在线图片,重点见png。
1、身份与访问管理概述
访问控制概述
- 目标:防范未授权的访问
- 非法用户对系统资源的使用
- 合法用户对系统资源的非法使用
- 概念:访问控制是一种安全手段 控制用户和系统如何与其他系统和资源进行通信和交互
- 机密性、完整性、可用性
2、身份与访问管理步骤
访问控制的步骤
- 标识(Identification ): 提供标识信息的主体,唯一性
- 宣称用户身份
- 要素
- 唯一性:在一个控制环境独一无二,便于稽核
- 非描述性:身份标识不应暴漏用户身份或职务
- 发布:发布的过程必须是安全和具有档案的
- 特点:
- 访问控制第一步
- 唯一身份标识
- 可追溯性的前提
- 鉴别(Authentication) 核实标识信息,有效性
- 验证用户身份标识信息
- 消息验证 (知道什么?)
- 密码 (password)
- 静态的,固定长度的
- 密码词 (Passphrase)
- 虚密码,通常比密码更长
- 动态密码 (dynamic password)
- 一次性密码 (One-Time Password,OTP)
- 使用OTP(One time password)的双因素认证防止了下面的什么攻击?重放
- PIN码
- 挑战的系统生成一个随机串,令牌持有人在令牌上输入这个随机串,令牌上显示PIN码
- 特点:周期变更
- 实现:令牌装置
- 同步模式
- 计数器同步:用户按下令牌设备的按钮来启动一次性密码创建
- 时间同步:令牌和服务器必须具有相同时钟
- 特点:共享加密和解密的相同安全密钥
- 异步模式
- 挑战/应答机制
- 优缺点:
- 一旦用户ID和令牌设备被共享或窃取,则会被冒用。
- 不容易遭受电子窃听,密码猜解和嗅探
- 同步模式
- RSA SecurID:时间-同步:双因素
- 一次性密码 (One-Time Password,OTP)
- 认知密码 (cognitive password)
- 基于个人事实或判断的信息
- 示例:
- 信用卡还款日期等信息
- 毕业学校或母亲姓氏
- 可以有多个认知信息组合
- 密码 (password)
- 所有关系验证 (拥有什么?)
- 存储卡
- 存储信息,但不能处理
- 智能卡
- 包含微处理器和集成电路,具备信息处理能力
- 分类:
- 接触式
- 表面具有金色封印
- 需要提供电源和数据I/O
- 非接触式
- 四周饶有天线
- 通过进入读卡器的电磁场提供电源
- 接触式
- 智能卡具有更强的防窜改性
- 存储卡
- 特征验证 (是什么, 做了什么?)
- 遗传特征 (Genotypic traits)
- 面部扫描
- 扫描脸部的属性和特征,包括骨骼、额头等信息
- 算法:区域特征分析算法
- 特点
- 识别精确度高,速度快
- 误识率、拒认率较低
- 手型外形
- 人手的形状的几何特征,手指以及整个手型信息
- 包括:手掌和手指的长度、宽度和外形
- 手部拓扑
- 检查沿着整个手型及其弯曲部分的不同起伏形状。
- 缺点:手型拓扑需要和手部外形组合使用
- 手掌扫描
- 手掌具有沟槽、脊状突起和折缝,唯一特征
- 包括:每个手指的指纹
- 声音辨识
- 语音模式之间的差别
- 登记时要求说不同的单词,测试时需要将单词混杂要求复述
- DNA
- 面部扫描
- 非遗传特征
- 指纹 (fingerprints)
- 指纹由一些曲线和分叉以及一些非常微小的特征构成
- 视网膜扫描 (用户接受度最低)
- 扫描眼球后方视网膜上的血管图案
- 虹膜扫描
- 虹膜是眼睛中位于瞳孔周围的一圈彩色部分,
- 虹膜具有独特的图案、分叉、颜色、换装、光环以及皱纹
- 特点:虹膜是最精确的
- 指纹 (fingerprints)
- 行为特征 (Behavioral traits)
- 签名分析
- 签名的速度和方式,签名者握笔的方式。
- 签名引起的物理移动会产生电信号,可以被当作生物测定
- 击键动作
- 动态击键获取输入具体短语时所产生的电信号,
- 捕获动作的速度和运动。
- 签名分析
- 生物技术度量
- 阻止欺诈是生物技术的另外一个运营
- 假阳性(FRR)-错误拒绝率 1类型
- 当精度提高后,一些合法的用户错误的被拒绝
- 错误拒绝率:错误拒绝率越高,生物鉴别系统越好
- 假阴性(FAR)-错误通过率 2类型
- 当精度降低后,一些非法的用户被错误的接受
- 错误接受率:错误接受率越低,生物鉴别系统越好
- 安全要求较高的系统
- 错误交叉率 CER 和 相等错误率 EER
- 错误交叉率CER越低,那么生物系统的性能越好
- 生物技术的问题
- 跟踪和监控
- 匿名
- 资料收集
- 遗传特征 (Genotypic traits)
- 强化密码 (strong authentication)
- 双因素
- 多因素
- 满足多个认证素
- 消息验证 (知道什么?)
