信息安全身份认证和访问控制讲义(PPT-69张)课件

1、11身份认证和访问控制2身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容3身份认证The property that ensures that the identity of a subject or resource is the one claimed.身份认证就是确认实体是它所声明的。身份认证是最重要的安全服务之一。实体的身份认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务）身份认证可以对抗假冒攻击的危险4身份认证的需求和目的身份认证需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体。身份认证目的：使别的成员（验证者）

2、获得对声称者所声称的事实的信任。5身份认证分类身份认证可以分为本地和远程两类。本地身份认证（单机环境）：实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。 需要用户进行明确的操作 远程身份认证（网络环境）：连接远程设备、实体和环境的实体鉴别。通常将本地鉴别结果传送到远程。（1）安全（2）易用6身份认证分类身份认证可以是单向的也可以是双向的。单向认证是指通信双方中只有一方向另一方进行鉴别。双向认证是指通信双方相互进行鉴别。7身份认证进行身份认证的几种依据 用户所知道的 ：密码、口令用户所拥有的：身份证、护照、信用卡、钥匙用户本身的特征：指纹、笔迹、声纹

3、、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征8主要内容身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略9常用的身份认证机制A. 口令机制B. 一次性口令机制C. 基于智能卡的机制D. 基于个人特征的机制10A.口令机制常规的口令方案中的口令是不随时间变化的口令，该机制提供弱鉴别(weak authentication)。口令或通行字机制是最广泛研究和使用的身份鉴别法。口令系统有许多脆弱点外部泄露口令猜测线路窃听重放11对付外部泄露的措施 教育、培训； 严格组织管理办法和执行手续； 口令定期改变； 每个口令只与一个人有关； 输入的口令不再现在终端上；

4、使用易记的口令，不要写在纸上。12对付口令猜测的措施 教育、培训； 严格限制非法登录的次数； 口令验证中插入实时延迟； 限制最小长度，至少68字节以上 防止用户特征相关口令， 口令定期改变； 及时更改预设口令； 使用机器产生的口令。13强壮口令应符合的规则个人名字或呢称电话号码、生日等敏感信息输入8字符以上口令记录于纸上或放置于办公处使用重复的字符XXXX+=强壮的口令14对付线路窃听的措施 使用保护口令机制：如单向函数。对于每个用户，系统将帐户和散列值对存储在一个口令文件中，当用户输入口令x，系统计算其散列值H(x)，然后将该值与口令文件中相应的散列值比较，若相同则允许登录。安全性仅依赖于口

5、令15B.一次性口令机制近似的强鉴别（towards strong authentication)一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。16双因素动态口令卡双因素动态口令卡基于密钥/时间双因素的身份认证机制；用户登录口令随时间变化，口令一次性使用，无法预测，可以有效抵御密码窃取和重放攻击行为17双因素动态口令卡相关产品如Security Dynamics公司的SecureID设备基于时间同步的动态密码认证系统RSA SecureID美国Axend(现被Symantec公司兼并)是较早推出双因素身份认证系统的公司。我国一些信息技术公司也相继推出了动态口令认证系统。如网泰

6、金安信息技术公司、北京亿青创新信息技术有限公司、四川安盟电子信息安全有限公司等。18双因素动态口令卡-举例北京亿青创新信息技术有限公司-易码通（EasyPass）动态口令系统。动态口令卡是发给每个用户的动态口令发生器，通过同步信任认证算法，以时间为参数，每隔16-64秒产生一个一次性使用的“动态口令”。19双因素动态口令卡-举例Login: JSMITHPasscode:2468723656PINTOKENCODE令牌码: 每 60秒变化一次唯一的 64-bit 种子内部电池与 UCT时钟同步PASSCODE=+PINTOKENCODE20令牌码的产生令牌码的产生?时间 UCT时间算法 伪随机

7、函数种子 随机数Algorithm111011010001010101101010101010=21认证过程访问请求(加密的)访问请求被通过 (加密的)登录者ACE/代理ACE/服务器User-ID: 安盟password: 1234 234836PIN 数据库1234 234836算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit 种子时钟算法11101101000101010110101010101001010010101001010100101

