计算机安全（第4版）/清华计算机图书译丛

作者简介

内容简介

第5章 访 问 控 制 　　本章主要内容 　　5.1 引言 　　5.2 物理访问与安全 　　5.3 密码 　　5.4 访问卡和令牌 　　5.5 生物识别 　　5.6 加密认证 　　5.7 认证 　　5.8 审计 　　5.9 中央认证服务器 　　5.10 目录服务器 　　5.11 整体身份管理 　　5.12 结论 　　学习目标 　　在学完本章之后，应该能： * 定义基本的访问控制术语 * 描述实际建筑和计算机安全 * 解释可复用密码 * 说明访问卡和令牌的工作原理 * 描述生物识别认证，包括验证和识别 * 解释授权 * 解释审计 * 描述中央认证服务器的工作原理 * 描述目录服务器的工作原理 * 定义完整的身份管理 5.1 引??言 5.1.1 访问控制 　　从第2章知道，公司必须为每个敏感资源制订安全计划，而每项安全计划的重要组成部分就是访问控制，如图5-1所示。攻击者无法获得公司资源，就无法伤害公司。公司需要规划访问控制，根据自己的需要实现控制，还要在控制失败时进行响应。 访问控制 ??公司必须限制对物理资源和电子资源的访问 ??访问控制是对系统、数据和对话访问控制的驱动策略 加密 ??在某种程度上，许多访问控制工具都使用加密 ??然而，加密只是访问控制的一部分，参与访问控制的执行 AAA保护 　?认证：请求者向验证者发送凭据来证明自己 　?授权：经过认证的用户将拥有哪些权限 　???根本上，用户可以获得什么资源 　???用户能用这些资源做什么 　?审计：在日志文件中记录人们做什么 　???检测攻击 　???在实施中，进行识别统计分析 凭据是基于 　?你知道什么（例如密码） 　?你有什么（例如访问卡） 　?你是谁（例如你的指纹） 　?你做什么（例如说出密码） 双重认证 　?使用两种形式的身份验证进行深度防御 　?示例，访问卡和个人识别码（PIN） 　?多重身份验证：两种或多种类型的身份验证 　?但是用户PC上的特洛伊木马能击败双重身份验证 　?假网站的中间人攻击也能击败双重身份验证 个人和基于角色的访问控制 　?个人访问控制：基于个人账户的访问规则 　?基于角色的访问控制（RBAC） 　　??基于组织角色的访问规则（买方、组成员等） 　　??将个人账户分配给角色，使个人账户能访问该角色的资源 　　??比基于个人账户的访问规则成本更低，更不容易出错 人力与组织控制 ??人们和组织可能会绕过访问保护图5-1 访问控制 　　访问控制的正式定义是对系统、数据和对话访问控制的驱动策略。访问控制有许多方法，如物理障碍、密码和生物识别。许多访问控制机制都使用加密保护，因此，在学习访问控制之前，已详细介绍了加密技术。但是，有许多访问控制技术根本不使用加密技术，而有一些访问控制技术与加密技术相关，所以访问控制不仅仅是加密。 　　访问控制是对系统、数据和对话访问控制的驱动策略。 　　策略是访问控制的核心。如第2章所述，所有的安全性都从制定个人资源的安全策略开始。当公司制定正确的策略之后，要协调所有员工，指导策略的实施和监督。 5.1.2 认证、授权与审计 　　访问控制有三个功能，我们将之统称为AAA，即认证、授权和审计。 　　认证是验证每个用户身份的过程，以确定该用户是否拥有使用某些资源的权限。请求访问的人或过程是请求者。提供权限的人或过程是验证者。请求者通过发送凭据（如密码、指纹扫描等）给验证者来证明自己的身份。 　　授权是将具体的权限授予经过认证的用户，授权用户拥有获得这些权限的权力。例如，Bob有读取文件的权限，但他不能更改或删除文件。Carol甚至没有查看文件名的权限。 　　审计是在日志文件中收集个人的活动信息。公司可以实时分析日志文件，也可以保存日志文件以备以后分析。如果没有审计，违反认证和授权策略的行为可能会很猖獗。 5.1.3 认证 　　本章的重点是认证，认证是AAA访问控制中最复杂的一部分。为了进行身份验证，用户必须向验证者提供以下的某一凭据： * 你知道什么（密码或私钥）。 * 你有什么（实际的钥匙或智能卡）。 * 你是谁（你的指纹）。 * 你做什么（你如何说出密码）。 5.1.4 超越密码 　　在过去，简单的密码足以满足大多数的认证需求。然而现在，公司发现可用的认证技术越来越多，包括访问卡、令牌、生物认证和加密认证（参见第3章）。这些多样化的身份验证方法为公司提供了多种选择，公司可以根据自身资源所面临的风险选择适合自身的认证方法。 5.1.5 双重认证 　　在认证中，越来越重要的原则是双重认证。在双重认证中，必须使用两种不同形式的认证来进行访问控制。双重认证实现了深度防御，深度防御是安全规划的基本原则（如第2章所述）。此外，一些系统甚至使用多重身份验证，多重身份验证要使用两种以上的认证形式。 　　然而，双重身份验证能提供的认证实力可能弱于印象中其能提供的身份验证强度。Bruce Schneier1指出，特洛伊木马和中间人攻击可以绕过双重认证。 * 首先，当用户经过电子商务网站认证之后，如果用户客户端PC感染了特洛伊木马，那么，特洛伊木马可以发送交易。也就是说，如果用户的计算机遭到入侵，则双重身份认证变得毫无意义。 * 其次，中间人攻击可以击败双重身份验证。