4身份认证和访问控制(武汉大学国际软件学院信息安全课程).ppt

1、1,信息安全身份认证和访问控制,杨敏 武汉大学 国际软件学院 ,2,身份认证的基本概念 身份认证机制 访问控制的基本概念 访问控制实现方法 访问控制策略,主要内容,3,身份认证,The property that ensures that the identity of a subject or resource is the one claimed. 身份认证就是确认实体是它所声明的。 身份认证是最重要的安全服务之一。实体的身份认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务） 身份认证可以对抗假冒攻击的危险,4,身份认证的需求和目的,身份认证需求： 某一成员（声称者

2、）提交一个主体的身份并声称它是那个主体。 身份认证目的： 使别的成员（验证者）获得对声称者所声称的事实的信任。,5,身份认证分类,身份认证可以分为本地和远程两类。 本地身份认证（单机环境）：实体在本地环境的初始化鉴别（就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通信）。 需要用户进行明确的操作 远程身份认证（网络环境）：连接远程设备、实体和环境的实体鉴别。 通常将本地鉴别结果传送到远程。 （1）安全 （2）易用,6,身份认证分类,身份认证可以是单向的也可以是双向的。 单向认证是指通信双方中只有一方向另一方进行鉴别。 双向认证是指通信双方相互进行鉴别。,7,身份认证,进行身份认证的

3、几种依据 用户所知道的 ：密码、口令 用户所拥有的：身份证、护照、信用卡、钥匙 用户本身的特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征,8,主要内容,身份认证的基本概念 身份认证机制 访问控制的基本概念 访问控制实现方法 访问控制策略,9,常用的身份认证机制,A. 口令机制 B. 一次性口令机制 C. 基于智能卡的机制 D. 基于个人特征的机制,10,A.口令机制,常规的口令方案中的口令是不随时间变化的口令，该机制提供弱鉴别(weak authentication)。 口令或通行字机制是最广泛研究和使用的身份鉴别法。 口令系统有许多脆弱点 外部泄露 口令猜

4、测 线路窃听 重放,11,对付外部泄露的措施, 教育、培训； 严格组织管理办法和执行手续； 口令定期改变； 每个口令只与一个人有关； 输入的口令不再现在终端上； 使用易记的口令，不要写在纸上。,12,对付口令猜测的措施, 教育、培训； 严格限制非法登录的次数； 口令验证中插入实时延迟； 限制最小长度，至少68字节以上 防止用户特征相关口令， 口令定期改变； 及时更改预设口令； 使用机器产生的口令。,13,强壮口令应符合的规则,个人名字或呢称,电话号码、生日等敏感信息,输入8字符以上口令,记录于纸上或放置于办公处,使用重复的字符,=强壮的口令,14,对付线路窃听的措施,使用保护口令机制：如单向函

5、数。 对于每个用户，系统将帐户和散列值对存储在一个口令文件中，当用户输入口令x，系统计算其散列值H(x)，然后将该值与口令文件中相应的散列值比较，若相同则允许登录。 安全性仅依赖于口令,15,B.一次性口令机制,近似的强鉴别（towards strong authentication) 一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。,16,双因素动态口令卡,双因素动态口令卡 基于密钥/时间双因素的身份认证机制； 用户登录口令随时间变化，口令一次性使用，无法预测，可以有效抵御密码窃取和重放攻击行为,17,双因素动态口令卡,相关产品 如Security Dynamics公司的Se

6、cureID设备 基于时间同步的动态密码认证系统RSA SecureID 美国Axend(现被Symantec公司兼并)是较早推出双因素身份认证系统的公司。 我国一些信息技术公司也相继推出了动态口令认证系统。如网泰金安信息技术公司、北京亿青创新信息技术有限公司、四川安盟电子信息安全有限公司等。,18,双因素动态口令卡-举例,北京亿青创新信息技术有限公司-易码通（EasyPass）动态口令系统。 动态口令卡是发给每个用户的动态口令发生器，通过同步信任认证算法，以时间为参数，每隔16-64秒产生一个一次性使用的“动态口令”。,19,双因素动态口令卡-举例,2468,723656,PIN,TOKEN

