第13章 管理身份和身份验证
13.1 控制对资产的访问
资产包括:信息,系统、设备、设施和人员。
•信息
组织的信息包括其所有数据。
数据可存储在服务器、计算机和较小设备上的简单文件中,还可存储在服务器场中的大型数据库中。
访问控制尝试阻止信息的未授权访问。
•系统
组织的系统包括提供一个或多个服务的任何IT系统。
例如,一个存储用户的简单文件服务器是一个系统。
另外,使用数据库服务器来提供电子商务服务的Web服务器也是一个系统。
•设备
设备指任何计算系统,包括服务器、台式计算机、便携式笔记本、平板电脑、智能手机和外部设备(如打印机)。
越来越多的组织采用了允许员工将其个人拥有的设备(如智能手机或平板电脑)连接到组织网络的策略。
虽然设备通常由员工拥有,但存储在设备上的组织数据仍然是组织的资产。
•设施
组织的设施包括其拥有或租赁的任何物理位置。
这可以是单独的房间、整个建筑物或几个建筑物构成的整个建筑群。
物理安全控制有助于保护设施。
•人员
为组织工作的人员也是组织的宝贵资产。
保护人员的主要方法之一是确保采取适当的安全措施以防止伤害或死亡。
13.1.1 比较主体和客体
访问是将信息从客体(Object)传递到主体(Subject) ,理解主体和客体的定义很重要。
•主体
主体是活动实体,它访问被动客体以从客体接收信息或关于客体的数据。
主体可以是用户、程序、进程、服务、计算机或可访问资源的任何其他内容。
授权后,主体可修改客体。
•客体
客体是一个被动实体,它向活动主体提供信息。
文件、数据库、计算机、程序、进程、服务、打印机和存储介质等都是客体。
主休和客体的角色可来回切换(程序、计算机)。
许多情况下,当两个实体交互时,它们执行不同的功能。
有时可能请求信息,有时可能提供信息。
关键区别在于主体始终是活动实体,接收被动客体的信息或来自被动客体的数据。
而客体始终是提供或托管信息或数据的被动实体。
用户——>(检索信息)Web应用程序
Web应用程序——>(检索cookie)用户计算机
Web应用程序——>(检索用户cookie信息)数据库
Web应用程序——>(发送动态网页)用户
13.1.2 CIA三性和访问控制
组织实施访问控制机制的主要原因之一是防止损失。
IT损失分为三类:损失保密性、可用性和完整性,合称为CIA。
保护这些损失是IT安全的重要组成部分,它们通常被称为CIA三性(AIC三性或安全三性)。
•保密性(Confidentiality)
访问控制有助于确保只有授权的主体才能访问客体。
当未经授权的实体可访问系统或数据时,会导致保密性的丧失。
•完整性(Availability)
完整性可确保经授权后才能修改数据或系统配置。
如果发生未经授权的更改,安全控制将检测更改。
如果发生对客体的未授权的或不需要的更改,则会导致完整性丢失。
•可用性(Integrity)
必须在合理的时间内向主体授予访问客体的权限。
换句话说,系统和数据应该在需要时可供用户和其他主体使用。
如果系统无法运行或数据无法访问,则会导致可用性降低。
13.1.3 访问控制的类型
访问控制目标:
提供对授权主体的访问并防止未经授权的访问尝试。
访问控制包括以下总体步骤:
(1) 识别并验证尝试访问资源的用户或其他主体。
(2) 确定访问是否已获得授权。
(3) 根据主体的身份授予或限制访问权限。
(4) 监控和记录访问尝试。
三种主要控制类型:预防(preventive)、检测(detective)和纠正(corrective)。
其他四种访问控制类型:威慑(deterrent)、恢复(recovery)、指示(directive)和补偿(compensating)访问控制。
一些示例用于多种访问控制类型。
例如,围绕建筑物放置的栅栏可以是预防性控制,也是一种威慑控制。
•预防访问控制(preventive)
预防性控制试图阻止不必要或未经授权的活动发生。
预防性访问控制的例子:
栅栏、锁、生物识别、陷阱、照明、警报系统、职责分离策略、岗位轮换、数据分类、
渗透测试、访问控制方法、加密、审计、安全摄像头或闭路电视监控系统(CCTV)的存在、
智能卡、回调程序、安全策略、安全意识培训、反病毒软件、防火墙和入侵预防系统。
•检测访问控制(detective)
检测性控制尝试发现或检测不需要的或未经授权的活动。
侦探控制在事后发生,并且只有在发生后才能发现活动。
侦探访问控制的例子:
安全防护装置、运动探测器、记录和审查由安全摄像机或闭路电视监控系统(CCTV)捕获的事件、岗位轮换、
强制性休假策略、审计踪迹,蜜罐或蜜网、入侵检测系统、违规报告、用户监督和审查以及事故调查。
•纠正访问控制(corrective)
纠正控制修改环境,以便在发生意外或未授权的活动后将系统恢复正常。
纠正控制试图纠正因安全事件而发生的任何问题。
纠正访问控制的例子:
终止恶意活动或重新启动系统、删除或隔离病毒的反病毒解决方案,备份和恢复计划、修改环境。
•威慑访问控制(deterrent)
威慑访问控制试图阻止违反安全策略。
威慑和预防控制是相似的,但威摄控制往往取决于个人决定不采取不必要的行动。
相反,预防性控制阻止了该动作。
威慑性访问控制的例子:
策略、安全意识培训、锁、栅栏、安全标记、警卫、陷阱和安全摄像头。
•恢复访问控制(recovery)
恢复访问控制尝试在安全策略违规后修复或恢复资源和功能。
恢复控制是纠正控制的扩展,但具有更高级或复杂的能力。
恢复访问控制的例子:
有备份和还原、容错驱动器系统、系统映像、服务器集群、反病毒软件以及数据库或虚拟机镜像。
•指示访问控制(directive)
指示访问控制试图指导、限制或控制主体的操作,以强制或鼓励遵守安全策略。
指示访问控制的例子:
安全策略要求或标准、发布通知、逃生路线出口标志、监视、监督和程序。
•补偿访问控制(compensating)
当无法使用主控制时,或在必要时提高主控制的有效性时,补偿访问控制提供了一种替代方案。
例如,安全策略可能规定所有员工使用智能卡,但新员工可能需耍很长时间才能获得智能卡。
组织可向员工发放硬件令牌作为补偿控制。这些令牌提供的身份验证不仅是用户名和密码。
访问控制也按其实现方式分类。控制可通过管理、逻辑/技术或物理方式实施。
前面提到的任何访问控制类型都可包括任何这些实现类型。
•管理访问控制
管理访问控制是由组织的安全策略和其他法规或要求定义的策略和过程。
它们有时被称为管理控制。这些控制重点关注人员和业务实践。
管理访问控制的例子:
策略、程序、招聘实践、背景检查、分类和标记数据、安全意识和培训工作、报告和评审、人员控制和测试。
•逻辑/技术控制
逻辑访问控制(也称为技术访问控制)是用于管理访问并为资源和系统提供保护的硬件或钦件机制。
顾名思义使用的是技术手段。
逻辑或技术访问控制的例子:
身份验证方法(例如密码、智能卡和生物识别)、加密、受限接口、访问控制列表、
协议、防火墙、路由器、入侵检测系统和剪切级别。
•物理控制
物理访问控制是你可以物理触摸的项目。
它们包括用于防止、监控或检测与设施内的系统或区域直接接触的物理机制。
物理访问控制的例子:
防护装置、围栏、运动检测器、锁定的门、密封的窗户、灯、电缆保护、
笔记本电脑锁、徽章、刷卡、护卫犬、摄像机、陷阱和警报。
13.2 比较身份识别和身份验证
身份识别(Identification) 是主体声明或宣称身份的过程。
主体必须向系统提供身份以启动身份验证、授权和问责流程。
提供身份的方式:输入用户名;刷智能卡;挥动令牌装置;说一句话;
或将你的面部、手或手指放在相机前面或靠近扫描设备。
身份验证的核心原则:所有主体必须具有唯一的身份。
身份验证 通过将一个或多个因素与有效身份数据库进行比较来验证主体的身份。
用于验证身份的身份验证信息是私有信息,需要加以保护。
例如,密码很少以明文形式存储在数据库中。
相反,身份验证系统在身份验证数据库中存储密码散列值。
主体和系统维护身份验证信息保密性的能力直接反映了该系统的安全级别。
身份识别和身份验证始终作为一个两步过程一起发生。
提供身份是第一步,提供身份验证信息是第二步。
如果没有这两者,主体就无法访问系统。
13.2.1 身份注册和证明
当用户首次获得身份时,将发生注册过程。
在组织内,新员工在招聘过程中使用适当的文档证明自己的身份。
然后人力资源(HR)部门的人员开始创建其用户ID的过程。
越安全的身份验证方法,其注册过程越复杂。
例如,如果组织使用指纹识别作为身份验证的生物识别方法,则注册过程包括采集用户指纹。
对于和在线网站(例如在线银行网站)进行交互的用户,身份验证略有不同。
当用户首次尝试创建账户时,银行将采取额外步骤来验证用户的身份。
这通常要求用户提供用户和银行已知的信息,例如账号和关于用户的个人信息,例如身份证号或社会保险号。
在初始注册过程中,银行还会要求用户提供其他信息,
例如用户最喜欢的颜色,他们最年长的兄弟姐妹的中间名或第一辆车的型号。
之后,如果用户需要更改密码或想要转账,银行可将这些问题作为身份证明方法向用户提问。
许多组织(如金融机构)经常使用更先进的验证技术。
他们从客户那里收集信息,然后使用国家数据库验证这些信息的准确性。
这些数据库允许组织验证当前地址、以前的地址、雇主和信用记录等内容。
某些情况下,验证过程会为用户提供一个多项选择题,
例如“你在以下哪家银行有抵押贷款?”或“以下哪项最接近你当前的按揭付款?”
