第七章 身份认证
7.1 身份认证基础
主体的真实身份与其所声称的身份是否符
合
结果只有两个
适用于用户、进程、系统、信息等
身份认证的例子
hotmail的邮件登录
Client与 Proxy-Server之间的鉴别
Telnet远程登录
POP3邮件登录
Ftp服务
登陆到某台电脑上
身份认证的需求和目的
需求,
? 某一成员(声称者)提交一个主体的身份并声
称它是那个主体。
目的,
? 使别的成员(验证者)获得对声称者所声称的
事实的信任。
7.1.1 物理基础
用户所知道的 (例如口令 )
? 简单,但不安全
用户所拥有的 (例如证件 )
? 认证系统相对复杂
用户的特征 (例如指纹识别 )
? 更复杂,而且有时会牵涉到本人意愿
设计依据
? 安全水平、系统通过率、用户可接受性、成本
等
身份认证与消息认证的差别
身份认证一般都是实时的,消息认证一般
不提供时间性。
身份认证只证实实体的身份,消息鉴别除
了消息的合法和完整外,还需要知道消息
的含义。
声称者
验证者
身份认证
身份认证系统的组成
一方是出示证件的人,称作示证者
P(Prover),又称声称者 (Claimant)。
另一方为验证者 V( Verifier),检验声称者提
出的证件的正确性和合法性,决定是否满
足要求。
第三方是可信赖者 TP ( Trusted third
party),参与调解纠纷。
第四方是攻击者,可以窃听或伪装声称者
骗取验证者的信任。
验证者
身份认证
声称者
攻击者
无法通过认证
仲裁者
7.1.2 数学基础
Alice:,我知道联邦储备系统计算的口令,
Bob:,不,你不知道,
Alice:我知道
Bob:你不知道
Alice:我确实知道
Bob:请你的证实这一点
Alice:好吧,我告诉你。(她悄悄说出了口令)
Bob:太有趣了!现在我也知道了。我要告诉
,华盛顿邮报,
Alice:啊呀!
零知识证明技术
零知识证明技术可使信息的拥有者无需泄
露任何信息就能够向验证者或任何第三方
证明它拥有该信息。
7.1.3 协议基础
双向认证协议
? 指通信双方相互进行认证
单向认证协议
? 指通信双方中只有一方向另一方进行认证
针对协议攻击的手法
消息重放攻击
用户 A 用户 B
M
用户 C
M
防止重放攻击
加入时间
? 要求时间同步
提问 /应答
? 发送的消息包括一个随机数,要求 B传回的消息
包括这个随机数
第八章 访问控制
在保障授权用户能获取所需资源的同时拒
绝非授权用户的安全机制
基本目标
? 防止对任何资源(如计算资源、通信资源或信
息资源)进行未授权的访问。从而使计算机系
统在合法范围内使用;决定用户能做什么,也
决定代表一定用户利益的程序能做什么。
未授权的访问包括:未经授权的使用、泄
露、修改、销毁信息以及颁发指令等。
? – 非法用户进入系统。
? – 合法用户对系统资源的非法使用。
访问控制的作用
访问控制对机密性、完整性起直接的作用
对于可用性,访问控制通过对以下信息的
有效控制来实现,
? ( 1)谁可以颁发影响网络可用性的网络管理
指令
? ( 2)谁能够滥用资源以达到占用资源的目的
? ( 3)谁能够获得可以用于拒绝服务攻击的信
息
主体、客体和授权
客体( Object):规定需要保护的资源,又称作
目标( target)。
主体( Subject):或称为发起者 (Initiator),是
一个主动的实体,规定可以访问该资源的实体,
(通常指用户或代表用户执行的程序)。
授权( Authorization):规定可对该资源执行的
动作(例如读、写、执行或拒绝访问)。
一个主体为了完成任务,可以创建另外的主体,
这些子主体可以在网络上不同的计算机上运行,
并由父主体控制它们。主客体的关系是相对的。
访问控制与其他安全服务的关系
模型
可以是信息资
源,通信资源
区别
身份认证是确认用户的确是他声称的那个
人
访问控制是确定这个用户能做什么,不能做
什么
访问控制策略和机制