7、CODE,20,令牌码的产生,令牌码的产生? 时间 UCT时间 算法 伪随机函数 种子 随机数,Algorithm,=,21,认证过程,访问请求 (加密的),访问请求被通过 (加密的),登录者,ACE/代理,ACE/服务器,User-ID: 安盟 password: 1234 234836,用户进入一个 SecurID保护的网络, 应用或服务。系统将提示用户输入用户名和一次性密码 (PASSCODE),PIN 1234,22,种子,时间,354982,安盟身份认证服务器,安盟令牌,算法,种子,时间,354982,算法,相同的种子,相同的时间,时间同步技术,23,C.基于智能卡的机制,优点 基于

8、智能卡的认证方式是一种双因素的认证方式（PIN+智能卡） 智能卡提供硬件保护措施和加密算法 缺点 智能卡和接口设备之间的信息流可能被截获 智能卡可能被伪造 职员的作弊行为,24,基于智能卡的机制,安全措施 对持卡人、卡和接口设备的合法性的相互验证 重要数据加密后传输 卡和 接口设备中设置安全区，安全区中保护逻辑电路或外部不可读的存储区 明确有关人员的责任，并严格遵守 设置止付名单,25,基于电子钥匙的机制,电子钥匙是一种通过USB直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备，用于存储一些个人信息或证书，它内部的密码算法可以为数据传输提供安全的管道，是适合单机或网络应用的安全防护产

9、品。其安全保护措施与智能卡相似。,26,D.基于生物特征的机制,以人体唯一的、可靠的、稳定的生物特征为依据 指纹识别 视网膜识别 虹膜识别 手形识别 签名识别 声纹识别,27,身份认证的基本概念 身份认证机制 访问控制的基本概念 访问控制实现方法 访问控制策略,主要内容,28,访问控制安全服务,ISO7498-2定义了五大安全服务 对象认证 访问控制 数据保密性 数据完整性 防抵赖性,29,基本概念,一般定义 是针对越权使用资源的防御措施 访问控制的基本任务是防止非法用户即未授权用户进入系统和合法用户即授权用户对系统资源的非法使用 用户身份的识别和认证 对访问的控制 审计跟踪,30,访问控制,

10、授权数据库,访问监视器,审计,身份认证,访问控制,31,访问控制系统的实体,主体（subject） 发出访问操作、存取请求的主动方，通常可以是用户或用户的某个进程等 客体（object） 被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源 安全访问策略 一套规则，用以确定一个主体是否对客体拥有访问权限。,32,访问控制的目的,限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用； 决定用户能做什么，也决定代表一定用户利益的程序能做什么,33,身份认证的基本概念 身份认证机制 访问控制的基本概念 访问控制实现方法 访问控制策略,

11、主要内容,34,访问控制的实现方法,A. 访问控制矩阵 B. 访问能力表 C. 访问控制表 D. 授权关系表,35,A.访问控制矩阵,访问控制表示为一个矩阵的形式 列表示客体（各种资源） 行表示主体（通常为用户） 行和列的交叉点表示某个主体对某个客体的访问权限（比如读、写、执行、修改、删除等）,36,Own的确切含义可能因系统不同而异，通常一个文件的Own权限表示授予（authorize）或撤销（revoke）其他用户对该文件的访问控制权限。,37,缺点: 访问控制矩阵中很多单元是空白项 为了减轻系统开销与浪费 从主体（行）出发，表示矩阵的某一行的信息访问能力表（Access Capabili

