安全技术ch06身份认证与访问控制电商.ppt

2023/11/2,Ch6-身份认证与访问控制,1,第6章 身份认证与访问控制,主要知识点：-身份认证-访问控制概述-自主访问控制-强制访问控制-基于角色的访问控制,2023/11/2,Ch6-身份认证与访问控制,2,在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，如他是某个雇员，某个组织的代理、某个软件过程（如交易过程）等。身份认证(authentication)是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权(authorization)不同。身份认证又称实体鉴别,2023/11/2,Ch6-身份认证与访问控制,3,实体鉴别(Entity Authentication)实体鉴别就是确认实体是它所声明的，即证实主体的真实身份与其所声称的身份是否相符的过程。某一成员（声称者，示证者）提交一个主体的身份并声称它是那个主体。实体鉴别目的是使别的成员（验证者）获得对声称者所声称的事实的信任。实体鉴别的例子sina的邮件登录、Telnet远程登录、Ftp服务等,2023/11/2,Ch6-身份认证与访问控制,4,实体鉴别系统中可能涉及的实体一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trusted thirdparty)，参与调解纠纷。第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。,2023/11/2,Ch6-身份认证与访问控制,5,实体鉴别的重要性实体鉴别是最重要的安全服务之一。鉴别服务提供了关于某个实体身份的保证。（很多其它的安全服务都依赖于该服务，如访问控制和审计服务）作为访问控制服务的一种必要支持，访问控制服务的执行依赖于确知的身份（访问控制服务直接对达到机密性、完整性、可用性及合法使用目标提供支持）；作为对责任原则的一种直接支持，例如，在审计追踪过程中做记录时，提供与某一活动相联系的确知身份。实体鉴别可以对抗假冒攻击的危险,2023/11/2,Ch6-身份认证与访问控制,6,对身份鉴别系统的要求（1）验证者正确识别合法申请者的概率极大化。（2）不具有可传递性（Transferability)（3）攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度（4）第三方的实时参与*（5）第三方的可信赖性*（6）可证明的安全性,2023/11/2,Ch6-身份认证与访问控制,7,零知识证明下面是一个故事：Alice:“我知道联邦储备系统计算的口令”Bob:“不，你不知道”Alice：我知道Bob：你不知道Alice：我确实知道Bob：请你的证实这一点Alice：好吧，我告诉你。（她悄悄说出了口令）Bob：现在我也知道了。我要告诉华盛顿邮报Alice：啊呀！,2023/11/2,Ch6-身份认证与访问控制,8,零知识证明把这个问题一般化，用P表示示证者，V表示验证者，P试图向V证明自己知道某信息。一种方法是P说出这一信息使得V相信，这样V也知道了这一信息，这叫基于知识的证明；另一种方法是使用某种有效的方法，使得V相信他掌握这一信息，却不泄漏任何有用的信息，这种方法称为零知识证明问题。零知识证明满足2个条件：P几乎不可能欺骗VV无法从P那里得到任何有关证明的知识，特别是他不可能向别人重复证明过程,2023/11/2,Ch6-身份认证与访问控制,9,零知识证明技术零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。在网络身份鉴别中，已经提出了零知识技术的一些变形，例如，FFS方案，FS方案和GQ方案。一般地，验证者颁布大量的询问给声称者，声称者对每个询问计算一个回答，而在计算中使用了秘密信息。,2023/11/2,Ch6-身份认证与访问控制,10,图6.1身份认证是安全系统中的第一道关卡,单向认证和双向认证软件认证和硬件认证单因子认证和双因子认证静态认证和动态认证 认证手段:基于用户所知道的(what you know)基于用户所拥有的(what you have)基于用户本身的（生物特征如：语音特征、笔迹特征或指纹）,相关概念,2023/11/2,Ch6-身份认证与访问控制,12,身份认证的基本方法,用户名/密码方式 IC卡认证方式 动态口令方式 生物特征认证方式 USB Key认证方式,2023/11/2,Ch6-身份认证与访问控制,13,用户名/密码方式,是一种基于“用户所知道”的验证手段 每一个合法用户都有系统给的一个用户名/口令对，当用户要求访问提供服务的系统时，系统就要求输入用户名、口令，在收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。如果正确，则该用户的身份得到了验证。优点：由于一般的操作系统都提供了对口令认证的支持，对于封闭的小型系统来说是一种简单可行的方法。缺点：是一种单因素的认证，它的安全性依赖于密码。由于许多用户为了防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，因此极易造成密码泄露。密码一旦泄露，用户即可被冒充。,2023/11/2,Ch6-身份认证与访问控制,14,常规的口令方案涉及不随时间变化的口令，提供所谓的弱鉴别(weak authentication)。