13.2.2 授权和问责
访问控制系统中的两个附加安全要素是授权(Authorization)和问责(Accountability) 。
授权(Authorization)
主体基于已证实的身份被授予对客体的访问权限。
例如,管理员根据用户经过验证的身份授予用户访问文件的权限。
问责在实施审计时,用户和其他主体可以对其行为负责。
审计在访问客体时跟踪主体和记录,在一个或多个审计日志中创建审计踪迹。
例如,审计可以记录用户何时读取、修改或删除文件。审计提供问责制。
此外,假设用户已经过适当的身份验证,审计日志提供了不可否认性。
用户不能否认记录在审计日志中的操作。
除授权和问责制要素外,有效的访问控制系统还需要强有力的身份识别和身份验证机制。
主体具有独特的身份,并通过身份验证证明其身份。
管理员根据主体的身份授予对应的访问权限。
根据已证实的身份记录用户操作可提供问责制。
匿名用户:
如果用户不需要使用凭据登录,则所有用户都将是匿名用户。
如果每个人都是匿名用户,则无法将授权限制为特定用户。
虽然日志记录仍然可以记录事件,但无法识别哪些用户执行了哪些操作。
1. 授权
授权表示可以信任谁执行特定操作。
如果允许该行动,则给该主体授权;如果不允许,则不给该主体授权。
简单示例:如果用户尝试打开文件,授权机制会检查以确保用户至少具有该文件的读取权限。
主体基于其经过验证的身份被授予访问特定对象的权限。
授权过程可确保根据分配给主体的权限,可以访问所请求的活动或对象。
管理员仅根据最小特权原则授予用户完成工作所需的权限。
身份识别和身份验证是访问控制的“全有或全无”方面。
用户的凭据证明是否其声称的身份。相比之下,授权的范围很广泛。
例如,用户可能能够读取文件但不能删除它,或者他们可能能够打印文档但不能修改打印队列。
2. 问责
审计、记录和监控通过确保主体对其行为负责来提供问责制。
审计是在日志中跟踪和记录主休活动的过程。
日志通常记录操作人员、操作时间和地点以及操作内容。
一个或多个日志创建审计踪迹,研究人员可用它来复现事件并识别安全事件。
当调查人员审查审计踪迹的内容时,可提供证据让人们对其行为负责。
问责制依赖于有效的身份识别和身份验证,但不需要有效的授权。
换句话说,在识别和验证用户之后,诸如审计日志之类的问责机制可以跟踪他们的活动,
即使他们试图访问他们未被授权访问的资源。
13.2.3 身份验证因素
三种基本的身份验证方法、类型或因素如下:
类型1
类型1身份验证因素是你知道什么。
例如密码、个人身份识别码(PIN)或密码。
类型2
类型2身份验证因素是你拥有什么。
用户拥有的物理设备可帮助他们提供身份验证。
例如智能卡、硬件令牌、存储卡或U盘。
类型3
类型3身份验证因素是你是谁或你做了什么。
它是用不同类型的生物识别技术识别的人的身体特征。
你是谁主要包括:指纹、声纹、视网膜图案、虹膜图案、面部形状、掌纹和手掌形状。
你做了什么主要包括:签名和击键动态,也称为行为生物识别。
正确实施时,这些类型逐渐变强,类型1最弱,类型3最强。
密码(类型1)是最弱的,而指纹(类型3) 比密码更强。
但攻击者仍可绕过某些类型3 身份验证因素。例如,攻击者可复制指纹并欺骗指纹读取器。
除了三个主要的身份验证因素外,还有其他一些因素。
你在什么地方根据特定的计算机识别主体的位置,主要通过IP地址或者来电显示识别地理位置。
通过物理位置控制访问迫使主体出现在特定位置。
地理定位技术可根据IP地址识别用户位置,并由某些身份验证系统使用。
上下文感知身份验证
许多移动设备管理(Mobile Device Management, MDM)系统使用上下文感知身份验证来识别移动设备用户。
可识别多个元素,如用户的位置、时间和移动设备。
地理定位技术-可识别特定位置,如组织的办公楼。
地理围栏-识别办公楼位置的虚拟围栏,并可识别用户何时在楼里。
MDF系统-可在用户尝试登录时检测设备上的详细信息。
如果用户满足所有要求(本例中的设备的位置、时间和类型),则允许用户使用其他方法(例如用户名和密码)登录。
许多移动设备支持在触摸屏上使用手势或手指滑动。
Microsoft Windows10:支持图片密码,允许用户通过在屏幕上滑动选中的图片来进行身份验证。
安卓设备:支持安卓锁,允许用户滑动屏幕网格上的点来解锁。
诸如签名和击键动态的行为生物测定学示例对于个体是独特的并提供一定程度的识别,
但知道该模式的任何人都可以重复尝试。
有些人认为这是类型1(你知道什么)的身份验证因素,即使手指滑动是你做的事情。
13.2.4 密码
密码通常是静态的。
静态密码在一段时间内保持不变,例如30天,但静态密码密码是最弱的身份验证形式。
密码是弱安全机制,原因如下:
•用户经常选择易于记忆的密码,因此易于猜测或破解。
•随机生成的密码很难记住;因此,许多用户将其写下来。
•用户经常共享密码,或忘记密码。
•攻击者通过多种方式检测密码,包括观察、嗅探网络和窃取安全数据库。
•密码有时以明文或易于破解的加密协议传输。攻击者可以使用网络嗅探器捕获这些密码。
•密码数据库有时存储在可公开访问的在线位置。
•暴力攻击可快速发现弱密码。
1. 创建强密码
当用户创建强密码时,密码最有效。
强密码足够长并使用多种字符类型,如大写字母、小写字母、数字和特殊字符。
组织通常在整体安全策略中包含书面密码策略。
然后,IT安全专业人员使用技术控制来强制执行策略,例如强制执行密码限制要求的技术密码策略。
些常见的密码策略设置:
•最长期限
此设置要求用户定期更改其密码,例如每45天更改一次。
•密码复杂性
密码的复杂性是指它包含的字符类型的数量。
使用大写字符、小写字符、符号和数字的八字符密码比仅使用数字的八字符密码强得多。
NIST SP 800-63B“数字身份指南”指出,身份验证系统应支持使用任何可打印的ASCII字符和空间字符。
•密码长度
长度是密码中的字符数。越短的密码越容易破解。
例如,在一台计算机上运行的密码破解程序可在不到一秒的时间内破解复杂的五字符密码,
但需要数于年才能破解复杂的12个字符的密码。
NIST SP 800-63B规定密码长度至少应为8个字符,系统应支持长达64个字符的密码。
许多组织要求特权账户密码更长,例如至少15个字符长。
•密码历史
许多用户养成了轮换使用两个密码的习惯。
密码历史记录会记住一定数量的先前密码,并阻止用户重复使用历史记录中的密码。
这通常与最短密码期限设置相结合,防止用户重复更改密码。
以下建议可帮助创建强密码:
•请勿使用你的姓名、登录名、电子邮件地址、员工编号、身份证号、社会安全号码、
电话号码、分机号或任何其他识别名称或代码的任何部分。
•请勿使用社交网络资料中提供的信息,例如家庭成员姓名、宠物姓名或出生日期。
•不要使用字典单词(包括外国词典中的单词)、俚语或行业首字母缩略词。
•使用非标准大写和拼写,例如用stRongsecuRitee 代替strongsecurity。
•用特殊字符和数字替换字母,例如用stROng$ecuRltee 代替strongsecurity 。
在某些环境中,系统会自动为用户账户创建初始密码。
生成的密码通常是组合密码的形式,其包括两个或更多个无关词,它们之间用数字或符号连接在一起。
组合密码很容易被计算机生成,但它们不应该长时间使用,因为它们容易受到密码猜测的攻击。
2. 密码短语
密码短语是类似于密码的字符串,但对用户具有独特的含义。
例如,密码可以是I passed the CISSP exam。
许多认证系统不支持空格,因此可将此密码改为IPassedTheCISSPExam。
