第五章 用户
用户
? 鉴别
– 鉴别的基本原理
– 鉴别依据
– 鉴别过程
– 用户注册
– 密码
? 用户安全
– 用户策略
– 通道
– 文件和设备
– 进程
– 电子通讯
? 基于输入的防盗用检测程序示例
鉴别
? 鉴别是将一个身份绑定到一个主体上
? 为了防止非法用户使用系统及合法用户对
系统资源的非法使用,需要对计算机系统
实体进行访问控制。
鉴别的基本原理
? 鉴别是把身份绑定到主体上
? 客观实体必须提供信息给系统,来证实这
个实体
– 实体知道哪些(如密码和秘密信息);
– 实体有哪些(如证章或卡片);
– 实体是什么(如指纹或者视网膜的特征);
– 实体在哪里(如在一个特殊的终端前)。
鉴别的基本原理
? 鉴别系统( authentication system)
– 鉴别信息( authentication information)的集合 A是一个特定信息的集合,
实体用这些特定信息来证明他们的身份。
– 补充信息( complementary information)的集合 C是一个信息集合,系统
存储和使用这些信息,使得鉴别信息有效。
– 互补运算函数( complementation functions)的集合 F,从鉴别信息里生
成补充信息。
– 鉴别函数( authentication function)的集合 L用来验证身份。
– 选择函数 ( selection functions)的集合 S使得实体可以创建或者更改鉴别
和补充信息。
? 举例,用户鉴别自己依靠输入密码,系统把这个密码和联机存储的明
码文本相比较。这里,A是个组成可接受密码的字符串集合,C= A,F
= {I},L= {eq},这里 I是个身份函数,当参数是相同的时候,eq为
true,否则为 false。
鉴别依据
? 鉴别依据主要有:用户已知的事、用户拥
有的耐用物品、用户特征等,
– 用户已知的事:口令,ID
– 用户拥有的耐用物品,需要外设。为了防破译
与仿制,采用编码技术:钥匙、证章、磁卡。
– 用户特征主要有生理特征、举止特征
鉴别过程
? 鉴别过程主要分为单向鉴别、双向鉴别、第三方鉴别与公
钥鉴别。
? 单向鉴别是用户要求应用服务器服务,用户需要被服务器
鉴别,其过程,
– 服务器接收到用户 ID与 PW( password);
– 确认是合法用户发出的。
? 双向鉴别在单向鉴别过程后增加两个过程
– 服务器身份被用户认证;
– 确认服务器口令由合法服务器发出。
? 第三方鉴别是第三方存储所有口令,用户与服务器都向第
三方发出 ID与 PW
? 公钥鉴别是利用公钥加密体系用密码进行鉴别
用户注册
? 用户注册实际上是一个计算机对用户的鉴
别过程
? 一次注册机制是用户一次鉴别,不必再次
输入帐户密码即可使用
? 注册过程可以使用本地工作站注册,也可
以使用本地工作站与第三方的安全注册。
另外还可以使用使用一次性口令的安全注
册
密码
? 密码 (password)是与实体相关的信息,用来
证实实体的身份
? 密码又称口令
? 举例,UNIX密码机制
密码
? 攻击密码系统,
– 攻击密码系统最简单的方法就是猜密码。(字
典攻击)
? 反击密码猜测,
– 密码猜测需要, 要么是取余运算函数和补充信
息, 要么是访问鉴别功能 。 在这两种方法里,
防守方的目标是将猜中密码的时间最大化 。
密码
? 可发音的和其他计算机生成的密码 。
– 举例:, helgoret” 和, juttelon” 是可发音的密码 。
,przbqxdf”和, zerptglen”是不可发音的 。 可发音密码
的优点是, 需要很少音位达到一些限制, 所以用户只