口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为不小于5的字符串。选择原则：易记、难猜、抗分析能力强。口令系统有许多脆弱点：外部泄露 口令猜测 线路窃听 重放,2023/11/2,Ch6-身份认证与访问控制,15,POP3 passwd,2023/11/2,Ch6-身份认证与访问控制,16,帐号口令机制的改进考虑,改进(争取不要传输直接的明文口令)传输口令的变化:口令的散列值传输口令的变化:口令和时间的散列值由服务器发起挑战:一随机数用户返回散列值 随机数|口令,2023/11/2,Ch6-身份认证与访问控制,17,动态口令方式,是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术 采用动态密码卡(专用硬件)，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。用户将动态令牌上显示的当前密码输入，由这个信息的正确与否可识别使用者的身份。优点：采用一次一密的方法，不能由产生的内容去预测出下一次的内容。而且输入方法普遍(一般计算机键盘即可)，能符合网络行为双方的需要。缺点：如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使得用户的使用非常不方便。,2023/11/2,Ch6-身份认证与访问控制,18,IC卡认证方式,是一种基于“用户所拥有”的认证手段 IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器中读取其中的信息，以验证用户的身份。优点：通过IC卡硬件的不可复制性可保证用户身份不会被仿冒。缺点：由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此，静态验证的方式还是存在着根本的安全隐患。,2023/11/2,Ch6-身份认证与访问控制,19,生物特征认证方式,以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别。优点：使用者几乎不可能被仿冒。缺点：较昂贵。不够稳定(辩识失败率高)。,2023/11/2,Ch6-身份认证与访问控制,20,USB Key认证方式,采用软硬件相结合、一次一密的强双因子认证模式。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。基于PKI体系的认证模式 优点：便于携带、使用方便、成本低廉、安全可靠性很高，被认为将会成为身份认证的主要发展方向。缺点：安全性不如生物特征认证。,2023/11/2,Ch6-身份认证与访问控制,21,6.1.2 常用身份认证机制,简单认证机制 基于DCE/Kerberos的认证机制 基于公共密钥的认证机制,2023/11/2,Ch6-身份认证与访问控制,22,简单认证机制,口令认证一次性口令(One-Time Password),口令认证过程：用户将口令传送给计算机；计算机完成口令单向函数值的计算；计算机把单向函数值和机器存储的值比较。不足之处：以明文方式输入口令容易泄密；口令在传输过程中可能被截获；口令以文件形式存储在认证方，易于被攻击者获取；用户为了记忆的方便，访问多个不同安全级别的系统时往往采用相同的口令，使得攻击者也能对高安全级别系统进行攻击。只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。,口令认证,2023/11/2,Ch6-身份认证与访问控制,24,基于DCE/Kerberos的认证机制,图6.2 认证双方与Kerberos的关系,DCE/Kerberos是一种被证明为非常安全的双向身份认证技术。Kerberos既不依赖用户登录的终端，也不依赖用户所请求的服务的安全机制，它本身提供了认证服务器来完成用户的认证工作。DCE/Kerberos的身份认证强调了客户机对服务器的认证；而其它产品，只解决了服务器对客户机的认证。,2023/11/2,Ch6-身份认证与访问控制,25,基于公共密钥的认证机制,使用符合X.509的身份证明 使用这种方法必须有一个第三方的授权证明（Certificates of Authority,CA）中心为客户签发身份证明。客户和服务器各自从CA获取证明，并且信任该授权证明中心。在会话和通讯时首先交换身份证明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接受对方的身份证明时，还需检查有关服务器，以确认该证明是否有效。优点:是非常安全的用户认证形式。缺点：实现起来比较复杂，要求通信的次数多，而且计算量较大。,2023/11/2,Ch6-身份认证与访问控制,26,6.2访问控制概述,一个经过计算机系统识别和验证后的用户（合法用户）进入系统后，并非意味着他具有对系统所有资源的访问权限。访问控制的任务 就是要根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的方式访问这些资源。,2023/11/2,Ch6-身份认证与访问控制,27,访问控制的基本概念,主体（Subject）：主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。客体（Object）：客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。