访问控制策略 (Access Control Policy):访问控制
策略在系统安全策略级上表示授权。是对访问如
何控制,如何作出访问决定的高层指南。
访问控制机制( Access Control Mechanisms):
是访问控制策略的软硬件低层实现。
访问控制机制与策略独立,可允许安全机制的重
用。
安全策略应根据应用环境灵活使用。
如何确定访问权限
用户分类
资源
资源及使用
访问规则
用户的分类
特殊的用户:系统管理员,具有最高级别
的特权,可以访问任何资源,并具有任何
类型的访问操作能力
一般的用户:最大的一类用户,他们的访
问操作受到一定限制,由系统管理员分配
作废的用户:被系统拒绝的用户。
资源
系统内需要保护的是系统资源,
? – 磁盘与磁带卷标
? – 远程终端
? – 信息管理系统的事务处理及其应用
? – 数据库中的数据
? – 应用资源
资源和使用
对需要保护的资源定义一个访问控制包
( Access control packet),包括,
? – 资源名及拥有者的标识符
? – 缺省访问权
? – 用户、用户组的特权明细表
? – 允许资源的拥有者对其添加新的可用数据的
操作
? – 审计数据
资源和使用
规定了若干条件,在这些条件下,可准许
访问一个资源。
规则使用户与资源配对,指定该用户可在
该文件上执行哪些操作,如只读、不许执
行或不许访问。
由系统管理人员来应用这些规则,由硬件
或软件的安全内核部分负责实施。
访问控制的一般策略
强制访问策略
角色访问策略 自主访问策略
自主访问控制
特点,
根据主体的身份及允许访问的权限进行决策。
自主是指具有某种访问能力的主体能够自主地将
访问权的某个子集授予其它主体。
灵活性高,被大量采用。
缺点,
信息在移动过程中其访问权限关系会被改变。如
用户 A可将其对目标 O的访问权限传递给用户 B,从
而使不具备对 O访问权限的 B可访问 O。
强制访问控制
特点:取决于能用算法表达的并能在计算
机上执行的策略。
为所有的主体和客体制定安全级别,不同
级别的主体对不同级别的客体的访问在强
制安全策略下实现。
基于角色的策略
用户不是自始自终以同样的注册身份和权
限访问系统,而是以一定角色访问
不同的角色被赋予不同的访问权限
用户 角色 权限
访问控制 资源
认证
分派
请求
分派
访问控制
访问
第九章 安全审计
概念:根据一定的策略通过记录分析历史
操作事件发现和改进系统性能和安全
作用
? 对潜在的攻击者起到震摄或警告
? 对于已经发生的系统破坏行为提供有效的追纠
证据
? 为系统管理员提供有价值的系统使用日志从而
帮助系统管理员及时发现系统入侵行为或潜在
的系统漏洞
安全审计系统的组成
系统事件
安全事件
应用事件
网络事件
其他事件
审计发生器
审计发生器
审计发生器
审计发生器
审计发生器
日志
纪录器
日志
分析器
审计分析报告
审计策略和规则
日志文件
日志的内容
应该记录任何必要的事件,以检测已知的
攻击模式
检测异常的攻击模式
应该记录关于系统连续可靠工作的信息
应用实例 1-- NT 的安全审计
在 NT 中可以对如下事件进行安全审计
? 登录及注销
? 文件及对象访问
? 用户权力的使用用户及组管理
? 安全性规则更改
? 重新启动关机及系统
? 进程追踪等
应用实例 2--UNIX 的安全审计
Unix的日志文件
主要目录
/etc
/etc/security
/usr/adm 早期版本
/var/adm 近期版本
/var/log
UNIX安全审计
Unix的日志文件
主要文件
acct pacct ;记录所有用户使用过的文件
lastlog ;记录最新登录时间成 /败
message ;记录 syslog产生的输出到控制台的信息
sulog ;使用 su命令的记录
utmp ;记录当前登录进系统的用户信息
wtmp ;提供一份详细每次用户登录和退出的历史
信息文件
HOME/.sh history ;用户登录进系统后执行的所有
命令
审计实例 3-防火墙
