电子商务安全与保密第5章 身份认证与访问控制.ppt

《电子商务安全与保密第5章 身份认证与访问控制.ppt》由会员分享，可在线阅读，更多相关《电子商务安全与保密第5章 身份认证与访问控制.ppt（35页珍藏版）》请在三一办公上搜索。

1、1,华南理工大学计算机学院本科课程电子商务安全与保密,大纲第五章 身份认证与访问控制,2,身份认证概念,身份认证又叫身份识别，它是通信和数据系统的正确识别通信用户或终端的个人身份的重要途径。身份认证是安全系统中的第一道关卡，如图44所示，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。,3,基本的身份认证方法,物理认证方法主体特征认证视网膜扫描、声音验证、指纹识别器。口令机制口令是约定的代码，假设只有用户和系统知道。智能卡访问不但需要口令，也需要使用物理智能卡。一次性口令用户每次使用不同的口令，需要口令发生器设备。,4

2、,基本的身份认证方法,PAP 协议（Password Authentication Protocol）用于 PPP（点对点）协议的身份认证协议，明文口令传输。CHAP 协议（Challenge Handshake Authentication Protocol）不在网络上传送口令信息，比 PAP 具有更强的安全性。,5,一次一密实现方式,请求-应答方式验证者AS需要与客户端产生相同的口令字（或者验证用户签名）用于验证用户身份。询问-应答式验证者提出问题（通常是随机数），由识别者回答，然后验证身份真实性。Schnorr协议，Okanmto协议，GQ协议,6,身份认证协议 Kerberos,是美国

3、麻省理工学院（MIT）开发的一种身份鉴别服务。“Kerberos”的本意是希腊神话中守护地狱之门的守护者。Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。Kerberos建立的是一个实现身份认证的框架结构。其实现采用的是对称密钥加密技术，而未采用公开密钥加密。公开发布的Kerberos版本包括版本4和版本5。,7,Kerberos的设计思路（1）,基本思路：使用一个（或一组）独立的认证服务器（AS Authentication Server），来为网络中的客户提供身份认证服务；认证服务器(AS)，用户口令由 AS 保存在数据库中；AS

4、与每个服务器共享一个惟一保密密钥（已被安全分发）。会话过程：(1)C AS:IDC|PC|IDV(2)AS C:Ticket(3)C V:IDC|Ticket Ticket=EKVIDC|ADC|IDV,8,Kerberos的设计思路（2）,问题：用户希望输入口令的次数最少。但多次使用会导致安全性下降口令以明文传送会被窃听。解决办法可重用票据（ticket reusable）。引入票据许可服务器（TGS-ticket-granting server）用于向用户分发服务器的访问票据认证服务器 AS 并不直接向客户发放访问应用服务器的票据，而是由 TGS 服务器来向客户发放观众收款员售票员电影院检

5、票员,9,Kerberos中的票据,两种票据两种票据在认证过程中的使用一、服务许可票据（Service granting ticket）是客户要求服务时需要提供的票据；用 TicketV 表示访问应用服务器 V 的票据。TicketV 定义为 EKv IDCADCIDVTS2LT2,10,Kerberos中的票据,两种票据二、票据许可票据（Ticket granting ticket）客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”；票据许可票据由 AS 发放；用 Tickettgs 表示访问 TGS 服务器的票据；Tickettgs 在用户登录时向 A

6、S 申请一次，可多次重复使用；Tickettgs 定义为 EKtgs IDCADCIDtgsTS1LT1,11,Kerberos V4认证过程示意图,12,Kerberos V4认证过程(1),第一阶段，认证服务器的交互，用于获取票据许可票据：(1)C AS：IDCIDtgsTS1(2)AS C：EKc KC,tgsIDtgsTS2LT2Tickettgs 其中：Tickettgs=EKtgs KC,tgsIDCADCIDtgsTS2LT2,13,Kerberos V4认证过程(2),第二阶段，票据许可服务器的交互，用于获取服务许可票据：(3)C TGS：IDVTickettgsAUC(4)T

