CISP培训鉴别与访问控制

1、鉴别与访问控制鉴别与访问控制版本：3.0发布日期：2014-12-1生效日期：2015-1-1 讲师姓名：课程内容课程内容2鉴别与访问鉴别与访问控制控制知识体知识域访问控制模型访问控制模型访问控制技术访问控制技术知识子域集中访问控制集中访问控制非集中访问控制非集中访问控制强制访问控制模型强制访问控制模型访问控制基本概念访问控制基本概念自主访问控制模型自主访问控制模型鉴别鉴别鉴别的类型鉴别的类型鉴别的方法鉴别的方法基于角色的访问控制模型基于角色的访问控制模型知识域：鉴别知识域：鉴别v知识子域：鉴别的类型 理解标识、鉴别的概念和作用 理解单向鉴别、双向鉴别和第三方鉴别的区别v知识子域：鉴别的方法

2、理解基于所知、所有和生物特征的三种基本鉴别方法及其特点 理解每种鉴别方法及组合鉴别方法的强度3标识标识v标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定v标识的主要作用：访问控制和审计 访问控制：标识用于控制是否允许特定的操作 审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来4鉴别鉴别v确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体 口令、挑战-应答、生物特征鉴别v所有其它的安全服务都依赖于该服务v需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体v目的：使别的成员（验证者）获得对声称者所

3、声称的事实的信任5标识和鉴别的作用标识和鉴别的作用v作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份 访问控制直接对机密性、完整性、可用性及合法使用资源提供支持v作为数据源认证的一种方法 与数据完整性机制结合起来使用v作为审计追踪的支持 在审计追踪记录时，提供与某一活动关联的确知身份6鉴别系统的组成鉴别系统的组成v被验证者P（Prover）：出示身份标识的人，又称声称者（Claimant）v验证者V（Verifier）：检验声称者提出的身份标识的正确性和合法性，决定是否满足要求v可信赖者TP（Trusted Third Party）：参与鉴别的第三方，参与调解纠纷P VTP7鉴别的类

4、型鉴别的类型v单向鉴别和双向鉴别 单向鉴别：通信双方中只有一方向另一方进行鉴别 双向鉴别：通信双方相互进行鉴别 第三方鉴别：由可信第三方来确认身份v本地鉴别和远程鉴别 本地鉴别：实体在本地环境的初始化鉴别 远程鉴别：连接远程设备的实体鉴别8鉴别的方法鉴别的方法v基于你所知道的（What you know ） 知识、口令、密码v基于你所拥有的（What you have ） 身份证、信用卡、钥匙、智能卡、令牌等v基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜v双因素、多因素认证9常见的鉴别技术常见的鉴别技术v基于口令的身份认证v基于生物特征的身份认证v基

5、于个人令牌的身份认证10基于口令的身份认证基于口令的身份认证v口令是使用最广泛的身份鉴别方法v选择原则：易记、难猜测、抗分析能力强v口令提供弱鉴别，面临的威胁： 口令猜测 线路窃听 重放攻击 11防止线路窃听防止线路窃听v使用保护口令机制：单向函数v攻击者很容易构造一张q与p对应的表，表中的p尽可能包含所期望的值 解决办法：在口令后使用随机数12一次性口令机制一次性口令机制v确保在每次鉴别中所使用的口令不同，以对付重放攻击v口令的确定方法： 两端共同拥有一串随机口令，在该串的某一位置保持同步 两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步 使用时间戳，两端维持同步的时钟13基于个

6、人令牌的身份认证基于个人令牌的身份认证v集成电路卡（Integrated Circuit Card）简称IC卡，其中镶嵌集成电路芯片vIC卡的分类 IC卡接口类型 接触式IC卡 非接触式IC卡 双界面卡 嵌入集成电路芯片的形式和类型 非加密存储卡 逻辑加密卡 （EEPROMEEPROM存储单元阵列存储单元阵列 + + 密码控制逻辑单元密码控制逻辑单元) ) CPU卡（又称智能卡）14智能卡的安全特性智能卡的安全特性v硬件 与外界通信前，先完成智能卡与终端间的认证 加入安全传感器，防止在数据被读出或写入时被修改 发生异常，智能卡复位，或者置标志位，使智能卡操作系统做出相应反应 存储器加密，不保存

