第五章 身份与访问管理
5.1 访问控制概述
访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源进行通信和交互。
主体可以是通过访问客体以完成某种任务的用户、程序或进程。
客体是包含被访问信息或者所需功能的被动实体。
5.2 安全原则
各种安全控制中3个主要的安全原则:机密性、完整性、可用性
可用性:一般采用容错和恢复机制
完整性:保护数据或资源免受未授权的修改
机密性:安全机制包括加密、逻辑性和物理性访问控制、传输协议、数据库视图和流量控制等。保护数据库机密性的第一步就是确定哪些信息是敏感的以及信息的敏感程度,然后用适当的安全机制进行保护。
5.3 身份标识、身份验证、授权与可问责性
身份标识
身份标识描述了一种能够确保主体(用户、程序或进程)就是其所声称实体的方法。
身份标识和身份验证
用于身份验证的3个因素
某人知道什么(根据知识进行身份验证),比如密码、PIN、密码锁,通过某人知道的内容进行身份验证,其他人也可以获得相关知识进行未授权访问。
某人拥有什么(根据所有权进行身份验证),比如钥匙、门卡、访问卡或证件,容易丢失或被盗导致未授权访问
某人是什么(根据特征进行身份验证),根据物理特征进行身份验证,生物测定学
至少包含3个类别中的两个类型,称为双因素身份验证。
身份管理(IdM)解决方案:web访问管理、密码管理、遗留单点登录、账户管理和配置文件更新。
目录:基于x.500标准和LDAP协议。元目录,从不同来源收集必要的信息,保存到一个中央目录。虚拟目录,没有数据,指向驻留实际数据的位置。
web访问管理(WAM):通过cookie提供凭证
身份验证方法:
1、常用的密码管理方法
密码同步:一个密码即可访问各种资源
自助式密码重设:用户以问答的形式提交,用户重新设置自己的密码。
辅助式密码重设:打电话给服务台员工进行密码重置,可能造成社会工程攻击。
传统单点登录(SSO):一个密码能够访问所有资源,单点故障。
账号管理:账号创建、更改、删除
2、生物测定学
最有效且最准确的身份标识确认方法之一,相比其他身份验证,更为昂贵和复杂
生理性生物测试:指纹(手掌扫描、手部外形、面部扫描、手形拓扑)、视网膜、虹膜(最精确)或者声音音调---你是什么
行为性生物测试:动态签名(电信号)、动态击键---你做什么
1类错误 误拒绝率(FRR):拒绝一个已获授权的人。
2类错误 误接受率(FAR),最危险:接受了本应该被拒绝的人。
交叉错误率 (CER),误拒绝率等于误接受率,判断系统精确度的重要评估指标,准确度 CER3>CER4
3、密码
目前最常用的身份验证机制之一,最脆弱的
核心问题:某人知道什么?某人拥有什么?某人是什么? 密码就属于某人知道什么这种形式
密码管理、密码检查器、密码散列与加密、密码生命期、限制登录次数
4、感知密码
用于服务台服务,通过感知密码进行身份验证、
5、一次性密码(OTP)
令牌设备是最常见的OTP实现机制,为用户生产向身份验证服务器提交的一次性密码。
同步:基于时间或计数器驱动
异步:基于挑战/响应机制
6、密钥
数字签名:一种使用私有密钥加密散列值的技术
7、密码短语
一个比密码长的字符串
8、存储卡
存储卡可以保存信息,但不能处理信息
9、智能卡
智能卡不仅可以保存信息,还具有实际处理信息的必要硬件和软件。
智能卡攻击:故障生成攻击(改变输入电压、时钟频率、温度波动)、
非入侵式攻击:旁路攻击(差分功率分析、电磁分析、计时)、软件攻击
入侵式攻击:微区探查
授权
1、访问准则:对角色、组、位置、时间和事务处理类型实施不同的访问准则。
2、默认为拒绝访问:基于从零开始,基于知其所需添加特权。
3、知其所需:类似于最小特权原则
4、单点登录技术的示例
Kerberos:一个身份验证协议,基于对称密钥密码学,共享秘密密钥,麻省理工学院开发。
主要组件包含:
密钥分发中心(KDC):提供身份验证服务和密码分发功能。
KDC上的票证由票证授予服务(TGS)生成,票证使一个委托人能够对另一个委托人进行身份验证。
身份验证服务(AS)
票证
委托人:用户、服务、应用程序和设备
SESAME:使用PAS和PAC的身份验证协议,基于对称和非对称密码学。
安全域:在相同安全策略下运行的资源,由相同的组管理。
目录服务:基于X.500标准
瘦客户端:
联合身份
身份验证方法:
可扩展标记语言(XML):一种通用的基础性标准语言
服务供应标记语言(SPML):允许位于不同平台上的服务供应请求集成和互操作。 -----在不同系统建立用户账号和访问权限
安全断言标记语言(SAML):用户登录一次便可以访问各自独立的不同web应用程序,以标准化方式共享身份验证数据,提供身份验证信息给联合身份管理系统。常用协议是简单对象访问协议(SOAP) ------发送身份验证信息
可扩展访问控制标记语言(XACML):用来向web服务提供的资产表述安全策略和访问权限。一个访问控制策略语言,也是一个标准方式解释和执行策略的处理模型。 ------创建访问控制策略
OpenID
OAuth
身份即服务
集成身份识别服务
5.4 访问控制模型
自主访问控制(DAC):数据所有者决定谁能访问资源,ACL用于实施安全策略,非自由裁量做访问控制。
强制访问控制(MAC):操作系统通过使用安全标签来实施系统的安全策略。