使用密码短语的好处:
-容易记住
-鼓励用户创建更长的密码。
-使用蛮力工具更难破解更长的密码。
-有助于确保用户不使用常见的可预测密码。
在线身份验证系统通常会对用户强加复杂的规则,要求用户使用最少数量的大写字母、小写字母、数字和特殊字符。
满足这些规则要求的一种方法是用字符或数字替换字母。
举个例子,字母a可用@字符替换,字母i可用数字1替换。
这有效地将“IPassedTheCISSPExam”改为“1P@ssedTheC1SSPEx@m”。
3. 认知密码
认知密码是关于事实或预定义响应的一系列挑战问题,只有主体应该知道。
身份验证系统通常在账户初始注册期间收集这些问题的答案,但可在以后收集或修改它们。
例如,创建账户时可能会向主体提出三到五个问题:
•你的生日是什么时候?
•你妈妈的娘家姓是什么?
•你的第一个老板叫什么名字?
•你的第一只宠物的名字是什么?
•你最喜欢的运动是什么?
稍后,系统会使用这些问题进行身份验证。
如果用户正确回答了所有问题,用户的身份验证系统将获得通过。
最有效的认知密码系统收集几个问题的答案,并在每次使用时询问一组不同问题。
认知密码通常使用自助密码重置系统或辅助密码重置系统来协助密码管理。
例如,如果用户忘记了原始密码,他们可寻求帮助。
然后,密码管理系统用一个或多个这样的认知密码问题向用户提出质疑,这些问题可能只有用户才知道。
13.2.5 智能卡和令牌
智能卡和硬件令牌都是类型2身份验证因素(或者你拥有什么)的示例。
它们很少单独使用,但通常与另一个身份验证因素相结合,提供多因素身份验证。
1. 智能卡
智能卡是信用卡大小的ID或做章,其中嵌入了集成电路芯片。
智能卡包含用于标识和/或身份验证目的的授权用户的信息。
大多数当前的智能卡包括微处理器以及一个或多个证书。
证书 用于非对称加密,例如加密数据或数字签名电子邮件。
智能卡具有防篡改功能,为用户提供了一种携带和使用复杂加密密钥的简便方法。
用户在进行身份验证时将卡插入智能卡读卡器。
通常要求用户也输入PIN或密码作为智能卡的第二个身份验证因素。
美国政府内的人员使用通用访问卡(Common Access Card, CAC)或个人身份验证(Personal Identity Verification, PIV)卡。
CAC和PIV是智能卡,包括有关所有者的照片和其他识别信息。
用户在走动时将它们作为徽章佩戴,并在登录时将它们插入计算机的读卡器中。
2. 令牌
令牌设备或硬件令牌是用户可随身携带的密码生成设备。
今天使用的通用令牌包括显示六位到八位数字的显示器。
身份验证服务器存储令牌的详细信息,因此服务器随时知道用户令牌上显示的号码。
令牌通常与另一种身份验证机制相结合。
例如,用户可能输入用户名和密码(你知道什么?),然后输入令牌中显示的数字(你拥有什么?)。
这样就提供了多因素身份验证。
硬件令牌设备使用动态一次性密码,使其比静态密码更安全。
动态密码不会保持静态,会经常更改,例如每60 秒更改一次。
动态一次性密码仅使用一次,在使用后不再有效。
令牌有两种类型,即同步动态密码令牌和异步动态密码令牌。
同步动态密码
令牌创建同步动态口令的硬件令牌是基于时间的,并与身份验证服务器同步。
它们会定期生成新密码,例如每60秒生成一次。这需要确保令牌和服务器有准确的系统时间。
使用它的一种常见方法是要求用户在网页中输入用户名、静态密码和动态一次性密码。
异步动态密码
令牌异步动态密码不使用时钟,而是基于算法和递增计数器生成密码。
使用递增计数器时,它会创建一个动态的一次性密码,该密码在用于身份验证之前保持不变。
当用户将身份验证服务器提供的PIN输入令牌中时,一些令牌会创建一次性密码。
例如,用户首先向网页提交用户名和密码。然后验证用户的凭据,
验证系统使用令牌的标识符和递增计数器来创建质询号并将其发送回用户。
每次用户进行身份验证时,质询编号都会更改,因此通常称为nonce(“ 一次使用的数字”的缩写)。
质询编号只会在属于该用户的设备上生成正确的一次性密码。
用户将质询编号输入到令牌中,令牌创建密码。然后,用户将密码输入网站以完成身份验证过程。
硬件令牌缺陷:如果电池耗尽或设备损坏,用户将无法访问。
某些组织也使用令牌的概念,但通过在用户设备上运行的软件应用程序提供PIN。
例如,赛门铁克(Symantec)支持VIP Access应用程序。
配置为使用身份验证服务器后,它会每30秒向应用程序发送一个新的六位数PIN。
3. 两步身份验证
许多在线组织正在使用两步验证,这也将成为趋势。
例如,假设你使用用户名和密码处理在线银行业务并登录。
你的银行以前要求你提供过手机号码。
现在,当你登录时,银行网站会指示已经将短信验证码发到你的手机。
然后系统会提示你输入短信验证以完成登录过程。
然后你将收到的6位数字短信验证码输入网站完成登录。
这种情况下,你的智能手机实际上模仿了硬件令牌,进行了这种双因素身份验证,
尽管许多组织(如Google)将其称为两步身份验证。
该过程通常利用以下标准之一。
•HOTP
HMAC包括按照HOTP(HMAC-based One-Time Password, 基于HMAC的一次性密码)
标准创建一次性密码的散列函数。
它通常创建六到八个数字的HOTP值。这类似于令牌创建的异步动态密码。HOTP值在使用前保持有效。
•TOTP
基于时间的一次性密码标准与HOTP类似。
但是,它使用时间戳并在某个时间范围内保持有效,例如30秒。如果用户未在时间范围内使用,
则TOTP密码过期。这类似于令牌使用的同步动态密码。
许多在线组织使用HOTP和TOTP的组合,并使用两步验证为用户提供一次性密码。
虽然这听起来很安全,但我们经常看到NIST解决的常见漏洞。
具体而言,SP 800-63B建议在用户解锁手机前,不应看到短信验证码。
但是,验证码几乎总是在不解锁的情况下以通知形式显示。
许多在线网站使用的另一种流行的两步验证方法是电子邮件挑战。
当用户登录时,网站会向用户发送带有PIN的电子邮件。
然后,用户需要打开电子邮件在网站上输入PIN。
如果用户无法输入PIN, 则该站点会阻止用户访问。
虽然攻击者可能在数据泄露后获取用户的凭据,
但攻击者可能无法访问用户的电子邮件(除非用户对所有账户使用相同的密码)。
13.2.6 生物识别技术
生物识别因素属于类型3,也就是“你是谁“身份验证类别。
生物识别因素可用作识别或身份验证技术,或两者兼有。
使用生物计量因素而不是用户名或账户ID作为识别因素需要对所提供的生物特征模式进行一对多搜索,
以存储已登记和投权的模式的存储数据库。
捕获一个人的单个图像并搜索许多人寻找匹配的数据库是一对多搜索的个例了。
生物识别技术作为一种识别技术,在物理访问控制中得到了广泛应用。
使用生物特征因素作为身份验证技术需要将所提供的生物特征模式与所提供的主休身份的存储模式进行一对一匹配。
换句话说,用户声明身份,并且检查生物特征因素以查看该人是否与所声称的身份匹配。
作为身份验证技术,生物特征因素用于逻辑访问控制。
生物特征通常被定义为生理特征或行为特征。
生理生物识别方法包括:
指纹、面部扫描、视网膜扫描、虹膜扫描、手掌扫描、手部几何图形和语音模式等。
行为生物识别方法包括:
签名动态和击键模式(击键动态)。
这些有时被称为“你做了什么“身份验证。
•指纹
指纹是指手指上的可见图案。它们是个人独有的,并且已经在物理安全中使用了数十年。
指纹读取器现在通常用在笔记本电脑和U盘上作为身份识别和身份验证的方法。
•面部扫描
面部扫描使用面部的几何图案进行检测和识别。
Facebook多年来一直使用面部识别软件来提供标签建议。
