《cissp要点-访问控制》由会员分享,可在线阅读,更多相关《cissp要点-访问控制(19页珍藏版)》请在金锄头文库上搜索。
1、标识是一种能够确保主体(用户、程序或进程)就是它所宣称的那个实体的方法。标识可以通过一些证明来确认,这些证明可以是用户名或账号。主体在一个系统或者域内的行为需要具有一定的责任性。确保责任性唯一的方法就是主体能够被唯一地标识,并且主体的行为被记录在案。逻辑访问控制是用于标识、认证、授权和稽核的工具,它是执行对系统、程序、进程和信息的访问控制策略的软件组件。一个人的身份需要在认证的过程中确定。认证通常包含有两步:输入公共信息(用户名、工作证号、账号或部门 ID),然后输入私人信息(固定的密码、智能令牌、认知性密码、一次性密码、个人身份号码或数字签名在这两步中,输入公共信息是一个标识的过程,而输入私
2、人信息是一个认证的过程。有三种认证的方式:他知道的内容,他持有的证明,他就是这个人。它们也常称作根据知识进行认证、根据所有权进行认证以及根据特征进行认证。强化认证(strong authentication)包括他知道的内容、他持有的证明、他就是这个人这三种方法中的两种认证方式。在安全领域,确定身份有三个关键因素:唯一性、非描述性和签发。ID 卡可认为是一种标识签发形式的安全因素。身份管理包括用不同的产品以自动化方法标识、认证和授权用户,还包括用户账户管理、访问控制、密码管理、单点登录功能、管理用户账户权限,以及审计和监控所有这些项目。安全管理不仅必须理解整个身份管理,而且还必须理解构成整个企
3、业身份管理解决方案的各种技术。管理身份需要管理唯一标识的实体、它们的特征、证书和权利。目录多数目录采用一种分层式的数据库格式,基于 X.500 标准和某种协议,如轻量级目录访问协议(LDAP),允许主体和应用程序与目录进行交互。目录中的客体由目录服务管理。目录服务允许管理员配置和管理网络中的标识、认证、授权和访问控制。目录中的客体用命名空间标记和标识。每种目录服务都采用某种方法标识和命名它们管理的客体。在基于由 LDAP 访问的 X.500 标准的数据库中,目录服务为每个客体分配标识名( DN)。每个标识名代表与某个客体有关的一组属性,作为一个条目保存在目录中。目录服务管理目录中的条目和数据,
4、并通过实施访问控制和身份管理功能执行配置的安全策略。身份管理中使用的目录是一种为读取和搜索操作而进行过优化的专用数据库软件,它是身份管理解决方案的主要组件。这是因为所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略以及其他内容都保存在这一个位置当其他身份管理软件需要执行它们的功能(授权、访问控制、分配权限)时,就有了一个集中的位置来获取它们所需的信息。许多身份管理产品的主要作用是建立元目录(meta-directory)或虚拟目录(virtual directory)。元目录从不同的来源收集必要的信息,并将它们保存在一个中央目录中,这为企业中所有用户的数字身份信息提供了一个统一的视图。
5、元目录定期与所有身份存储库同步,以确保企业中的所有应用程序和身份管理组件使用最新的信息。Web 访问管理体系架构通常由一个 Web 服务器群组(许多台服务器 )、一个包含用户账户和属性的目录、一个数据库、若干个防火墙以及一些路由器组成,所有这些设备都采用一种分层的基础架构。WAM 工具还提供一个单点登录功能,以便一旦用户在某个 Web 站点通过认证,他能够访问不同的基于 Web 的应用程序和资源,而不必多次登录。如果某款产品在 Web 环境中提供单点登录功能,当用户访问不同的资源时,该产品必须持续追踪用户的认证状态和安全上下文(Security Context)。账户管理产品允许管理员管理不同