8、000101010010101001110110101010100011164-bit 种子时钟用户进入一个 SecurID保护的网络, 应用或服务。系统将提示用户输入用户名和一次性密码 (PASSCODE)PIN 123422种子时间354982安盟身份认证服务器安盟令牌算法种子时间354982算法相同的种子相同的时间时间同步技术23C.基于智能卡的机制优点基于智能卡的认证方式是一种双因素的认证方式（PIN+智能卡）智能卡提供硬件保护措施和加密算法缺点智能卡和接口设备之间的信息流可能被截获智能卡可能被伪造职员的作弊行为24基于智能卡的机制安全措施对持卡人、卡和接口设备的合法性的相互验证重要数

9、据加密后传输卡和 接口设备中设置安全区，安全区中保护逻辑电路或外部不可读的存储区明确有关人员的责任，并严格遵守设置止付名单25基于电子钥匙的机制电子钥匙是一种通过USB直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备，用于存储一些个人信息或证书，它内部的密码算法可以为数据传输提供安全的管道，是适合单机或网络应用的安全防护产品。其安全保护措施与智能卡相似。26D.基于生物特征的机制以人体唯一的、可靠的、稳定的生物特征为依据指纹识别视网膜识别虹膜识别手形识别签名识别声纹识别27身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容28访问控制安全服务ISO7

10、498-2定义了五大安全服务对象认证访问控制数据保密性数据完整性防抵赖性29基本概念一般定义是针对越权使用资源的防御措施访问控制的基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资源的非法使用 用户身份的识别和认证 对访问的控制 审计跟踪 30访问控制授权数据库访问监视器审计身份认证访问控制31访问控制系统的实体主体（subject）发出访问操作、存取请求的主动方，通常可以是用户或用户的某个进程等 客体（object） 被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源 安全访问策略 一套规则，用以确定一个主体是否对

11、客体拥有访问权限。32访问控制的目的限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么33身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容34访问控制的实现方法A. 访问控制矩阵B. 访问能力表C. 访问控制表D. 授权关系表35A.访问控制矩阵访问控制表示为一个矩阵的形式列表示客体（各种资源）行表示主体（通常为用户）行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等）36File1File2File3File4Account1Account2JohnOwnRWO

12、wnRWInquiryCreditAliceROwnRWWInquiryDebitInquiryCreditBobRWROwnRWInquiryDebitOwn的确切含义可能因系统不同而异，通常一个文件的Own权限表示授予（authorize）或撤销（revoke）其他用户对该文件的访问控制权限。37缺点: 访问控制矩阵中很多单元是空白项为了减轻系统开销与浪费从主体（行）出发，表示矩阵的某一行的信息访问能力表（Access Capabilities List）从客体（列）出发，表示矩阵某一列的信息访问控制表（Access Control List）38B.访问能力表能力（Capability）

13、是受一定机制保护的客体标志，标记了客体以及主体（访问者）对客体的访问权限。只有当一个主体对某个客体拥有访问的能力时，它才能访问这个客体。39File1OwnRWFile3OwnRWFile1RWFile2RFile4OwnRWJohnBob40访问能力表的优点：访问能力表着眼于某一主体的访问权限，以主体的出发点描述控制信息，因此很容易获得一个主体所被授权可以访问的客体及其权限。访问能力表的缺点：如果要求获得对某一特定客体有特定权限的所有主体比较困难。访问控制服务应该能够控制可访问某一个客体的主体集合，能够授予或取消主体的访问权限。于是出现了以客体为出发点的实现方式访问控制表。41C.访问控制表

14、访问控制表（ACL）对某个指定的资源指定任意一个用户的权限，还可以将具有相同权限的用户分组，并授予组的访问权限JohnOwnRWBobRFile1AliceRW42访问控制表的优点：访问控制表（ACL）表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。在一些实际应用中，还对ACL进行了扩展，以进一步控制用户的合法访问时间，是否需要审计等访问控制表的局限：应用到网络规模较大、需求复杂的企业的内部网络时当网络中资源很多时，需要在ACL中设定大量的表项。而且为了实现整个组织范围内的一致的控制策略，需要各管理部门的密切合作。单纯使用ACL，不易实现最小权限原则及

