5身份与访问管理

控制访问信息资源如何被利用，来防止资源未授权修改或泄露。

实现方法：技术性（逻辑性）、物理性、行政性

访问控制需要采用分层纵深防御的方式

5.1 访问控制概述

访问控制是一种手段，控制用户和系统如何与其他系统和资源进行通信和交互。

主体可以是通过访问客体以完成某种任务的用户、程序或进程。

客体是包含被访问信息或者所需功能的被动实体，客体可以是计算机、数据库、文件、计算机程序、目录或数据库中某个表包含的字段。

访问控制是防范计算机系统和资源被未授权访问的第一道防线。

5.2 安全原则

每一项控制措施都能实现安全原则中的至少一个

可用性：一般采用容错和恢复机制

完整性：保护数据或资源免受未授权的修改

机密性：保证消息不会泄露给未授权的个人、程序或进程；安全机制包括加密、逻辑性和物理性访问控制、传输协议、数据库视图和流量控制等。第一步是确定哪些信息是敏感的以及信息的敏感程度，然后用适当的安全机制进行保护。

5.3 身份标识、身份验证、授权与可问责性

用户能够访问资源，首先证明他是自己所声明的人，拥有必需的凭证，并且具有执行所请求动作的必要权限和特权

身份标识：描述了一种能够确保主体（用户、程序或进程）就是其所声称实体的方法。

确保可问责性的唯一方法是主体能够被唯一标识，并且主体的动作被记录在案。审计日志、监控

身份验证一般涉及两个步骤：输入公共信息（用户名ID等，身份标识步骤），输入私有信息（静态密码、智能令牌、感知密码、生物特征、一次性密码或PIN，身份验证步骤）。

主体试图访问的系统需要确定主体是否具有执行请求的动作所需的权限和特权，eg查看访问控制矩阵或比较安全标签，进行授权

竞争条件攻击的一种形式：迫使授权步骤在身份验证步骤之前发生，进而对资源进行未授权访问

 

1、身份标识与身份验证

用于身份验证的三种因素：

（1）某人知道什么（根据知识进行身份验证）：密码、PIN、密码锁等；其他人也可能获得相关知识进行未授权访问。

（2）某人拥有什么（根据所有权进行身份验证）：钥匙、门卡、访问卡或证件，常用于访问设施，容易丢失或被盗导致未授权访问。

（3）某人是什么（根据特征进行身份验证）：基于物理特征，生物测定学

强身份验证（双因素身份验证）：包含三种身份验证方法中的两种方法

创建和发布安全身份包括三个关键方面：唯一性、非描述性（任何凭证都不应当表明账户的目的）和签发（由另一个权威机构提供，用于证明身份）

身份管理IdM（Identity Management）

使用不同产品对用户进行自动化的身份标识、身份验证和授权，用户账户管理、访问控制、密码管理、单点登录SSO、管理用户账户的权限、监控

和多个云供应商对接解决IAM身份和验证管理的措施是可传递信任

身份管理解决方案和产品：目录、Web访问管理、密码管理、传统单点登录、账户管理、配置文件更新

（1）目录

目录包含公司资源和用户有关的信息，多数目录遵循一种层次化的数据库格式，基于X.500标准和轻量级目录访问协议LDAP

目录内的客体由目录服务管理，目录内的客体通过名称空间标记和标识，eg windows系统的AD（Active Directory活动目录）

缺点：无法管理许多遗留设备和应用程序

在基于X.500标准的数据库目录中，下面的规则用于组织客体：

目录采用树结构，使用父-子配置来组织条目

每个条目具有由某个特定客体的属性组成的唯一名称

目录中所使用的属性由预定义模式规定

唯一标识符称为可区分名

LDAP（Lightweight Directory Access Protocol），允许主体和应用程序与目录进行交互。

Windows下使用域控制器DC（Domain Controller），其数据库中具有层次化目录，运行目录服务AD（Active Directory），组织网络资源并执行用户访问控制功能。

目录服务使用名称空间使实体保持有序运行

元目录：从不同来源收集必要的信息，并保存在中央目录内，允许身份信息从各个地点被调用并存储在本地系统中，本地系统中的数据通过复制流程进行更新，虚拟目录使用指针指向身份数据在最初系统驻留的位置，不需要复制流程

虚拟目录：没有身份数据，IdM组件调用虚拟目录时，其指向信息所在的位置

（2）Web访问管理WAM（Web Access Management）

用于控制用户在使用web浏览器与基于web的企业资产进行交互时能够访问哪些内容

通常是Web服务器的一个插件，将作为前端进程运行

WAM是用户与基于Web的企业资源之间的主要网关，可提供单点登录功能（即通过身份验证后，不必多次登录就能访问web上不同的应用程序和资源）

通过cookie提供凭证

如果cookie中包含任何类型的敏感信息，应当只保存在内存中，会话结束后从内存中清除

2、身份验证方法：

（1）密码管理

密码同步：降低保留不同系统的不同密码的复杂性，使用一个密码访问各种资源。优点是减少服务台收到的求助电话数量，为管理员节省时间；缺点是黑客只需要攻破一个凭证就能够获得对所有资源的未授权访问

自助式密码重设：用户以问答形式提交，用户重新设置自己的密码

辅助式密码重设：允许服务台工作人员在重设密码前对打电话的用户进行身份验证

传统单点登录SSO（Single Sign-on）

将SSO产品作为身份管理解决方案的一部分

SSO软件截获来自网络系统和应用程序的登录提示，并为用户填入信息；而密码同步是使用同一个密码登录

缺点：瓶颈或单点故障，SSO服务器崩溃，用户不能访问资源

账户管理：负责创建系统中的所有用户账户，在必要时更改账户权限，不在需要时删除账户

用户指派：为相应业务过程而创建、维护和删除，存在系统、目录或应用程序中的用户对象与属性。

总结：构建目录是保存用户和资源信息，元数据目录从网络的不同位置提取身份信息

用户管理工具在用户身份的整个生命周期中对其进行自动控制并提供指派

单点登录技术内部员工在访问企业资源时只进行一次身份验证

web访问管理工具为外部用户提供单点登录服务，控制对web资源的访问

（2）生物测定学

行为性生物测定：