如果用户登录到虚假的银行网站，那么这个假网站可以作为用户和真实银行网站间的沉默中间人。在用户成功经过认证之后，假网站能在真实银行网站上执行自己的交易。 5.1.6 个人与基于角色的访问控制 　　我们一般会考虑适用于个人用户和设备的访问控制规则。但公司却要尽可能使用基于角色的访问控制（RBAC）。RBAC是基于组织角色而不是个人。一个角色可能是买方，所有买方都将被分配成这一角色。虽然用户是使用自己的账户登录，但访问控制只将基于买方的角色来分配资源。 * 与将访问控制规则分别分配给买方个人账户相比，根据角色创建访问控制规则成本更低，因为要执行的分配任务更少。 * 创建基于角色创建访问控制规则也能减少出错的机会。 * 一旦一个人不再是买方，只需从买方组中删除此人即可。与查看每个人的权限并决定删除哪些权限相比，删除角色成本更低，出错的概率也低。 　　新闻 　　在伦敦，有76名大都会警察人员因滥用警察国家计算机（PNC）数据库被调查。滥用程度是未知的，因为没有审计过程记录对PNC数据库的访问或滥用。PNC数据库及相关的警察国家数据库（PND）包含数百万英国居民的个人信息2。 5.1.7 组织与人员控制 　　本章所介绍的许多访问控制技术都提供了非常强大的安全性。然而，这些技术总是嵌入在组织和人们的环境中。这也创造了人们绕过访问控制技术的机会。 　　例如，如果冒名顶替者使用了松懈或未经训练工作人员的私钥通过了身份验证，那么，公钥认证的实力就毫无意义。再举一个例子，如果公司错信了恶意的业务伙伴，授予了业务伙伴访问系统的权限，那么，所有的访问控制工具都毫无意义。 　　测试你的理解 　　1．a．列出AAA访问控制。 b．解释AAA的含义。 c．四种基本的认证凭据是什么？ d．双重认证的前提是什么？ e．特洛伊木马如何击败这个前提？ f．中间人攻击如何击败这个前提？ g．什么是RBAC？ h．为什么RBAC比基于个人账户的访问控制成本更低？ i．为什么RBAC不容易出错？ j．为什么在真正的组织中技术强大的访问控制不能提供强大的访问控制呢？ 5.1.8 军事与国家安全组织访问控制 　　本书是关于企业安全的。在军事和国家安全机构中，会出现更多的访问控制问题。企业经常使用个人访问控制或基于角色的访问控制。在军事和国家安全机构中，强制访问控制和自主访问控制非常常见。 　　在强制访问控制中，部门无法改变上级设置的访问控制规则。原则上，这就提供了非常强大的安全性。但实际上，这难以维持，因为每个部门都需要访问的灵活性。 　　因此，组织通常会允许部门使用自主访问控制，部门根据上级制定的策略标准酌情决定是否允许个人访问，如图5-2所示。 强制访问控制和自主访问控制 ??强制访问控制（MAC） ????没有部门或个人能改变上级设定的访问控制规则 ??自主访问控制 ????部门或个人能改变上级设定的访问控制规则 ??MAC能提供更强的安全性，但很难实现 多级安全 ??按安全级别对资源进行分类 　　　　公开的 　　　　敏感但未分类的 　　　　机密 　　　　绝密等 ??给人们相同级别的许可 ??一些规则很简单 ????有机密许可的人不能阅读绝密文件 ??一些规则很复杂 ????如果将绝密文件中的段落复制到机密文件中，该怎么办 ??创建访问控制模型来解决多级安全的问题 ????因为访问控制模型与公司安全无关，所以不会讨论该模型图5-2 军事和国家安全组织访问控制 5.1.9 多级安全 　　文件和其他资源的敏感度各不相同。在通常情况下，军事和国家安全组织有多级安全系统，按敏感度对文件进行分类。一些文件是完全公开的，而另一些文件是敏感的但未分类的（SBU）。除此之外，还有一些分类级别，如机密和绝密。 　　对分类信息的授权访问需要慎重考虑。很明显，如果没有安全许可，不会允许某人阅读绝密文件。此外，还应考虑更多的问题。例如，如果从分类文档中复制部分段落到敏感但未分类的文档呢？为了应对这些问题，处理多种访问控制情况，使用多级安全的组织必须使用复杂的访问控制模型。本书着重介绍公司的安全，由于多种原因，传统的多级安全不起作用。因此，本书不会讨论访问控制模型。 　　测试你的理解 　　2．a．如何区分强制性访问控制和自由访问控制？ b. 什么是多级安全？ c. 什么是SBU文件？ d. 在访问控制中要考虑什么？ e. 为什么需要访问控制模型？ 5.2 物理访问与安全 　　许多攻击都是通过网络进行的远程攻击。但是，攻击者也可以走进楼宇、走近计算机，然后偷走计算机或者攻击它。虽然网络访问控制至关重要，但IT安全专业人员需要先了解楼宇、楼宇内的高级安全区域和个人计算机的物理访问控制。我们将基于ISO/IEC 270023 的安全条款9来详细分析物理安全和环境安全。 5.2.1 风险分析 　　安全条款9假定已完成了风险分析。IT安全专业人员需要先了解楼层、楼宇内安全区域和计算机所面临的风险。要知道，与大学相比，银行周边需要更强的安全保护；与普通办公区相比，服务器机房需要更强的安全保护。 本书为进入IT安全领域的读者奠定坚实的知识基础，不仅可以作为高等学校计算机或信息系统等相关专业本科生的教材，还可作为信息系统、工商管理或其他渴求学习更多IT安全知识的硕士研究生的网络安全读本。