访问（Access）：是使信息在主体和客体之间流动的一种交互方式。访问包括读取数据、更改数据、运行程序、发起连接等。,2023/11/2,Ch6-身份认证与访问控制,28,访问控制的基本概念,访问控制（Access Control）：访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。访问控制所要控制的行为主要有读取数据、运行可执行文件、发起网络连接等。,2023/11/2,Ch6-身份认证与访问控制,29,访问控制技术,入网访问控制网络权限控制目录级控制 网络服务器的安全控制,2023/11/2,Ch6-身份认证与访问控制,30,入网访问控制,入网访问控制为网络访问提供了第一层访问控制，通过控制机制来明确能够登录到服务器并获取网络资源的合法用户、用户入网的时间和准许入网的工作站等。基于用户名和口令的用户入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证和用户账号的缺省限制检查。如果有任何一个步骤未通过检验，该用户便不能进入该网络。,2023/11/2,Ch6-身份认证与访问控制,31,网络权限控制,网络权限控制是针对网络非法操作所提出的一种安全保护措施。能够访问网络的合法用户被划分为不同的用户组，不同的用户组被赋予不同的权限。访问控制机制明确了不同用户组可以访问哪些目录、子目录、文件和其他资源等，指明不同用户对这些文件、目录、设备能够执行哪些操作等。,2023/11/2,Ch6-身份认证与访问控制,32,目录级控制,目录级安全控制是针对用户设置的访问控制，控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可以进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。,2023/11/2,Ch6-身份认证与访问控制,33,网络服务器的安全控制,网络服务器的安全控制是由网络操作系统负责。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据。此外，还可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等。,2023/11/2,Ch6-身份认证与访问控制,34,6.2.3 访问控制原理,访问控制包括两个重要过程：通过“鉴别（authentication）”来验证主体的合法身份；通过“授权（authorization）”来限制用户可以对某一类型的资源进行何种类型的访问。,2023/11/2,Ch6-身份认证与访问控制,35,例如，当用户试图访问您的 Web 服务器时，服务器执行几个访问控制进程来识别用户并确定允许的访问级别。其访问控制过程：（1）客户请求服务器上的资源。（2）将依据 IIS 中 IP 地址限制检查客户机的 IP 地址。如果 IP 地址是禁止访问的，则请求就会失败并且给用户返回“403 禁止访问”消息。,2023/11/2,Ch6-身份认证与访问控制,36,（3）如果服务器要求身份验证，则服务器从客户端请求身份验证信息。浏览器既提示用户输入用户名和密码，也可以自动提供这些信息。（在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程就称为“身份验证”。可以在网站或 FTP 站点、目录或文件级别设置身份验证。可以使用 Internet 信息服务（IIS 提供的）身份验证方法来控制对网站和 FTP 站点的访问。）（4)IIS 检查用户是否拥有有效的 Windows 用户帐户。如果用户没有提供，则请求就会失败并且给用户返回“401 拒绝访问”消息。,2023/11/2,Ch6-身份认证与访问控制,37,（5)IIS 检查用户是否具有请求资源的 Web 权限。如果用户没有提供，则请求就会失败并且给用户返回“403 禁止访问”消息。（6)添加任何安全模块，如 Microsoft ASP.NET 模拟。（7)IIS 检查有关静态文件、Active Server Pages(ASP)和通用网关接口(CGI)文件上资源的 NTFS 权限。如果用户不具备资源的 NTFS 权限，则请求就会失败并且给用户返回“401 拒绝访问”消息。（8)如果用户具有 NTFS 权限，则可完成该请求。,2023/11/2,Ch6-身份认证与访问控制,38,三种访问控制策略自主访问控制强制访问控制基于角色的访问控制,2023/11/2,Ch6-身份认证与访问控制,39,6.3 自主访问控制（DAC）,自主访问控制（Discretionary Access Control）是指对某个客体具有拥有权（或控制权）的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后的任何时刻将这些权限回收。这种控制是自主的，也就是指具有授予某种访问权力的主体（用户）能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。,2023/11/2,Ch6-身份认证与访问控制,40,例如，假设某所大学使用计算机系统进行学生信息的管理。教务处在系统中建立了一张表，存入了每个学生的有关信息，如姓名、年龄、年级、专业、系别、成绩、受过哪些奖励和处分等。