7.1 身份认证基础
主体的真实身份与其所声称的身份是否符
合
结果只有两个
适用于用户、进程、系统、信息等
身份认证的例子
hotmail的邮件登录
Client与 Proxy-Server之间的鉴别
Telnet远程登录
POP3邮件登录
Ftp服务
登陆到某台电脑上
身份认证的需求和目的
需求,
? 某一成员(声称者)提交一个主体的身份并声
称它是那个主体。
目的,
? 使别的成员(验证者)获得对声称者所声称的
事实的信任。
7.1.1 物理基础
用户所知道的 (例如口令 )
? 简单,但不安全
用户所拥有的 (例如证件 )
? 认证系统相对复杂
用户的特征 (例如指纹识别 )
? 更复杂,而且有时会牵涉到本人意愿
设计依据
? 安全水平、系统通过率、用户可接受性、成本
等
身份认证与消息认证的差别
身份认证一般都是实时的,消息认证一般
不提供时间性。
身份认证只证实实体的身份,消息鉴别除
了消息的合法和完整外,还需要知道消息
的含义。
声称者
验证者
身份认证
身份认证系统的组成
一方是出示证件的人,称作示证者
P(Prover),又称声称者 (Claimant)。
另一方为验证者 V( Verifier),检验声称者提
出的证件的正确性和合法性,决定是否满
足要求。
第三方是可信赖者 TP ( Trusted third
party),参与调解纠纷。
第四方是攻击者,可以窃听或伪装声称者
骗取验证者的信任。
验证者
身份认证
声称者
攻击者
无法通过认证
仲裁者
7.1.2 数学基础
Alice:,我知道联邦储备系统计算的口令,
Bob:,不,你不知道,
Alice:我知道
Bob:你不知道
Alice:我确实知道
Bob:请你的证实这一点
Alice:好吧,我告诉你。(她悄悄说出了口令)
Bob:太有趣了!现在我也知道了。我要告诉
,华盛顿邮报,
Alice:啊呀!
零知识证明技术
零知识证明技术可使信息的拥有者无需泄
露任何信息就能够向验证者或任何第三方
证明它拥有该信息。
7.1.3 协议基础
双向认证协议
? 指通信双方相互进行认证
单向认证协议
? 指通信双方中只有一方向另一方进行认证
针对协议攻击的手法
消息重放攻击
用户 A 用户 B
M
用户 C
M
防止重放攻击
加入时间
? 要求时间同步
提问 /应答
? 发送的消息包括一个随机数,要求 B传回的消息
包括这个随机数
第八章 访问控制
在保障授权用户能获取所需资源的同时拒
绝非授权用户的安全机制
基本目标
? 防止对任何资源(如计算资源、通信资源或信
息资源)进行未授权的访问。从而使计算机系
统在合法范围内使用;决定用户能做什么,也
决定代表一定用户利益的程序能做什么。
未授权的访问包括:未经授权的使用、泄
露、修改、销毁信息以及颁发指令等。
? – 非法用户进入系统。
? – 合法用户对系统资源的非法使用。
访问控制的作用
访问控制对机密性、完整性起直接的作用
对于可用性,访问控制通过对以下信息的
有效控制来实现,
? ( 1)谁可以颁发影响网络可用性的网络管理
指令
? ( 2)谁能够滥用资源以达到占用资源的目的
? ( 3)谁能够获得可以用于拒绝服务攻击的信
息
主体、客体和授权
客体( Object):规定需要保护的资源,又称作
目标( target)。
主体( Subject):或称为发起者 (Initiator),是
一个主动的实体,规定可以访问该资源的实体,
(通常指用户或代表用户执行的程序)。
授权( Authorization):规定可对该资源执行的
动作(例如读、写、执行或拒绝访问)。
一个主体为了完成任务,可以创建另外的主体,
这些子主体可以在网络上不同的计算机上运行,
并由父主体控制它们。主客体的关系是相对的。
访问控制与其他安全服务的关系
模型
可以是信息资
源,通信资源
区别
身份认证是确认用户的确是他声称的那个
人
访问控制是确定这个用户能做什么,不能做
什么
访问控制策略和机制