6、系统中的用户账户。要求用户提交新账户请求,这个请求通常由员工的经理批准。然后系统自动建立账户,或者生成一个报告,由技术人员创建账户。请求被提交给一位经理(或者任负责批准请求的人员),经理批准请求,然后再对各种账户进行修改。用户配置(User Provisioning)是指为响应业务流程而创建、维护和删除存在于一个或几个系统、目录或应用程序中的用户对象和属性。用户配置软件中包括以下一个或几个组件:变更传播(Change Propagation)、自助式工作流程、统一化用户管理、委派式用户管理和联合变更控制。用户对象表示员工、承包商、供应商、合作伙伴、客户或其他服务对象。服务包括电子邮件、访问数据
7、库、访问文件系统或大型主机等。建立目录是为了保存用户和资源信息。一个元数据目录从网络的不同位置提取身份信息,允许身份管理流程从这个位置获得完成任务所需的数据。用户管理工具在用户身份的整个生命周期对其进行控制并提供配置。密码管理工具防止因为用户遗忘密码而造成生产力下降。单点登录技术,使内部用户在访问企业资源时只需认证一次。Web 访问管理工具为外部用户提供单点登录服务,并控制对基于 Web 的资源的访问。用户资料更新多数公司并不只是保存与用户有关的重要信息,而只要根据这些信息做出访问决策。生物识别技术通过分析个人独特的属性或行为来确认一个人的身份,是确认身份最有效且最准确的技术之一。生物识别是一
8、种非常复杂的技术,所以它的花费要比其他类型的身份确认技术要昂贵得多。生物识别技术一般分为两种不同的类型。第一种是生理性生物识别,是指某一个人所特有的身体特征。指纹是生物识别系统常用的一种生理特征。第二种是行为性生物识别,这种技术根据一个人的某种行为特点来确认他的身份,例如说动态签名。生理识别是“你是什么”,而行为识别是“你做什么” ?生物识别系统扫描一个人的生理属性或行为特征,然后将它与早期特征记录过程中建立的记录进行比较。因为这个系统会检查一个人的指纹凹槽、视网膜模式或者声音的髙低,因此它非常灵敏。系统必须对人的生理或行为特点进行准确而重复性的测量。这种类型的灵敏度很容易造成误报(False
9、 Positive)或漏报(False Negative)。系统必须经过仔细的校准,以确保误报和漏报不会经常发生,从而使检测结果尽可能的准确。生物识别系统拒绝一个已获授权的个人,这称之为第一类错误(误拒绝率);当系统接受了一个本应该被拒绝的冒名顶替者,这称之为第二类错误(误接受率)。交叉误差率(Crossover Error Rate, CER)。这个等级是一个百分数,它代表误拒绝率等于误接受率的那个点。在判定一个系统的精确度的时候,交叉误差率是非常重要的评估指标。CER 值为 3 的生物识别系统要比 CER 值为 4 的系统的准确性要高得多。在特征记录阶段,用户提供生物识别数据(指纹、声纹)
10、,生物识别读取器将这些数据转换成二进制值。由于系统不同,读取器可能会创建一个生物识别数据的哈希值(Hash Value),或者对数据进行加密,或同时采用这两种方法。然后,用户的生物识别数据由读取器存入后端认证数据库中(该数据库己经为这名用户创建了账户)。一次性口令字也叫做动态口令字。它在用户认证的时候使用,当口令字使用过之后就失效,再也不能使用了。因此,如果黑客获得了这个口令字,它不能被重复使用。动态口令字主要用于需要比静态口令字的安全等级高的安全机制当中。一次性口令字一共有两种:同步和异步。两种类型都由一个与服务器或工作站上的认证服务之间进行通信的令牌装置产生。令牌装置又叫口令字生成器,它通
11、常是一个便携式的装置,有一个 LCD 显示屏和一个按键面板。这个装置和用户使用的计算机硬件是分开的。令牌装置和认证服务必须是同步进行的,为了能够进行用户认证,需要使用相同的质询/应答方式。同步同步令牌装置和认证服务同步地使用时间或事件作为认证过程的内部标志。如果同步是基于时间的,那么在令牌装置和认证服务器上面必须具有准确的相同时间。令牌装置上的时间值经密钥加密成口令字之后提交给用户,用户输入其用户名和该口令字到计算机中,然后计算机提交给进行认证服务的服务器。认证服务器对该口令字进行解密,然后和期望的口令字进行比较,如果二者相符,那么用户就可以使用计算机和资源了。如果令牌装置是基于事件的同步,那