例如,如果Facebook上存在与你的姓名相结合的图片(例如在你的个人资料照片中),
则可使用此信息来识别你的身份。
它扫描新发布的照片并提供标签建议(照片中人物的姓名)。
每当有人在照片中标记你时,它会为Facebook提供更多信息,以便在你下次发布照片时正确识别你。
Facebook最近开始允许用户使用面部识别和其他身份验证方法解锁账户。
赌场使用它来识别卡片作弊。
执法机构一直在利用它来捕获边境和机场的罪犯。
面部扫描还用于在访问安全空间(如安全保管库)之前识别和验证人员。
•视网膜扫描
视网膜扫描重点是眼睛后部的血管模式。
它们是最准确的生物识别身份验证形式,可区分同卵双胞胎。
然而,一些隐私支持者反对使用,因为它们可揭示医疗健康状况,如高血压和怀孕等。
较旧的视网膜扫描会向用户的眼睛吹出一股空气,但较新的通常会使用红外线。
此外,视网膜扫描仪通常要求和用户保持3英寸的距离。
•虹膜扫描
聚焦于瞳孔周围的彩色区域,虹膜扫描是第二种最准确的生物识别身份验证形式。
与视网膜一样,虹膜在一个人的生命中仍然相对保持不变(除非眼睛受到损伤或患病)。
一般用户认为虹膜扫描比视网膜扫描更容易接受,因为扫描可从远处发生。
扫描通常可在6到12米之外(大约20到40英尺)完成。
但有些扫描仪可用高质量的图像代替人的眼睛进行恶作剧。
此外,照明的变化以及一些眼镜和隐形眼镜的使用会影响精确度。
•手掌扫描(也称为手型扫描或手掌地理)
手掌扫描仪扫描手掌以进行识别。
他们使用近红外光来测量手掌中的静脉图案,这些图案与指纹一样独特。
在注册过程中,个人只需要将手掌放在扫描仪上几秒钟。
之后,他们再次将手放在扫描仪上进行识别。
例如,研究生管理招生委员会(GMAC)使用手掌静脉读取器来阻止替考行为,并确保在休息以后重新返回考场的是同一个人。
•手部几何图形
手几何形状识别手的物理尺寸。这包括手掌和手指的宽度和长度。
它捕捉到手的轮廓,但不捕捉指纹或静脉图案的细节。
手几何形状很少单独使用,因为使用这种方法难以唯一地识别个体。
•心脏/脉冲模式
测量用户的脉搏或心跳可确保真人提供生物特征因素。
它通常用作辅助生物识别以支持其他类型的身份验证。
一些研究人员认为,心跳在个体之间是独一无二的,并声称可使用心电图进行身份验证。
但至今没有经过充分测试的可靠方法。
•语音模式识别
这种类型的生物识别身份验证依赖于人的说话声音的特征,称为声纹。
用户说出由身份验证系统记录的特定短语。
要进行身份验证,他们会重复相同的短语并将其与原始短语进行比较。
语音模式识别有时被用作附加的身份验证机制,但很少单独使用。
•签名动态
这可识别主题如何写入一串字符。
签名动态检查主题如何执行书写样本中的书写行为和特征。
签名动态的成功依赖于笔压力、笔划图案、笔划长度以及笔从书写表面抬起的时间点。
书写速度通常不是一个重要因素。
•击键模式(也称为击键动态)
击键模式通过分析飞行时间和停留时间来测量主体如何使用键盘。
飞行时间是按键之间切换需要多长时间,停留时间是按下按键的时间。
使用击键模式是便宜的、非侵入性的,并且通常对用户透明(对于使用和登记)。
不幸的是,击键模式受操作差异的影响很大。
用户行为的简单变化都会极大地影响这种生物特征因素,
例如单手操作、打冷战、站立操作、更换键盘或者手(或手指)受到持续伤害。
1. 生物特征因素误差评级
生物识别设备最重要的方面是其准确性。
为使用生物识别技术进行识别,生物识别设备必须能够检测信息中的微小差异,
例如人的视网膜中血管的变化或手掌中人的静脉的差异。
因为大多数人基本相似,所以通常在生物识别方法身份验证中会产生假阴性和假阳性。
生物识别设备通过检查它们产生的不同类型的错误来评定性能。
错误拒绝率(FRR)
当未对有效主体进行身份验证时,会发生错误拒绝。
例如,Dawn已经注册了她的指纹并用来验证自己。
想象一下,她今天使用指纹验证自己,但系统错误地拒绝她的有效指纹。
这种现象有时也称为错误否定身份验证。
错误拒绝与有效身份验证的比率称为错误拒绝率(FRR)。
错误拒绝也被称为I型错误。
错误接受率(FAR)
当对无效主体进行身份验证时,会发生惜误接受。这也称为误报身份验证。
例如,假设Hacker Joe没有账户并且没有注册他的指纹。
但是,他使用指纹进行身份验证,系统会识别他。这是误报或错误接受。
误报率与有效身份验证的比率称为错误接受率(FAR) 。
错误接受也被称为II 型错误。
大多数生物识别设备都具有灵敏度调整。
当生物识别设备过于敏感时,错误拒绝(假阴性)更常见。
当生物识别设备不够灵敏时,错误接受(误报)更常见。
交叉错误率(CER)
你可将生物识别设备的整体质量与交叉错误率(CER)进行比较,也称为等错误率(ERR)。
图13.1显示了将设备设置为不同灵敏度级别时的FRR和FAR百分比。
FRR和FAR百分比相等的点是CER, CER用作标准评估值来比较不同生物识别设备的准确度。
CER较低的设备比CER较高的设备更准确。
操作灵敏度设置为CER级别的设备不是必需的,而且通常是不可取的。
例如,组织可使用面部识别系统来允许或拒绝对安全区域的访问,
因为他们希望确保未授权的个人从未被授予访问权。
这种情况下,组织会将灵敏度设置得非常高,因此惜误接受的可能性很小(误报)。
这可能导致更多的错误拒绝(漏报),但在这种情况下错误拒纽比错误接受更可接受。
2. 生物识别登记
由于注册时间,吞吐率和接受度等因素,生物识别设备可能无效或不可接受。
要使生物识别设备作为识别或身份验证机制,必须进行注册过程。
在注册期间,对主体的生物特征因素进行采样并存储在设备的数据库中。
该存储的生物特征因素样本是参考配置文件(也称为参考模板)。
扫描和存储生物特征所需的时间取决于测量的物理或性能特征。
用户不太愿意接受花费很长时间的生物识别方法带来的不便。
一般来说,超过2分钟的注册时间是不可接受的。
如果你使用随时间变化的生物特征,例如人的语音、面部毛发或签名图案,则必须定期重新注册,这会增加不便。
吞吐率 是系统扫描主体并批准或拒绝访问所需的时间。
生物特征越复杂或越详细,处理时间越长。主体通常接受约6秒或更快的吞吐率。
13.2.7 多因素身份验证
多因素身份验证是使用两个或多个因素的任何身份验证。
双因素身份验证需要两个不同的因素来提供身份验证。
举个例子,智能卡通常要求用户将其卡插入读卡器并输入PIN。
智能卡是你所拥有的因素,而PIN是你所知道的因素。
作为一般规则,使用更多类型或因素能提供更安全的身份验证。
当两个相同因素的身份验证方法一起使用时,验证的强度不大于仅使用一个方法时的强度,
因为相同的攻击可以窃取或获得一个方法也可以获得另一个。
例如,使用两个密码并不能比使用单个密码更安全,因为密码破解尝试可在一次成功的攻击中同时发现两个密码。
相比之下,当采用两个或更多个不同的因素时,两种或更多种不同的攻击方法必须成功地收集所有相关的身份验证元素。
例如,如果令牌、密码和生物特征因素都用于身份验证,则物理盗窃、密码破解和生物特征复制攻击只有同时成功,入侵者才能成功进入系统。
13.2.8 设备验证
从历史上看,用户只能从公司自有系统(如台式PC)登录网络。
例如,在Windows域中,用户计算机加入域并具有与用户账户和密码类似的计算机账户和密码。
如果计算机尚未加入域,或其凭据与域控制器不同步,则用户无法从此计算机登录。
如今,越来越多的员工将自己的移动设备用于工作并将其连接到网络。
一些组织接受这一点,但实施安全策略作为控制措施。
这些设备不一定能够加入域,但可为这些设备实现设备标识和身份验证方法。