7、GS C：EKc,tgs KC,VIDVTS4TicketV 其中：Tickettgs=EKtgs KC,tgsIDCADCIDtgsTS2LT2TicketV=EKv KC,VIDCADCIDVTS4LT4AUC=EKc,tgs IDCADCTS3,14,Kerberos V4认证过程(3),第三阶段，客户与应用服务器的交互，用于获得服务：(5)C V：TicketVAUC(6)V C：EKc,v TS5+1其中：TicketV=EKv KC,VIDCADCIDVTS4LT4 AUC=EKc,v IDCADCTS5,15,Kerberos V4中各关键元素的说明(1),16,Kerberos

8、 V4中各关键元素的说明(2),17,Kerberos V4中各关键元素的说明(3),18,访问控制定义资源的所有者或者控制者准许其他人访问这种资源，防止未授权的访问对于进入系统的控制机制主体：主体，即主动实体，它提出对资源访问请求；如用户，程序，进程等。客体：客体，能包含或接受信息的被动实体，如如网络、计算机、数据库、文件、目录、计算机程序、外设、网络。安全策略：The set of laws,rules,and practices that regulate how an organization manages,protects,and distributes sensitive inf

9、ormation.安全策略模型（Security Policy Model）：An informal presentation of a formal security policy model.安全策略-形式化模型-计算机中表示安全机制：实现安全策略的一整套软件、硬件的实体，它的作用就是保证安全策略的实现。,授权(Authorization)和访问控制,19,访问控制的基本概念,访问（Access）对资源的使用，读、写、修改、删除等操作，例如访问存储器；访问文件、目录、外设；访问数据库；访问一个网站。访问可以被描述为一个三元组(s,a,o)主体，发起者:Subject，Initiator客体

10、，目标:Object,Target访问操作:Access,Object,Read/Write/Exec,20,基本模型：Reference Monitor,ReferenceMonitor,主体,客体,控制规则库,访问控制模型：Reference Monitor解释了主体和客体之间实施访问控制的机制构造应用监视器的原则：完整性：不受外界干扰禁止旁路：任何访问控制请求，都引用监视器仲裁可验证性：足够小，以至于能证明它是正确的,21,访问控制规则,基于身份帐号和口令基于角色基于地址IP基于时间上/下班时间基于异常事件三次登陆自动锁死基于服务数量并发访问如何协调这些策略规定策略的优先级否定策略的优先

11、级,22,传统的访问控制技术/策略自主访问控制（Discretionary Access Control），最早出现在六十年代末期的分时系统中。强制访问控制（Mandatory Access Control），最早出现在七十年代，八十年代得到普遍应用。它们最鲜明的特点：策略和技术可以不区分，依赖于特定的安全策略。,23,自主访问控制：客体的主人全权管理有关该客体的访问授权，有权泄漏、修改该客体的有关信息.而且主体间存在权限的转移。有些学者把DAC称为基于主人的访问控制 访问权限-访问模式。它的实现理论基础：访问控制矩阵（Access Control Matrix）.一个方向为所有的主体，另一方

12、向为所有客体，中间每个元素为对应主体对对应客体所拥有的访问权限。,24,基于主体的DAC实现：权力表：表明主体对所有客体的权限。当删除一个客体时，要检查所有主体的权利表。基于客体的DAC实现访问控制链表ACL：表明客体对所有主体的权限。当删除一个主体时，要检查所有客体的ACL。基于组的保护位方式,25,优点/功能：简单在一定程度上实现了多用户环境下的权限隔离和资源保护 缺点资源管理过于分散，系统安全难以保证无法抵御特洛伊木马（Trojan Horse）的攻击。改进：HRU访问控制模型：客体主人自主管理该客体的访问和安全管理员限制访问权限随意扩散相结合的半自主式的资源管理方案。由于本质上的问题，