15、复杂的安全政策43D.授权关系表使用一张表描述主体和客体之间的关系，可以对表进行排序主体访问权限客体JohnOwnFile1JohnRFile1JohnWFile1JohnOwnFile3JohnRFile3JohnWFile3AliceRFile144身份认证的基本概念身份认证机制访问控制的基本概念访问控制实现方法访问控制策略主要内容45访问控制策略A. 自主访问控制（DAC）B. 强制访问控制（MAC）C. 基于角色的访问控制（RBAC） DAC MACRBAC访问控制46A.自主访问控制自主访问控制（DAC）最早出现在七十年代初期的分时系统中，它是多用户环境下最常用的一种访问控制手段。

16、用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源。DAC有时又被称为为基于主人的访问控制 47自主访问控制优点根据主体的身份及允许访问的权限进行决策 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用，Windows、UNIX系统采用。缺点过于灵活、限制较弱、可能存在安全隐患如用户A把目标X的访问权赋予了用户B，用户B可能会把X访问权转赋予用户C，而A可能并不愿意让C访问X用户A把目标X的访问权赋予了用户B，而根据系统基本安全规则，B并不能访问X。48自主访问控制基于个人的策略根据哪些用户可对一个目标实施哪一种行为的列表来表

17、示。等价于用一个目标的访问矩阵列来描述基础(前提)：一个隐含的、或者显式的缺省策略例如，全部权限否决最小特权原则：要求最大限度地限制每个用户为实施授权任务所需要的许可集合在不同的环境下，缺省策略不尽相同，例如，在公开的布告板环境中，所有用户都可以得到所有公开的信息对于特定的用户，有时候需要提供显式的否定许可例如，对于违纪的内部员工，禁止访问内部一些信息49自主访问控制基于组的策略一组用户对于一个目标具有同样的访问许可。是基于身份的策略的另一种情形相当于，把访问矩阵中多个行压缩为一个行。实际使用时先定义组的成员对用户组授权同一个组可以被重复使用组的成员可以改变50B.强制访问控制强制访问控制（M

18、AC） 基于规则的访问控制，主体和客体分别定义安全等级标记，在自主访问控制的基础上还必须受到安全标记的约束。安全标记是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标记隶属于一个用户、一个目标、一个访问请求。系统强制主体服从访问控制策略。主要用于多层次安全级别的军事应用中。51强制访问控制将主体和客体分级定义用户的可信任级别及信息的敏感程度，如，绝密级，机密级，秘密级，无密级。根据主体和客体的级别关系决定访问模式访问控制关系分为上读/下写（完整性）下读/上写（保密性）通过梯度安全标签实现单向信息流通模式。52强制访问控制安全标签是限制在目标上的一组安全属性信息项。在访问控制中，一个安

19、全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。最通常的用途是支持多级访问控制策略。 在处理一个访问请求时，目标环境比较请求上的标签和目标上的标签，应用策略规则（如Bell Lapadula规则）决定是允许还是拒绝访问。53强制访问控制强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系Bell-LaPadula：保证保密性Biba：保证完整性54强制访问控制Bell-LaPadula模型（BLP模型）安全属性用二元组表示（密级，类

20、别集合）密级集合为绝密，机密，秘密，无密，且绝密机密秘密无密类别集合是系统中非分层元素集合中的一个子集，具体的元素依赖于所考虑的环境和应用领域安全属性的集合满足偏序关系为每个用户分配一个安全属性，为每个客体也分配一个安全属性55强制访问控制Bell-LaPadula模型中主体对客体访问的两个规则简单安全原则：仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体星规则：仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写等于或高于它的客体。56强制访问控制下读：低信任级别的用户不能