角色(非自主)访问控制(RBAC):访问决策基于主体的角色或功能位置。
规则型访问控制(RB-RBAC):把进一步限制访问决策的强加规则添加到RBAC中。
访问控制模型主要有3种:自主、强制型和非自主访问控制(基于RBAC的访问控制)。
5.5 访问控制方法和技术
限制性用户接口:限制用户的访问能力,主要有3种:菜单和外壳、数据库视图以及物理限制接口。
访问控制矩阵:概述了主体和客体之间的访问关系。 定义了主客体之间主体对客体可以采取的行动。
功能表(行):与主体绑定在一起,规定主体能够访问的客体。
ACL(列):与客体绑定在一起,规定能够对其进行访问的主体。定义为带有访问权限的对象列表,并且被授权访问特定对象。
内容相关访问控制:对客体的访问取决于客体的内容,如数据库视图
上下文相关访问控制:比如状态防火墙
5.6 访问控制管理
集中式访问控制管理
远程身份验证拨号用户服务(RADIUS):一种网络协议,提供客户端/服务器身份验证和授权,并且审计远程用户。UDP,仅加密RADIUS客户端与服务端传送的密码。用于拨号服务器、VPN和无线AP等环境。
终端访问控制器访问控制系统(TACACS)
TACACS:身份验证和授权过程组合在一起,使用固定密码进行身份验证。UDP
TACACA+:将身份验证、授权和审计功能过程分隔,采用双因素用户胡身份验证,基于TCP,加密客户端与服务端的所有流量。
Diameter:对等协议,扩展了RADIUS协议,允许通过不同技术来进行不同类型身份验证。AAA 协议,功能更多,更灵活,支持大量使用无线技术的协议。
分散式访问控制管理
RADIUS:远程接入认证,主要解决传输层以下的认证接入问题,UDP,静态密码,
TACAS:远程接入认证,增加安全认证
Diameter:RADIUS的升级版,增加安全认证,多种方式接入等等。
5.7 访问控制方法
行政管理性控制
人员结构
监管结构
安全意识培训结构
测试
物理性控制
网络分段
周边安全
计算机控制
工作区隔离
布线
控制区
技术性控制
系统访问
网络架构
网络访问
加密和协议
审计
5.8 可问责性
记录用户、系统和应用程序的活动来跟踪可问责性,还可用于提供有关任何可疑活动的报警。
系统级事件、应用程序级事件、用户级事件。
5.9 访问控制实践
客体重用:将先前包含一个或多个客体的介质重新分配给主体。
TEMPEST设备的目的是阻止入侵者通过侦听设备从电磁波中获得信息,一种采用屏蔽材料抑制信号辐射的标准化技术。TEMPEST技术是复杂的、笨重的、昂贵的,只用于需要高度保护的高度敏感区域。
自噪声:使入侵者无法从电磁波传输中获取信息的方法,均匀频谱的随机电子信号。
控制区:创建了一个安全边界,确保不会对数据进行未授权访问。
5.10 访问控制监控
(1)入侵检测系统(IDS):检测性
两种主要类型:网络型(NDIS)—监控网络通信;主机型(HIDS)—能够分析特定计算机系统内的活动。
(知识)特征型IDS: 模式匹配、状态匹配
(行为)异常型IDS:基于统计异常、基于协议异常、基于流量异常、
规则型或启发型IDS
特征型IDS:目前最常用的IDS产品,只能识别已被标识为特征的攻击,无法应对新出现的攻击。
状态型IDS:比较初始状态和侵入状态,与规则相匹配报警,上下文扫描攻击特征,只能标识已知攻击。
统计异常IDS: 能够检测0day攻击,但存在大量报率,需网络管理员进行处理。上限过低,容易误报,上限过高,容易漏报。
协议异常IDS:监控每一个协议
流量异常IDS:大多数行为型IDS使用基于流量异常的过滤器,检测流量模式的变化
规则型IDS:更加复杂,要用到一个专家系统,由知识库、推理引擎和规则型编程组成,系统的知识以规则性编程(IF THEN)编写。无法检测新的攻击。
(2)入侵防御系统(IPS):防范性
检测恶意活动,并禁止这类流量活动访问它的攻击目标。
5.11 对访问控制的几种威胁
字典攻击
蛮力攻击(穷举攻击)
登录欺骗:假的登录界面,诱骗用户尝试登录。
网络钓鱼:社会工程攻击
网络嫁接:劫持dns解析
问题难点:
1、访问控制是一种机制:主体对客体的访问控制。Identification(识别主体身份)—-authentication(鉴别,证明身份)—-authorization(授权,授权控制)—accountabilite(问责,审计非法行为)
2、访问控制模型主要有3种:自主、强制型和非自主访问控制(又被叫做基于角色的访问控制)。
非自主访问控制具有一个中央授权来决定主体可以访问什么客体,以及是基于角色还是组织安全策略。基于规则的访问控制的访问是由规则决定的,这些规则适合非自主访问控制。根据组织安全策略确定主体可以访问某些对象。
3、强访问控制中,敏感标记包含对象的分级、分类设置,引入用户安全级别声明和数据分类,安全标签。
4、多级安全策略的必要组成部分:主体安全声明&适合与唯一客体的敏感标记和强制访问控制。
5、生物识别在访问控制中,扮演身份验证的角色,某些情况下,可用于身份标识。
6、格模型具有值的最小上界和最大下界的几组元素的访问控制类型。基于网格访问控制为一个主体提供访问能力的上下限。
7、RADIUS包括认证服务器、静态和动态密码支持。
8、TACACS 采用用户ID和静态密码进行网络访问。
9、基于主机的入侵检测系统HIDS 最大的缺点是 可能对主机操作系统侵害性很大。
10、鉴别 最能确保一个系统中采取行动的用户问责。