身份认证与访问控制

身份认证与访问控制

身份认证技术概述

身份认证的概念和种类
多数银行的网银服务，除了向客户提供U盾证书保护模式外，还推出了动态口令方式，可免除携带U盾的不便，这是一种动态密码技术，在使用网银过程中，输入用户名后，即可通过绑定的手机一次性收到本次操作的密码,非常安全快捷方便。

1. 身份认证的概念
通常，身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。

认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的识别和验证过程。

2. 身份认证的作用
身份认证与鉴别是信息安全中的第一道防线，对信息系统的安全有着重要意义。可以确保用户身份的真实、合法和唯一性，可以防止非法人员进入系统，通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生，严防“病从口入”关口。访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计，如图所示。

3.认证技术的种类
认证技术是用户身份认证与信息鉴别的重要手段，也是网络系统安全中一项重要内容。
从鉴别对象上,分为消息认证和用户身份认证:
（1）消息认证：用于保证信息的完整性和不可否认性。
（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。
从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，本章只讨论前者身份认证。

常用网络身份认证方式
1. 静态密码方式
静态密码方式是指以用户名及密码认证的方式，用户名/密码方式是最简单、最常用的身份认证方法，是基于“你知道什么”的验证手段。

2.动态口令认证
动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密。前者是将系统发给用户注册手机的动态短信密码进行身份认证。后者则以发给(机构)用户动态口令牌进行认证。

3. USB Key认证
采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式.其身份认证系统有两种认证模式：基于PKI体系的认证模式、基于冲击/响应模式。
4. 生物识别技术
是指通过可测量的身体或行为等生物特征信息进行身份认证的技术。

1. 指纹识别技术。
2. 视网膜识别技术。
3. 声音识别技术。

5. CA认证系统
CA(Certification Authority)认证是对网络用户身份证的发放、管理和确认验证的过程。
CA的主要职能体现在3个方面：
（1）管理和维护客户的证书和证书作废表（CRL）。
（2）维护整个认证过程的安全。
（3）提供安全审计的依据。

证书的类型与作用

身份认证系统构成及方法
1. 身份认证系统的构成
身份认证系统的组成一般包括三个部分：认证服务器、认证系统客户端和认证设备。系统主要通过身份认证协议和认证系统进行实现。身份认证协议又分为：单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。认证系统网络结构图，如图6-4。

AAA（Authentication，Authorization，Accounting）认证系统应用最广泛。其中认证（Authentication）是验证用户身份与可使用网络服务的过程,授权(Authorization)是依据认证结果开放网络服务给用户的过程，计费审计（Accounting）是记录用户对各种网络操作及服务的用量，并进行计费审计的过程。
AAA系统及接口是身份认证系统的关键部分。系统中专门设计的AAA平台，可实现灵活的认证、授权、审计功能，且系统预留了扩展接口，可根据具体业务系统的需要，灵活进行相应的扩展和调整。

常用认证系统及认证方法
（ 1） 固定口令认证及隐患
固定口令认证方式简单，易受攻击：
1）网络数据流窃听（Sniffer）。
2）认证信息截取/重放。
3）字典攻击。
4）穷举尝试（Brute Force）。
5）窥探密码。
6）社会工程攻击(冒充)。
7）垃圾搜索。

（ 2）一次性(动态)口令方式
一次性口令认证系统组成：
1）生成不确定因子。
2）生成一次性口令。

（3）双因素安全令牌及认证系统
E-Securer安全身份认证系统是面向安全领域的AAA系统，提供了双因素身份认证、统一授权、集中审计等功能，可以为网络设备、v*n、主机系统、数据库系统、WEB服务器、应用服务系统等提供集中的身份认证和权限控制。
*双因素身份认证系统组成

1. 身份认证服务器提供数据存储、AAA服务、管理等功能,是整个系统的核心部分。
2. 双因素安全令牌（Secure Key）用于生成用户当前登录的动态口令，采用加密算法及可靠设计，可防止读取密码信息。
3. 认证代理（Authentication Agent）安装在被保护系统上，被保护系统通过认证代理向认证服务器发送认证请求，从而保证被保护系统身份认证的安全。