12、ties List） 从客体（列）出发，表示矩阵某一列的信息访问控制表（Access Control List）,38,B.访问能力表,能力（Capability）是受一定机制保护的客体标志，标记了客体以及主体（访问者）对客体的访问权限。 只有当一个主体对某个客体拥有访问的能力时，它才能访问这个客体。,39,John,Bob,40,访问能力表的优点： 访问能力表着眼于某一主体的访问权限，以主体的出发点描述控制信息，因此很容易获得一个主体所被授权可以访问的客体及其权限。 访问能力表的缺点： 如果要求获得对某一特定客体有特定权限的所有主体比较困难。 访问控制服务应该能够控制可访问某一个客体的主体集

13、合，能够授予或取消主体的访问权限。于是出现了以客体为出发点的实现方式访问控制表。,41,C.访问控制表,访问控制表（ACL）对某个指定的资源指定任意一个用户的权限，还可以将具有相同权限的用户分组，并授予组的访问权限,File1,42,访问控制表的优点： 访问控制表（ACL）表述直观、易于理解，比较容易查出对某一特定资源拥有访问权限的所有用户，有效地实施授权管理。 在一些实际应用中，还对ACL进行了扩展，以进一步控制用户的合法访问时间，是否需要审计等 访问控制表的局限：应用到网络规模较大、需求复杂的企业的内部网络时 当网络中资源很多时，需要在ACL中设定大量的表项。而且为了实现整个组织范围内的一

14、致的控制策略，需要各管理部门的密切合作。 单纯使用ACL，不易实现最小权限原则及复杂的安全政策,43,D.授权关系表,使用一张表描述主体和客体之间的关系，可以对表进行排序,44,身份认证的基本概念 身份认证机制 访问控制的基本概念 访问控制实现方法 访问控制策略,主要内容,45,访问控制策略,A. 自主访问控制（DAC） B. 强制访问控制（MAC） C. 基于角色的访问控制（RBAC）,46,A.自主访问控制,自主访问控制（DAC） 最早出现在七十年代初期的分时系统中，它是多用户环境下最常用的一种访问控制手段。 用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源。

15、DAC有时又被称为为基于主人的访问控制,47,自主访问控制,优点 根据主体的身份及允许访问的权限进行决策 自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。 灵活性高，被大量采用，Windows、UNIX系统采用。 缺点 过于灵活、限制较弱、可能存在安全隐患 如用户A把目标X的访问权赋予了用户B，用户B可能会把X访问权转赋予用户C，而A可能并不愿意让C访问X 用户A把目标X的访问权赋予了用户B，而根据系统基本安全规则，B并不能访问X。,48,自主访问控制基于个人的策略,根据哪些用户可对一个目标实施哪一种行为的列表来表示。 等价于用一个目标的访问矩阵列来描述 基础(前提)：

16、一个隐含的、或者显式的缺省策略 例如，全部权限否决 最小特权原则：要求最大限度地限制每个用户为实施授权任务所需要的许可集合 在不同的环境下，缺省策略不尽相同，例如，在公开的布告板环境中，所有用户都可以得到所有公开的信息 对于特定的用户，有时候需要提供显式的否定许可 例如，对于违纪的内部员工，禁止访问内部一些信息,49,自主访问控制基于组的策略,一组用户对于一个目标具有同样的访问许可。是基于身份的策略的另一种情形 相当于，把访问矩阵中多个行压缩为一个行。 实际使用时 先定义组的成员 对用户组授权 同一个组可以被重复使用 组的成员可以改变,50,B.强制访问控制,强制访问控制（MAC） 基于规则的

17、访问控制，主体和客体分别定义安全等级标记，在自主访问控制的基础上还必须受到安全标记的约束。 安全标记是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标记隶属于一个用户、一个目标、一个访问请求。 系统强制主体服从访问控制策略。主要用于多层次安全级别的军事应用中。,51,强制访问控制,将主体和客体分级 定义用户的可信任级别及信息的敏感程度，如，绝密级，机密级，秘密级，无密级。 根据主体和客体的级别关系决定访问模式 访问控制关系分为 上读/下写（完整性） 下读/上写（保密性） 通过梯度安全标签实现单向信息流通模式。,52,强制访问控制,安全标签是限制在目标上的一组安全属性信息项。在访问控制