13、引入了强制访问控制,26,访问控制表(ACL,Access Control List),访问控制列表对应于访问控制矩阵中的一列内容基于身份的访问控制策略和基于角色的访问控制策略都可以用ACL来实现优点：控制粒度比较小适用于被区分的用户数比较小的情况，并且这些用户的授权情况相对比较稳定的情形,27,自主型访问控制政策,/bin/lsrootacl tmp#chown root lsrootacl tmp#ls-l-rw-r-r-1 nobodynobody 770 Oct 18 15:16 4011.tmp-rw-1 root users 48 Oct 28 11:41 lssrwxrwxrwx

14、 1 root root 0 Aug 29 09:04 mysql.sockdrwxrwxr-x 2 duan uan 4096 Oct 23 23:41 sslrootacl tmp#chmod o+rw lsrootacl tmp#ls-l-rw-r-r-1 nobody nobody 770 Oct 18 15:16 4011.tmp-rw-rw-1 root users 48 Oct 28 11:41 lssrwxrwxrwx 1 root root 0 Aug 29 09:04 mysql.sockdrwxrwxr-x 2 duan duan 4096 Oct 23 23:41 ss

15、lrootacl tmp#,28,多级军事安全策略-强制访问控制模型主体-签证客体-秘级访问类属性（签证、秘级）是一个二元组（Security_Level,Category）-敏感标号安全级：表示用数字表示的安全等级。这些安全等级是线性有序的比如分为：普通、秘密、机密、绝密等，每一个访问类包含单一的安全级 类别集合：表示不同的部门集合，彼此间独立，无序的。,29,两个重要的安全特性（公理）Simple Security Condition：主体读客体，当且仅当用户的安全等级必须大于或等于该信息的安全级，并且该用户必须具有包含该信息所有访问类别的类别集合*-Property(Star Prope

16、rty)：一个主体/用户要写一个客体，当且仅当用户的安全等级不大于该客体安全等级，并且该客体包含该用户的所有类别。上述两个特性保证了信息的单向流动，即信息只能向高安全属性的方向流动，MAC就是通过信息的单向流动来防止信息的扩散，抵御特洛伊木马对系统保密性的攻击。,30,MAC的不足:应用的领域比较窄，使用不灵活，一般只用于军方等具有明显等级观念的行业或领域；完整性方面控制不够，它重点强调信息向高安全级的方向流动，对高安全级信息的完整性保护强调不够。改进:美国SecureComputing 公司提出了TE（Type Enforcement）控制技术，该技术把主体和客体分别进行归类，它们之间是否有

17、访问授权由TE授权表决定，TE授权表由安全管理员负责管理和维护。,31,发展RBAC(Role_Based Access Control)的概念早在七十年代就已经提出，但在相当长的一段时间内没有得到人们的关注。进入九十年代，RBAC又引起了人们极大的关注，目前美国很多学者和研究机构都在从事这方面的研究，。原因：安全需求的发展,32,在RBAC中，在用户(user)和访问许可权(permission)之间引入角色(role)的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消，而且登陆到系统中的用户可以根据自己的需要动态激活自己拥有的角

18、色（见图1中的sessions），避免了用户无意中危害系统安全。三层管理已满足最小特权原则SSD/DSD,33,34,优点：首先，RBAC是一种策略无关的访问控制技术，它不局限于特定的安全策略，几乎可以描述任何的安全策略，甚至DAC和MAC也可以用RBAC来描述 RBAC具有自管理的能力，利用RBAC思想产生出的ARBAC(Adminstrative RBAC)模型很好地实现了对RBAC的管理 RBAC具有自管理的能力，利用RBAC思想产生出的ARBAC(Adminstrative RBAC)模型很好地实现了对RBAC的管理,35,需要解决的问题：RBAC技术还不十分成熟，在角色配置的工程化、角色动态转换等方面还需要进一步研究。RBAC比DAC和MAC复杂，系统实现难度大 RBAC的策略无关性需要用户自己定义适合本领域的安全策略，定义众多的角色和访问权限及它们之间的关系也是一件非常复杂的工作,