21、读高敏感度的信息，只能读比它信任级别更低的低敏感信息上写：不允许高敏感度的信息写入低敏感度区域，只能写入更高敏感度区域实现数据的保密性R/WWWWTSRR/WWWSRRR/WWCRRRR/WUTSSCU主体客体TS（绝密）、S（机密）、C（秘密）、U（无密）信息流57例如，某单位部分行政机构如下图：58假设计算机系统中的数据的密级为： 一般秘密机密绝密定义校长的安全级 C校长（绝密，人事处,教务处,财务处,设备处），（即校长的密级为绝密，部门属性为所有的部门）教务处长的安全级 C教=(机密,教务处)财务处长的安全级 C财=(机密,财务处)财务一科长的安全级 C一财=(秘密,财务处)财务处工作人

22、员的安全级 C工=(一般,财务处)假设财务一科长产生了一份工作文件A，文件A的安全级定义为与一科长的安全级相同，即CA=(秘密,财务处)，那么，对于文件A，只有校长和财务处长能看到，而教务处长不能看，尽管教务处长的密级是机密级，可以看秘密级的文件，但教务处长的部门属性仅是教务处,他无权看财务处的信息。 59强制访问控制BLP模型的不足应用领域较窄，使用不灵活，一般只用于军方等具有明显等级观念的领域完整性方面控制的不够好，强调信息向高安全级的方向流动，对高安全级信息的完整性保护不够60强制访问控制Biba模型Biba等人于70年代提出的，它主要是针对信息完整性保护方面的。与BLP模型类似，Bib

23、a模型用完整性等级取代了BLP模型中的敏感等级，而访问控制的限制正好与BLP模型相反：61强制访问控制Biba模型的规则简单完整规则。仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向下写，而不能向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体。完整性制约规则（星规则）。仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读客体。即主体只能从上读，而不能从下读。62强制访问控制缺陷实现工作量大管理不便不够灵活过于偏重保密性，对其他方面，如系统连续工作能力、授权的可管理性等方面考虑不足63C.基于

24、角色的访问控制20世纪90年代出现，可以有效地克服传统访问控制技术中存在的不足之处，减少授权管理的复杂性，降低管理开销。起源于UNIX系统等操作系统中组的概念基于角色的访问控制是一个复合的规则，可以被认为是DAC和MAC的变体。一个身份被分配给一个被授权的组。基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限64基于角色的访问控制所谓角色，就是一个或一组用户在组织内可执行的操作的集合角色由系统管理员定义，角色成员的增减只能由系统管理员执行，而且授权规定是强加给用户的，用户只能被动接受，用户也不能自主的将访问权限传给他人，这是一种非自主型访问控制65基于角

25、色的访问控制每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作角色与组的区别组：一组用户的集合角色：一组用户的集合 + 一组操作权限的集合客体1客体2客体3用户1用户2用户3角色1角色2权限a权限b权限c权限d66基于角色的访问控制传统的访问控制机制直接将访问主体（发出访问操作、存取要求的主动方）和客体（被调用的程序或欲存取的数据访问）相联系RBAC在主体和客体中间加入了角色，通过角色沟通主体和客体RBAC中，用户的标识对于身份认证以及审计记录非常有用，但真正决定访问权限的是用户对应的角色标识67基于角色的访问控制与DAC的区别用户与客体没有直接联系，只要通过角色才享

26、有该角色所对于的权限，从而访问相应的客体，因此用户不能自主地将访问权限授给别的用户与MAC的区别MAC是基于多级安全需求的，但RBAC不是在军事系统中关心的是防止信息从高安全级流向低安全级，即限制“谁可以读/写什么信息”基于角色控制的系统关心保护系统的完整性，即“谁可以对什么信息执行何种动作”角色控制比较灵活，根据配置可以使某些角色接近DAC，而某些角色更接近于MAC68三条安全原则:最小权限：用户所拥有的权利不能超过他执行工作时所需的权限责任分离：多个互斥的角色合作完成重要工作数据抽象：可以定义抽象的权限，而不仅仅是操作系统中的读、写、执行等基于角色的访问控制69优势便于授权管理便于角色划分

27、便于赋予最小权限原则便于职责分离便于客体分类基于角色的访问控制1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃!5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。6、无论你正遭遇着什么，你都要从落魄中站起来重