7、任何明文v软件 使用需要通过双因素认证，进入操作智能卡的安全状态 信息采用文件系统进行保存，依据类型或密钥的不同，提供不同的访问操作 支持DES、3DES和RSA等密码算法15基于生物特征的身份认证（一）基于生物特征的身份认证（一）v每个人所具有的唯一生理特征 指纹，视网膜，声音，虹膜、语音、面部、签名等v指纹 一些曲线和分叉以及一些非常微小的特征 提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询v手掌、手型 手掌有折痕，起皱，还有凹槽 还包括每个手指的指纹 人手的形状（手的长度，宽度和手指）表示了手的几何特征 16基于生物特征的身份认证（二）基于生物特征的身份认证（二）v视网膜扫

8、描 扫描眼球后方的视网膜上面的血管的图案；v虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分 虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶v语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词v面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状17指纹识别的实现原理指纹识别的实现原理v通过特殊的光电扫描和计算机图像处理技术，对指纹进行采集、分析和比对，自动、迅速、准确地认证出个人身份。v指纹识别的过程 按照用户和姓名等信息将其存在指纹数据库中的模板指纹调出来，然后再用用户输入的指纹与该模板的指纹相匹配，以确定这两幅指纹是否出于同一幅指

9、纹。指纹图象采集仪图象输入通道指纹细节匹配认证结果18虹膜识别的实现原理（一）虹膜识别的实现原理（一）v虹膜是环绕在瞳孔四周有色彩的部分 每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构 每一个人的虹膜各不相同，一个人的左眼和右眼就可能不一样，即使是双胞胎的虹膜也可能不一样 人的虹膜在出生后6-18个月成型后终生不再发生变化19虹膜识别的实现原理（二）虹膜识别的实现原理（二）20知识域：访问控制模型知识域：访问控制模型v知识子域：访问控制基本概念 理解访问控制的作用 理解主体、客体、访问权限等基本概念 理解访问控制模型的一般构成v知识子域：自

10、主访问控制 理解自主访问控制（DAC）的含义 理解DAC的常用描述方式访问控制矩阵模型，及其两种常见实现方法：访问控制表、能力表，了解其他实现方法如前缀表、保护位 理解DAC的特点21知识域：访问控制模型知识域：访问控制模型v知识子域：强制访问控制 理解强制访问控制（MAC）的分类和含义 理解典型MAC模型：Bell-Lapudula模型、Biba模型 了解Chinese Wall模型和Clark-Wilson模型 理解MAC的特点v知识子域：基于角色的访问控制 理解基于角色的访问控制（RBAC）模型的基本组成 理解RBAC的特点22访问控制的概念和目标访问控制的概念和目标v访问控制：针对越权

11、使用资源的防御措施v目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。23访问控制的作用访问控制的作用v未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 非法用户对系统资源的使用 合法用户对系统资源的非法使用v作用：机密性、完整性和可用性24主体与客体主体与客体v主体 发起者，是一个主动的实体，可以操作被动实体的相关信息或数据 用户、程序、进程等v客体 一种被动实体，被操作的对象，规定需要保护的资源 文件、存储介质、程序、进程等25主体与客体之间的关系主体与客体之间的关

12、系v主体：接收客体相关信息和数据，也可能改变客体相关信息v一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们v客体：始终是提供、驻留信息或数据的实体v主体和客体的关系是相对的，角色可以互换26 授权授权 v规定主体可以对客体执行的操作： 读 写 执行 拒绝访问 27主体标识的实例主体标识的实例v主体的标识 在UNIX中，主体（用户）的身份标识为0-65535之间的一个整数，称为用户身份号（UID） 常见的主体标识还包括用户名、卡、令牌等，也可以是指纹、虹膜等生物特征28客体标识的实例客体标识的实例v客体的标识 文件名 文件描述符或句柄 文件分

13、配表的条目 UNIX中提供了四种不同的文件标识： inode 文件描述符 绝对路径文件名 相对路径文件名29访问控制的两个重要过程访问控制的两个重要过程v第一步：鉴别 检验主体的合法身份v第二步：授权 限制用户对资源的访问权限30访问控制模型访问控制模型主 体客 体访问控制实施访问控制决策提交访问 请求请求决策决 策提出访问 请求31v什么是访问控制模型 对一系列访问控制规则集合的描述，可以是非形式化的，也可以是形式化的。v组成访问控制模型的分类访问控制模型的分类访问控制模型强制访问控制模型（MAC）自主访问控制模型（DAC）访问矩阵模型访问控制列表（ACL）权能列表（Capacity Lis