(1)一种方法是设备指纹识别。
用户可向组织注册他们的设备,并将设备与他们的用户账户关联。
在注册期间,设备身份验证系统捕获有关设备的特征。这通常需要用户通过该设备访问一个网页来实现。
然后,注册系统使用诸如操作系统和版本、Web浏览器、浏览器字体、浏览器插件、时区、数据存储、屏幕分辨率、cookie设置、HTTP头等特征来识别设备。
当用户从设备登录时,身份验证系统会检查用户账户是否有已注册的设备。
然后,它使用注册的设备验证用户设备的特征。
尽管这些特性中的一些随时间而变化,但事实证明这是一种成功的设备身份验证方法。
组织通常使用第三方工具(例如SecureAuth身份提供程序)进行设备身份验证。
如前所述,许多MDM系统使用上下文感知身份验证方法来识别设备。
它们通常与网络访问控制(NetworkAccess Control, NAC)系统一起使用,以检查设备的运行状况,
并根据NAC系统中配置的要求授予或限制访问权限。
(2)802.lx是用于设备验证的另一种方法。
它可用于某些路由器和交换机上基于端口的身份验证。
此外,它通常与无线系统一起使用,强制用户在被授予网络访问权限之前使用账户登录。
最近,一些802.lx解决方案已通过MDM和/或NAC解决方案实施,以控制来自移动设备的访问。
如果设备或用户无法通过802.lx系统进行身份验证,则不会授予他们访问网络的权限。
13.2.9 服务身份验证
许多服务也需要身份验证,并且通常使用用户名和密码。服务账户只是为服务而不是为人创建的。
例如,为在Microsoft Exchange Server中监视电子邮件的第三方工具创建服务账户是很常见的。
这些第三方工具通常需要具有扫描所有邮箱的权限,以查找垃圾邮件、恶意软件、潜在的数据泄露尝试等。
管理员通常会创建一个Microsoft域账户,并为该账户提供执行任务所需的权限。
设置账户的属性使密码永不过期是很常见的。
对于普通用户,你可将最长有效期限设置为45天。
当密码到期时,将通知用户强制修改改密码。
但服务无法响应此类消息,因而服务账户密码到期只会被锁定。
由于服务账户具有较高级别的权限,因此配置了高强度的复杂密码,而且该密码会比常规用户更频繁地更改。
管理员需要手动更改这些密码。密码的有效期越长,被泄露的可能性就越大。
另一个选项是将账户配置为非交互式,这可防止用户使用传统登录方法登录账户。
可将服务配置为使用基于证书的身份验证。
证书将颁发给运行服务的设备,并在访问资源时由服务提供。
基于Web的服务通常使用应用编程接口(API)方法在系统之间交换信息。
这些API方法因基于Web的服务而异。
例如,谷歌和Facebook提供Web开发人员使用的基于Web的服务,但他们的实现是不同的。
13.3 实施身份管理
身份管理技术通常分为两类:集中式和分散式/分布式。
•集中访问控制 意味着所有授权验证都由系统内的单个实体执行。
•分散式访问控制(也称为分布式访问控制)意味着位于整个系统中的各种实体执行授权验证。
集中式和分散式访问控制方法的优点和缺点:
(1)集中式访问控制:
小团队或个人可管理集中访问控制。
管理开销较低,因为所有更改都在单个位置进行,而单个更改会影响整个系统。
(2)分散式访问控制
分散式访问控制通常需要多个团队或多个人。
管理开销较高,因为必须在多个位置实施更改。
随着访问控制点数量的增加,保持系统一致性变得更困难。
需要在每个接入点重复对任何单个访问控制点所做的更改。
13.3.1 单点登录(Single Sign-on, SSO)
单点登录是一种集中式访问控制技术,允许主体在系统上进行一次身份验证,
并且不需要再次进行身份验证即可访问多个资源。
例如,用户可在网络上进行一次身份验证,然后在整个网络中访问资源,而不会再次提示进行身份验证。
SSO对用户来说非常方便,但也提升了安全性。
当用户必须记住多个用户名和密码时,他们往往会把它们写下来,最终会削弱安全性。
用户不太可能写下单个密码。SSO还通过减少主体所需的账户数量来简化管理。
SSO的主要缺点:
一旦账户遭到入侵,攻击者就可以获得对所有授权资源的无限制访问权限。
但大多数SSO系统都包含保护用户凭据的方法。
下面讨论几种常见的SSO机制。
1. LDAP和集中访问控制
在单个组织内,经常使用集中式访问控制系统。
例如,目录服务是一个集中式数据库,其中包含有关主体和客体的信息。
许多目录服务都基于轻量级目录访问协议(Lightweight Directory Access Protocol, LDAP)。
例如,微软活动目录域服务是基于LDAP的。
你可将LDAP目录视为网络服务和资产的电话号码簿。
用户、客户端和进程可搜索目录服务以查找所需的位置系统或资源驻留。
在执行查询和查找活动前,主体必须对目录服务进行身份验证。
即使在身份验证后,目录服务也会根据该主体分配的权限仅向主体显示某些信息。
多个域和信任通常用于访问控制系统。
安全域是共享公共安全策略的主体和客体的集合,并且各个域可与其他域分开操作。
在域之间建立信任以创建安全的桥梁并允许来自一个域的用户访问另一个域中的资源。
信任可以是单向的,也可以是双向的。
2. LDAP和PKI
公钥基础设施(Public-Key Infrastructure, PKI)在将数字证书集成到传输中时使用LDAP。
PKI是一组用于在证书生命周期中管理数字证书的技术。
客户端需要查询发证机构(CA) 以获取有关证书的信息,并且LDAP是使用的协议之一。
LDAP和集中式访问控制系统可用于支持单点登录功能。
3. Kerberos
票据认证是一种利用第三方实体来证明身份并提供身份验证的机制。
最常见和众所周知的票据系统是Kerberos。
Kerberos为用户提供单点登录解决方案并为登录凭据提供保护。
当前版本Kerberos 5依赖于使用高级加密标准(AES)对称加密协议的对称密钥加密(也称为秘密密钥加密)。
Kerberos使用端到端安全性为身份验证流量提供保密性和完整性,并有助于防止窃听和重放攻击。
它使用了几个非常重要的元素:
•密钥分发中心(KDC)
密钥分发中心(KDC)是提供身份验证服务的可信第三方。
Kerberos使用对称密钥加密来验证客户端到服务器。
所有客户端和服务器都在KDC中注册,并为所有网络成员维护密钥。
•Kerberos 身份验证服务器
身份验证服务器托管KDC的功能:票据授予服务(TGS)和身份验证服务(AS)。
但是,可在另一台服务器上托管票据授予服务。
身份验证服务验证或拒绝票据的真实性和及时性。该服务器通常称为KDC。
•票据授予票据(TGT)
票据授予票据(TGT)提供证据证明主体已通过KDC进行身份验证,并有权请求票据以访问其他客体。
TGT是加密的,包括对称密钥、到期时间和用户的IP地址。
在请求访问客体的票据时,主体呈现TGT。
•票据
票据是一种加密消息,提供主体有权访问客体的证据。它有时被称为服务票据(ST)。
主体请求访问客体的票据,如果他们已经过身份验证并且有权访问该对象,Kerberos发给他们一张票。
Kerberos票据具有特定的生命周期和使用参数。
票据到期后,客户必须请求续订或新票据以继续与任何服务器通信。
Kerberos需要一个账户数据库,该数据库通常包含在目录服务中。
它使用客户端、网络服务器和KDC之间的票据交换来证明身份并提供身份验证。
这允许客户端从服务器请求资源,客户端和服务器都保证对方的身份。
这些加密票据还确保永远不会以明文形式传输登录凭据、会话密钥和身份验证消息。
Kerberos 登录过程的工作方式如下:
