CISSP第三章 访问控制

主要内容

• 身份标识方法和技术
• 身份验证方法、模型和技术
• 自主访问控制、强制访问控制和非自主访问控制
• 可问责性、监控和审计实践
• 发射安全和技术
• 入侵检测系统
• 访问控制实践和技术中可能遇到的安全威胁

3.1 访问控制概述

访问是主体和客体之间进行的信息流动。
主体：可以是通过访问客体以完成某种任务的用户，程序或进程
客体：可以是计算机，数据库，文件，计算机程序，目录或数据库中某个表内的字段

3.2 安全原则

• 可用性
• 完整性
• 机密性

3.2.1 可用性

如何保证可用性？
—采用容错和恢复机制

3.2.2 完整性

如何保证完整性？
–保护数据和资源不受到未授权的修改

3.2.3 机密性

保护数据机密性的第一步是确定哪些信息是敏感的以及信息的敏感程度，然后采用适当的安全机制来保护。

3.3 身份标识、身份验证、授权和可问责性

身份标识：描述了一种能确保主体就是所声称实体的方法，如用户名或账号
身份验证：密码、密码短语、密钥、个人身份号码、生物特征或令牌
竞态条件：指进程按照错误的顺序针对某个共享资源执行任务。以身份验证和授权为例，攻击者可能利用竞态条件使得授权步骤在身份验证之前完成，导致未授权访问。
可问责性：确保可问责性的唯一方法是主体能够被唯一标识，并且主体的动作被记录在案。
逻辑性访问控制是用于身份标识、身份验证、授权和可问责性的技术工具，也称为技术性访问控制。

3.3.1 身份识别和身份验证

身份验证的3种因素：

• 某人知道的内容，也称根据知识进行身份验证：密码、姓氏等，其他人可以获得相关知识并对系统或设施进行未授权访问
• 某人所拥有的物品，也称根据所有权进行身份验证：钥匙、门卡、证件等，常用于访问设施，物品丢失或被盗会导致未授权访问
• 某人的身份，也称根据特征进行身份验证，是基于物理特征的，基于独特的物理特征对一个人的身份进行验证称为是生物测定学。

强身份验证：至少包含上面3个类别中的两个类别，也称为双因素身份验证，多重身份验证。

创建和发布安全身份的3个关键点：

• 唯一性：每个用户都必须有用户问责的唯一ID，如指纹和视网膜扫描
• 非描述性：任何凭证都应当不表明账户的目的，如不能使用administrator、CEO等作为用户ID
• 签发：这些元素由一个权威的机构提供，用于证明身份，如ID卡是一种身份签发形式

目录：用于身份管理的一种为读取和搜索操作而进行优化的专用数据库软件，所有的资源信息、用户属性、授权资料、角色、潜在的访问控制策略都存储其中。

单点登录（Single Sign On），简称为 SSO，在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

3.3.2 密码管理

IDM：Identity Management 身份管理
ASoR：Authoritative System of Record权威记录系统，拥有最新最可靠的身份信息，包括主体姓名、关联账户、每个账户的授权历史记录和详细的指配情况。

身份管理全过程：

• 构建目录：保存用户和资源信息
• 元数据目录：从网络中的不同位置获取身份信息
• 用户管理工具：对用户进行自动控制并指配
• 密码管理工具：防止遗忘密码
• 单点登录技术：内部用户在访问企业资源时只需要进行一次身份验证
• Web访问管理工具：为外部提供单点登录服务，并控制Web资源的访问

数字身份是由属性、权利和特征构成的。

联合：联合身份是一种便携身份以及与之相关联的权利。

门户网站：Web portals，由portlet组成，portlet是可拔插用户接口软件组件，负责提示来自其他系统的信息。

常用身份验证方法：
1. 访问控制和标记语言
HTML超文本标记语言，HyperText Markup Language
XML可拓展标记语言，Extensible Markup Language，在XML的基础上，建立了很多不同功能的标记语言。
SPML服务供应标记语言，Service Provisioning Markup Language，允许驻留在一个组织或多个组织上的应用程序之间交换供应数据。

SPML的三个主要实体：

• 请求机构Requesting Authority
• 供应服务提供者Provisioning Service Provider
• 供应服务目标Provisioning Service Target

SAML安全断言标记语言Security Assertion Markup Language，允许在安全域之间交换身份验证和授权数据，如定机票时推荐酒店，进入到酒店网站无需再次输入身份验证信息。

SAML数据可以通过不同类型的协议传输，常用的协议是简单对象访问协议Simple Object Access Protocol，SOAP。

XACML可拓展访问控制标记语言Extensible Access Control Markup Language ，用于向Web服务和其他企业应用程序提供的资产表述安全策略和访问权限。

2. 生物测定学
生物测定学一般分为两种类型：

• 生理性生物测定，指某人的身体特征，如指纹
• 行为性生物测定，指基于个人的某种行为来确定身份，如动态签名

1类错误：误拒绝率，拒绝已授权的个人，False Rejection Rate，FRR
2类错误：误接受率，接受本该拒绝的个人，False Acceptance Rate，FAR

交叉错误率：Crossover Error Rate，CER，表示误拒绝率和误接受率等值的那个点，也称相等错误率，Equal Error Rate，EER。

生物测定学：指纹，手掌扫描，手部外形，视网膜扫描，虹膜扫描，动态签名，动态击键，声纹，面部扫描，手性拓扑

3. 密码
破解密码的常用方法：
电子监控
访问密码文件
蛮力攻击
字典攻击
社会工程
彩虹表

限幅级别：管理员可以设置操作参数，允许一定次数的失败登录，否则账号就被锁定，称为限幅级别，clipping level

密码检查器，即密码破译器
密码散列与加密，unix中使用随机salt加密
密码生命期
限制登录次数

4. 感知密码
基于事实或观点的信息，用于验证个人的身份，如你母亲的姓名

5. 一次性密码
One-time Passord，OT