14、t）Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色访问控制模型（RBAC）混合策略模型32知识域：访问控制模型知识域：访问控制模型v知识子域：自主访问控制模型 理解自主访问控制的含义 理解访问控制矩阵模型，及其实现方法：访问控制列表、权能列表 理解自主访问控制模型的特点33自主访问控制的含义自主访问控制的含义v允许客体的属主（创建者）决定主体对该客体的访问权限 灵活地调整安全策略 具有较好的易用性和可扩展性 常用于商业系统 安全性不高34自主访问控制的实现机制和方法自主访问控制的实现机制和方法v实现机制

15、 访问控制表/矩阵v实现方法 访问控制表（Access Control Lists） 访问能力表（Capacity List） 35目标xR、W、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W 目标用户 访问许可与访问模式访问许可与访问模式v访问许可访问许可(Access Permission)(Access Permission)： 描述主体对客体所具有的控制权 定义了改变访问模式的能力或向其它主体传送这种能力的能力v访问模式访问模式： 描述主体对客体所具有的访问权 指明主体对客体可进行何种形式的特定访问操作：读/写/运行 36访问许可的类型访问许可的

16、类型v等级型（Hierarchical）v有主型（Owner） 每个客体设置一个拥有者（一般是客体的生成者），拥有者是唯一有权修改客体访问控制表的主体，拥有者对其客体具有全部控制权v自由型（Laissez-faire）37访问模式的类型访问模式的类型v对文件的访问模式设置如下： 读-拷贝 写-删除/更改 运行 无效38访问控制矩阵访问控制矩阵v行：主体（用户）v列：客体（文件）v矩阵元素：规定了相应用户对应于相应的文件被准予的访问许可、访问权限客体客体x x客体客体y y客体客体z z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W39访问控制表访问控制表v访问控制矩

17、阵按列：访问控制表v访问控制表：每个客体可以被访问的主体及权限客体y主体b主体dRWOwnRW40访问能力表访问能力表v访问控制矩阵按行：访问能力表v访问能力表：每个主体可访问的客体及权限主体b客体x客体yRRWOwn41访问控制表与访问能力表的比较访问控制表与访问能力表的比较ACLACLCLCL保存位置客体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统42自主访问控制的特点自主访问控制的特点 v优点： 根据主体的身份和访问权限进行决策 具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体 灵活性高，被大量采用v缺点： 信息在传递过程中其访问

18、权限关系会被改变43强制访问控制的含义强制访问控制的含义v主体对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无权控制客体的访问权限，以防止对信息的非法和越权访问 主体和客体分配有一个安全属性 应用于军事等安全要求较高的系统 可与自主访问控制结合使用44常见强制访问控制模型常见强制访问控制模型vBLP模型 1973年提出的多级安全模型，影响了许多其他模型的发展，甚至很大程度上影响了计算机安全技术的发展vBiba模型 1977年，Biba提出的一种在数学上与BLP模型对偶的完整性保护模型vClark-Wilson模型 1987年，David Clark和David Wilson开发的

19、以事务处理为基本操作的完整性模型，该模型应用于多种商业系统vChinese Wall模型 1989年，D. Brewer和M. Nash提出的同等考虑保密性与完整性的安全策略模型，主要用于解决商业中的利益冲突45BLPBLP模型的组成模型的组成v主体集：Sv客体集：Ov安全级：密级和范畴 密级：绝密、机密、秘密、公开 范畴：NUC、EUR、USv偏序关系：支配 安全级L=(C,S)高于安全级L=(C,S)，当且仅当满足以下关系：C C，S S46BLPBLP模型规则（一）模型规则（一）v简单安全特性： S可以读O，当且仅当S的安全级可以支配O的安全级，且S对O具有自主型读权限 向下读v*特性：

20、 S可以写O，当且仅当O的安全级可以支配S的安全级，且S对O具有自主型写权限 向上写47BLPBLP模型规则（二）模型规则（二）v当一个高等级的主体必须与另一个低等级的主体通信，即高等级的主体写信息到低等级的客体，以便低等级的主体可以读 主体有一个最高安全等级和一个当前安全等级，最高安全等级必须支配当前等级 主体可以从最高安全等级降低下来，以便与低安全等级的实体通信48BLPBLP模型实例模型实例49BibaBiba模型的组成模型的组成v主体集：Sv客体集：Ov安全级：完整级和范畴 完整等级：Crucial，Very Important，Important 范畴：NUC、EUR、USv偏序关系