教务处不允许每个学生都能看到所有这些信息，他可能按这样一个原则来控制:每个学生可以看到自己的有关信息，但不允许看别人的；每个班的老师可以随时查看自己班的学生的有关信息，但不能查看其他班学生的信息；并且教务处可限制教务处以外的所有用户不得修改这些信息，也不能插入和删除表中的信息，这些信息的拥有者是教务处。,2023/11/2,Ch6-身份认证与访问控制,41,教务处可按照上述原则对系统中的用户（该大学的所有老师和学生）进行授权。于是其他用户只能根据教务处的授权来对这张表进行访问。根据教务处的授权规则，计算机中相应存放有一张表（授权表），将教务处的授权情况记录下来，以后当任何用户对教务处的数据要进行访问时，系统首先查这张表，检查教务处是否对他进行了授权，如果有授权，计算机就执行其操作；若没有，则拒绝执行。,2023/11/2,Ch6-身份认证与访问控制,42,自主访问控制中，用户可以针对被保护对象制定自己的保护策略。优点:灵活性、易用性与可扩展性 缺点:这种控制是自主的，带来了严重的安全问题。,2023/11/2,Ch6-身份认证与访问控制,43,强制访问控制（Mandatory Access Control）是指计算机系统根据使用系统的机构事先确定的安全策略，对用户的访问权限进行强制性的控制。也就是说，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。强制访问控制进行了很强的等级划分，所以经常用于军事用途。,6.4 强制访问控制(MAC),图6-3 强制访问控制示例,2023/11/2,Ch6-身份认证与访问控制,44,例如，某单位部分行政机构如下图：,2023/11/2,Ch6-身份认证与访问控制,45,假设计算机系统中的数据的密级为：一般秘密机密绝密 定义校长的安全级 C校长（绝密，人事处,教务处,财务处,设备处），（即校长的密级为绝密，部门属性为所有的部门）教务处长的安全级C教=(机密,教务处)财务处长的安全级C财=(机密,财务处)财务一科长的安全级C一财=(秘密,财务处)财务处工作人员的安全级C工=(一般,财务处)假设财务一科长产生了一份工作文件A，文件A的安全级定义为与一科长的安全级相同，即CA=(秘密,财务处)，那么，对于文件A，只有校长和财务处长能看到，而教务处长不能看，尽管教务处长的密级是机密级，可以看秘密级的文件，但教务处长的部门属性仅是教务处,他无权看财务处的信息。,2023/11/2,Ch6-身份认证与访问控制,46,强制访问控制在自主访问控制的基础上，增加了对网络资源的属性划分，规定不同属性下的访问权限。优点:安全性比自主访问控制的安全性有了提高。缺点:灵活性要差一些。,6.5基于角色的访问控制(RBAC),传统的访问控制方法中，都是由主体和访问权限直接发生关系，主要针对用户个人授予权限，主体始终是和特定的实体捆绑对应的。这样会出现一些问题：在用户注册到销户这期间，用户的权限需要变更时必须在系统管理员的授权下才能进行，因此很不方便；大型应用系统的访问用户往往种类繁多、数量巨大、并且动态变化，当用户量大量增加时，按每个用户分配一个注册账号的方式将使得系统管理变得复杂，工作量急剧增加，且容易出错；也很难实现系统的层次化分权管理，尤其是当同一用户在不同场合处在不同的权限层次时，系统管理很难实现（除非同一用户以多个用户名注册）。,2023/11/2,Ch6-身份认证与访问控制,48,在用户和访问权限之间引入角色的概念，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。这种方法可根据用户的工作职责设置若干角色，不同的用户可以具有相同的角色，在系统中享有相同的权力，同一个用户又可以同时具有多个不同的角色，在系统中行使多个角色的权力。,基于角色的访问控制（Role Based Access Control）方法的基本思想,2023/11/2,Ch6-身份认证与访问控制,49,RBAC的基本模型,图6-4 RBAC模型 RBAC的关注点在于角色与用户及权限之间的关系。关系的左右两边都是Many-to-Many关系，就是user可以有多个role，role可以包括多个user。,2023/11/2,Ch6-身份认证与访问控制,50,例如在一个学校管理系统中，可以定义校长、院长、系统管理员、学生、老师、处长、会计、出纳员等角色。其中，担任系统管理员的用户具有维护系统文件的责任和权限，而不管这个用户具体是谁。系统管理员也可能是由某个老师兼任，这样他就具有两种角色。但是出于责任分离，需要对一些权利集中的角色组合进行限制，比如规定会计和出纳员不能由同一个用户担任。,2023/11/2,Ch6-身份认证与访问控制,51,可设计如下的访问策略：(1)允许系统管理员查询系统信息和开关系统，但不允许读或修改学生的信息；(2)允许一个学生查询自己的信息，但不能查询其它任何信息或修改任何信息；(3)允许老师查询所有学生的信息，但只能在规定的时间和范围内的修改学生信息；,2023/11/2,Ch6-身份认证与访问控制,52,基于角色的访问控制方法的特点,由于基于角色的访问控制不需要对用户一个一个的进行授权，而是通过对某个角色授权，来实现对一组用户的授权，因此简化了系统的授权机制。可以很好的描述角色层次关系，能够很自然地反映组织内部人员之间的职权、责任关系。利用基于角色的访问控制可以实现最小特权原则。RBAC机制可被系统管理员用于执行职责分离的策略。基于角色的访问控制可以灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。,