《计算机安全课程第》由会员分享,可在线阅读,更多相关《计算机安全课程第(9页珍藏版)》请在金锄头文库上搜索。
1、计算机安全课程第 7 讲第 11 周日期:2007.11.18地点:四教502第 5 章信息安全服务第1节 基本概念第2节 认证第3节 访问控制教学重点:1 认证的基本原理2 认证过程3 访问控制的基本原理教学难点:1 访问控制过程讲授主要内容: 教学引入:在计算机通信信息系统中,系统所具有的安全防护措施叫做信息安全服务,简称安全服务。安全服务由一系列开放系统互连安全服务框架所描述,它是实现开放系统互连安全体系的设计原则。 5.1 基本概念5.1.1安全区域l 定义:属于某个组织的处于一定范围的资源处理和通信的集合。l 该定义涉及两部分内容:n 它限制了一个特定的范围,该范围可以是空间上的,也
2、可以是时间上的。n 包含了信息资源以及这些资源的处理或者交换过程,它实际上是安全所保护的对象。安全区域的定义也具有相对性,它会随着保护措施的变化而变化。5.1.2安全粒度l 对某一个对象的安全保护细节,称为安全粒度。l 安全粒度直接影响安全系统的费用。安全粒度越粗,费用越低,安全粒度越细,费用越高。5.1.3安全策略l 定义:一套安全规则的集合。每一条安全策略都与一个数据特征、一个实体特征以及允许的数据操作规则联系起来。l 安全策略通常是一些概要形式的规则,而不是具体的规定,它只指明相应的安全保护重点,而不具体说明如何达到所希望的安全保护。l 安全策略的一个基本组成部分是授权。l 安全策略决定
3、了系统的安全要素,这些要素的共同特征是具有可用性和有效性,此外还需在合适时对系统安全要素进行选择。5.1.4安全机制l 定义:在一个安全区域内,根据资源的安全要求,指定安全策略,提供安全服务。提供安全服务的具体方法称为安全机制。l 与安全策略的区别:n 安全策略规定了一个安全区域的安全规则,它从总体上规定该安全区域应该遵循的安全要求,但没有制订具体采取哪些安全措施。n 安全机制说明了某个安全区域内某一具体的安全方法,它可由主体直接实现。在安全区域内,只有实现了所有的安全机制,才可能认为实现该区域的安全策略。l 同一个安全机制可以提供多种安全服务。而同一种安全服务当中可以包含多种安全机制。5.1
4、.5可信第三方l 定义:就是通信双方都信赖的一方,他可以作为中介、担保或者仲裁者。l 可信第三方一般能提供以下几种不同的功能:n 密钥证明:n 身份证明:n 时间戳:n 证据储存:n 传递代理:n 仲裁:l 对可信第三方的基本要求:n 他要保持中立,不偏袒任何一方;n 他是可信赖的、诚实的n 他的角色要被通信双方所接受。5.1.6安全业务l 定义:实现安全服务所需要的与利用、组合安全机制有关的操作和管理事务。l 安全框架阐明了信息系统环境中安全业务的应用,对系统内部和系统间的操作行为和信息管理,提供安全保护方法。l 安全业务需要一般的抽象业务接口,它为安全操作提供一致的术语和定义,为进一步标准
5、化提供基础。l 安全业务之间以及安全业务内部各部分是相互联系的,它们之间相互依赖,相互依存。5.2 认证l 定义:对实体合法身份的验证l 认证方法n 声称者证明他知道某事或某物(口令)n 声称者证明他拥有某事或某物(密钥)n 声称者展示某些必备的不变特性(指纹)n 声称者在某一特定的场所(或者时间)提供证据n 验证者认可某一已经通过认证的可信方n 认证可以是双向的。5.2.1 认证对抗的安全威胁l 认证对抗的主要安全威胁是“冒充”攻击和“重放”攻击。认证的基本目的是防止其他实体占用和独立操作被认证实体的身份。n 冒充:指某一实体伪称为另一个实体。冒充通常与其他攻击方式(如修改)一起使用,可以用