要记住, 大块, 字符, 而不是单个字母 。
? 用户选择密码
– 可以限制允许被用户选取的密码, 而不是为用户选择
密码 。 使得用户可以提出他们可以记住的密码, 但是
拒绝任何被认为是, 太简单, 而容易被猜中的密码
密码心理学
? 当我们设定口令时一般的人都会用自己熟
悉的单词,
– 用自己的中文拼音者( 37/100)
– 用常用的英文单词 ( 23/100)
– 用计算机的中经常出现的单词 ( 18/100)
– 用自己的出生日期 ( 7/100)
用户
? 鉴别
– 鉴别的基本原理
– 鉴别依据
– 鉴别过程
– 用户注册
– 密码
? 用户安全
– 用户策略
– 通道
– 文件和设备
– 进程
– 电子通讯
? 基于输入的防盗用检测程序示例
用户策略
? U1.只有用户拥有数据库通道。
? U2.其他用户在没有管理员允许的情况下不
能读取或更改文件。
? U3.用户应该保证其数据的完整性,机密性
和有效性。
? U4.用户应该知道他进入的命令。
通道
? 规则 U1要求用户保护通往数据库的通道。
? 考虑用户获得数据库通道的方法,使用登
录的方法。
? 攻击的要点是攻击者伪装成用户,进行登
录注册。
通道
? 密码安全,
– 参见前面章节
? 注册程序,
– 为了注册进入, 用户必须提供注册名和认证信息
– 潜在攻击:伪装服务端, 木马等
? 可信赖的主机
– 可信赖主机的概念来自对可相互依赖鉴别对方用户
– 可信赖主机机构从连接主机获得正确的证明信息, 来
自主机的首要的证明是它的 IP地址 。
通道
? 退出系统,
– 在进入系统前用户必须进行自我鉴别, 尽管如
此, 一旦鉴别过了, 用户仍然必须控制通往系
统的通道 。
– 常见例子:用户会让他们的终端无人看管, 例
如从监视器旁边走到浴室
– 屏幕锁定程序 。
文件和设备
? 文件
– 根据规则 U2用户必须保护文件的机密性和完整
性。( U2.其他用户在没有管理员允许的情况下
不能读取或更改文件。)
– 用户和组的文件访问权限控制
– 关于创建文件的许可
– 群组访问
文件和设备
– 文件删除
? 删除一个文件不确保文件是不可再获得的。而是仅
仅删除了文件路径项。当一个文件被删除,它的硬
盘块被返回到未使用硬盘块,会有残留。
? 直接别名和间接别名(文件名和快捷方式、连接)
文件和设备
? 设备
– 用户通过系统设备来交流
– 设备可能是虚的(如网络端口),或物理的(例如终
端 )
– 策略 U1和 U4要求这些设备被保护,所以用户可以控制
在他的名义下什么命令被发送到系统,并且预防其他
人看到他的交互。 ( U1.只有用户拥有数据库通道。
U4.用户应该知道他进入的命令。)
– 写设备。允许任何用户写的设备可能形成严重的安全
问题。除非是系统正确功能的必需,设备将尽可能地
限制写进程 。
文件和设备
– 智能终端
? 智能终端提供内置机制来执行特殊函数;
? 最重要的是,智能终端能执行块发送。用这个模式,进程能够
命令终端来发送一个指向屏幕的字母集合。这可能会被攻击者
用来执行恶意代码。
– 监视器和 Window系统
? Window系统提供图形用户界面 。
? Window Manager负责控制监视器, 用户向 Window Manager
注册客户端, 然后通过 Window Manager控制输入输出 。
? Window Manager必须能够判定哪个用户可以信任, 否则攻
击者将可以注册客户端, 并截取其它用户输入, 发送伪造输出 。
? 可以用存取控制机制来控制访问 Window系统 。
进程
? 策略 U3要求用户明白进程怎样操作文件。 (用户