(1) 用户在客户端输入用户名和密码。
(2) 客户端使用AES加密用户名以传输到KDC。
(3) KDC根据已知凭据的数据库验证用户名。
(4) KDC 生成将由客户端和Kerberos服务器使用的对称密钥。
它使用用户密码的散列对此进行加密。KDC还生成加密的带时间戳的TGT。
(5) 然后,KDC将加密的对称密钥和加密的带时间戳的TGT发送到客户端。
(6) 客户端安装TGT以供使用,直到它过期。客户端还使用用户密码的散列来解密对称密钥。
当客户端想要访问客体(例如网络上托管的资源)时,它必须通过Kerberos服务器请求票据。
此过程涉及以下步骤:
(1) 客户端将其TGT发送回KDC, 并请求访问该资源。
(2) KDC验证TGT是否有效,并检查其访问控制矩阵以验证用户是否具有足够的权限来访问所请求的资源。
(3) KDC生成服务票据并将其发送给客户端。
(4) 客户端将票据发送到托管资源的服务器或服务。
(5) 托管资源的服务器或服务使用KDC验证票据的有效性。
(6) 验证身份和授权后,Kerberos活动即告完成。
然后,服务器或服务主机打开与客户端的会话,并开始通信或数据传输。
Kerberos是一种通用的身份验证机制,可在本地LAN、远程访问和“客户端-服务器”资源请求上运行。
但是,Kerberos存在单点故障——KDC。
如果KDC受到威胁,网络上每个系统的密钥也会受到损害。
此外,如果KDC脱机,则无法进行主体身份验证。
它还具有严格的时间要求,默认配置要求所有系统在五分钟内进行时间同步。
如果系统未同步或时间已更改,则先前发布的TGT将不再有效,系统将无法接收任何新票据。
实际上,将拒绝客户端访问任何受保护的网络资源。
4. 联合身份管理和SSO
SSO在内部网络中很常见,它也在互联网上使用。
许多基于云的应用程序使用SSO解决方案,使用户可更轻松地通过Internet访问资源。
许多基于云的应用程序使用联合身份管理(Federated Identity Management, FIM) ,这是一种SSO形式。
身份管理 是用户身份及其凭据的管理。
FIM将其扩展到单一组织之外。
多个组织可加入联盟或组,在这些组织中,他们就共享身份的方法达成一致。
每个组织中的用户可在自己的组织中登录一次,并且凭据与联合身份匹配。
然后,他们可使用此联合身份访问组内任何其他组织中的资源。
联盟可由单个大学校园内的多个不相关的网络、多个大学和大学校园、
多个组织共享资源或其他任何可就共同的联合身份管理系统达成一致的组织组成。
联盟成员将组织内的用户身份与联合身份进行匹配。
例如,许多公司在线培训网站使用联合SSO系统。
当组织与在线培训公司协调员工访问时,他们还协调联合访问所需的详细信息。
常用方法是将用户的内部登录ID与联合身份进行匹配。
用户在组织内登录使用正常的登录ID。
当用户使用Web浏览器访问培训网站时,
联合身份管理系统使用其登录ID来检索匹配的联合身份,如果匹配则授权用户访问网页。
管理员在后台管理这些细节,该过程通常对用户透明。用户不必再次输入凭据。
多个公司在联合身份管理中进行沟通的挑战是寻找共同语言。
它们通常具有不同的操作系统,但它们仍然需要共享共同语言。
为解决这一挑战,联合身份系统通常使用:
安全断言标记语言(Security Assertion Markup Language, SAML)和
服务配置标记语言(Service Provisioning Markup Language, SPML)。
以下是一些标记语言的简短描述。
•超文本标记语言(HTML)
超文本标记语言通常用于显示静态网页。
HTML源自标准通用标记语言(SGML)和通用标记语言(GML)。
HTML描述了如何使用标签来显示数据以操纵文本的大小和颜色。
例如,以下Hl标签将文本显示为一级标题:<H1>我通过了CISSP考试</H1> 。
•可扩展标记语言(XML)
可扩展标记语言不仅描述如何通过实际描述数据来显示数据,还可包含用于描述数据的标记。
例如,以下标记将数据标识为参加考试的结果:<ExamResults>Passed</ExamResults>。
来自多个供应商的数据库可将数据导入和导出为XML格式,使XML成为用于交换信息的通用语言。
已创建了许多特定的模式,以便公司确切地知道用于特定目的的标签。
这些模式中的每一个都有效创建了一种新的XML语言。
此处列出一些用于联合身份的常用语言。
•安全断言标记语言(SAML)
安全断言标记语言是一种基于XML的语言,通常用于在联合组织之间交换身份验证和授权(AA)信息。
它通常用于为浏览器访问提供SSO功能。
•服务配置标记语言(SPML)
服务配置标记语言是由OASIS开发的一种新框架, OASIS是一个鼓励开放标准开发的非营利性联盟。
它基于XML, 专门用来交换用于联合身份SSO目的的用户信息。
它基于目录服务标记语言(DSML),它可采用XML格式显示基于LDAP的目录服务信息。
•可扩展访问控制标记语言(Extensible Access Control Markup Language, XACML)
可扩展访问控制标记语言是由OASIS开发的标准,用于定义XML格式的访问控制策略。
它通常将策略实现为基于属性的访问控制系统但也可以使用基于角色的访问控制。
它有助于向联盟中的所有成员提供保证,即他们授予对不同角色的相同级别的访问权限。
•OAuth 2.0(开放式身份验证2.0)
OAuth是一种用于访问委派的开放标准。
例如,假设你有一个Twitter账户。然后,你下载一个名为Acme的应用程序,可以与你Twitter账户进行交互。
当你尝试使用此功能时,它会将你重定向到Twitter, 如果你尚未登录,则会提示你登录推特。
然后,Twitter会询问你是否要授权该应用并告诉你授予的权限。
如果你批准, Acme应用程序可访问你的Twitter账户。
主要好处是你永远不会将Twitter凭据提供给Acme应用程序。
即使Acme应用程序遭受重大数据泄露暴露其所有数据,它也不会暴露你的凭据。
许多在线网站都支持OAuth2.0, 但不支持OAuth1.0。
OAuth2.0与OAuth1.0不向后兼容。RFC6749文档是关于OAuth2.0的。
•OpenlD
OpenID也是一个开放标准,但它由OpenID基金会维护,而不是作为RFC标准维护。
它提供分散式身份验证,允许用户使用山第三方服务(称为OpenID提供程序)维护的一组凭据登录多个不相关的网站。
当用户转到启用OpenID的网站(也称为依赖方)时,系统会提示他们将OpenID标识作为统一资源定位符(URL)提供。
这两个站点交换数据并建立安全通道。
然后,用户被重定向到OpenID 提供程序,并被提示提供密码。
如果正确,则将用户正定向到启用OpenID 的站点。
•OpenlD连接
OpenID连接是使用OAuth 2.0框架的身份验证层。
与OpenID一样,它由OpenID基金会维护。
它建立在使用OpenID创建的技术的基础上,但使用JSON Web Token(JWT),也称为ID令牌。
OpenID连接使用符合REST的Web服务来检索JWT。
除了提供身份验证之外,JWT还可提供有关用户的配置文件信息。
5. 脚本访问
脚本访问或登录脚本通过提供在登录会话开始时传输登录凭据的自动过程来建立通信链接。
即使环境仍需要唯一的身份验证过程来连接到每个服务器或资源,脚本访问通常也可以模拟SSO。
脚本可用于在没有真正SSO技术的环境中实施SSO。
脚本和批处理文件应存储在受保护的区域中,因为它们通常包含明文的访问凭据。