6、认证服务来对抗“冒充”,但并不是所有认证方式都与冒充方式相对应。n 重放:指重复某信息的全部或部分内容,以产生未经许可的效果。重放一般与其他攻击(如数据修改)结合使用,可用认证服务来对抗重放。5.2.2 认证的基本原理1、申请者与验证者 认证提供了实体声称其身份的保证。认证涉及两类实体和一个操作过程。l 申请者:代表被认证者(申请者用于描述被认证的主体。它包括代表主体参与认证交换所必需的功能。)l 验证者:代表认证者(验证者用于描述代表要求认证身份的实体。它包括参与认证交换所必需的功能。)l 认证操作过程:一系列通信、比较、计算、鉴别的过程。 2、身份l 在计算机通信系统中,实体的身份是用标识
7、符来描述的。l 在给定的安全区域中,要求可辨别标识符必须是唯一的,不能含糊不清。可辨别标识符在同一安全区域内将一个主体与其他主体通过下列两种方式区别开来:n 在粗粒度等级上,从认证目的来看,实体组中的成员被认为是等效的。n 在细粒度等级上,识别某个惟一的实体。l 身份的属性可以有以下几种:n 已知的(如一个个人认证码PIN);n 所拥有的(如IC卡);n 不可改变的特性(如生物特征-指纹、面部特征);n 相信可靠的第三方建立的认证(速推);n 环境(如主机地址)。3、主体l 身份所代表的实体称为主体。主体是一个具有实际属性的东西,例如,它可能具有指纹、视网膜等被动特性,也可能具有信息交换和处理
8、能力、具有信息存储能力、具有惟一固定的位置等。l 主体可能符合多种类型,不同情况应用不同的认证方法。l 在实际认证中,最终认证的主体必然是人类用户而不是认证代表人类用户行为的进程。5.2.3 认证过程认证过程是经过不同阶段实现的。认证分为以下阶段:1、安装2、修改认证信息3、分发4、获取5、传送6、验证7、停活8、重新激活9、取消安装这几个阶段在时间上并不一定都是分离的,它们在时间上可能是交错的。在一个特定的认证过程中,并不要求经历所有这些阶段。在某些情况下,各阶段的顺序也不是相同的5.2.4 认证类型1、实体认证与数据起源认证:通常情况下把认证分为两种类型:l 实体认证:主体由申请者来代表,
9、申请者与验证者之间存在着特定通信关系,在这种关系背景下,实体认证提供对主体身份的确认,主体的已认证身份仅在服务被请求时才被保证,实体认证只对认证时刻的身份提供确认保证。l 数据起源认证:是主体为验证者提供数据项来源,它将认证服务与数据完整性服务结合起来,使得认证具有持续性的保证。2、可信第三方参与的认证l 无需可信第三方参与的认证:在最简单的情况下,无论申请者还是验证者,在生成和验证交换认证信息时都无需得到其他实体的支持。l 有可信第三方参与的认证:验证认证信息可以通过与可信第三方的交互操作中得到,必须保证这一信息的完整性,维持可信第三方的申请认证信息的机密性。n 在线认证n 联机认证n 脱机
10、认证5.2.5 认证信息认证信息是指认证操作过程中申请者和验证者需要交换一定的信息。它是申请者要求认证至认证过程结束所生成、使用和交换的信息。认证信息的类型有:1、申请认证信息2、交换认证信息3、验证认证信息认证操作过程实际上形成了这三种认证信息的信息流。5.2.6 认证证书认证证书是一个非常重要的概念。它是认证信息的一种通用形式。认证证书是一种可用于认证的特殊形式的由可信任权威机构颁发的安全证书。认证证书类型有:1、联机认证证书2、脱机认证证书3、撤销证书4、撤销证书清单5、证书链认证证书中包含的元素有:l 版本号l 序列号l 签名l 颁发者l 有效期l 主体:证书拥有者的可识别名。l 主体