访问控制策略 (Access Control Policy):访问控制
策略在系统安全策略级上表示授权。是对访问如
何控制,如何作出访问决定的高层指南。
访问控制机制( Access Control Mechanisms):
是访问控制策略的软硬件低层实现。
访问控制机制与策略独立,可允许安全机制的重
用。
安全策略应根据应用环境灵活使用。
如何确定访问权限
用户分类
资源
资源及使用
访问规则
用户的分类
特殊的用户:系统管理员,具有最高级别
的特权,可以访问任何资源,并具有任何
类型的访问操作能力
一般的用户:最大的一类用户,他们的访
问操作受到一定限制,由系统管理员分配
作废的用户:被系统拒绝的用户。
资源
系统内需要保护的是系统资源,
? – 磁盘与磁带卷标
? – 远程终端
? – 信息管理系统的事务处理及其应用
? – 数据库中的数据
? – 应用资源
资源和使用
对需要保护的资源定义一个访问控制包
( Access control packet),包括,
? – 资源名及拥有者的标识符
? – 缺省访问权
? – 用户、用户组的特权明细表
? – 允许资源的拥有者对其添加新的可用数据的
操作
? – 审计数据
资源和使用
规定了若干条件,在这些条件下,可准许
访问一个资源。
规则使用户与资源配对,指定该用户可在
该文件上执行哪些操作,如只读、不许执
行或不许访问。
由系统管理人员来应用这些规则,由硬件
或软件的安全内核部分负责实施。
访问控制的一般策略
强制访问策略
角色访问策略 自主访问策略
自主访问控制
特点,
根据主体的身份及允许访问的权限进行决策。
自主是指具有某种访问能力的主体能够自主地将
访问权的某个子集授予其它主体。
灵活性高,被大量采用。
缺点,
信息在移动过程中其访问权限关系会被改变。如
用户 A可将其对目标 O的访问权限传递给用户 B,从
而使不具备对 O访问权限的 B可访问 O。
强制访问控制
特点:取决于能用算法表达的并能在计算
机上执行的策略。
为所有的主体和客体制定安全级别,不同
级别的主体对不同级别的客体的访问在强
制安全策略下实现。
基于角色的策略
用户不是自始自终以同样的注册身份和权
限访问系统,而是以一定角色访问
不同的角色被赋予不同的访问权限
用户 角色 权限
访问控制 资源
认证
分派
请求
分派
访问控制
访问
第九章 安全审计
概念:根据一定的策略通过记录分析历史
操作事件发现和改进系统性能和安全
作用
? 对潜在的攻击者起到震摄或警告
? 对于已经发生的系统破坏行为提供有效的追纠
证据
? 为系统管理员提供有价值的系统使用日志从而
帮助系统管理员及时发现系统入侵行为或潜在
的系统漏洞
安全审计系统的组成
系统事件
安全事件
应用事件
网络事件
其他事件
审计发生器
审计发生器
审计发生器
审计发生器
审计发生器
日志
纪录器
日志
分析器
审计分析报告
审计策略和规则
日志文件
日志的内容
应该记录任何必要的事件,以检测已知的
攻击模式
检测异常的攻击模式
应该记录关于系统连续可靠工作的信息
应用实例 1-- NT 的安全审计
在 NT 中可以对如下事件进行安全审计
? 登录及注销
? 文件及对象访问
? 用户权力的使用用户及组管理
? 安全性规则更改
? 重新启动关机及系统
? 进程追踪等
应用实例 2--UNIX 的安全审计
Unix的日志文件
主要目录
/etc
/etc/security
/usr/adm 早期版本
/var/adm 近期版本
/var/log
UNIX安全审计
Unix的日志文件
主要文件
acct pacct ;记录所有用户使用过的文件
lastlog ;记录最新登录时间成 /败
message ;记录 syslog产生的输出到控制台的信息
sulog ;使用 su命令的记录
utmp ;记录当前登录进系统的用户信息
wtmp ;提供一份详细每次用户登录和退出的历史
信息文件
HOME/.sh history ;用户登录进系统后执行的所有
命令
审计实例 3-防火墙
