信息安全访问控制技术概述

1、信息安全访问控制技术概述课程内容2访问控制知识体知识域访问控制模型访问控制技术知识子域标识和鉴别技术典型访问控制方法和实现强制访问控制模型访问控制模型基本概念自主访问控制模型知识域：访问控制模型知识子域：访问控制基本概念理解标识、鉴别和授权等访问控制的基本概念理解常用访问控制模型分类3访问控制的概念和目标访问控制：针对越权使用资源的防御措施目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。4访问控制的作用未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源

2、的使用合法用户对系统资源的非法使用作用：机密性、完整性和可用性(CIA)5主体与客体主体发起者，是一个主动的实体，可以操作被动实体的相关信息或数据用户、程序、进程等客体一种被动实体，被操作的对象，规定需要保护的资源文件、存储介质、程序、进程等6主体与客体之间的关系主体：接收客体相关信息和数据，也可能改变客体相关信息一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们客体：始终是提供、驻留信息或数据的实体主体和客体的关系是相对的，角色可以互换7 授权 规定主体可以对客体执行的操作：读写执行拒绝访问8标识标识是实体身份的一种计算机表达，每个实体与计

3、算机内部的一个身份表达绑定标识的主要作用：访问控制和审计访问控制：标识用于控制是否允许特定的操作审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来9主体标识的实例主体的标识在UNIX中，主体（用户）的身份标识为0-65535之间的一个整数，称为用户身份号（UID）常见的主体标识还包括用户名、卡、令牌等，也可以是指纹、虹膜等生物特征10客体标识的实例客体的标识文件名文件描述符或句柄文件分配表的条目UNIX中提供了四种不同的文件标识：inode文件描述符绝对路径文件名相对路径文件名11鉴别确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需

4、要的实体口令、挑战-应答、生物特征鉴别所有其它的安全服务都依赖于该服务需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体目的：使别的成员（验证者）获得对声称者所声称的事实的信任12访问控制的两个重要过程第一步：鉴别检验主体的合法身份第二步：授权限制用户对资源的访问权限13访问控制模型主 体客 体访问控制实施访问控制决策提交访问 请求请求决策决 策提出访问 请求14什么是访问控制模型对一系列访问控制规则集合的描述，可以是非形式化的，也可以是形式化的。组成访问控制模型的分类访问控制模型强制访问控制模型（MAC）自主访问控制模型（DAC）访问矩阵模型访问控制列表（ACL）权能列表（Capa

5、city List）Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色访问控制模型（RBAC）混合策略模型15知识域：访问控制模型知识子域：自主访问控制模型理解自主访问控制的含义理解访问控制矩阵模型，及其实现方法：访问控制列表、权能列表理解自主访问控制模型的特点16自主访问控制的含义允许客体的属主（创建者）决定主体对该客体的访问权限灵活地调整安全策略具有较好的易用性和可扩展性常用于商业系统安全性不高17自主访问控制的实现机制和方法实现机制 访问控制表/矩阵实现方法 访问控制表（Access Control

6、Lists） 访问能力表（Capacity List） 18目标xR、W、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W 目标用户 访问许可与访问模式访问许可(Access Permission)：描述主体对客体所具有的控制权定义了改变访问模式的能力或向其它主体传送这种能力的能力访问模式：描述主体对客体所具有的访问权指明主体对客体可进行何种形式的特定访问操作：读/写/运行 19访问许可的类型等级型（Hierarchical）有主型（Owner） 每个客体设置一个拥有者（一般是客体的生成者），拥有者是唯一有权修改客体访问控制表的主体，拥有者对其客体具有全部

7、控制权自由型（Laissez-faire）20访问模式的类型对文件的访问模式设置如下：读-拷贝写-删除/更改运行无效21访问控制矩阵行：主体（用户）列：客体（文件）矩阵元素：规定了相应用户对应于相应的文件被准予的访问许可、访问权限客体x客体y客体z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W22访问控制表访问控制矩阵按列：访问控制表访问控制表：每个客体可以被访问的主体及权限客体y主体b主体dRWOwnRW23访问能力表访问控制矩阵按行：访问能力表访问能力表：每个主体可访问的客体及权限主体b客体x客体yRRWOwn24访问控制表与访问能力表的比较ACLCL保存位置客