- 三种鉴别方法的优缺点
- 知道什么:比较经济,但是容易被冒用
- 拥有什么:用于访问设施或敏感区域,物品容易丢失
- 是什么,做了什么:基于物理特征和生物鉴定学,不易被冒用
- 验证用户身份标识信息
- 授权(Authorization) 确定主体对可客体执行的操作
- 确定主体对客体执行的操作
- 访问准则
- 基于角色
- 基于组
- 基于物理位置或逻辑位置
- 基于时间段或时间间隔
- 基于事务类型
- 默认拒绝访问
- 知其所需
- 最小特权原则
- 追踪用户活动的审计日志和监控
- 可追溯性/责任
- 审计功能保证用户对自己的行为负责,确保安全策略的强制执行的安全,并可作为调查工具
- 审计
- 安全审计
- 审计范围:系统级事件、应用程序级事件、用户级事件
- 审计内容:时间、地点、任务、发生什么
- 日志存储期限和大小
- 审计日志保护
- 日志服务器
- 一次性写入介质
- 日志的使用
- 手动检查
- 自动检查
- 日志的管理
- 击键监控
- 目的:审计某个人和他的活动
- 安全审计
- 可追溯性/责任
访问控制标记语言
- GML
- SGML
- HTML
- 超文本标记语言 (Hypertext Markup Language)
- 标准通用标记语言 (Standard Generalized Markup Language)
- SGML
- XML
- SPML
- 服务配置标记语言
- SAML
- 一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据
- 基于Web的单点登录
- 是联合身份管理的标准
- 安全域
- 在共享统一的安全策略和管理的领域之间建立信任关系
- IDP(身份提供方)
- SA安全断言
- XACML
- 通过Web服务和其他应用程序,来实现用安全策略及访问权限来实现对资产管控
- SPML
访问控制应用
- 身份管理 (identity management)
- 目录
- 遵循层次化的数据结构格式,基于X.500标准和协议(如LDAP)
- 目录服务
- 允许管理员配置和管理在网络中出现的身份 标识、身份验证、授权和访问控制
- 元目录
- 特点:
- 一次只与一个目录连接
- 元目录包含身份数据
- 特点:
- 虚拟目录
- 特点:
- 与多个数据源连接
- 指向驻留实际数据的位置
- 特点:
- 身份存储库
- 身份管理目录中大量信息存储遍布整个企业
- web访问管理
- 提供单点登录等功能的前端控制软件
- HTTP是无状态的
- cookie和session来维护应用的状态
- 密码管理 (password managerment)
- 密码同步
- 只维护一个密码,可以加强密码的强度
- 弱点:单点故障,如果获取密码可以访问所有资源
- 自助式密码重设
- 通过回答注册的问题,发送重置链接
- 辅助式密码重设
- 通过服务台进行身份验证后重置密码
- 降低了呼叫的成本
- 密码同步
- 单点登录 SSO
- 身份集中存储
- 一次验证多资源访问
- 弱点:单点故障,如果获取密码可以访问所有资源
- 账户管理
- 集中化账户管理,同步身份目录
- 流程化的身份管理审批创建过程
- 联合身份
- 多个单位共享用户信息
- 目录
- 授权
- Kerberos
- 身份认证协议
- 基于对称密码技术
- 分布式环境单点登录的一个示例
- 提供端到端的安全
- 主要组件:
- 密钥分发中心KDC
- 票证授予服务(Ticket Granting Service,TGS)
- 身份认证服务(Authentication Service,AS)
- 密钥分发中心KDC
- 秘密密钥:在KDC与委托人之间进行共享
- 会话密钥:在两个委托人之间进行秘密共享,会话结束销毁
- 弱点:
- KDC是一个单点故障
- 秘密密钥临时存储在用户工作站上
- 会话密钥驻留在用户工作站上
- 提供完整性和机密性,不保证可用性
- 只支持对称加密算法
- SESAME
- 使用对称和非对称密码技术
- 主要组件:
- 特权属性服务器(PAS) (Privileged Attribute Server)
- 特权属性证书(PAC),具有数字签名。
- PAC包括:主体的身份,对客体的访问能力、访问时间段以及PAC生命周期
- 扮演与KDC类似角色
- 身份验证服务器(AS)Authentication Server
- 特权属性服务器(PAS) (Privileged Attribute Server)
- 安全域
- 在共享统一的安全策略和管理的领域之间建立信任关系
- 安全域
- 在共享统一的安全策略和管理的领域之间建立信任关系
- Kerberos