应该保证其数据的完整性,机密性和有效性。)
? 复制和移动文件,
– 复制文件就是复制它的目录项。
– 拷贝命令的语义决定是否文件属性同样被复制。
– 如果属性不被复制,用户可能需要一步步来保护文件
的完整性和机密性。
? 意外覆盖文件
– 策略 U3强烈的建议使用在删除或者覆盖文件有一个交
互式的模式。
进程
? 启动设置
– 启动设置可能被插入恶意程序而造成安全威胁
? 限制特权
– 用户应该知道他们的那个程序批准额外的特权给其他
人 。
– 他们同样也该知道批准这些特权的含义 。
? 恶意逻辑
– 例如利用更改搜索路径 ( PATH) 欺骗用户运行恶意代
码 。
电子通讯
? 电子邮件可以通过防火墙
? 用户可能无意识的发送比她们能了解的更
多的原始数据
? 自动电子邮件处理
– 当邮件来到时, 一个程序决定怎么样来处理它 。
这样可能执行一些无意识的危险行为 。
– 邮件程序应该被设置成不执行附件 。
? 证书检测失败
– 证书能确认一个信号,但是证书自己可能被破
坏
? 发送意外目录
– 电子邮件的附件可能包含发送者没有注意到的
数据 。 当这些文件被发送的时候, 接收者会看
到比发送者打算发送的更多的信息
用户
? 鉴别
– 鉴别的基本原理
– 鉴别依据
– 鉴别过程
– 用户注册
– 密码
? 用户安全
– 用户策略
– 通道
– 文件和设备
– 进程
– 电子通讯
? 基于输入的防盗用检测程序示例
基于输入的防盗用检测程序示例
? 这是用于单机的一个防盗用入侵检测程序。
? 基于对该用户键盘、鼠标行为的历史记录,
对当前该用户的键盘、鼠标输入行为的进
行分析,如果当前用户的行为和用户的历
史记录中的行为习惯不一致,就认定为是
盗用用户帐号的非法入侵。
? 程序实现参见 addoil.net
检测流程
检测模型
用户
? 鉴别
– 鉴别的基本原理
– 鉴别依据
– 鉴别过程
– 用户注册
– 密码
? 用户安全
– 用户策略
– 通道
– 文件和设备
– 进程
– 电子通讯
? 基于输入的防盗用检测程序示例
鉴别
? 鉴别是将一个身份绑定到一个主体上
? 为了防止非法用户使用系统及合法用户对
系统资源的非法使用,需要对计算机系统
实体进行访问控制。
鉴别的基本原理
? 鉴别是把身份绑定到主体上
? 客观实体必须提供信息给系统,来证实这
个实体
– 实体知道哪些(如密码和秘密信息);
– 实体有哪些(如证章或卡片);
– 实体是什么(如指纹或者视网膜的特征);
– 实体在哪里(如在一个特殊的终端前)。
鉴别的基本原理
? 鉴别系统( authentication system)
– 鉴别信息( authentication information)的集合 A是一个特定信息的集合,
实体用这些特定信息来证明他们的身份。
– 补充信息( complementary information)的集合 C是一个信息集合,系统
存储和使用这些信息,使得鉴别信息有效。
– 互补运算函数( complementation functions)的集合 F,从鉴别信息里生
成补充信息。
– 鉴别函数( authentication function)的集合 L用来验证身份。
– 选择函数 ( selection functions)的集合 S使得实体可以创建或者更改鉴别
和补充信息。
? 举例,用户鉴别自己依靠输入密码,系统把这个密码和联机存储的明
码文本相比较。这里,A是个组成可接受密码的字符串集合,C= A,F
= {I},L= {eq},这里 I是个身份函数,当参数是相同的时候,eq为
true,否则为 false。
鉴别依据
