1、管理身份与身份验证
(1)概念
目标是防范未授权的访问,包括非法用户对系统资源的使用,以及合法用户对系统资源非法的使用。
访问控制是一种安全手段,控制用户和系统如何与其他系统和资源进行通信和交互(主体,客体)。
(2)作用
保护机密性、完整性、可用性
(3)类别
- 管理控制
策略和措施
人员控制
监管结构
安全意识和培训
测试 - 物理控制
网络分段
周界安全
计算机控制
区域隔离
布线
控制区 - 技术控制
系统访问
网络体系结构
网络访问
加密和协议
审计
(4)访问控制步骤
- 标识,提供标识信息的主体
宣称用户身份
要素:唯一性,在一个控制环境中独一无二,便于稽核;非描述性,身份标识不应暴漏用户身份或职务。
特点:访问控制第一步,唯一身份验证,可追溯性的前提。
身份注册:首次获得身份,使用生物识别时采集特征。 - 鉴别,身份验证,核实标识信息
- 验证用户身份标识信息:
- 你知道什么?(能记住的)
密码(口令),静态的固定长度的
密码短语,更容易记住,比密码更长,更难被暴力破解
认知密码,基于个人事实或判断的信息,如:毕业母校、母亲姓氏等 - 你拥有什么?
钥匙
存储卡,存储信息但不能处理
智能卡,包含微处理器和集成电路,具备信息处理能力。智能卡可以分类成接触式(表面具有金色封印,需要提供电源和数据0/1)和非接触式(四周绕有天线,通过进入读卡器的电磁场提供电源)。针对智能卡的攻击有旁路攻击:非入侵式攻击,并且用于在不利用任何形式的缺陷或弱点的情况下找出与组建运作方式相关的敏感信息。智能卡具有更强的防篡改性。
一次性密码(OTP),也称动态密码,用于身份验证,只能使用一次,可防止重放攻击。可以通过令牌实现,令牌可分为同步模式(计数器同步,用户按下令牌设备的按钮来启动一次性密码;时间同步,令牌和服务器必须具有相同时钟)和异步模式(挑战/应答机制),OTP的缺点是一旦用户ID和令牌设备被共享或窃取,则会被冒用,优点是不用记密码。
短信验证码 - 你是谁?你做了什么?
生理特征:
面部扫描,扫描脸部的属性和特征,包括骨骼额头等信息,采用区域特征分析算法,特点是精准度低速度快,误识别拒认率较高。
手型外形,人手形状的几何特征,手指以及整个手型信息。
手部拓扑,检测沿着整个手型及其弯曲部分的不同起伏形状,缺点是手型拓扑需要和手部外形结合使用。
手掌扫描,手掌具有沟槽、脊状突起和折缝,唯一特征,包括每个手指的指纹。
指纹,由一些曲线和分叉以及一些非常微小的特征构成。
声音识别,语音模式之间的差别,登记时要求说不同的单词,测试时需要将单词混杂要求复述。
视网膜扫描,扫描眼球后方视网膜上的血管图案。
虹膜扫描,虹膜是眼睛中位于瞳孔周围的一圈彩色部分,虹膜具有独特的图案、分叉、颜色、环状、光环以及皱纹,特点是虹膜识别最精准,仅次于DNA识别。
行为特征:
签名分析,签名的速度和方式,签名者握笔的方式。签名引起的物理移动会产生电信号,可以被当做生物测定。
击键运动,动态击键获取输入具体短语时产生的电信号,捕获动作的速度和运动。 - 强验证
双因素,三种类型中包含两种
三因素,三种类型都包含
- 你知道什么?(能记住的)
- 知道什么,比较经济,但是容易被冒用
- 拥有什么,用于访问设施或敏感区域,物品容易丢失
- 是什么,做了什么,基于物理特征和生物鉴定学,不容易冒用
1类错误(FRR):错误拒绝率,拒绝已经获取授权的个人(假阳性)
2类错误(FAR):错误接受,接受本应被拒绝的冒名顶替者(假阴性)
交叉错误率(EER/CER):错误拒绝率与错误接受率的等值点
- 验证用户身份标识信息:
- 授权
确定主体对客体执行的操作
访问准则:基于角色、基于组、基于物理位置或逻辑位置、基于时间段或时间间隔、基于事务类型
默认拒绝访问
知其所需
最小特权原则 - 稽核或审计(可问责),追踪用户活动的审计日志和监控
可追溯性/责任(可问责):
审计功能确保用户对自己的行为负责,确保安全策略的强制执行的安全,并可作为调查工具
审计:
