信息安全原理與技術ch06-身份認證與控制

信息平安原理與技術郭亞軍宋建華李莉清華大學出版社2023/7/141第6章身份認證與訪問控制主要知識點：

--身份認證

--訪問控制概述

--自主訪問控制

--強制訪問控制

--基于角色的訪問控制2023/7/1426.1身份認證認證一般可以分為兩種:消息認證:用于保證信息的完整性和抗否認性。在很多情況下，用戶要確認網(wǎng)上信息是不是假的，信息是否被第三方修改或偽造，這就需要消息認證。身份認證:用于鑒別用戶身份。包括識別和驗證，識別是指明確并區(qū)分訪問者的身份；驗證是指對訪問者聲稱的身份進行確認。2023/7/143圖6.1身份認證是平安系統(tǒng)中的第一道關卡2023/7/144單向認證和雙向認證軟件認證和硬件認證單因子認證和雙因子認證靜態(tài)認證和動態(tài)認證認證手段:基于用戶所知道的(whatyouknow)基于用戶所擁有的(whatyouhave)基于用戶本身的〔生物特征如：語音特征、筆跡特征或指紋〕相關概念

2023/7/145身份認證的根本方法用戶名/密碼方式

IC卡認證方式

動態(tài)口令方式生物特征認證方式

USBKey認證方式

2023/7/146用戶名/密碼方式是一種基于“用戶所知道〞的驗證手段每一個合法用戶都有系統(tǒng)給的一個用戶名/口令對，當用戶要求訪問提供效勞的系統(tǒng)時，系統(tǒng)就要求輸入用戶名、口令，在收到口令后，將其與系統(tǒng)中存儲的用戶口令進行比較，以確認被認證對象是否為合法訪問者。如果正確，那么該用戶的身份得到了驗證。優(yōu)點：由于一般的操作系統(tǒng)都提供了對口令認證的支持，對于封閉的小型系統(tǒng)來說是一種簡單可行的方法。缺點：是一種單因素的認證，它的平安性依賴于密碼。由于許多用戶為了防止忘記密碼，經(jīng)常會采用容易被他人猜到的有意義的字符串作為密碼，因此極易造成密碼泄露。密碼一旦泄露，用戶即可被冒充。2023/7/147IC卡認證方式是一種基于“用戶所擁有〞的認證手段IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器中讀取其中的信息，以驗證用戶的身份。優(yōu)點：通過IC卡硬件的不可復制性可保證用戶身份不會被仿冒。缺點：由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內存掃描或網(wǎng)絡監(jiān)聽等技術還是很容易能截取到用戶的身份驗證信息。因此，靜態(tài)驗證的方式還是存在著根本的平安隱患。2023/7/148動態(tài)口令方式是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術采用動態(tài)密碼卡(專用硬件)，密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼。用戶將動態(tài)令牌上顯示的當前密碼輸入，由這個信息的正確與否可識別使用者的身份。優(yōu)點：采用一次一密的方法，不能由產(chǎn)生的內容去預測出下一次的內容。而且輸入方法普遍(一般計算機鍵盤即可)，能符合網(wǎng)絡行為雙方的需要。缺點：如果客戶端硬件與效勞器端程序的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題，這使得用戶的使用非常不方便。2023/7/149生物特征認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征(如指紋、虹膜、臉部、掌紋等)為依據(jù)，采用計算機的強大功能和網(wǎng)絡技術進行圖像處理和模式識別。優(yōu)點：使用者幾乎不可能被仿冒。缺點：

較昂貴。不夠穩(wěn)定(辯識失敗率高)。2023/7/1410USBKey認證方式采用軟硬件相結合、一次一密的強雙因子認證模式。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內置的密碼學算法實現(xiàn)對用戶身份的認證。兩種應用模式：基于挑戰(zhàn)/應答的認證模式基于PKI體系的認證模式優(yōu)點：便于攜帶、使用方便、本錢低廉、平安可靠性很高，被認為將會成為身份認證的主要開展方向。缺點：平安性不如生物特征認證。2023/7/14116.1.2常用身份認證機制

