《身份认证访问控制与系统审计概述.ppt》由会员分享,可在线阅读,更多相关《身份认证访问控制与系统审计概述.ppt(88页珍藏版)》请在金锄头文库上搜索。
1、,第 8 章 身份认证、访问控制与系统审计,Network and Information Security,Network and Information Security,图8-1 经典安全模型,8.1 计算机安全模型,Network and Information Security,经典安全模型包含如下基本要素: (1) 明确定义的主体和客体; (2) 描述主体如何访问客体的一个授权数据库; (3) 约束主体对客体访问尝试的参考监视器; (4) 识别和验证主体和客体的可信子系统; (5) 审计参考监视器活动的审计子系统。,Network and Information Security,
2、可以看出,这里为了实现计算机系统安全所采取的基本安全措施,即安全机制有身份认证、访问控制和审计。 参考监视器是主体/角色对客体进行访问的桥梁. 身份识别与验证,即身份认证是主体/角色获得访问授权的第一步,这也是早期黑客入侵系统的突破口。 访问控制是在主体身份得到认证后,根据安全策略对主体行为进行限制的机制和手段。 审计作为一种安全机制,它在主体访问客体的整个过程中都发挥着作用,为安全分析提供了有利的证据支持。它贯穿于身份认证、访问控制的前前后后。 同时,身份认证、访问控制为审计的正确性提供保障。 它们之间是互为制约、相互促进的。,Network and Information Security
3、,图8-2 安全机制,Network and Information Security,访问控制模型基本结构,Network and Information Security,8.2 身份认证,在有安全需求的应用系统中,识别用户的身份是系统的基本要求,身份认证是安全系统中不可缺少的一部分,也是防范入侵的第一道防线。 身份认证的方法多种多样,其安全强度也各不相同,具体方法可归结为3类: 根据用户知道什么, 拥有什么, 是什么来进行认证。,Network and Information Security,8.2.1 用户名和口令认证,通过用户名和口令进行身份认证是最简单,也是最常见的认证方式,但是
4、认证的安全强度不高。 所有的多用户系统、网络服务器、Web的电子商务等系统都要求提供用户名或标识符(ID),还要求提供口令。 系统将用户输入的口令与以前保存在系统中的该用户的口令进行比较,若完全一致则认为认证通过,否则不能通过认证。 根据处理方式的不同,有3种方式:口令的明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令,这3种方式的安全强度依次增高,处理复杂度也依次增大。,Network and Information Security,1口令以明文形式传送时,没有任何保护,Network and Information Security,2 为防止口令被窃听,可用单向散列
5、函数处理口令,传输口令的散列值,而不传输口令本身。,传输口令的散列值也存在不安全因素,黑客虽然不知道口令的原文,但是他可以截获口令的散列值,直接把散列值发送给验证服务器,也能验证通过,这是一种重放攻击。,Network and Information Security,3 为解决重放攻击,服务器首先生成一个随机数并发给用户,用户把口令散列值与该随机数连接或异或后再用单向散列函数处理一遍,把最后的散列值发给服务器,。,Network and Information Security,8.2.2 令牌和USB key认证,令牌实际上就是一种智能卡,私钥存储在令牌中,对私钥的访问用口令进行控制。 令
6、牌没有物理接口,无法与计算机连接,使用总是不方便 . 可以用USB key代替。USB key通过USB接口直接连接在计算机上,不需要用户手动键入数据,比令牌方便得多。,Network and Information Security,8.2.3 生物识别认证,使用生物识别技术的身份认证方法 ,主要是根据用户的图像、指纹、气味、声音等作为认证数据。 在安全性要求很高的系统中,可以把这3种认证方法结合起来,达到最高的安全性。,Network and Information Security,8.3 访 问 控 制,在计算机安全防御措施中,访问控制是极其重要的一环,它是在身份认证的基础上,根据身份
7、的合法性对提出的资源访问请求加以控制。,Network and Information Security,8.3.1 基本概念 广义地讲, 所有的计算机安全都与访问控制有关。实际上RFC 2828 定义计算机安全如下:用来实现和保证计算机系统的安全服务的措施, 特别是保证访问控制服务的措施。 访问控制(Access Control)是指主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 在访问控制中,主体是访问的发起者,访问客体的活动资源,通常为进程、程序或用户。 客体则是指对其访问必须进行控制的资源,客体一般包括各种资源,
8、如文件、设备、信号量等。 访问控制中的第三个元素是保护规则,它定义了主体与客体之间可能的相互作用途径。,Network and Information Security,保护域的概念。每一主体(进程)都在一特定的保护域下工作,保护域规定了进程可以访问的资源。 每一域定义了一组客体及可以对客体采取的操作。可对客体操作的能力称为访问权(Access Right),访问权定义为有序对的形式。 一个域是访问权的集合。如域X有访问权,则在域X下运行的进程可对文件A执行读写,但不能执行任何其它的操作。 保护域并不是彼此独立的。它们可以有交叉,即它们可以共享权限。域X和域Y对打印机都有写的权限,从而产生了访