21、：支配 完整级L=(C,S)高于完整级L=(C,S)，当且仅当满足以下关系：C C，S S50BibaBiba模型规则与实例模型规则与实例vS可以读O，当且仅当O的安全级支配S的安全级vS可以写O，当且仅当S的安全级支配O的安全级51Clark-WilsonClark-Wilson模型的目标模型的目标v解决商业系统最关心的问题：系统数据的完整性以及对这些操作的完整性v一致性状态：数据满足给定属性，就称数据处于一个一致性状态n实例：今天到目前为止存入金额的总数：D今天到目前为止提取金额的总数：W昨天为止所有账户的金额总数：YB今天到目前为止所有账户的金额总数：TB一致性属性：D+YB-W=TB5

22、2Clark-WilsonClark-Wilson模型模型 自由数据条目 Unconstrained Data Item (UDI) 受限数据条目 Constrained Data Item (CDI) 转换程序 Transformation Procedure (TP) 完整性检查程序 Integrity Verification Procedure (IVP) 数据库服务器应用程序服务器用户TP转换UD1为CDI1TP基于CDI1更新CDI2(订单)和CDI3(账单)IVP检查所有订单和账单(CDI2/CDI3)Chinese WallChinese Wall模型的组成（一）模型的组成（一

23、）v主体集：Sv客体集：O 无害客体：可以公开的数据 有害客体：会产生利益冲突，需要限制的数据vPR(S)表示S曾经读取过的客体集合54Chinese WallChinese Wall模型的组成（二）模型的组成（二）v公司数据集CD：与某家公司相关的若干客体v利益冲突(COI)类：若干相互竞争的公司的数据集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x55Chinese WallChinese Wall模型规则模型规则v CW-简单安全特性：S能读取O，当且仅当以下任一条件满足： （1）存在一个O，它是S曾经访问过的客体，并且 CD（O）= CD（O）（2）对于所有的客

24、体O， O PR（S），则 COI（O） COI（O）（3）O是无害客体v CW-*-特性： S能写O，当且仅当以下两个条件同时满足： （1）CW-简单安全特性允许S读O （2）在其它COI类上不存在该主体可以读取的客体56Chinese WallChinese Wall模型实例模型实例57自主访问控制与强制访问控制的比较自主访问控制与强制访问控制的比较v自主访问控制n细粒度n灵活性高n配置效率低v强制访问控制n控制粒度大n灵活性不高n安全性强58基于角色的访问控制基于角色的访问控制v由NIST的Ferraiolo等人在90年代提出vNIST成立专门机构进行研究v1996年提出一个较完善的基于

25、角色的访问控制参考模型RBAC9659RBAC RBAC 模型的基本思想模型的基本思想vRBAC的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。v一个用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定访问或操作激活60RBAC 96RBAC 96的组成的组成vRBAC0: 含有RBAC核心部分vRBAC1: 包含RBAC0，另含角色继承关系(RH)vRBAC2: 包含RBAC0，另含限制(Constraints)vRBAC3: 包含所有层次内容，是一个完整模型61RBAC RBAC 模型的组成（一）模型的组成（一）v用

26、户（User）：访问计算机资源的主体，用户集合为 Uv角色（role）：一种岗位，代表一种资格、权利和责任，角色集合为 Rv权限（permission）：对客体的操作权力，权限集合为 Pv用户分配（User Assignment）n将用户与角色关联。n用户 u与角色 r关联后，将拥有 r的权限62RBAC RBAC 模型的组成（二）模型的组成（二）v权限分配（Permission Assignment）n将角色与权限关联n权限 p与角色 r关联后，角色 r将拥有权限 pv激活角色（Active Role）n角色只有激活才能起作用，否则不起作用n通过会话激活角色v会话（Session）n用户要访