13.3.2 凭据管理系统
凭据管理系统为用户提供存储空间,以便在SSO不可用时保留其凭据。
用户可存储需要不同凭据集的网站和网络资源的凭据。
管理系统通过加密来保护凭据,以防止未经授权的访问。
例如,Windows系统包括凭据管理器。
用户将凭据输入凭据管理器,必要时,操作系统将检索用户的凭据并自动提交。
将此用于网站时,用户输URL、用户名和密码。
稍后,当用户访问网站时,凭据管理器会自动识别URL并提供凭据。
也可使用第三方凭据管理系统。
例如,KeePass是一个免费软件工具,允许你存储你的凭据。
凭据存储在加密数据库中,用户可使用主密码解锁数据库。
解锁后,用户可轻松复制其密码以粘贴到网站表单中。
它也可配置应用程序以自动将凭据输入网页表单中。
当然,使用健壮的主密码来保护所有其他凭据非常重要。
13.3.3 集成身份服务
身份服务提供了额外的身份识别和身份验证工具。
某些工具专为基于云的应用程序而设计,而其他工具则是为组织内部(本地)使用而设计的第三方身份服务。
身份即服务(Identity as a Service, IDaaS)
IDaas是提供身份和访问管理的第三方服务,IDaaS有效地为云提供SSO。
在内部客户端访问基于云的软件即服务(Software as a Service, SaaS)应用程序时尤其有用。
Google以“Google所有内容使用一个Google账户”为口号实现了这一目标。
用户只需要登录一次Google账户即可访问多个基于云的Google应用程序,而不要求用户再次登录。
另一个例子是,Office 365将Office应用程序作为巳安装应用程序和SaaS应用程序的组合提供。
用户在其用户系统上安装了完整的Office应用程序,这些应用程序还可使用OneDrive连接到云存储。
这允许用户编辑和共享来自多个设备的文件。
当人们在家中使用Office 365时,Microsoft提供IDaaS, 允许用户通过云进行身份验证来访问OneDrive上的数据。
当员工从企业内部使用Office 365时,管理员可将网络与第三方服务集成。
例如,Centrify提供与微软活动目录集成的第三方IDaaS服务。
配置完成后,用户将登录到域,然后不必再次登录即可访问Office 365云资源。
13.3.4 管理会话
屏幕保护程序通过显示随机图案或不同图片或简单地消隐屏幕来改变计算机未使用时的显示效果。
屏幕保护程序有一个可启用的密码保护功能。
此功能显示登录屏幕,并强制用户在退出屏幕保护前再次进行身份验证。
屏幕保护程序可配置时间范围(以分钟为单位)。
它们通常设定在10到20分钟之间。如果将其设置为10分钟,则会在10分钟后激活。
这要求用户在系统空闲10分钟或更长时间后再次登录。
安全的在线会话通常也会在一段时间后终止。
例如,如果你与银行建立安全会话但不与会话进行交互,10分钟后应用程序会将你注销。
某些情况下,应用程序会向你发出通知,告知你很快将注销。
这些通知通常让你有机会在页面中执行单击操作以保持登录状态。
如果开发人员不实现这些自动注销功能,则允许用户的浏览器会话在用户登录时保持打开状态。
即使用户在未注销的悄况下关闭浏览器选项卡,也可能会使浏览器会话保持打开状态。
如果其他人访问浏览器,会使用户的账户遭受攻击。
13.3.5 AAA协议(Authentication, Authorization and Accounting)
有几种协议提供身份验证、授权和问责,称为AAA协议。
它们通过远程访问系统(如VPN和其他类型的网络访问服务器)提供集中访问控制。
它们有助于保护内部局域网身份验证系统和其他服务器免受远程攻击。
使用单独的系统进行远程访问时,对系统的成功攻击只会影响远程访问用户。
换句话说,攻击者无法访问内部账户。
移动IP为使用智能手机的移动用户提供访问权限时也使用AAA协议。
这些AAA协议使用本章前面所述的身份识别、身份验证、授权和问责等访问控制元素。
它们确保用户具有有效凭据以进行身份验证,并确认用户是否有权基于已证明的身份连按到远程访问服务器。
此外,问责元素可跟踪用户的网络资源使用情况,这可以用于计费目的。
常见的AAA协议:
1. RADIUS
远程身份验证拨入用户服务(RADIUS)集中了远程连接的身份验证。
它通常在组织具有多个网络访问服务器(或远程访问服务器)时使用。
用户可连接到任何网络访问服务器,然后,它将用户的凭据传递给RADIUS服务器,以验证身份、授权以及问责。
在此上下文中,网络访问服务器是RADIUS客户端, RADIUS服务器充当身份验证服务器。
RADIUS服务器还为多个远程访问服务器提供AAA服务。
许多互联网服务提供商(ISP)使用RADIUS进行身份验证。
用户可从任何地方访问ISP, 然后ISP服务器将用户的连接请求转发给RADIUS服务器。
组织也可以使用RADIUS, 组织通常使用基于位置的安全性来实现它。
例如,如果用户使用IP地址连接,则系统可使用地理定位技术来识别用户的位置。
虽然现在不常见,但一些用户仍然拥有综合业务数字网(ISDN)线路并使用它们连接到VPN。
RADIUS服务器可以使用回调安全性来获得额外的保护层。
用户呼入,在身份验证后,RADIUS服务器终止连接并启动回拨到用户预定义电话号码的呼叫。
如果用户的身份验证凭据受到威胁,则回调安全性会阻止攻击者使用它们。
RADIUS使用用户数据报协议(UDP)并仅对密码的交换进行加密。
它不会加密整个会话,但可使用其他协议来加密数据会话。当前版本在RFC2865中定义
2. TACACS+
终端访问控制器访问控制系统(TACACS)是RADIUS的替代方案。
思科后来又引入了扩展TACACS(XTACACS)作为专有协议。
但是,TACACS和XTACACS目前并不常用。
TACACS扩展(TACACS+)后来成为一个公开记录协议,它是三者中最常用的协议。
TACACS+对早期版本和RADIUS提供了一些改进。
它将身份验证、授权和问责分离为单独的进程,如有必要,可将这些进程托管在三个单独的服务器上。
其他版本组合了这些过程中的两个或三个。
此外,TACACS+加密所有身份验证信息,而不是像RADIUS 那样仅加密密码。
TACACS和XTACACS使用UDP端口49, 而TACACS+使用传输控制协议(TCP)端口49,
为数据包传输提供更高级别的可靠性。
3. Diameter
在RADTIJS和TACACS+成功的基础上,开发了名为Diameter的增强版RADIUS。
它支持多种协议,包括传统IP、移动IP和VoIP。
因为它支持额外的命令,所以它是在需要漫游支持的情况下变得流行,例如无线设备和智能手机。
Diameter是RADTIJS的升级版,但它不向后兼容RADTIJS。
Diameter使用TCP端口3868或流控制传输协议(Stream Control Transmission Protocol, SCTP)端口3868,
提供比RADIUS使用的UDP更好的可靠性。
它还支持用于加密的互联网协议安全(IPsec)和传输层安全(TLS)。
13.4 管理身份和访问配置生命周期
身份和访问配置生命周期是指账户的创建、管理和删除。
尽管这些活动看似平凡,但它们对于系统的访问控制功能至关重要。
如果没有正确定义和维护用户账户,系统将无法建立准确的身份,也无法执行身份验证、提供授权或跟踪问责。
如前所述,当主体声明身份时,就会发生身份识别。
此标识通常是用户账户,但还包括计算机账户和服务账户。