8、体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统25自主访问控制的特点 优点：根据主体的身份和访问权限进行决策具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体灵活性高，被大量采用缺点：信息在传递过程中其访问权限关系会被改变26知识域：访问控制模型知识子域：强制访问控制模型理解强制访问控制的分类和含义掌握典型强制访问控制模型：Bell-Lapudula模型、Biba模型、Clark-Wilson模型和Chinese Wall模型理解强制访问控制模型的特点27强制访问控制的含义主体对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无

9、权控制客体的访问权限，以防止对信息的非法和越权访问主体和客体分配有一个安全属性应用于军事等安全要求较高的系统可与自主访问控制结合使用28常见强制访问控制模型BLP模型 提供保密性1973年提出的多级安全模型，影响了许多其他模型的发展，甚至很大程度上影响了计算机安全技术的发展Biba模型1977年，Biba提出的一种在数学上与BLP模型对偶的完整性保护模型Clark-Wilson模型1987年，David Clark和David Wilson开发的以事务处理为基本操作的完整性模型，该模型应用于多种商业系统Chinese Wall模型1989年，D. Brewer和M. Nash提出的同等考虑保密

10、性与完整性的安全策略模型，主要用于解决商业中的利益冲突29BLP模型的组成主体集：S客体集：O安全级：密级和范畴密级：绝密、机密、秘密、公开范畴：NUC、EUR、US偏序关系：支配 安全级L=(C,S)高于安全级L=(C,S)，当且仅当满足以下关系：C C，S S30BLP模型规则（一）简单安全特性(与读有关的特性)：S可以读O，当且仅当S的安全级可以支配O的安全级，且S对O具有自主型读权限向下读*特性(与写有关的特性)：S可以写O，当且仅当O的安全级可以支配S的安全级，且S对O具有自主型写权限向上写31BLP模型规则（二）当一个高等级的主体必须与另一个低等级的主体通信，即高等级的主体写信息到

11、低等级的客体，以便低等级的主体可以读主体有一个最高安全等级和一个当前安全等级，最高安全等级必须支配当前等级主体可以从最高安全等级降低下来，以便与低安全等级的实体通信32BLP模型实例33Biba模型的组成主体集：S客体集：O安全级：完整级和范畴完整等级：Crucial，Very Important，Important范畴：NUC、EUR、US偏序关系：支配 完整级L=(C,S)高于完整级L=(C,S)，当且仅当满足以下关系：C C，S S34Biba模型规则与实例S可以读O，当且仅当O的安全级支配S的安全级S可以写O，当且仅当S的安全级支配O的安全级上读下写35Clark-Wilson模型的目

12、标解决商业系统最关心的问题：系统数据的完整性以及对这些操作的完整性一致性状态：数据满足给定属性，就称数据处于一个一致性状态实例：今天到目前为止存入金额的总数：D今天到目前为止提取金额的总数：W昨天为止所有账户的金额总数：YB今天到目前为止所有账户的金额总数：TB一致性属性：D+YB-W=TB36Clark-Wilson模型的组成约束型数据项（CDI）：所有从属于完整性控制的数据，如：账户结算非约束型数据项（UDI）：不从属于完整性控制的数据CDI集合和UDI集合是模型中所有数据集合的划分完整性验证过程（IVP）：检验CDI是否符合完整性约束，如果符合，则称系统处于一个有效状态，如：检查账户的结

13、算转换过程（TP）：将系统数据从一个有效状态转换为另一个有效状态，实现了定义的事务处理，如：存钱、取钱、转账37Clark-Wilson模型规则（一）证明规则1（CR1）：当任意一个IVP在运行时，它必须保证所有的CDI都处于有效状态证明规则2（CR2） ：对于某些相关联的CDI集合，TP必须将那些CDI从一个有效状态转换到另一个有效状态实施规则1（ER1）：系统必须维护所有的证明关系，且必须保证只有经过证明可以运行该CDI的TP才能操作该CDI38Clark-Wilson模型规则（二）实施规则2（ER2）：系统必须将用户与每个TP及一组相关的CDI关联起来。TP可以代表相关用户来访问这些CD

14、I。如果用户没有与特定的TP及CDI相关联，那么这个TP将不能代表那个用户对CDI进行访问证明规则3（CR3）：被允许的关系必须满足职责分离原则所提出的要求实施规则3（ER3）：系统必须对每一个试图执行TP的用户进行认证39Clark-Wilson模型规则（三）证明规则4（CR4）：所有的TP必须添加足够多的信息来重构对一个只允许添加的CDI的操作证明规则5（CR5）：任何以UDI为输入的TP，对于该UDI的所有可能值，只能执行有效的转换，或者不进行转换。这种转换要么是拒绝该UDI，要么是将其转化为一个CDI实施规则4（ER4）：只有TP的证明者可以改变与该TP相关的一个实体列表。TP的证明者