27、问系统资源时，必须先建立一个会话n一次会话仅对应一个用户，一次会话可激活几个角色63RBAC RBAC 模型的基本机制模型的基本机制64RBACRBAC模型实例模型实例65RBACRBAC模型的特点模型的特点v便于授权管理（角色的变动远远低于个体的变动）v便于处理工作分级，如文件等资源分级管理v利用安全约束，容易实现各种安全策略，如最小特权、职责分离等v便于任务分担，不同角色完成不同的任务66知识域：访问控制技术知识域：访问控制技术v知识子域：集中访问控制 理解集中访问控制的基本概念 理解实现集中访问控制的常用协议：Kerberos协议、AAA协议 了解三个常见的AAA协议：RADIUS、TA

28、CACS+和Diameter，以及每个协议的优缺点v知识子域：非集中访问控制 理解非集中访问控制的基本概念 理解域等非集中访问控制的实现方式67单点登录技术单点登录技术v单点登录（SSO，Single Sign-on） 用户只需在登录时进行一次注册，就可以访问多个系统，不必重复输入用户名和密码来确定身份 实质是安全上下文（Security Context）或凭证（Credential）在多个应用系统之间的传递或共享v单点登录的优点 方便用户 方便管理员 简化应用系统开发68KerberosKerberos认证协议认证协议v美国麻省理工学院（MIT）为Athena项目开发的一种身份鉴别协议v“K

29、erberos”的本意是希腊神话中守护地狱之门的守护者 vKerberos提供了一个网络环境下的身份认证框架结构 实现采用对称密钥加密技术 公开发布的Kerberos版本包括版本4和版本5 安全性、可靠性、可伸缩性、透明性69KerberosKerberos认证协议使用条件认证协议使用条件v有一个时钟基本同步的环境v客户机与KDC（ Key Distribution Center ）， KDC与服务器在协议工作前已经有了各自的共享密钥v组成 密钥分发中心（KDC）：由两个独立的逻辑部分组成 认证服务器AS（Authentication Server） 票据授权服务器TGS（Ticket Gra

30、nting Server） 票据许可票据TGT70获得票据许可票据获得票据许可票据71v 第一步：获得票据许可票据 用户登录客户机请求主机服务 认证服务器（AS）在数据库中验证用户的访问权限，生成票据许可票据和会话密钥，它们用由用户口令导出的密钥进行加密AS客户机请求票据许可票据(TGT)票据+会话密钥TGT +（kc,tgs）获得服务许可票据获得服务许可票据72v 第二步：获得服务许可票据 客户机提示用户输入口令来对收到的报文进行解密，然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往票据授权服务器TGS 票据授权服务器TGS对票据和鉴别符进行解密，验证请求，然后生成服务许可票据

31、TGS客户机请求服务许可票据(SGT)票据+会话密钥SGT +（kc,s）获得服务获得服务73v第三步：获得服务 客户机将票据和鉴别符发给服务器 服务器验证票据和鉴别符是否匹配，然后许可访问服务。如果需要双向鉴别，服务器返回一个鉴别符服务器客户机请求服务提供服务器鉴别符KerberosKerberos认证协议的特点认证协议的特点v优点 单点登录，只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码 与授权机制相结合 支持双向的身份认证 通过交换“跨域密钥”实现分布式网络环境下的认证v缺点 AS和TGS是集中式管理，容易形成瓶颈，系统的

32、性能和安全也严重依赖于AS和TGS的性能和安全 时钟同步问题 身份认证采用的是对称加密机制，随用户数量增加，密钥管理较复杂74集中访问控制的基本概念及实现集中访问控制的基本概念及实现vRADIUS协议vTACACS协议vTACACS+协议vDiameter协议75RADIUSRADIUS协议协议v远程用户拨号认证系统（Remote Authentication Dial In User Service） 最初由Livingston公司提出，为拨号用户进行认证和计费，经多次改进，形成了一项通用的认证计费协议 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS （Net Access S

33、erver）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端 基本设计组件有认证、授权和记账(AAA)(AAA)76RADIUSRADIUS协议的基本消息交互流程协议的基本消息交互流程应用服务器远程访问服务器（RAS）/RADIUS客户端RADIUS服务器1234RADIUSRADIUS协议的特点协议的特点v简单明确，可扩充v使用UDP端口1812，1813；v不足： 口令传输一般为明文；可使用MD5进行加密； 缺少丢包重传机制RADIUSServerPSTN/ISDNCorporateNetwork78RADIUSClientTACACS+TACACS+协议协议v终端访问控制器访问控制系统（ Terminal Access Contro