? 鉴别依据主要有:用户已知的事、用户拥
有的耐用物品、用户特征等,
– 用户已知的事:口令,ID
– 用户拥有的耐用物品,需要外设。为了防破译
与仿制,采用编码技术:钥匙、证章、磁卡。
– 用户特征主要有生理特征、举止特征
鉴别过程
? 鉴别过程主要分为单向鉴别、双向鉴别、第三方鉴别与公
钥鉴别。
? 单向鉴别是用户要求应用服务器服务,用户需要被服务器
鉴别,其过程,
– 服务器接收到用户 ID与 PW( password);
– 确认是合法用户发出的。
? 双向鉴别在单向鉴别过程后增加两个过程
– 服务器身份被用户认证;
– 确认服务器口令由合法服务器发出。
? 第三方鉴别是第三方存储所有口令,用户与服务器都向第
三方发出 ID与 PW
? 公钥鉴别是利用公钥加密体系用密码进行鉴别
用户注册
? 用户注册实际上是一个计算机对用户的鉴
别过程
? 一次注册机制是用户一次鉴别,不必再次
输入帐户密码即可使用
? 注册过程可以使用本地工作站注册,也可
以使用本地工作站与第三方的安全注册。
另外还可以使用使用一次性口令的安全注
册
密码
? 密码 (password)是与实体相关的信息,用来
证实实体的身份
? 密码又称口令
? 举例,UNIX密码机制
密码
? 攻击密码系统,
– 攻击密码系统最简单的方法就是猜密码。(字
典攻击)
? 反击密码猜测,
– 密码猜测需要, 要么是取余运算函数和补充信
息, 要么是访问鉴别功能 。 在这两种方法里,
防守方的目标是将猜中密码的时间最大化 。
密码
? 可发音的和其他计算机生成的密码 。
– 举例:, helgoret” 和, juttelon” 是可发音的密码 。
,przbqxdf”和, zerptglen”是不可发音的 。 可发音密码
的优点是, 需要很少音位达到一些限制, 所以用户只
要记住, 大块, 字符, 而不是单个字母 。
? 用户选择密码
– 可以限制允许被用户选取的密码, 而不是为用户选择
密码 。 使得用户可以提出他们可以记住的密码, 但是
拒绝任何被认为是, 太简单, 而容易被猜中的密码
密码心理学
? 当我们设定口令时一般的人都会用自己熟
悉的单词,
– 用自己的中文拼音者( 37/100)
– 用常用的英文单词 ( 23/100)
– 用计算机的中经常出现的单词 ( 18/100)
– 用自己的出生日期 ( 7/100)
用户
? 鉴别
– 鉴别的基本原理
– 鉴别依据
– 鉴别过程
– 用户注册
– 密码
? 用户安全
– 用户策略
– 通道
– 文件和设备
– 进程
– 电子通讯
? 基于输入的防盗用检测程序示例
用户策略
? U1.只有用户拥有数据库通道。
? U2.其他用户在没有管理员允许的情况下不
能读取或更改文件。
? U3.用户应该保证其数据的完整性,机密性
和有效性。
? U4.用户应该知道他进入的命令。
通道
? 规则 U1要求用户保护通往数据库的通道。
? 考虑用户获得数据库通道的方法,使用登
录的方法。
? 攻击的要点是攻击者伪装成用户,进行登
录注册。
通道
? 密码安全,
– 参见前面章节
? 注册程序,
– 为了注册进入, 用户必须提供注册名和认证信息
– 潜在攻击:伪装服务端, 木马等
? 可信赖的主机
– 可信赖主机的概念来自对可相互依赖鉴别对方用户
– 可信赖主机机构从连接主机获得正确的证明信息, 来
自主机的首要的证明是它的 IP地址 。
通道
? 退出系统,
– 在进入系统前用户必须进行自我鉴别, 尽管如
此, 一旦鉴别过了, 用户仍然必须控制通往系
统的通道 。
– 常见例子:用户会让他们的终端无人看管, 例
如从监视器旁边走到浴室
– 屏幕锁定程序 。