15、，或与TP相关的实体的证明者都不会有对该实体的执行许可40Clark-Wilson模型 自由数据条目 Unconstrained Data Item (UDI) 受限数据条目 Constrained Data Item (CDI) 转换程序 Transformation Procedure (TP) 完整性检查程序 Integrity Verification Procedure (IVP) 数据库服务器应用程序服务器用户TP转换UD1为CDI1TP基于CDI1更新CDI2(订单)和CDI3(账单)IVP检查所有订单和账单(CDI2/CDI3)Chinese Wall模型的组成（一）主体集：S

16、客体集：O无害客体：可以公开的数据有害客体：会产生利益冲突，需要限制的数据PR(S)表示S曾经读取过的客体集合42Chinese Wall模型的组成（二）公司数据集CD：与某家公司相关的若干客体利益冲突(COI)类：若干相互竞争的公司的数据集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x43Chinese Wall模型规则CW-简单安全特性：S能读取O，当且仅当以下任一条件满足： （1）存在一个O，它是S曾经访问过的客体，并且 CD（O）= CD（O）（2）对于所有的客体O， O PR（S），则 COI（O） COI（O）（3）O是无害客体CW-*-特性： S能写O，当

17、且仅当以下两个条件同时满足： （1）CW-简单安全特性允许S读O （2）在其它COI类上不存在该主体可以读取的客体44Chinese Wall模型实例45自主访问控制与强制访问控制的比较自主访问控制细粒度灵活性高配置效率低强制访问控制控制粒度大灵活性不高安全性强46基于角色的访问控制由NIST的Ferraiolo等人在90年代提出NIST成立专门机构进行研究1996年提出一个较完善的基于角色的访问控制参考模型RBAC9647RBAC 模型的基本思想RBAC的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。一个用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行

18、某种操作。安全管理员用户角色/权限指定访问或操作激活48RBAC 96的组成RBAC0: 含有RBAC核心部分RBAC1: 包含RBAC0，另含角色继承关系(RH)RBAC2: 包含RBAC0，另含限制(Constraints)RBAC3: 包含所有层次内容，是一个完整模型49RBAC 模型的组成（一）用户（User）：访问计算机资源的主体，用户集合为 U角色（role）：一种岗位，代表一种资格、权利和责任，角色集合为 R权限（permission）：对客体的操作权力，权限集合为 P用户分配（User Assignment）将用户与角色关联。用户 u与角色 r关联后，将拥有 r的权限50RBA

19、C 模型的组成（二）权限分配（Permission Assignment）将角色与权限关联权限 p与角色 r关联后，角色 r将拥有权限 p激活角色（Active Role）角色只有激活才能起作用，否则不起作用通过会话激活角色会话（Session）用户要访问系统资源时，必须先建立一个会话一次会话仅对应一个用户，一次会话可激活几个角色51RBAC 模型的基本机制52RBAC模型实例53RBAC模型的特点便于授权管理（角色的变动远远低于个体的变动）便于处理工作分级，如文件等资源分级管理利用安全约束，容易实现各种安全策略，如最小特权、职责分离等便于任务分担，不同角色完成不同的任务54知识域：访问控制技

20、术知识子域：标识和鉴别技术理解账号和口令管理的基本原则了解生物识别技术及其实现（虹膜、指纹、掌纹等）了解其他鉴别技术（令牌、票据等）了解单点登录技术（SSO）及其实现（Kerberos等）55标识和鉴别的作用作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份访问控制直接对机密性、完整性、可用性及合法使用资源提供支持作为数据源认证的一种方法与数据完整性机制结合起来使用作为审计追踪的支持在审计追踪记录时，提供与某一活动关联的确知身份56鉴别的分类本地鉴别和远程鉴别本地鉴别：实体在本地环境的初始化鉴别远程鉴别：连接远程设备的实体鉴别单向鉴别和双向鉴别单向鉴别：通信双方中只有一方向另一方进行鉴

21、别双向鉴别：通信双方相互进行鉴别57鉴别系统的组成被验证者P（Prover）：出示身份标识的人，又称声称者（Claimant）验证者V（Verifier）：检验声称者提出的身份标识的正确性和合法性，决定是否满足要求可信赖者TP（Trusted Third Party）：参与鉴别的第三方，参与调解纠纷P VTP58鉴别的基本途径基于你所知道的（What you know ）知识、口令、密码基于你所拥有的（What you have ）身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征（What you are）指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素、多因素认证59常见的鉴别技术基于口

