel，DiscretionaryAccessControlModel）–定义：允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，允许某些用户自主地把自己所拥有的客体的访问权限授予其它用户（又称为任意访问控制）–特点：•一般资源创建者是资源访问者的拥有者，但可调整•配合以资源创建者的管理，构成完善的访问控制模型。•灵活性高，被大量采用（Windows\Unix\Macintoch）–缺点：信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。强制访问控制•强制访问控制模型（MACModel：MandatoryAccessControlModel）–和DAC模型不同的是，MAC是一种多级访问控制策略–数据所有者无权决定文件的访问权限，权限由操作系统决定，可能覆盖所有者的设置–基于安全标签实现：系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。–MAC对访问主体和受控对象标识两个安全标记：一个是具有偏序关系的安全等级标记；另一个是非等级分类标记。对于标签的类别，部分可实施须知规则。BLP模型是一个例子。•强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=L,C包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系≤。–Bell-LaPadula：保证保密性•简单安全特性(无上读)：仅当SC(o)≤SC(s)时，s可以读取o•*-特性(无下写):仅当SC(s)≤SC(o)时，s可以修改o–Biba：保证完整性•同(上)相反•自主访问控制–配置的粒度小–配置的工作量大，效率低•强制访问控制–配置的粒度大–缺乏灵活性基于角色的访问控制•基于角色的访问控制模型（RBACModel，Role-basedAccessModel）：–RBAC模型的基本思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。–在很多实际应用中，用户并不是可以访问的客体信息资源的所有者（这些信息属于企业或公司），这样的话，访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确定的–例如，一个学校可以有教工、老师、学生和其他管理人员等角色。•角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。比如：–我们假设Tch1，Tch2，Tch3……Tchi是对应的教师，Stud1，Stud2，Stud3…Studj是相应的学生，Mng1，Mng2，Mng3…Mngk是教务处管理人员–老师的权限为TchMN={查询成绩、上传所教课程的成绩}；学生的权限为StudMN={查询成绩、反映意见}；教务管理人员的权限为MngMN={查询、修改成绩、打印成绩清单}–依据角色的不同，每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配•系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色，RBAC提供了一种描述用户和权限之间的多对多关系。例如–学校新进一名教师Tchx，那么系统管理员只需将Tchx添加到教师这一角色的成员中即可，而无需对访问控制列表做改动。–同一个用户可以是多个角色的成员，即同一个用户可以扮演多种角色，比如一个用户可以是老师，同时也可以作为进修的学生。–同样，一个角色可以拥有多个用户成员，这与现实是一致的，一个人可以在同一部门中担任多种职务，而且担任相同职务的可能不止一人。–角色可以划分成不同的等级，通过角色等级关系来反映一个组织的职权和责任关系，这种关系具有反身性、传递性和非对称性特点，通过继承行为形成了一个偏序关系，比如MngMNTchMNStudMN。•一般步骤：（所有者、管理员和用户三方参与，体现职责分离）–所有者决定给角色分配特权，给用户分配角色–管理员代表所有者统一创建角色和功能–管理员创建用户ID并赋予权限基于任务的访问控制•基于任务的访问控制（task-basedauthorizationcontrol，TBAC）–是一种新的安全模型，从应用和企业层角度来解决安全问题，而非已往从系统的角度。–它采用“面向任务”的观点，从任务(活动)的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。–在TBAC中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化，这是我们称其为主动安全模型的原因。•TBAC特点：–它是在工作流的环境考虑对信息的保护问题。在工作流环境中，每一步对数据的处理都与以前的处理相关，相应的访问控制也是这样，因而TBAC是一种上下文相关的访问控制模型。–它不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的访问控制策略。这是“基于任务”的含义，所以TBAC又是一种基于实例(instance-based)的访问控制模型。–因为任务都有时效性，所以在基于任务的访问控制中，用户对于授予他的权限的使用也是有时效性的。•通过授权步的动态权限管理，TBAC支持两个著名的安全控制原则：–昀小特权原则：在执行任务时只给用户分配所需的权限，未执行任务或任务终止后用户不再拥有所分配的权限；而且在执行任务过程中，当某一权限不再使用时，授权步自动将该权限回收。–职责分离原则：有时，一些敏感的任务需要不同的用户执行，如支票处理流程中准备支票和提交支票的职员必须不同。这可通过授权步之间的互斥依赖实现。6访问控制实现•访问控制矩阵•访问控制列表•访问控制能力表•访问控制安全标签列表访问控制矩阵•任何访问控制策略昀终均可被模型化为访问矩阵形式：行对应于用户，列对应于目标，每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实施行为。我们在这里举个例子说明一下，如下图所示：请求者File1File2File3File4JohnOwn,R,WOwn,W,RAliceROwn,W,RWRBobR,WROwn,W,R访问控制列表•访问控制列表（accesscontrollists，ACLs）是实现访问控制矩阵的一种流行的方法。每一个客体与一个ACL相连，表示了能访问该客体的主体以及访问权限。这种方法实质上就是按列的方式实现访问控制矩阵。下图是上图的访问控制列表实现：File1File2File3File4JohnAliceBobOwnRWRRWAliceBobROwnRWJohnOwnRWAliceWAliceRBobOwnRW访问控制能力表•权利列表(Capabilitylists)是与访问控制列表对偶的方法。每一个主体与一个权利列表相连，表示了所有该主体能访问的客体以及访问权限。这种方法实质上就是按行的方式实现访问控制矩阵。下图是前图的权利列表实现：JohnFile1File3OwnRWROwnWAliceFile1File2RROwnWWFile3File4RBobFile1File2WRFile4RROwnW访问控制安全标签列表•安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表（ACSLLs：AccessControlSecurityLabelsLists）是限