身份认证访问控制与系统审计解析.pptVIP

第8章 身份认证、访问控制与系统审计 经典安全模型包含如下基本要素： (1) 明确定义的主体和客体； (2) 描述主体如何访问客体的一个授权数据库； (3) 约束主体对客体访问尝试的参考监视器； (4) 识别和验证主体和客体的可信子系统； (5) 审计参考监视器活动的审计子系统。 可以看出，这里为了实现计算机系统安全所采取的基本安全措施，即安全机制有身份认证、访问控制和审计。 参考监视器是主体/角色对客体进行访问的桥梁. 身份识别与验证，即身份认证是主体/角色获得访问授权的第一步，这也是早期黑客入侵系统的突破口。 访问控制是在主体身份得到认证后，根据安全策略对主体行为进行限制的机制和手段。 审计作为一种安全机制，它在主体访问客体的整个过程中都发挥着作用，为安全分析提供了有利的证据支持。它贯穿于身份认证、访问控制的前前后后。 同时，身份认证、访问控制为审计的正确性提供保障。 它们之间是互为制约、相互促进的。 访问控制模型基本结构 8.2 身份认证 在有安全需求的应用系统中，识别用户的身份是系统的基本要求，身份认证是安全系统中不可缺少的一部分，也是防范入侵的第一道防线。 身份认证的方法多种多样，其安全强度也各不相同，具体方法可归结为3类：根据用户知道什么、拥有什么、是什么来进行认证。 用户知道什么，一般就是口令、用户标识码（Personal Identification Number, PIN）以及对预先设置的问题的答案；用户拥有什么，通常为令牌或USB key；用户是什么，这是一种基于生物识别技术的身份认证，分为静态生物认证和动态生物认证，静态生物认证包括：指纹识别、虹膜识别及人脸识别， 动态生物认证包括： 语音识别及笔迹特征识别。 8.2.1 用户名和口令认证 通过用户名和口令进行身份认证是最简单，也是最常见的认证方式，但是认证的安全强度不高。所有的多用户系统、网络服务器、Web的电子商务等系统都要求提供用户名或标识符（ID），还要求提供口令。系统将用户输入的口令与以前保存在系统中的该用户的口令进行比较，若完全一致则认为认证通过，否则不能通过认证。 根据处理方式的不同，有3种方式：口令的明文传送、利用单向散列函数处理口令、利用单向散列函数和随机数处理口令，这3种方式的安全强度依次增高，处理复杂度也依次增大。 口令以明文形式传送时，没有任何保护 为防止口令被窃听，可用单向散列函数处理口令，传输口令的散列值，而不传输口令本身。 传输口令的散列值也存在不安全因素，黑客虽然不知道口令的原文，但是他可以截获口令的散列值，直接把散列值发送给验证服务器，也能验证通过，这是一种重放攻击。 为解决这个问题，服务器首先生成一个随机数并发给用户，用户把口令散列值与该随机数连接或异或后再用单向散列函数处理一遍，把最后的散列值发给服务器。 8.2.2 令牌和USB key认证 令牌实际上就是一种智能卡，私钥存储在令牌中，对私钥的访问用口令进行控制。令牌没有物理接口，无法与计算机连接，必须手动把随机数键入令牌，令牌对键入的随机数用私钥进行数字签名，并把签名值的Base64编码（一种编码方法，可以把任意二进制位串转化为可打印的ASCII码）输出到令牌的显示屏上，用户再键入计算机。 如果用时间代替随机数，就不需要用户键入随机数了，更容易使用。在青岛朗讯公司，每位员工都有一个这样的令牌，员工在任何一个地方都可以通过身份认证，安全地登录公司内部网络，大大提高了工作效率。 令牌无法与计算机连接，使用总是不方便，可以用USB key代替。USB key通过USB接口直接连接在计算机上，不需要用户手动键入数据，比令牌方便得多。 8.2.3 生物识别认证 使用生物识别技术的身份认证方法已经广泛使用，主要是根据用户的图像、指纹、气味、声音等作为认证数据。有的公司为了严格职工考勤，购入指纹考勤机，职工上下班时必须按指纹考勤。 这避免了以前使用打卡机时职工相互代替打卡的问题，虽然认证是非常严格而且安全了，但职工却有了一种不被信任感，未必是好事。 在安全性要求很高的系统中，可以把这3种认证方法结合起来，达到最高的安全性。 8.3 访 问 控 制 在计算机安全防御措施中，访问控制是极其重要的一环，它是在身份认证的基础上，根据身份的合法性对提出的资源访问请求加以控制。 8.3.1 基本概念 广义地讲， 所有的计算机安全都与访问控制有关。实际上RFC 2828 定义计算机安全如下：用来实现和保证计算机系统的安全服务的措施， 特别是保证访问控制服务的措施。 访问控制(Access Control)是指主体访问客体的权限或能力的限制，以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(