安全审计,包括审计范围(系统级事件、应用程序级事件、用户级事件)、审计内容(时间、地点、任务、发生了什么)、日志存储期限和大小、审计日志的保护(日志的完整性,保存到中央日志服务器,一次性写入介质)、日志的使用(手动检查、自动检测)、日志的管理。
击键监控,审计某个人和他的活动。
(5)实施身份管理
- 单点登录SSO集中身份管理一次验证多资源访问弱点:单点故障,如果获取到密码可以访问所有资源SSO实例:
- kerberos
kerberos是身份认证协议,基于对称密码技术,分布式环境单点登录的一个示例,提供端到端的安全,提供完整性和机密性,不保证可用性。
主要组件:密钥分发中心KDC (身份认证服务 AS,票证授予服务 TGS)
秘密密钥:在KDC与委托人之间进行共享(KDC上存储了密钥)
会话密钥:在两个委托人之间进行秘密共享,会话结束销毁
弱点:KDC存在单点故障,秘密密钥临时存储在用户工作站上,会话密钥驻留在用户工作站上 - SESAME
使用对称和非对称密码技术
主要组件:
特权属性服务器(PAS):包含特权属性证书PAC,具有数字签名;
PAC包括:主体的身份,对客体的访问能力、访问时间段以及PAC生命周期;扮演与KDC类似角色。
身份验证服务器 - SAML
基于WEB的单点登录
是联合身份管理的标准
安全域,在共享统一的安全策略和管理的领域之间建立信任关系
IDP,身份提供方,SA安全断言
- kerberos
- 联合身份
多个单位共享用户信息 - 访问控制标记语言
GML:
SGML标准通用标记语言,比如HTML超文本标记语言
XML:- SPML,服务配置标记语言(provisioning 开通)
- SAML,一个基于XML的标准,用于在不同安全域之间交换认证和授权数据,IDP,如果IDP出现问题所有用户都会受影响
- XACML,通过web服务和其他应用程序,来实现用安全策略及访问权限来实现对资产管控
- OAuth,OAuth2.0使用访问令牌
- OpenID,OpenID是由第三方进行用户身份验证的开放标准。用户不需要记住像用户名密码这样的传统验证标记。取而代之的是,他们只需要预先在一个作为OpenID身份提供者(idp)的网站上注册即可。
- 目录
遵循层次化的数据结构格式,基于X.500标准和协议(如LDAP,轻量目录访问协议)
目录服务(DS),允许管理员配置和管理在网络中出现的身份标识、身份验证、授权和访问控制
元目录,一次只与一个目录连接,元目录包含身份数据
虚拟目录,与多个数据源连接,指向驻留实际数据的位置
身份存储库,身份管理目录中大量信息存储遍布整个企业 - 密码管理
密码同步,只维护一个密码,可以加强密码的强度。弱点是单点故障,如果获取密码可以访问所有资源。
自助式密码重设,通过回答注册的问题,发送重置链接。
辅助式密码重设,通过服务台进行身份验证后重置密码。 - web访问管理
提供单点登录等功能的前端控制软件
cookie和session来维护应用的状态 - 账户管理
集中化账户管理,同步身份目录
流程化的身份管理审批创建过程 - 身份即服务 IDaaS/SaaS+IAM
基于云端的身份代理和访问管理服务 Cloud-IAM
身份管理、访问控制、智能分析
可实现单点登录、联合身份、细粒度控制、服务集成等 - 会话管理
- AAA
- 协议集中式访问控制管理:
- RADIUS:组合身份验证和授权,使用UDP,仅加密在RADIUS客户端和服务端之间传送的密码
- TACASA+:使用TCP,支持动态密码,使用AAA体系结构分离身份验证、授权和审计,加密客户端和服务端之间的所有流量
- Diameter:基础协议,扩展应用协议(构建在基础协议上,能够扩展多种服务,如Voip等)
集中式访问控制存在单点故障,统一访问高效的特点
分散式访问控制根据用户授权,不存在单点故障,缺乏一致性的特点
- 协议集中式访问控制管理:
(6)访问控制管理生命周期
- 访问配置
创建用户并开通适当的权限