访问控制管理是在账户生命周期中,管理账户、访问和问责所涉及的任务和职责的集合。
这些任务包含在身份和访问配置生命周期的三个主要职责中:配置、账户审核和账户撤消。
13.4.1 访问配置
最初创建新用户账户通常称为登记或注册。
注册过程会创建新标识并确定系统执行身份验证所需的因素。
注册过程必须完全准确地完成。
证明所登记的个人的身份的方式:
照片ID、出生证明、背景检查、信用检查、安全许可验证、FBI数据库搜索甚至通话记录都是身份登记前验证身份的有效形式。
许多组织都有自动配置系统。
例如,一旦雇用了人员,人力资源部门就会完成初始识别和处理中的步骤,然后将请求转发给IT部门以创建账户。
IT部门内的用户通过应用程序输入员工姓名及其所属部门等信息。
然后,应用程序使用预定义规则创建账户。
自动配置系统始终如一地创建账户,例如始终以相同的方式创建用户名并处理重复的用户名。
例如:john,john1,john2…
如果组织正在使用组或角色,则应用程序可根据用户的部门或工作职责自动将新用户账户添加到相应的组。
这些组已分配了适当权限,因此此步骤为账户配置了适当权限。
作为招聘流程的一部分,新员工应接受有关组织安全策略和程序的培训。
在招聘完成前,员工通常需要审查并签署一份承诺维护组织安全标准的协议。
这通常包括可接受的使用策略。
用户账户在整个生命周期中都需要持续维护。
与具有灵活或动态组织层次结构以及高员工流动率和晋升率的组织相比,
具有静态组织层次结构和低员工流动率或晋升率的组织所执行的账户管理要少得多。
大多数账户维护涉及更改权限和特权。
应建立与创建新账户时使用的程序类似的程序,以管理在用户账户的整个生命周期中的权限更改。
未经授权增加或减少账户的访问权限可能导致严重的安全后果。
13.4.2 账户审核
应定期审核账户,以确保正在执行安全策略。
这包括确保禁用非活动账户并且员工没有过多权限。
许多管理员使用脚本定期检查非活动账户。
例如,脚本可找到在过去30天内未登录的账户,并自动禁用它们。
同样,脚本可检查特权组(例如管理员组)的成员身份并删除未经授权的账户。
账户审核通常在审核程序中正式确定。
防范与访问控制相关的两个问题非常重要:过度权限和蠕变权限(creeping privileges)。
过度权限:用户拥有比完成所需工作更多的权限
如果发现用户账户具有过度权限,则应立即撤消不必要的权限。
蠕变权限:用户账户随着工作角色和分工的更改而累积权限。
这两种情况都违反了最小特权的基本安全原则。
最小特权原则:确保主体仅被授予执行其工作任务和工作职能所需的权限。
账户审核可有效发现这些问题。
13.4.3 账户撤消
当员工出于任何原因离开组织时,务必尽快停用其账户。这包括员工请假的时间。
人力资源人员应该有能力执行此任务,因为他们知道员工何时因何种原因离开。
例如,人力资源人员知道员工何时即将离职,他们可在员工离职面谈期间禁用该账户。
如果被解雇的员工在离职面谈后仍保留对用户账户的访问权限,则产生破坏的风险非常高。
即使员工不采取恶意行动,其他员工也可能在发现密码时使用该账户。
日志会记录已解雇员工的行为,而不是实际采取行动的人员。
对于可能还需要的账户(例如访问加密数据的账户),不应立即删除。
当确定不再需要该账户时,再将其删除。
账户通常会在被禁用后30天内删除,但可能因组织需求而异。
许多系统都能为任何账户设置特定的到期日期。
这些对于临时或短期员工非常有用,并在到期日自动禁用账户,
例如工期30天的临时工在30天后账户会自动禁用。
这保持了一定程度的控制,不需要进行持续的行政监督。
第13章 管理身份和身份验证相关推荐
- PMP学习笔记 第13章 项目相关方管理
第13章 项目相关方管理 项目相关方管理的核心概念(P504) 相关方:会受项目的积极或消极影响,或者能对项目施加积极或消极的影响的任何人. 在老版本里面,相关方称为:干系人 强调结构化方法对识别所有 ...
- 高红梅:第三章 海明威社会身份的定位 第一节 文学梦与作家身份的认同
第三章 海明威社会身份的定位 海明威一生都在世界各地旅行,其足迹遍及欧洲.非洲.美洲和亚洲,有世界公民的美誉.正如学者卡洛斯·贝克(Baker ,Carlos)所言,"早在他五十五岁荣获诺 ...
- 高红梅:第四章 海明威文化身份的求索 第一节 斗牛与原始力量及原始文化的认同
第四章 海明威文化身份的求索 如果说二十年代,海明威顺应美国青年作家流放欧洲的大潮,那么海明威终其一生都一直走在自我流放的路上.在这个过程中,海明威不仅探索了他的个人身份.社会身份,而且在与其他民族 ...
- (PMP)第13章-----项目相关方管理
13.1 识别相关方 1 相关方分类的方法: 1.1 权力/利益方格,权力/影响方格,影响/作用方格(小型项目,关系简单) 权力:基于相关方的职权级别: 利益:对项目成果的关心程度 影响:对项目成果的 ...
- servlet3.1规范翻译:第13章 安全
servlet3.1规范翻译:第13章 安全 2013-02-21 16:55 1563人阅读 评论(0) 收藏 举报 分类: servlet3.1规范翻译(17) 目录(?)[+] 第13章 安 ...
- Linux就这个范儿 第13章 打通任督二脉
Linux就这个范儿 第13章 打通任督二脉 0111010110--你有没有想过,数据从看得见或看不见的线缆上飞来飞去,是怎么实现的呢?数据传输业务的未来又在哪里?在前面两章中我们学习了Linux网 ...
- 【第13章】网络安全漏洞防护技术原理与应用(信息安全工程师 )-- 软考笔记
第13章 网络安全漏洞防护技术原理与应用 13.1 网络安全漏洞概述 13.1.1 网络安全漏洞概念 网络安全漏洞又称为脆弱性,简称漏洞.漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称 ...
- Squid第13章 日志文件
原贴: 第13章 日志文件 13.1 cache.log 13.1.1 debug级别 13.1.2 转发cache.log消息到系统日志 13.1.3 dump cache.log消息到终端 13. ...
- PMP读书笔记(第13章)
大家好,我是烤鸭: 今天做一个PMP的读书笔记. 第十三章 项目相关方管理 项目相关方管理 项目相关方管理的核心概念 项目相关方管理的趋势和新兴实践 裁剪考虑因素 在敏捷或适应型环境中需要考虑 ...
最新文章
- python字典一键多值_Python实现字典一个键对应多个值
- 一块钱哪里去了?--java浮点型背后的故事
- 去除字符串中的小数点
- 安全地创建和存储密码
- 服务器防火墙,linux下iptables防火墙配置相关
- linux的shell脚本接收参数
- 大学物理复习笔记——电磁感应定律
- 如何对Pandas DataFrame进行自定义排序
- 值得推荐的几款卸载软件工具
- 关于explain plan的使用!
- 觉醒:游戏迷学了计算机
- linux 杂项设备,浅谈 MISC杂项设备
- 实现一个脚本引擎(燕良译)- -
- 如何用大数据软件确定 数码电子店铺选址
- Arrays.sort() 实现降序排列 Comparator接口实现的坑
- 基于Python实现的电梯进程及调度管理
- 37 岁接触 Python,3 年搭建 Python 金融“金字塔”
- 正正电商源码--正正广告电商系统开发源码分享
- 有没有html代码听力的软件吗,英语听力软件哪个好?2017英语听力软件排行榜
- [深度学习] CCPD车牌数据集介绍