CBK5身份访问与管理

最新推荐文章于 2025-05-30 21:49:35 发布

期待未来的男孩

最新推荐文章于 2025-05-30 21:49:35 发布

阅读量1.1k

点赞数 26

分类专栏： CISSP 文章标签：安全

本文链接：https://blog.youkuaiyun.com/u012391293/article/details/144057417

版权

CISSP 专栏收录该内容

8 篇文章

订阅专栏

1 访问控制概述

访问控制是一种安全手段，它控制用户和系统如何与其他系统和资源进行通信和交互。
主体可以是通过访问客体以完成某种任务的用户、程序或进程。
客体是包含被访问信息或者所需功能的被动实体。

2 安全原则

各种安全控制中3个主要的安全原则：机密性、完整性、可用性

可用性：一般采用容错和恢复机制
完整性：保护数据或资源免受未授权的修改
机密性：安全机制包括加密、逻辑性和物理性访问控制、传输协议、数据库视图和流量控制等。保护数据库机密性的第一步就是确定哪些信息是敏感的以及信息的敏感程度，然后用适当的安全机制进行保护。

3 身份标识、身份验证、授权与可问责性

身份标识：身份标识描述了一种能够确保主体（用户、程序或进程）就是其所声称实体的方法。

身份标识和身份验证

用于身份验证的3个因素

某人知道什么（根据知识进行身份验证），比如密码、PIN、密码锁，通过某人知道的内容进行身份验证，其他人也可以获得相关知识进行未授权访问。
某人拥有什么（根据所有权进行身份验证），比如钥匙、门卡、访问卡或证件，容易丢失或被盗导致未授权访问
某人是什么（根据特征进行身份验证），根据物理特征进行身份验证，生物测定学

强身份验证都必须至少包含3个类别中的两个类别。这也称为双因素身份验证。

身份管理(IdM)解决方案：web访问管理、密码管理、遗留单点登录、账户管理和配置文件更新。

目录：基于x.500标准和LDAP协议。元目录，从不同来源收集必要的信息，保存到一个中央目录。虚拟目录，没有数据，指向驻留实际数据的位置。
web访问管理(WAM)：通过cookie提供凭证

身份验证方法

1、常用的密码管理方法

密码同步：一个密码即可访问各种资源

自助式密码重设：用户以问答的形式提交，用户重新设置自己的密码。

辅助式密码重设：打电话给服务台员工进行密码重置，可能造成社会工程攻击。

传统单点登录（SSO）：一个密码能够访问所有资源，单点故障。

账号管理：账号创建、更改、删除

2、生物测定学

最有效且最准确的身份标识确认方法之一，相比其他身份验证，更为昂贵和复杂

生理性生物测试：指纹（手掌扫描、手部外形、面部扫描、手形拓扑）、视网膜、虹膜(最精确)或者声音音调---你是什么

行为性生物测试：动态签名（电信号）、动态击键---你做什么

1类错误误拒绝率（FRR）：拒绝一个已获授权的人。

2类错误误接受率（FAR），最危险：接受了本应该被拒绝的人。

交叉错误率（CER），误拒绝率等于误接受率，判断系统精确度的重要评估指标，准确度 CER3>CER4

3、密码

目前最常用的身份验证机制之一，最脆弱的
核心问题：某人知道什么？某人拥有什么？某人是什么？密码就属于某人知道什么这种形式
密码管理、密码检查器、密码散列与加密、密码生命期、限制登录次数
彩虹表：包含所有可能口令的哈希表

4、认知口令

用于服务台服务，通过感知密码进行身份验证

5、一次性密码(OTP)

令牌设备是最常见的OTP实现机制，为用户生产向身份验证服务器提交的一次性密码。

同步：基于时间或计数器驱动

异步：基于挑战/响应机制

6、密钥

数字签名：一种使用私有密钥加密散列值的技术

7、密码短语

一个比密码长的字符串

8、存储卡

存储卡可以保存信息，但不能处理信息

9、智能卡

ISO/IEC 14443用于智能卡标准
智能卡不仅可以保存信息，还具有实际处理信息的必要硬件和软件。
智能卡攻击：故障生成攻击（改变输入电压、时钟频率、温度波动）、
非入侵式攻击：旁路攻击（差分功率分析、电磁分析、计时）、软件攻击
入侵式攻击：微区探查

授权

1、访问准则：对角色、组、位置、时间和事务处理类型实施不同的访问准则。

2、默认为拒绝访问：基于从零开始，基于知其所需添加特权。

3、知其所需：类似于最小特权原则

4、单点登录技术的示例

Kerberos：开源身份验证协议，基于对称密钥密码学，共享秘密密钥，麻省理工学院开发。
主要组件包含：
- 密钥分发中心（KDC）：提供身份验证服务和密码分发功能。
- KDC上的票证由票证授予服务（TGS）生成，票证使一个委托人能够对另一个委托人进行身份验证。
- 身份验证服务（AS）
- 票证:委托人：用户、服务、应用程序和设备

SESAME:使用PAS和PAC的身份验证协议，基于对称和非对称密码学。

安全域：在相同安全策略下运行的资源，由相同的组管理。

目录服务：基于X.500标准，允许资源以标准化方式命名，且允许访问控制被集中维护的一种技术

瘦客户端：依赖一台中央服务器进行访问控制、处理和存储终端。

可问责性

审计信息审查

保护审计数据和日志信息

击键行为持续监测：需要事先通知

会话管理

超时、不活动、异常

联合身份验证

身份验证方法：

可扩展标记语言（XML）：一种通用的基础性标准语言

服务供应标记语言（SPML）：允许位于不同平台上的服务供应请求集成和互操作。 -----在不同系统建立用户账号和访问权限

安全断言标记语言（SAML）：用户登录一次便可以访问各自独立的不同web应用程序，以标准化方式共享身份验证数据，提供身份验证信息给联合身份管理系统。

常用协议是简单对象访问协议（SOAP） ------发送身份验证信息

可扩展访问控制标记语言（XACML）：用来向web服务提供的资产表述安全策略和访问权限。一个访问控制策略语言，也是一个标准方式解释和执行策略的处理模型。 -------创建访问控制策略

OpenID：最终用户、依赖方、openID提供方

OAuth使用HTTPS

OIDC：

4.身份即服务:集成身份识别服务

IDaaS

集成问题：建立连通性、建立信任、渐增测试、集成联合系统

5 访问控制机制

访问控制模型

自主访问控制(DAC):数据所有者决定谁能访问资源，ACL用于实施安全策略，非自由裁量做访问控制。
强制访问控制（MAC）：操作系统通过使用安全标签来实施系统的安全策略。
角色（非自主）访问控制（RBAC）：访问决策基于主体的角色或功能位置。
规则型访问控制（RB-RBAC）：把进一步限制访问决策的强加规则添加到RBAC中。访问控制模型主要有3种：自主、强制型和非自主访问控制（基于RBAC的访问控制）。