(4）单点登入系统
在大型网络系统中，面对各种服务器系统认证方法与手段。在查看邮件、访问工资查询系统或登入公司分支机构时，总要记住不同的用户名和口令。不仅不易管理，也为网络安全留下隐患，为此产生了单点登入系统。

单点登入（Single Sign On，SSO）也称单次登入，是在多个应用系统中，用户只需要登入一次就可访问所有相互信任的应用系统。

单点登入的优点体现在5个方面：
1）管理简单。
2）管理控制便捷。
3）用户使用简捷。
4）安全性更高。
5）合并异构网络。

银行认证授权管理应用
1.认证与授权管理体系
某银行机构的认证与授权管理的体系，对于银行机构的网络安全至关重要，如图所示。

*2. 认证授权管理的原则
为实现上述的目标，应遵循的指导原则：
(1)统一规划管理，分步部署实施

1. 进行认证和授权管理的统一规划，并制订工作计划；
2. 制订及维护认证和授权相关业务流程；
3. 统一用户编码规则，制订及维护认证凭证政策；
4. 确定用户身份信息的数据源和数据流，并进行数据质量管理；
5. 认证和授权分权管理委派；
6. 对银行认证和授权的现状进行周期性的审计和跟踪。

(2) 建立统一信息安全服务平台,提供统一身份认证和访问管理服务

(3) 保护现有IT投资，并便于未来扩展

数字签名技术

1.数字签名的概念
数字签名（Digital Signature）又称公钥数字签名或电子签章,是以电子形式存储于信息中或以附件或逻辑上关联数据, 用于辨识数据签署人身份,表明签署人对数据中所包含信息的认可。

基于公钥或私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制数字签名。包括普通数字签名和特殊数字签名两种。

2.数字签名的方法和功能
主要方法①基于PKI的公钥密码技术的数字签名;②用一个以生物特征统计学为基础的识别标识，如手书签名和图章的电子图像的模式识别；③手印、声音印记或视网膜扫描的识别；④一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN；⑤基于量子计算机文件等。比较成熟的、使用方便具有可操作性的、在世界先进国家和普遍使用电子签名技术基于PKI的数字签名技术。

数字签名算法组成主要有2部分：签名算法和验证算法。
保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。
最终目的是实现6种安全保障功能：
（1）必须可信。（2）无法抵赖。（3）不可伪造。
（4）不能重用。（5）不许变更。（6）处理快、应用广。

数字签名的种类
1.手写签名或图章识别
将手写签名或印章作为图像,扫描后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别方法对将两者进行比对，以确认该签名或印章的真伪。

2.生物识别技术
生物识别技术是利用人体生物特征进行身份认证的一种技术。生物特征是一个人的唯一表征，可以测量、自动识别和验证。生物识别系统对生物特征进行取样，提取其唯一的特征进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中。

3. 密码、密码代号或个人识别码
主要指用一种传统的对称**加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称**加密该随机码和电子文件回送给甲方，甲方用同样的对称**解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。

4.基于量子力学的计算机(文件)
基于量子力学的计算机被称作量子计算机，是以量子力学原理直接进行计算的计算机。比传统的图灵计算机具有更强大的功能，计算速度要比现代的计算机快几亿倍。

5.基于PKI 的电子签名
基于PKI 的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”，其实这是一般性说法，数字签名只是电子签名的一种特定形式。

数字签名过程及实现
1. 身份认证的实现
PKI 提供的服务首先是认证，即身份识别与鉴别，就是确认实体即为自己所声明的实体。认证的前提是双方都具有第三方CA所签发的证书，认证分为单向认证和双向认证。

1. 单向认证。
2. 双向认证。
   
   2. 数字签名过程
   网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。数字签名的全过程分两大部分，即签名与验证。数字签名与验证的过程和技术实现的原理，如图6-6。
   
   3.数字签名的操作过程
   数字签名的操作过程如图6-7所示，需要有发方的签名证书的私钥及其验证公钥。

4.数字签名的验证过程
收方收到发方的签名后进行签名验证，其具体操作过程如图6-8所示。

5.原文保密的数据签名的实现方法
上述数字签名原理中定义的对原文做数字摘要及签名并传输原文，实际上在很多场合传输的原文要求保密，不许别人接触。要求对原文加密的数字签名方法的实现涉及到“数字信封”问题，此处理过程稍复杂一些，但数字签名的基本原理仍相同，其签名过程如图所示。