开通新的用户账户通常称为注册或登记 - 账户审核
定期审核账户以确保执行安全策略 - 账户撤销
停用账户
2、控制和监控访问
(1)控制访问模型(授权)
- 自主访问控制模型(DAC)
基于用户授权
依靠对象所有者自主决定
类型:基于用户和资源标识,直接面向用户进行限制
缺点:不安全
面临的问题:木马、社会工程 - 强制访问控制模型(MAC)
MAC依赖于安全标签
制定客体敏感标签(客体有分级,同时只允许高于客体级别的用户访问;主体有许可)固有属性
只有管理员可以更改客体级别,而不是客体的属主
适用于安全级别较高场所,如军队、政府机构 - 基于角色访问控制模型(RBAC)
使用集中访问控制决定主客体的访问
建立在用户角色的基础上
特点:基于工作职责的权限分配,可以和组织结构关联,能够遵循最小特权原则,职责分离,用户或组对应角色,赋予角色相对应的权限
类别:- 核心RBAC:用户、角色、权限、操作和会话应根据策略进行定义和对应
- 层次化RBAC:角色关系定义了用户成员和权限集成,反应了组织机构和功能描述,包括有限层次(单角色继承)和普通层次(多角色继承)
- 受限RBAC:引入职责分离,RBAC中的静态职责分离(如会计和出纳,防止欺诈),RBAC中的动态职责分离(根据激活的会话中的角色,动态限制另外的职责分离的权限)
- 基于规则的访问控制(RuBAC)
基于if x then y
使用特定的规则来指示主体和对象之间能发生什么以及不能发生什么
基于规则的访问控制不一定就是基于身份的
许多路由器和防火墙使用规则来确定哪些类型的数据包被允许进入网络或拒绝 - 基于属性的访问控制(ABAC)
新型的访问控制,解决RBAC的不足,每个资源和用户都赋予一系列的属性,基于对用户属性的比较评估,比如时间、职务、位置等,来确定用户是否能访问某个资源
(2)访问控制的方法
- 访问控制矩阵
主体与客体访问关系的矩阵表
访问能力表(矩阵中的行):规定主体能够访问的客体,采用票证、令牌或密钥形式,例如kerberos的票证
访问控制列表(ACL,矩阵中的列):规定能够对其访问的主体,权限表,例如防火墙、路由器的配置等 - 基于内容的访问控制
对客体的访问取决于客体的内容
例如:基于内容的过滤规则,包过滤防火墙 - 基于上下文相关的访问控制
基于上下文做出的访问决策
例如:状态检测防火墙 - 限制性用户接口
菜单/外壳
数据库视图
物理限制接口
(3)面临的威胁
- 针对口令的攻击手段
电子监控:通过监听流量,捕获密码信息,进行重放攻击
访问密码文件:访问服务器上的密码文件
蛮力攻击:也称暴力破解,使用所有可能得字符、数字和组合来循环猜解密码
字典攻击:构建字典文件与用户的密码进行比较
社会工程:通过打电话重置密码,或骗取密码
彩虹表:包括所有散列格式的密码
键盘记录 - 密码(口令)安全建议
密码检测器,测试密码强度的工具
密码散列与加密
密码生命周期管理,设定密码更改周期,记住历史密码及个数
限制登录次数 - 智能卡面临的攻击
旁路攻击:
差分功率攻击,查看处理过程排放的功率量
电磁分析,查看发射频率
时序分析,计算某个特定功能所需的时间
软件攻击:在智能卡中输入提取用户指令的信息
直接攻击:
微区探查,使用超声震动去除智能卡电路上的外部保护材料,探针直接连接智能卡ROM芯片来访问和操作其中的数据 - 信息泄露
社会工程、隐蔽通道、恶意代码
客体重用,对象分配前未清除内存位置、变量、和寄存器,以及文件和数据表
辐射安全:
拉第的金属外壳,确保电子设备的发生信息在一定的范围内
白噪声,均匀频谱的随机电子信号无法从电磁波中获取信息
控制区,设备表面使用特殊材料屏蔽电子信号,需要创建一个安全周界 - 授权过程的问题
授权蔓延,因工作或部门调动,获取到越来越多的权限 - 登录欺骗
网络钓鱼 (phishing),社会工程学的一种攻击手段,创建与合法网站类似的web站点
网络嫁接 (pharming),DNS中毒,重定向到非法网址、IP地址或域名
身份盗窃