12、么用户需要初始化计算机上的登录序列,然后按令牌装置上的一个按键,这就使令牌装置和认证服务进入下一个认证值。令牌装置对这个值进行加密,然后显示给用户,用户将其 ID 和加密后的口令字输入计算机进行认证。无论是时间同步还是事件同步,令牌装置和认证服务都必须使用相同的密钥来进行加密和解密。异步异步产生令牌的令牌装置使用一种质询/应答方式对用户进行认证。在这种情况下,计算机首先向用户发送一个质询字符串一个也称作 nonce 的随机值;然后,用户将这个随机值输入令牌装置中,令牌装置对它进行加密,然后返回给用户一个值,用户将该值用作一次性口令字。接下来,用户将这个值以及用户名送交给认证服务器。如果认证服务
13、器能够解决这个值,且该值与前面发送给用户的质询值相同,那么用户就通过了认证。密码字另一种身份识别的方式是提供私钥或数字签名。私钥和数字签名可以用在需要使用密码的地方。密码实际上是最脆弱的认证方式,当它在网络中传输的时候很容易被窃听。而私钥和数字签名认证主要用在那些比密码安全保护的安全等级更高的环境中。私钥是一串加密字符,它只能被一个人持有,决不能泄露给外部方面。而数字签名则使用私钥对散列值(消息摘要)加密。使用私钥对散列值进行加密的过程称为对一个消息数字签名。附于消息上的数字签名表明该消息来自特定的源头,并且消息在传输过程中未被更改。口令词(Passphrase)将在认证过程中取代密码。之所以
14、叫做词(phrase),就是因为它的字符长度一般要比口令字长一些。存储卡和智能卡的主要区别在于处理信息的功能。存储卡可以存储信息,但是不能处理信息。而智能卡是使用一些必要的硬件和逻辑来处理信息。由于智能卡本身就有一个微处理器和集成电路,所以智能卡有信息处理的能力。存储卡就没有这类硬件,所以也没有这种功能。由于智能卡能够处理存储在其中的信息,因而它提供了双因子认证,这是因为它需要用户输入 PIN 才能打开智能卡。这就意味着用户必须要提供“他知道的”(PIN)和“他拥有的”(智能卡)。智能卡分为两类:接触式智能卡和非接触式智能卡。智能卡攻击旁道攻击(Side-Channel Attack)是一种非
15、入侵式攻击,其目的是不利用任何形式的缺陷或弱点查明与某个组件运行有关的敏感信息。非入侵性攻击是指攻击者观察某个组件的运作方式,以及它在不同情况下如何反应,从而达到攻击目的,而不必采用入侵式的手段进行“入侵”。差分功率分析(检查处理过程中的功率排放)、电磁分析(检查发射出的频率)和时序分析(某一个具体的过程要多久完成)都属于针对智能卡的旁道攻击。软件攻击也属于非入侵性攻击。如果你想要实施更具入侵性的智能卡攻击,可以试一试微区探查(Microprobing) 。微区探查使用指针和超声振动擦除智能卡电路上面的外部保护材料,然后就可以直接连接智能卡的 ROM 芯片,访问和操纵其中的数据。单点登录Ker
16、berosKerberos 是一种认证协议,它以客户/服务器的模式工作,基于对称密钥体系。这个协议在 UNIX 系统上应用多年,现在已成为 Windows 2000/2003 的默认认证模式。Kerberos 是一个分布式环境中单点登录系统的实例,也是多网络系统的一个实际标准。企业访问控制包含四个重要因素:可扩展性、透明性、可靠性和安全性。Kerberos 使用对称密钥算法加密体系,提供端对端的安全,这意味着在用户和服务程序之间传递保护信息时并不需要中间组件。Kerberos 的主要组件密钥分发中心(Key Distribution Center,KDC)是 Kerberos 系统中最重要的一个组件 KDC 包含有所有的用户和服务的密钥,具有密钥分发功能以及认证功能。客户和服务都非常信任 KDC 的完整性,这是 Kerberos 安全的基础。KDC 将安全服务提供给称为主体(Principals)的实体对象,这些主体可以是用户、应用程序或服务。KDC 为每个主体提供一个账户,并与其共享一个密钥。对于用户,口令字被转换成密码值,该密码值用于在 K