访问控制技术

1.访问控制的概念及任务
访问控制（Access Control）指针对越权使用资源的防御措施，即判断使用者是否有权限使用或更改某一项资源，并防止非授权使用者滥用资源。目的是限制访问主体对访问客体的访问权限。

访问控制包含三方面含义：一是机密性控制，保证数据资源不被非法读出；二是完整性控制，保证数据资源不被非法增加、改写、删除和生成；三是有效性控制，保证资源不被非法访问主体使用和破坏。主要任务是保证网络资源不被非法使用，也是保护网络系统和资源安全的重要手段。访问控制三个要素：
（1）主体S（Subject）.指提出访问资源具体请求方.
（2）客体O（Object）. 指被访问资源的实体。
（3）控制策略A（Attribution）。主体对客体的访问控制规则。

2. 访问控制的功能和内容
访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。

访问控制的内容包括三个方面：
(1)认证：包括主体对客体的识别认证和客体对主体检验认证
(2)控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。
(3)安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。

访问控制规则和管理
1. 访问控制的层次
可将访问控制分为2个层次:
1)物理访问控制包括标准的钥匙、门锁和设备标签等.
2)逻辑访问控制在数据、应用、系统和网络等层面实现。
对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。

2. 访问控制的模式
主要的访问控制模式有三种：
(1)自主访问控制（DAC）.在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。
(2)强制访问控制（MAC）
(3)基于角色的访问控制（RBAC）

3. 访问控制规则
(1)访问者
主体对客体访问可以基于身份,也可基于角色。即“访问者”可以是身份标识或角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。
(2) 资源保护
对资源保护包括两个层面:物理层和逻辑层。
(3) 访问控制规则
四要素:访问者(主体),资源(客体),访问请求和访问响应。

4. 单点登入的访问管理
根据登入的应用类型不同,可分为3种类型.
1）对桌面资源的统一访问管理
对桌面资源的访问管理，包括两个方面：
①登入Windows后统一访问应用资源。
②登入Windows后访问其他应用资源。
2）Web单点登入
由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现，如图6-8所示。
3）对传统C/S 结构应用的统一访问管理
在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键.采用Web客户端作为前台是企业最为常见的一种解决方案。

访问控制的安全策略
1. 安全策略实施原则
访问控制安全策略是指在某个自治区域内（属于某个组织/机构的一系列处理和通信资源范畴）, 用于所有与安全相关活动的一套访问控制规则. 其安全策略有三种类型：基于身份的安全策略、基于规则的安全策略和综合访问控制方式。
访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。
（1）最小特权原则。
（2）最小泄露原则。
（3）多级安全策略。

2. 访问控制安全策略的实现
访问控制安全策略三种实现方式：
（1）基于身份的安全策略
基于身份的安全策略是过滤对数据或资源的访问，只有通过认证的主体才能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略，主要有两种基本的实现方法：能力表和访问控制表。
（2）基于规则的安全策略
策略中的授权通常依赖于敏感性。在安全策略系统中,所有数据和资源都标注了安全标记,用户的活动进程与其原发者具有相同的安全标记。

（3）综合访问控制策略
综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问.特点：具有良好灵活性、可维护性,可管理性、更精准的访问控制性和更高安全性。
HAC主要包括：
（1）入网访问控制。
（2）网络(资源-服务)权限控制。
（3）目录级安全控制。
（4）属性安全控制。
（5）网络服务器安全控制。
（6）网络监控和锁定控制。
（7）网络端口和结点的安全控制。
（8）防火墙控制

3.网上银行访问控制的安全策略
为了让用户安全、放心地使用网上银行，通常在网上银行系统采取了八大安全策略，以全面保护的信息资料与资金的安全。
（1）加强证书存储安全。
（2）动态口令。
（3）先进技术的保障。
（4）双密码控制，并设定密码安全强度。
（5）交易限额控制。
（6）信息提示，增加透明度。
（7）客户端密码安全检测。
（8）短信服务