文件和设备
? 文件
– 根据规则 U2用户必须保护文件的机密性和完整
性。( U2.其他用户在没有管理员允许的情况下
不能读取或更改文件。)
– 用户和组的文件访问权限控制
– 关于创建文件的许可
– 群组访问
文件和设备
– 文件删除
? 删除一个文件不确保文件是不可再获得的。而是仅
仅删除了文件路径项。当一个文件被删除,它的硬
盘块被返回到未使用硬盘块,会有残留。
? 直接别名和间接别名(文件名和快捷方式、连接)
文件和设备
? 设备
– 用户通过系统设备来交流
– 设备可能是虚的(如网络端口),或物理的(例如终
端 )
– 策略 U1和 U4要求这些设备被保护,所以用户可以控制
在他的名义下什么命令被发送到系统,并且预防其他
人看到他的交互。 ( U1.只有用户拥有数据库通道。
U4.用户应该知道他进入的命令。)
– 写设备。允许任何用户写的设备可能形成严重的安全
问题。除非是系统正确功能的必需,设备将尽可能地
限制写进程 。
文件和设备
– 智能终端
? 智能终端提供内置机制来执行特殊函数;
? 最重要的是,智能终端能执行块发送。用这个模式,进程能够
命令终端来发送一个指向屏幕的字母集合。这可能会被攻击者
用来执行恶意代码。
– 监视器和 Window系统
? Window系统提供图形用户界面 。
? Window Manager负责控制监视器, 用户向 Window Manager
注册客户端, 然后通过 Window Manager控制输入输出 。
? Window Manager必须能够判定哪个用户可以信任, 否则攻
击者将可以注册客户端, 并截取其它用户输入, 发送伪造输出 。
? 可以用存取控制机制来控制访问 Window系统 。
进程
? 策略 U3要求用户明白进程怎样操作文件。 (用户
应该保证其数据的完整性,机密性和有效性。)
? 复制和移动文件,
– 复制文件就是复制它的目录项。
– 拷贝命令的语义决定是否文件属性同样被复制。
– 如果属性不被复制,用户可能需要一步步来保护文件
的完整性和机密性。
? 意外覆盖文件
– 策略 U3强烈的建议使用在删除或者覆盖文件有一个交
互式的模式。
进程
? 启动设置
– 启动设置可能被插入恶意程序而造成安全威胁
? 限制特权
– 用户应该知道他们的那个程序批准额外的特权给其他
人 。
– 他们同样也该知道批准这些特权的含义 。
? 恶意逻辑
– 例如利用更改搜索路径 ( PATH) 欺骗用户运行恶意代
码 。
电子通讯
? 电子邮件可以通过防火墙
? 用户可能无意识的发送比她们能了解的更
多的原始数据
? 自动电子邮件处理
– 当邮件来到时, 一个程序决定怎么样来处理它 。
这样可能执行一些无意识的危险行为 。
– 邮件程序应该被设置成不执行附件 。
? 证书检测失败
– 证书能确认一个信号,但是证书自己可能被破
坏
? 发送意外目录
– 电子邮件的附件可能包含发送者没有注意到的
数据 。 当这些文件被发送的时候, 接收者会看
到比发送者打算发送的更多的信息
用户
? 鉴别
– 鉴别的基本原理
– 鉴别依据
– 鉴别过程
– 用户注册
– 密码
? 用户安全
– 用户策略
– 通道
– 文件和设备
– 进程
– 电子通讯
? 基于输入的防盗用检测程序示例
基于输入的防盗用检测程序示例
? 这是用于单机的一个防盗用入侵检测程序。
? 基于对该用户键盘、鼠标行为的历史记录,
对当前该用户的键盘、鼠标输入行为的进
行分析,如果当前用户的行为和用户的历
史记录中的行为习惯不一致,就认定为是
盗用用户帐号的非法入侵。
? 程序实现参见 addoil.net
检测流程
检测模型