22、令的身份认证基于生物特征的身份认证基于个人令牌的身份认证Kerberos身份认证协议60基于口令的身份认证口令是使用最广泛的身份鉴别方法选择原则：易记、难猜测、抗分析能力强口令提供弱鉴别，面临的威胁：口令猜测线路窃听重放攻击61 少于8个字符 单一的字符类型，例如只用小写字母，或只用数字 用户名与口令相同 最常被人使用的弱口令： 自己、家人、朋友、亲戚、宠物的名字 生日、结婚纪念日、电话号码等个人信息 工作中用到的专业术语，职业特征 字典中包含的单词，或者只在单词后加简单的后缀 业务系统与非业务系统使用相同的口令 口令一直不变脆弱的口令防止口令猜测严格限制登录的次数限制最小长度，至少6至8位以

23、上防止使用用户特征相关的口令定期改变口令使用机器生成的口令63 找到一个生僻但易记的短语或句子（可以摘自歌曲、书本或电影），然后创建它的缩写形式，其中包括大写字母和标点符号等。I like the song Take Me to Your Heart !IltsTM2YH!My son Tom was born at 8:05MsTwb8:05口令设置（举例）防止线路窃听使用保护口令机制：单向函数攻击者很容易构造一张q与p对应的表，表中的p尽可能包含所期望的值解决办法：在口令后使用随机数65一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击口令的确定方法：两端共同拥有一串随机口令，

24、在该串的某一位置保持同步两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步使用时间戳，两端维持同步的时钟66双因素动态口令卡基于密钥/时间双因素的身份鉴别机制用户登录口令随时间变化，口令一次性使用，无法预测，可以有效抵御密码窃取和重放攻击67双因素动态口令的强度没有器件而知道口令p，不能导致一个简单的攻击拥有器件而不知道口令p，不能导致一个简单的攻击除非攻击者也能进行时间同步，否则难以实现重放攻击知道q而不知道设备安全值dsv，不能导致一个简单的攻击68基于生物特征的身份认证（一）每个人所具有的唯一生理特征指纹，视网膜，声音，虹膜、语音、面部、签名等指纹一些曲线和分叉以及一些非常微小

25、的特征提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询手掌、手型 手掌有折痕，起皱，还有凹槽还包括每个手指的指纹 人手的形状（手的长度，宽度和手指）表示了手的几何特征 69基于生物特征的身份认证（二）视网膜扫描 扫描眼球后方的视网膜上面的血管的图案；虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状70指纹识别的实现原理通过特殊的光电扫描和计算机图像处理技术，对指纹进行采集、分析和

26、比对，自动、迅速、准确地认证出个人身份。指纹识别的过程按照用户和姓名等信息将其存在指纹数据库中的模板指纹调出来，然后再用用户输入的指纹与该模板的指纹相匹配，以确定这两幅指纹是否出于同一幅指纹。指纹图象采集仪图象输入通道指纹细节匹配认证结果71虹膜识别的实现原理（一）虹膜是环绕在瞳孔四周有色彩的部分每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构每一个人的虹膜各不相同，一个人的左眼和右眼就可能不一样，即使是双胞胎的虹膜也可能不一样人的虹膜在出生后6-18个月成型后终生不再发生变化72虹膜识别的实现原理（二）73基于生物特征的认证系统的误判第一类

27、错误：错误拒绝率（FRR）误报第二类错误：错误接受率（FAR）漏报交叉错判率（CER）：FRR=FAR的交叉点CER用来反映系统的准确度%安全性FAR(II)FRR(I)CER74基于个人令牌的身份认证集成电路卡（Integrated Circuit Card）简称IC卡，其中镶嵌集成电路芯片IC卡的分类IC卡接口类型接触式IC卡非接触式IC卡双界面卡嵌入集成电路芯片的形式和类型非加密存储卡逻辑加密卡 （EEPROM存储单元阵列 + 密码控制逻辑单元)CPU卡（又称智能卡）75智能卡的安全特性硬件与外界通信前，先完成智能卡与终端间的认证加入安全传感器，防止在数据被读出或写入时被修改发生异常，智