9、问权交叉现象。,Network and Information Security,图8-3 有重叠的保护域,Network and Information Security,根据访问控制策略的不同,访问控制一般分为自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制、使用控制等 。 自主访问控制是以前计算机系统中实现较多的访问控制机制,它是根据访问者的身份和授权来决定访问模式的。 强制访问控制是将主体和客体分级,然后根据主体和客体的级别标记来决定访问模式。 “强制”主要体现在系统强制主体服从访问控制策略上。 基于角色的访问控制的基本思想是:授权给用户的访问权限通常由用户在一个组织
10、中担当的角色来确定。 它根据用户在组织内所处的角色作出访问授权和控制,但用户不能自主地将访问权限传给他人。,Network and Information Security,8.3.2 自主访问控制 自主访问控制又称任意访问控制(Discretionary Access Control,DAC),是指根据主体身份或者主体所属组的身份或者二者的结合,对客体访问进行限制的一种方法。 它是访问控制措施中常用的一种方法,这种访问控制方法允许用户可以自主地在系统中规定谁可以存取它的资源实体,即用户(包括用户程序和用户进程)可选择同其它用户一起共享某个文件。,Network and Information
11、 Security,在各种以自主访问控制机制进行访问控制的系统中,存取模式主要有: 读(read),即允许主体对客体进行读和拷贝的操作; 写(write),即允许主体写入或修改信息,包括扩展、压缩及删除等; 执行(execute),就是允许将客体作为一种可执行文件运行,在一些系统中该模式还需要同时拥有读模式; 空模式(null),即主体对客体不具有任何的存取权。,自主访问控制缺陷,Network and Information Security,自主访问控制的具体实施可采用以下四种方法。,(1) 目录表(Directory List) 在目录表访问控制方法中借用了系统对文件的目录管理机制,为每
12、一个欲实施访问操作的主体,建立一个能被其访问的“客体目录表(文件目录表)”。例如某个主体的客体目录表可能为: 客体1:权限1 客体2:权限2 客体n:权限n 。 当然,客体目录表中各个客体的访问权限的修改只能由该客体的合法属主确定,不允许其它任何用户在客体目录表中进行写操作,否则将可能出现对客体访问权的伪造。 操作系统必须在客体的拥有者控制下维护所有的客体目录。,Network and Information Security,目录表访问控制机制的优点是容易实现,每个主体拥有一张客体目录表,这样主体能访问的客体及权限就一目了然了,依据该表对主体和客体的访问与被访问进行监督比较简便。 缺点之一是
13、系统开销、浪费较大,这是由于每个用户都有一张目录表,如果某个客体允许所有用户访问,则将给每个用户逐一填写文件目录表,因此会造成系统额外开销; 二是由于这种机制允许客体属主用户对访问权限实施传递并可多次进行,造成同一文件可能有多个属主的情形,各属主每次传递的访问权限也难以相同,甚至可能会把客体改用别名,因此使得能越权访问的用户大量存在,在管理上繁乱易错。,Network and Information Security,(2) 访问控制列表(Access Control List),访问控制列表的策略正好与目录表访问控制相反,它是从客体角度进行设置的、面向客体的访问控制。每个客体有一个访问控制列
14、表,用来说明有权访问该客体的所有主体及其访问权限。 访问控制列表方式的最大优点就是能较好地解决多个主体访问一个客体的问题,不会像目录表访问控制那样因授权繁乱而出现越权访问。 缺点是由于访问控制列表需占用存储空间,并且由于各个客体的长度不同而出现存放空间碎片,造成浪费;每个客体被访问时都需要对访问控制列表从头到尾扫描一遍,影响系统运行速度和浪费了存储空间。,Network and Information Security,(3) 访问控制矩阵(Access Control Matrix),访问控制矩阵是对上述两种方法的综合。存取控制矩阵模型是用状态和状态转换进行定义的,系统和状态用矩阵表示,状态
15、的转换则用命令来进行描述。 直观地看,访问控制矩阵是一张表格,每行代表一个用户(即主体),每列代表一个存取目标(即客体),表中纵横对应的项是该用户对该存取客体的访问权集合(权集)。,访问控制矩阵原理示意图,Network and Information Security,抽象地说,系统的访问控制矩阵表示了系统的一种保护状态,如果系统中用户发生了变化,访问对象发生了变化,或者某一用户对某个对象的访问权限发生了变化,都可以看作是系统的保护状态发生了变化。 由于访问控制矩阵模型只规定了系统状态的迁移必须有规则,而没有规定是什么规则,因此该模型的灵活性很大,但却给系统埋下了潜在的安全隐患。,Netwo
16、rk and Information Security,强制访问控制(Mandatory Access Control,MAC)是根据客体中信息的敏感标签和访问敏感信息的主体的访问等级,对客体的访问实行限制的一种方法。 它主要用于保护那些处理特别敏感数据(例如,政府保密信息或企业敏感数据)的系统。 在强制访问控制中,用户的权限和客体的安全属性都是固定的,由系统决定一个用户对某个客体能否进行访问。 所谓“强制”,就是安全属性由系统管理员人为设置,或由操作系统自动地按照严格的安全策略与规则进行设置,用户和他们的进程不能修改这些属性。,8.3.3 强制访问控制,Network and Information Security,图8-7 强制访问控制,Network and Information Security,8.3.4 基于角色的访问控制 基于角色的访问控制(Role-Based Access Control,RBAC)的核心思想就是:授权给用户的访问权限通常由用户在一个组织中担当的角色来确定。 引入了“角色”这一重要的概念,所谓“角色”,是指一个或