11、公钥信息:主体公钥l 颁发者唯一标识l 主体唯一标识:证书拥有者唯一标识l 扩展:可选的标准和专用扩展5.2.7 双向认证在有些计算机通信系统中,通信双方需要互相认证,称为双向认证。在这种认证过程中,通信的某一方既是申请者,也是验证者,既要被验证也要验证对方一般情况下,双向认证中的认证信息流是不对称的,但也存在认证信息相同的双向认证。双向认证在智能IC卡与手持读卡器之间的交互操作中使用得最普遍。1、口令机制口令机制是一种非密码认证机制。 l 脆弱性:l 外部泄露:未经授权而获得口令l 猜测:长口令l 线路窃听:单向函数l 危机验证者:危及验证者的口令文件或数据库l 重放:使用随机数、时间戳一次
12、口令机制f,g:单向函数dsv:秘密特定器件值,存储于器件之中ts:时间戳2、询问、应答机制询问-应答机制是申请者和验证者经过多次请求和响应实现认证的目的。3、基于地址的机制基于地址的认证机制是指申请者的身份以其所处的地址为代表。它的可认证性是以呼叫源地址为基础。需要强调的是,基于地址的机制一般情况下,其自身不能被作为认证机制,但可作为其他机制的有用补充,起到一种辅助作用。4、基于生物特征机制基于生物特征机制主要是针对以人类为主体的认证。生物特征主要是指那些每个人都拥有而且惟一拥有的特征。这些生物特征包括:l 指纹l 声音l 手迹l 视网膜l 脸谱l 手形5、基于密码机制l 基于密码的认证机制
13、是通过使用加密/解密的方法实现认证的目的。这种机制中,通常情况下,由申请者对身份加密操作,由验证者进行解密操作。l 在这种机制中,既可以使用对称密码技术,也可以使用非对称密码技术。l 基于对称密码技术的最简单方法是申请者和验证者共享一个对称密钥。l 基于非对称密码技术的基本方法是,申请者使用他的秘密密钥签署某一消息,验证者使用申请者的公钥检查签名。6、双向认证机制 双向认证在通信双方进行安全性较高的通信会话过程中通常是非常必要的。一般而言,双向认证可以通过组合两个单向认证实现。但是,这种组合需要被仔细地考察,因为有可能这样的组合易受窃听重放攻击。双向认证的信息交换次数可以比相应的两个单向信息交
14、换次数少得多。我们可以用三条交换信息来实现一个双向认证,其过程如下:l 消息1(A到B):询问;l 消息2(B到A):回答+ 询问;l 消息3(A到B):回答。 因此,由于安全性和性能的原因,双向认证协议交换必须为此目的而特别地进行设计。7、数据起源认证数据起源认证为申请者的身份是特定数据项的来源提供了保障。数据起源认证的实现方法主要包括:l 使用加密l 使用数字签名l 将数据起源认证视做实体认证的一个扩展8、认证机制实例认证Diffie-Hellman交换协议a,p:参数ax:Diffie-Hellman指数,ax mod p, x是A的私钥ay:Diffie-Hellman指数,ay mo
15、d p, y是B的私钥Ek:在密钥K=axy mod p下加密第一个数据项:ax;第二个数据项:ay,EkSbay,ax;第三个数据项:EkSbax,ay。Sb :数据系列以及签名5.3 访问控制术语l 访问控制:是一种对资源访问的限制l 目标:访问控制的资源对象l 权威机构:目标的所有者或者控制者l 用户:访问目标的责任人l 发起者:试图访问目标的用户或者用户行为的代理。阻止非授权用户访问目标的方法:l 访问请求过滤:检查发起者的请求l 分离:分离非授权用户5.3.1访问控制对抗的安全威胁 访问控制的目标主要是对抗涉及计算机或通信系统非授权操作的威胁,这些威胁包括:非授权使用、泄露、修改、破坏以拒绝服务5.3.2 访问控制的基本原理1、访问控制模