簡單認證機制

基于DCE/Kerberos的認證機制

基于公共密鑰的認證機制

基于挑戰(zhàn)/應答的認證機制

2023/7/1412簡單認證機制

口令認證一次性口令(One-TimePassword)2023/7/1413口令認證過程：①用戶將口令傳送給計算機；②計算機完成口令單向函數(shù)值的計算；③計算機把單向函數(shù)值和機器存儲的值比較。缺乏之處：以明文方式輸入口令容易泄密；口令在傳輸過程中可能被截獲；口令以文件形式存儲在認證方，易于被攻擊者獲取；用戶為了記憶的方便，訪問多個不同平安級別的系統(tǒng)時往往采用相同的口令，使得攻擊者也能對高平安級別系統(tǒng)進行攻擊。只能進行單向認證，即系統(tǒng)可以認證用戶，而用戶無法對系統(tǒng)進行認證?？诹钫J證2023/7/1414一次性口令(One-TimePassword)一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。確定口令的方法兩端共同擁有一串隨機口令，在該串的某一位置保持同步；兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步；使用時戳，兩端維持同步的時鐘。

2023/7/1415基于DCE/Kerberos的認證機制圖6.2認證雙方與Kerberos的關系

DCE/Kerberos是一種被證明為非常平安的雙向身份認證技術。Kerberos既不依賴用戶登錄的終端，也不依賴用戶所請求的效勞的平安機制，它本身提供了認證效勞器來完成用戶的認證工作。DCE/Kerberos的身份認證強調了客戶機對效勞器的認證；而其它產(chǎn)品，只解決了效勞器對客戶機的認證。2023/7/1416基于公共密鑰的認證機制使用符合X.509的身份證明使用這種方法必須有一個第三方的授權證明〔CertificatesofAuthority,CA〕中心為客戶簽發(fā)身份證明?？蛻艉托谄鞲髯詮腃A獲取證明，并且信任該授權證明中心。在會話和通訊時首先交換身份證明，其中包含了將各自的公鑰交給對方，然后才使用對方的公鑰驗證對方的數(shù)字簽名、交換通訊的加密密鑰等。在確定是否接受對方的身份證明時，還需檢查有關效勞器，以確認該證明是否有效。優(yōu)點:是非常平安的用戶認證形式。缺點：實現(xiàn)起來比較復雜，要求通信的次數(shù)多，而且計算量較大。2023/7/1417基于挑戰(zhàn)/應答的認證機制每次認證時認證效勞器端都給客戶端發(fā)送一個不同的"挑戰(zhàn)"字串，客戶端程序收到這個"挑戰(zhàn)"字串后，做出相應的"應答"。典型的認證過程為：〔1)客戶向認證效勞器發(fā)出請求，要求進行身份認證；〔2)認證效勞器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，假設不是，那么不做進一步處理；2023/7/1418基于挑戰(zhàn)/應答的認證機制〔3)認證效勞器內部產(chǎn)生一個隨機數(shù)，作為"提問"，發(fā)送給客戶；〔4)客戶將用戶名字和隨機數(shù)合并，使用單向Hash函數(shù)〔例如MD5算法〕生成一個字節(jié)串作為應答；〔5)認證效勞器將應答串與自己的計算結果比較，假設二者相同，那么通過一次認證；否那么，認證失敗；〔6)認證效勞器通知客戶認證成功或失敗。2023/7/1419提問-握手認證協(xié)議CHAPCHAP〔ChallengeHandshakeAuthenticationProtocol〕采用的是挑戰(zhàn)/應答方法，它通過三次握手〔3-wayhandshake〕方式對被認證方的身份進行周期性的認證。認證過程：〔1〕在通信雙方鏈路建立階段完成后，認證方〔authenticator〕向被認證方〔peer〕發(fā)送一個提問〔challenge〕消息；2023/7/1420〔2〕被認證方向認證方發(fā)回一個響應〔response〕，該響應由單向散列函數(shù)計算得出，單向散列函數(shù)的輸入?yún)?shù)由本次認證的標識符、秘訣〔secret〕和提問構成；〔3〕認證方將收到的響應與它自己根據(jù)認證標識符、秘訣和提問計算出的散列函數(shù)值進行比較，假設相符那么認證通過，向被認證方發(fā)送“成功〞消息，否那么，發(fā)送“失敗〞消息，斷開連接。在雙方通信過程中系統(tǒng)將以隨機的時間間隔重復上述三步認證過程。2023/7/1421CHAP的優(yōu)點通過不斷地改變認證標識符和提問消息的值來防止回放(playback)攻擊。利用周期性的提問防止通信雙方在長期會話過程中被攻擊。雖然CHAP進行的是單向認證，但在兩個方向上進行CHAP協(xié)商，也能實現(xiàn)通信雙方的相互認證。CHAP可用于認證多個不同的系統(tǒng)。2023/7/1422CHAP的缺乏CHAP認證的關鍵是秘訣，CHAP的秘訣以明文形式存放和使用，不能利用通常的不可逆加密口令數(shù)據(jù)庫。并且CHAP的秘訣是通信雙方共享的，因此給秘訣的分發(fā)和更新帶來了麻煩，要求每個通信對都有一個共享的秘訣，這不適合大規(guī)模的系統(tǒng)。2023/7/14236.2訪問控制概述