18、中，一个安全标签隶属于一个用户、一个目标、一个访问请求或传输中的一个访问控制信息。 最通常的用途是支持多级访问控制策略。 在处理一个访问请求时，目标环境比较请求上的标签和目标上的标签，应用策略规则（如Bell Lapadula规则）决定是允许还是拒绝访问。,53,强制访问控制,强制访问控制(MAC)中，系统包含主体集S和客体集O，每个S中的主体s及客体集中的客体o，都属于一固定的安全类SC，安全类SC=包括两个部分：有层次的安全级别和无层次的安全范畴。构成一偏序关系 Bell-LaPadula：保证保密性 Biba：保证完整性,54,强制访问控制,Bell-LaPadula模型（BLP模型）

19、安全属性用二元组表示（密级，类别集合） 密级集合为绝密，机密，秘密，无密，且绝密机密秘密无密 类别集合是系统中非分层元素集合中的一个子集，具体的元素依赖于所考虑的环境和应用领域 安全属性的集合满足偏序关系 为每个用户分配一个安全属性，为每个客体也分配一个安全属性,55,强制访问控制,Bell-LaPadula模型中主体对客体访问的两个规则 简单安全原则：仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体 星规则：仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写等于或高于它的

20、客体。,56,强制访问控制,下读：低信任级别的用户不能读高敏感度的信息，只能读比它信任级别更低的低敏感信息 上写：不允许高敏感度的信息写入低敏感度区域，只能写入更高敏感度区域 实现数据的保密性,主体,客体,TS（绝密）、S（机密）、C（秘密）、U（无密）,57,例如，某单位部分行政机构如下图：,58,假设计算机系统中的数据的密级为： 一般秘密机密绝密 定义校长的安全级 C校长（绝密，人事处,教务处,财务处,设备处）， （即校长的密级为绝密，部门属性为所有的部门） 教务处长的安全级 C教=(机密,教务处) 财务处长的安全级 C财=(机密,财务处) 财务一科长的安全级 C一财=(秘密,财务处) 财

21、务处工作人员的安全级 C工=(一般,财务处) 假设财务一科长产生了一份工作文件A，文件A的安全级定义为与一科长的安全级相同，即CA=(秘密,财务处)，那么，对于文件A，只有校长和财务处长能看到，而教务处长不能看，尽管教务处长的密级是机密级，可以看秘密级的文件，但教务处长的部门属性仅是教务处,他无权看财务处的信息。,59,强制访问控制,BLP模型的不足 应用领域较窄，使用不灵活，一般只用于军方等具有明显等级观念的领域 完整性方面控制的不够好，强调信息向高安全级的方向流动，对高安全级信息的完整性保护不够,60,强制访问控制,Biba模型 Biba等人于70年代提出的，它主要是针对信息完整性保护方面

22、的。与BLP模型类似，Biba模型用完整性等级取代了BLP模型中的敏感等级，而访问控制的限制正好与BLP模型相反：,61,强制访问控制,Biba模型的规则 简单完整规则。仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向下写，而不能向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体。 完整性制约规则（星规则）。仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读客体。即主体只能从上读，而不能从下读。,62,强制访问控制,缺陷 实现工作量大 管理不便 不够灵活 过于偏重保密性，对其他方面，如系统连续工作能力、授权的可管理性等方面考虑不足,63,C.基于角色的访问控制,20世纪90年代出现，可以有效地克服传统访问控制技术中存在的不足之处，减少授权管理的复杂性，降低管理开销。 起源于UNIX系统等操作系统中组的概念 基于角色的访问控制是一个复合的规则，可以被认为是DAC和MAC的变体。一个身份被分配给一个被授权的组。 基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限,64