网络安全审计

1. 安全审计的概念及目的
网络安全审计（Audit）是指按照一定安全策略,利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。
主要作用和目的包括5个方面：
（1）对潜在攻击者起到威慑和警示作用。
（2）测试系统的控制情况，及时调整。
（3）对已出现的破坏事件，做出评估并提供依据。
（4）对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。
（5）协助发现入侵或潜在的系统漏洞及隐患。

2. 安全审计的类型
从审计级别上可分为3种类型：
（1）系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间(次数)、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。
（2）应用级审计。主要针对的是应用程序的活动信息。
（3）用户级审计。主要是审计用户的操作活动信息。

3. 安全审计系统的基本结构
安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图6-12所示。

系统日记安全审计
1. 系统日志的内容
系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。
对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。

2. 安全审计的记录机制
对各种网络系统应采用不同记录日志机制。记录方式有3种：由操作系统完成，也可由应用系统或其他专用记录系统完成。

Syslog是一种日志记录方法,程序中凡用其记录信息都发送到该服务器,根据配置决定此信息记录及位置,使系统内应用程序都能以统一方式记录日志,为系统日志的统一审计提供方便。

Syslog安全审计的记录机制

3. 日志分析
日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况.主要任务包括:
（1）潜在威胁分析。 （2）异常行为检测。
（3）简单攻击探测。 （4）复杂攻击探测。

4. 审计事件查阅与存储
审计系统可成为追踪入侵、恢复系统的直接证据，其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施：
（1）审计查阅。
（2）有限审计查阅。
（3）可选审计查阅。

审计事件的存储安全要求：
（1）保护审计记录的存储。
（2）保证审计数据的可用性。
（3）防止审计数据丢失。

审计跟踪及应用
1. 审计跟踪的概念及意义
审计跟踪（Audit Trail）指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。
审计跟踪作为一种安全机制其目标：
（1）审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。
（2）可发现试图绕过保护机制的入侵行为或其他操作。
（3）能够发现用户的访问权限转移行为。
（4）制止用户企图绕过系统保护机制的操作事件。

审计跟踪是提高系统安全性的重要工具其意义:
（1）利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。
（2）审计信息可以确定事件和攻击源，用于检查网络犯罪。
（3）通过对安全事件的收集、积累和分析，可对其中的某些站点或用户审计跟踪，以提供发现可能产生破坏性行为的证据。
（4）既能识别访问系统来源，又能指出系统状态转移过程。

2. 审计跟踪的主要问题
安全审计跟踪重点考虑：
（1）选择记录信息内容。
（2）确定审计跟踪信息所采用的语法和语义定义。
审计是系统安全策略的一个重要组成部分，贯穿整个系统运行过程中，覆盖不同的安全机制，为其他安全策略的改进和完善提供必要的信息。

为了确保审计实施的可用性和正确性，需要在保护和审查审计数据的同时，做好计划分步实施. 具体实施主要包括：保护审查审计数据及审计工具与步骤。

1. 保护审计数据
   应当严格限制在线访问审计日志。
   审计数据保护常用方法: 用数据签名和只读设备存储数据。
   审计跟踪信息的保密性也应进行严格保护。

2. 审查审计数据
   审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。

3. 审计工具与步骤
   1）审计精选工具。 2）趋势/差别探测工具。 3）攻击特征探测工具。

金融机构审计跟踪的实施
1.审计跟踪系统概述
审计跟踪系统会执行系统方面的策略，如对文件及系统的访问。对实施这些策略的相关系统配置文件改动的监控十分重要，系统须在相关访问发生时生成审计记录。审计跟踪可提供更详细记录。对于重要应用还需对用户和使用细节记录。系统管理员不仅会对所有系统和活动监控，同时也应选择记录某个应用在系统层面上的具体功能。包括审计跟踪任何试图登陆的情况，登陆ID、每次登陆尝试时间和日期、终止登陆时间和日期、使用的设备、登陆成功后使用的功能。

2.系统安全审计跟踪的实施 1)不同系统在不同情况下审计跟踪信息所记录的内容有一定差异 2)对在线审计日志的访问须严格控制。 3)审计跟踪信息在保留期限到期后应立即予以删除和销毁。 4)审计跟踪审核分析方式，3种： 审计跟踪事后审核。 审计跟踪阶段性审核。 实时审计分析。 5)审计跟踪分析的工具。