28、能卡复位，或者置标志位，使智能卡操作系统做出相应反应存储器加密，不保存任何明文软件使用需要通过双因素认证，进入操作智能卡的安全状态信息采用文件系统进行保存，依据类型或密钥的不同，提供不同的访问操作支持DES、3DES和RSA等密码算法76基于智能卡的身份认证77智能卡客户端服务端发出登录请求要求用户完成身份认证请求读出公钥证书要求验证PIN输入PIN完成验证，读出证书发送证书，服务器验证证书有效性签名正确，发出随机数N请求对N用私钥签名返回私钥签名的结果签名结果作为响应，服务器验证签名验证正确，允许用户登录单点登录技术单点登录（SSO，Single Sign-on）用户只需在登录时进行一次注册

29、，就可以访问多个系统，不必重复输入用户名和密码来确定身份实质是安全上下文（Security Context）或凭证（Credential）在多个应用系统之间的传递或共享单点登录的优点方便用户方便管理员简化应用系统开发78Kerberos认证协议美国麻省理工学院（MIT）为Athena项目开发的一种身份鉴别协议“Kerberos”的本意是希腊神话中守护地狱之门的守护者 Kerberos提供了一个网络环境下的身份认证框架结构实现采用对称密钥加密技术公开发布的Kerberos版本包括版本4和版本5 安全性、可靠性、可伸缩性、透明性79Kerberos认证协议使用条件有一个时钟基本同步的环境客户机与K

30、DC（ Key Distribution Center ）， KDC与服务器在协议工作前已经有了各自的共享密钥组成密钥分发中心（KDC）：由两个独立的逻辑部分组成认证服务器AS（Authentication Server）票据授权服务器TGS（Ticket Granting Server）票据许可票据TGT80获得票据许可票据81第一步：获得票据许可票据用户登录客户机请求主机服务认证服务器（AS）在数据库中验证用户的访问权限，生成票据许可票据和会话密钥，它们用由用户口令导出的密钥进行加密AS客户机请求票据许可票据(TGT)票据+会话密钥TGT +（kc,tgs）获得服务许可票据82第二步：获得

31、服务许可票据客户机提示用户输入口令来对收到的报文进行解密，然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往票据授权服务器TGS票据授权服务器TGS对票据和鉴别符进行解密，验证请求，然后生成服务许可票据TGS客户机请求服务许可票据(SGT)票据+会话密钥SGT +（kc,s）获得服务83第三步：获得服务客户机将票据和鉴别符发给服务器服务器验证票据和鉴别符是否匹配，然后许可访问服务。如果需要双向鉴别，服务器返回一个鉴别符服务器客户机请求服务提供服务器鉴别符Kerberos认证协议的特点优点单点登录，只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务

32、器的认证而不必重新输入密码 与授权机制相结合支持双向的身份认证通过交换“跨域密钥”实现分布式网络环境下的认证缺点AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全时钟同步问题身份认证采用的是对称加密机制，随用户数量增加，密钥管理较复杂84知识域：访问控制技术知识子域：典型访问控制方法和实现理解集中访问控制的基本概念及其实现（RADIUS、TACACS、TACACS+和Diameter等）理解非集中访问控制的基本概念及其实现（域等）85集中访问控制的基本概念及实现RADIUS协议TACACS协议TACACS+协议Diameter协议86RADIUS协议远

33、程用户拨号认证系统（Remote Authentication Dial In User Service）最初由Livingston公司提出，为拨号用户进行认证和计费，经多次改进，形成了一项通用的认证计费协议RADIUS是一种C/S结构的协议，它的客户端最初就是NAS （Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端基本设计组件有认证、授权和记账(AAA)87RADIUS协议的基本消息交互流程应用服务器远程访问服务器（RAS）/RADIUS客户端RADIUS服务器1234RADIUS协议的特点简单明确，可扩充使用UDP端口1

34、812，1813；不足：口令传输一般为明文；可使用MD5进行加密；授权作为认证的一部分；属性值空间有限；最多支持255个并发请求；最多支持255个厂商定义属性值；单向RADIUSServerPSTN/ISDNCorporateNetwork89RADIUSClientTACACS协议终端访问控制器访问控制系统（ Terminal Access Controller Access-Control System ）允许远程访问服务器传送用户登录密码给认证服务器，认证服务器决定该用户是否可以登录系统基于UDP协议90TACACS+协议终端访问控制器访问控制系统（ Terminal Access Controller Access-Control System ）TACACS+是TACACS 的最新版本基于TCP协议。客户/服务器型协议：TACACS+客户机通常是一个NAS；而TACACS+服务器是一个监控程序，监听49号端口。基本设计组件有认证、授权和记账(AAA)91TACACS+认证包类型TACACS+认证用到3种类型的包：START ：TACACS+客户机发送给TACACS+