- 身份即服务 IDaaS
- 基于云端的身份代理和访问管理服务 Cloud-IAM
- 身份管理、访问控制、智能分析
- 可实现单点登录、联合身份、细粒度控制、服务集成等
3、访问授权模型和技术
访问控制模型
- 自主访问控制模型 DAC
- 基于用户授权的
- 依靠对象所有者自主决定
- 橘皮书C级
- UNIX
- linux
- windows
- 类型
- 基于用户和资源标识
- 直接面向用户进行限制
- 缺点:
- 不安全
- 管理繁琐
- 面临问题
- 木马
- 社会工程学
- 强制访问控制模型 MAC
- MAC依赖于安全标签
- 制定客体敏感标签,同时只允许高于客体级别的用户访问
- 只有管理员可以更改客体级别,而不是客体属主
- 橘皮书B级
- SElinux
- 安全级别较高场合:军队
- 缺点:
- 难以配置和实施
- 基于角色访问控制模型 RBAC
- 使用集中访问控制决定主客体的访问
- 建立在用户角色的基础上/人员流动
- 特点
- 基于工作职责的权限分配
- 可以和组织结构关联
- 能够遵循最小特权原则
- 职责分离
- 用户或组对应角色,赋予角色某些权限
- 类别
- 核心 RBAC
- 用户、角色、权限、操作和会话 应根据策略进行定义和对应
- 层次化 RBAC
- 角色关系定义了用户成员和权限集成
- 反应组织机构和功能描述
- 类型
- 有限层次
- 单角色继承
- 普通层次
- 多角色继承
- 有限层次
- 受限 RBAC
- 引入职责分离
- RBAC中的静态职责分离
- 示例:会计和出纳
- 防止欺诈
- RBAC中的动态职责分离
- 根据激活的会话中的角色,动态限制另外的职责分离的权限
- 管理方式
- 非RBAC
- 有限RBAC方式
- 混合RBAC方式
- 完全RBAC方式
- 核心 RBAC
- 基于属性的访问控制 ABAC
- 新型的访问控制,解决RBAC的不足 每个资源和用户都赋予一系列的属性,基于对用户属性的比较评估,比如时间、职务和位置,来确定该用户能否访问某个资源。RBAC属于ABAC的特例。
- Linda 希望根据工作人员的职务、应用程序所需的每组职务权限以及一天中的时间和位置的组合来控制对她组织中应用程序的访问。她应该选择哪种类型的控制方案。A. 基于属性的访问控制 (ABAC)
- 用于 ABAC 的属性通常属于以下四类之一:主体属性,例如部门或职称;行动属性,例如查看、编辑或删除的能力;对象属性,描述可能受到影响的对象;上下文属性,如位置、时间。
- 管理员希望限制在特定位置工作的员工对数据集的访问。他会使用以基于属性的访问控制 (ABAC)
访问控制的方法
- 基于规则访问控制 (rule-based )
- 基于 if x then y
- 是一种强制性控制
- 限制性用户接口 (约束的用户界面)
- 包括:
- 菜单
- 外壳(shell)
- 数据库视图
- 物理限制接口
- 包括:
- 访问控制矩阵 (Access Control Matrix)
- 主体与客体矩阵表
- 访问能力表
- 规定主体能够访问的客体
- 采用票证、令牌或密钥形式
- 示例:keberos的票证
- 访问控制表(ACL)
- 规定能够对其进行访问的主体
- 权限表
- 示例:防火墙、路由器的配置
- 能力为矩阵中的行 ACL为矩阵中的列
- 主体被绑定到能力表中, 客体被绑定在ACL
- 基于上下文相关访问控制 (context-dependent)
- 基于上下文做出的访问决策
- 示例:状态检测防火墙
- 基于内容访问控制 (content-dependent)
- 对客体的访问取决于客体内容
- 示例:基于内容的过滤规则,包过滤防火墙
4、访问控制管理和方法
访问控制管理方式
- 身份验证协议
- 密码身份认证协议,PAP (Password Authentication Protocol)
- 挑战握手身份验证协议,CHAP (Challenge Handshake Authentication Protocol)
- TACACS
- 只支持静态口令
- TACACS
- 可扩展身份验证协议,EAP (Extensible Authentication Protocol)
- 集中式访问控制管理-AAA (Centralized access control administration)
- RADIUS
- 组合身份验证和授权
- UDP协议
- 仅加密在RADIUS客户端和RADIUS服务器之间传送的密码
- 支持动态口令
- TACACS+
- TCP协议
- 支持动态密码,通过安全令牌实现双因素验证
- 使用AAA体系结构,分离身份验证、授权和审计
- 加密客户端和服务器之间的所有流量
- diameter