一個經(jīng)過計算機系統(tǒng)識別和驗證后的用戶〔合法用戶〕進入系統(tǒng)后，并非意味著他具有對系統(tǒng)所有資源的訪問權限。訪問控制的任務就是要根據(jù)一定的原那么對合法用戶的訪問權限進行控制，以決定他可以訪問哪些資源以及以什么樣的方式訪問這些資源。2023/7/1424訪問控制的根本概念主體〔Subject〕：主體是指主動的實體，是訪問的發(fā)起者，它造成了信息的流動和系統(tǒng)狀態(tài)的改變，主體通常包括人、進程和設備?？腕w〔Object〕：客體是指包含或接受信息的被動實體，客體在信息流動中的地位是被動的，是處于主體的作用之下，對客體的訪問意味著對其中所包含信息的訪問?？腕w通常包括文件、設備、信號量和網(wǎng)絡節(jié)點等。訪問〔Access〕：是使信息在主體和客體之間流動的一種交互方式。訪問包括讀取數(shù)據(jù)、更改數(shù)據(jù)、運行程序、發(fā)起連接等。2023/7/1425訪問控制的根本概念訪問控制〔AccessControl〕：訪問控制規(guī)定了主體對客體訪問的限制，并在身份識別的根底上，根據(jù)身份對提出資源訪問的請求加以控制。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。訪問控制所要控制的行為主要有讀取數(shù)據(jù)、運行可執(zhí)行文件、發(fā)起網(wǎng)絡連接等。2023/7/1426訪問控制技術

入網(wǎng)訪問控制網(wǎng)絡權限控制目錄級控制

屬性控制網(wǎng)絡效勞器的平安控制2023/7/1427入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制，通過控制機制來明確能夠登錄到效勞器并獲取網(wǎng)絡資源的合法用戶、用戶入網(wǎng)的時間和準許入網(wǎng)的工作站等。基于用戶名和口令的用戶入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證和用戶賬號的缺省限制檢查。如果有任何一個步驟未通過檢驗，該用戶便不能進入該網(wǎng)絡。2023/7/1428網(wǎng)絡權限控制網(wǎng)絡權限控制是針對網(wǎng)絡非法操作所提出的一種平安保護措施。能夠訪問網(wǎng)絡的合法用戶被劃分為不同的用戶組，不同的用戶組被賦予不同的權限。訪問控制機制明確了不同用戶組可以訪問哪些目錄、子目錄、文件和其他資源等，指明不同用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作等。

2023/7/1429網(wǎng)絡權限控制實現(xiàn)方式：受托者指派。受托者指派控制用戶和用戶組如何使用網(wǎng)絡效勞器的目錄、文件和設備。繼承權限屏蔽〔IRM〕。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。根據(jù)訪問權限將用戶分為以下幾類：特殊用戶〔即系統(tǒng)管理員〕；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；審計用戶，負責網(wǎng)絡的平安控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權限可以用訪問控制表來描述。2023/7/1430目錄級控制目錄級平安控制是針對用戶設置的訪問控制，控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可以進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限、讀權限、寫權限、創(chuàng)立權限、刪除權限、修改權限、文件查找權限和訪問控制權限。2023/7/1431屬性控制屬性平安控制在權限平安的根底上提供更進一步的平安性。當用戶訪問文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應該給出文件、目錄的訪問屬性，網(wǎng)絡上的資源都應預先標出平安屬性，用戶對網(wǎng)絡資源的訪問權限對應一張訪問控制表，用以說明用戶對網(wǎng)絡資源的訪問能力。屬性設置可以覆蓋已經(jīng)指定的任何受托者指派和有效權限。屬性能夠控制以下幾個方面的權限:向某個文件寫數(shù)據(jù)、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等，防止發(fā)生非法訪問的現(xiàn)象。2023/7/1432網(wǎng)絡效勞器的平安控制網(wǎng)絡效勞器的平安控制是由網(wǎng)絡操作系統(tǒng)負責。網(wǎng)絡效勞器的平安控制包括可以設置口令鎖定效勞器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)。此外，還可以設定效勞器登錄時間限制、非法訪問者檢測和關閉的時間間隔等。2023/7/14336.2.3訪問控制原理

訪問控制包括兩個重要過程：通過“鑒別〔authentication〕〞來驗證主體的合法身份；通過“授權〔authorization〕〞來限制用戶可以對某一類型的資源進行何種類型的訪問。2023/7/1434例如，當用戶試圖訪問您的Web效勞器時，效勞器執(zhí)行幾個訪問控制進程來識別用戶并確定允許的訪問級別。其訪問控制過程：〔1〕客戶請求效勞器上的資源。〔2〕將依據(jù)IIS中IP地址限制檢查客戶機的IP地址。如果IP地址是禁止訪問的，那么請求就會失敗并且給用戶返回“403禁止訪問〞消息。2023/7/1435〔3〕如果效勞器要求身份驗證，那么效勞器從客戶端請求身份驗證信息。瀏覽器既提示用戶輸入用戶名和密碼，也可以自動提供這些信息?！苍谟脩粼L問效勞器上任何信息之前，可以要求用戶提供有效的MicrosoftWindows用戶帳戶、用戶名和密碼。該標識過程就稱為“身份驗證〞?？梢栽诰W(wǎng)站或FTP站點、目錄或文件級別設置身份驗證?？梢允褂肐nternet信息效勞〔IIS提供的〕身份驗證方法來控制對網(wǎng)站和FTP站點的訪問?！场?)IIS檢查用戶是否擁有有效的Windows用戶帳戶。如果用戶沒有提供，那么請求就會失敗并且給用戶返回“401拒絕訪問〞消息。2023/7/1436〔5)IIS檢查用戶是否具有請求資源的Web權限。如果用戶沒有提供，那么請求就會失敗并且給用戶返回“403禁止訪問〞消息?！?)添加任何平安模塊，如MicrosoftASP.NET模擬?！?)IIS檢查有關靜態(tài)文件、ActiveServerPages(ASP)和通用網(wǎng)關接口(CGI)文件上資源的NTFS權限。如果用戶不具備資源的NTFS權限，那么請求就會失敗并且給用戶返回“401拒絕訪問〞消息?！?)如果用戶具有NTFS權限，那么可完成該請求。2023/7/1437訪問控制矩陣通常使用訪問控制矩陣來限制主體對客體的訪問權限。訪問控制機制可以用一個三元組〔S,O,A〕來表示。其中，S代表主體集合，O代表客體集合，A代表屬性集合，A集合中列出了主體Si對客體Oj所允許的訪問權限。這一關系可以用如下所示的一個訪問控制矩陣來表示：2023/7/1438三種訪問控制策略自主訪問控制強制訪問控制基于角色的訪問控制2023/7/14396.3自主訪問控制〔DAC〕自主訪問控制〔DiscretionaryAccessControl〕是指對某個客體具有擁有權〔或控制權〕的主體能夠將對該客體的一種訪問權或多種訪問權自主地授予其它主體，并在隨后的任何時刻將這些權限回收。這種控制是自主的，也就是指具有授予某種訪問權力的主體〔用戶〕能夠自己決定是否將訪問控制權限的某個子集授予其他的主體或從其他主體那里收回他所授予的訪問權限。2023/7/1440例如，假設某所大學使用計算機系統(tǒng)進行學生信息的管理。教務處在系統(tǒng)中建立了一張表，存入了每個學生的有關信息，如姓名、年齡、年級、專業(yè)、系別、成績、受過哪些獎勵和處分等。教務處不允許每個學生都能看到所有這些信息，他可能按這樣一個原那么來控制:每個學生可以看到自己的有關信息，但不允許看別人的；每個班的老師可以隨時查看自己班的學生的有關信息，但不能查看其他班學生的信息；并且教務處可限制教務處以外的所有用戶不得修改這些信息，也不能插入和刪除表中的信息，這些信息的擁有者是教務處。2023/7/1441教務處可按照上述原那么對系統(tǒng)中的用戶〔該大學的所有老師和學生〕進行授權。于是其他用戶只能根據(jù)教務處的授權來對這張表進行訪問。根據(jù)教務處的授權規(guī)那么，計算機中相應存放有一張表〔授權表〕，將教務處的授權情況記錄下來，以后當任何用戶對教務處的數(shù)據(jù)要進行訪問時，系統(tǒng)首先查這張表，檢查教務處是否對他進行了授權，如果有授權，計算機就執(zhí)行其操作；假設沒有，那么拒絕執(zhí)行。2023/7/1442自主訪問控制中，用戶可以針對被保護對象制定自己的保護策略。優(yōu)點:靈活性、易用性與可擴展性缺點:這種控制是自主的，帶來了嚴重的平安問題。2023/7/1443強制訪問控制〔MandatoryAccessControl〕是指計算機系統(tǒng)根據(jù)使用系統(tǒng)的機構事先確定的平安策略，對用戶的訪問權限進行強制性的控制。也就是說，系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制，用戶不能改變他們的平安級別或對象的平安屬性。強制訪問控制進行了很強的等級劃分，所以經(jīng)常用于軍事用途。6.4強制訪問控制(MAC)