- 基本协议
- 扩展协议
- 构建在基本协议基础上,能够扩展多种服务,如VoIP等
- RADIUS
- 分散式访问控制管理 (decentralized access control administration)
- 离散式访问控制管理
- 对比
- 集中式访问控制存在单点故障,统一访问高效
- 分散式访问控制:根据用户授权,不存在单点,缺乏一致性
访问控制管理
- 类别
- 管理控制
- 策略和措施
- 人员控制
- 监管结构
- 安全意识和培训
- 测试
- 物理控制
- 网络分段
- 周界安全
- 计算机控制
- 区域隔离
- 布线
- 控制区
- 技术控制
- 系统访问
- 网络体系结构
- 网络访问
- 加密和协议
- 审计
- 管理控制
- 功能
- 威慑
- 警告牌
- 预防
- 密码锁
- 纠正
- 校验码
- 恢复
- 检测
- 补偿
- 威慑
5、访问控制问责和实践
6、访问控制监控和威胁
访问控制监控
- 入侵检测系统,IDS ( Intrusion Detection System)
- 组成:
- 传感器
- 分析器
- 管理员界面
- 分类:
- 网络型IDS
- 监控网络通信
- 主机型IDS
- 分析特定计算机系统内的活动
- 网络型IDS
- 特征性IDS
- 效率取决与特征库的更新
- 知识型或特征型IDS
- 基于已有的特定攻击特征库或知识库,进行模式匹配
- 状态型IDS
- 留意入侵前和入侵过程之间的活动状态,与预设定规则进行匹配
- 异常型IDS
- 统计异常型IDS
- 缺点:误报
- 优点:能够发现0day攻击或“少量且缓慢”攻击
- IDS在学习模式时一定不能出现攻击,否则不能检测攻击行为
- 协议异常型IDS
- 协议本身存在缺陷
- 流量异常型IDS
- 构建正常流量基线
- 规则性或启发型IDS
- 基于专家系统,基于if x the y的规则
- 无法检测新的攻击
- 统计异常型IDS
- 如果网络流量超过了IDS上线,攻击就会被忽略
- 组成:
- 入侵防御系统,IPS (Intrusion Prevention System)
- IDS被动检测
- 主动防御
- 蜜罐
- 模拟实际环境
- 发现非法行为
- 诱骗
- 陷阱
- 非法,不能作为证据
- 蜜网
- 模拟实际环境
面临的威胁
- 密码攻击手段
- 电子监控
- 通过监听流量,捕获密码信息,进行重放攻击
- 使用加密方式防止
- 访问密码文件
- 访问服务器上的密码文件
- 加密文件
- 暴力攻击
- 使用所有可能的字符、数字和符合来循环猜解密码
- 会产生破坏
- 字典攻击
- 构造字典文件与用户的密码进行比较
- 社会工程学
- 通过打电话重置密码或通过骗取密码
- 利用人的心理及行为
- 彩虹表
- 包括所有的散列格式的密码
- 键盘记录
- 电子监控
- 智能卡面临攻击
- 旁路攻击
- 差分功率分析 (differential power analysis)
- 查看处理过程排放的功率量
- 电磁分析 (electromagnetic analysis)
- 查看发射频率
- 时序分析 (Timing analysis)
- 计算某以特定功能所需的时间
- 软件攻击
- 在智能卡中输入提取用户指令的信息
- 故障生成 (fault generation)
- 通过一些环境组件来引起错误
- 包括:温度波动、改变输入电压、时钟频率
- 差分功率分析 (differential power analysis)
- 直接攻击
- 微区探查 (microprobing)
- 使用针头和超生震动去除智能卡点路上的外部保护材料, 直接连接智能卡ROM芯片来访问和操作其中的数据
- 微区探查 (microprobing)
- 旁路攻击
- 信息泄露
- 第3章:社会工程学
- 第5章:隐蔽通道
- 第10章:恶意代码
- 客体重用
- 对象分配前未清除内存位置、变量 和寄存器
- 对象分配前未清除文件、数据表
- 结合物理安全/delete/purge/destry…..
- 发射安全
- 法拉第笼的金属外壳,确保电子设备发射信号在一定范围内
- 白噪声
- 均匀频谱的随机电子信号无法从电磁波中获取信息
- 控制区
- 设备表面使用特殊材料屏蔽电子信号
- 需要创建一个安全周界
- 设备表面使用特殊材料屏蔽电子信号
- 授权过程问题
- 授权蔓延
- 因工作或部门调动而获取越来越多的权限
- 授权蔓延
- 登陆欺骗
- 网络钓鱼
- 社会工程学一种攻击手段
- 创建于合法站点类似的web站点
- hoax电话钓鱼/鱼叉攻击/鲸鱼攻击/网站钓鱼
- 网址嫁接
- DNS中毒
- 重定向到非法网址IP地址或网址
- 身份盗窃
- 网络钓鱼