圖6-3強制訪問控制例如2023/7/1444例如，某單位局部行政機構如以下圖：2023/7/1445假設計算機系統(tǒng)中的數(shù)據(jù)的密級為：一般＜秘密＜機密＜絕密定義校長的平安級C校長＝〔絕密，{人事處,教務處,財務處,設備處}〕，〔即校長的密級為絕密，部門屬性為所有的部門〕教務處長的平安級C教=(機密,{教務處})財務處長的平安級C財=(機密,{財務處})財務一科長的平安級C一財=(秘密,{財務處})財務處工作人員的平安級C工=(一般,{財務處})假設財務一科長產(chǎn)生了一份工作文件A，文件A的平安級定義為與一科長的平安級相同，即CA=(秘密,{財務處})，那么，對于文件A，只有校長和財務處長能看到，而教務處長不能看，盡管教務處長的密級是機密級，可以看秘密級的文件，但教務處長的部門屬性僅是{教務處},他無權看財務處的信息。2023/7/1446強制訪問控制在自主訪問控制的根底上，增加了對網(wǎng)絡資源的屬性劃分，規(guī)定不同屬性下的訪問權限。優(yōu)點:平安性比自主訪問控制的平安性有了提高。缺點:靈活性要差一些。2023/7/14476.5基于角色的訪問控制(RBAC)傳統(tǒng)的訪問控制方法中，都是由主體和訪問權限直接發(fā)生關系，主要針對用戶個人授予權限，主體始終是和特定的實體捆綁對應的。這樣會出現(xiàn)一些問題：在用戶注冊到銷戶這期間，用戶的權限需要變更時必須在系統(tǒng)管理員的授權下才能進行，因此很不方便；大型應用系統(tǒng)的訪問用戶往往種類繁多、數(shù)量巨大、并且動態(tài)變化，當用戶量大量增加時，按每個用戶分配一個注冊賬號的方式將使得系統(tǒng)管理變得復雜，工作量急劇增加，且容易出錯；也很難實現(xiàn)系統(tǒng)的層次化分權管理，尤其是當同一用戶在不同場合處在不同的權限層次時，系統(tǒng)管理很難實現(xiàn)〔除非同一用戶以多個用戶名注冊〕。2023/7/1448在用戶和訪問權限之間引入角色的概念，將用戶和角色聯(lián)系起來，通過對角色的授權來控制用戶對系統(tǒng)資源的訪問。這種方法可根據(jù)用戶的工作職責設置假設干角色，不同的用戶可以具有相同的角色，在系統(tǒng)中享有相同的權力，同一個用戶又可以同時具有多個不同的角色，在系統(tǒng)中行使多個角色的權力?；诮巧脑L問控制〔RoleBasedAccessC