CBK2 访问控制
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
l 请求机构 Requesting Authority - 请求创建/修改账号的实体 l 供应服务提供者Provisioning Service Provider - 响应账号请求的软件 l 供应服务目标Provisioning Service Target- 在请求系统上执行配置活动的实体
SPML
l 访问控制政策语言 l 以标准化方式解释和执行政策的处理模型
Ø使用主体单元(请求实体)、资源单元(被请求实体)和行动单元(访问类 型)
n OASIS开发和维护标准化语言
Ø结构化信息标准促进组织 ØOrg for the Advancement of Structured Information Standards
IdM管理技术
IdM管理技术 n Web访问管理 - WAM
ØWeb Access Mgmt Ø用于控制用户在使用Web浏览器与基于Web的企业资产进 行交互式能够访问哪些内容 ØWAM软件是用户与基于Web的企业资源的主要网关
l Web服务器插件、前端进程 l 查询目录、身份验证服务器和后端数据库 l WAM控制台 - 管理员配置访问级别、身份验证要求、账户设置流程,执行 总体维护 l 跟踪用户的身份状态和安全上下文 - Web服务器/HTTP协议无状态 l cookie以文本的形式存储在用户硬盘/内存 l 电子商务、网上银行、内容提供、Web服务持续增长
n 身份标识组件要求
身份管理 Identity Management
n IdM - Identity Mgmt
Ø内容广泛的术语,包含不同的技术和过程 - AAA Ø使用不同产品对用户进行自动化的身份标识、身份验证和授权
l 用户账号管理、访问控制、密码管理、单点登录功能、管理用户账户的权限和特权、 设计和监控上述所有项目 l 管理唯一标识的实体 - 特征、凭证和资格 l 数字身份的生命周期 - 创建、维护、终止 l 满足业务需求以及面向内部系统和外部系统的标准
CBK2 访问控制
主要内容
n 身份标识方法和技术 n 身份验证方法、模型和技术 n 自主访问控制、强制访问控制和非自主访问控制 n 可问责性、监控和审计实践 n 发射安全和技术 n 入侵检测系统 n 访问控制实践和技术中可能遇到的安全问题
2.1 访问控制概述
n 一种安全手段
Ø控制用户和系统如何与其他系统和资源进行通信和交互 Ø保护系统和资源免受未授权访问,并在身份验证成功后确定授权访问 等级 Ø主体 - 主动的实体;用户、程序或进程 Ø客体 - 包含被访问信息或所需功能的被动实体;计算机、数据库、文 件、程序、目录等
目录
n 用标准、自动化方式给事物命名并控制对其访问 n 层次化数据结构 n X.500标准 / LDAP协议 - 名称空间
ØDistinguishedName - DN ØCommon Name - cn ØDomain Component - dc
n 目录内的客体由目录服务管理
Ø管理员配置和管理如何在网络中进行身份标识、身份验证、授权和访 问控制 Ø目录内客体通过名称空间标记和标识
n 授权
Ø系统验证过用户身份,需要确定主体是否具有执行请求的权限 Ø查看访问控制矩阵、安全标签
n 竞态条件
Ø进程按错误的顺序对某个共享资源执行任务,两个或多个进程使用一 个共享资源时,就可能造成竞态条件 Ø授权在身份验证步骤之前完成,及可造成未授权访问
身边标识、身份验证、授权与可问责性
n 可问责性
l HTML源于SGML,SGML源于GML
n SPML - service provisioning
l 用户管理(创建、修改和删除账户)
Ø服务供应标记语言, 允许驻留在一个组织或多个组织上的应用程序之间交换供 应数据
l 多系统上有关电子出版服务的访问权利配置自动化
Ø三个组件 - RA, PSP, PST
SAML
n Security Assertion Markup Language
Ø允许在安全域之间交换身份验证和授权数据 Ø提供身份验证信息给联合身份管理系统,从而进行B2B,B2C交易
n SAML数据通过不同协议传输
ØSOAP - 简单对象访问协议
l 一个规范,规定如何以结构化方式交换与Web服务器有关的信息
n 完整性 n 机密性
Ø信息必须准确,完整,并且不会受未授权更改 Ø保证信息不会泄露给未授权的个人、程序和进程 Ø加密、逻辑性和物理性访问控制、传输协议、数据库视图、流量控制等
2.3 身边标识、身份验证、授权与可问责性
n 身份标识和身份验证
Ø描述一种能够确保主体就是其所声明实体的方法 Ø用户名+密码,或其他凭证
变更传播 自助式工作流程 统一化用户管理 委托式用户管理 联合变更控制
身份管理技术
n 构建目录 - 保存用户和资源信息
Ø元数据目录 - 从网络内不同位置提取身份信息,从而允许身份管理过 程从该目录获得完整任务所需的数据
n 用户管理工具 - 在用户身份整个生命周期中对其 进行自动控制并提供指配 n 密码管理工具 - 放置由于用户遗忘密码而造成生 产力下降 n 单点登录 - 内部用户在访问企业资源时只需要一 次身份验证 n Web 访问管理 - 为外部用户提供单点登录服务, 并控制对Web资源的访问
Ø目录或元数据将负责集中上述所有信息
身份管理技术
n 联合身份
Ø一种编写身份以及与之相关联的权利,可在整个业务范围内使用 Ø允许用户通过多个IT系统和企业的身份验证 Ø在两个或多个地点链接一名用户的特定身份为基础
l 不需要同步或合并目录信息
Ø可使公司和客户能够更加方便地访问分布式资源 Ø电子商务的关键组件
n 自助式密码重置
Ø注册过程预存问答、其他身份证明
n 辅助式密码重置
Ø服务台在重设密码前打电话对用户进行身份验证 Ø降低呼叫成本,确保以统一、连贯和安全的方式处理呼叫
密码管理技术
n SSO单点登录技术
Ø只需一次身份验证 ØSSO截获来自系统和应用程序的请求,替代用户响应
l 不同于密码同步的机制 l 相同的脆弱性 - 黑客获得所有可访问资源
Ø组织可提供面向服务体系结构SOA
l Service Oriented Architecture l 以连贯方式提供在不同业务领域内不同系统上的独立服务
HTTP 头
HTTP主体
SOAP头
SOAP主体
SAML请求或响应
身份管理技术
n 可扩展访问控制标记语言XACML
Ø向Web服务器和其他企业APP提供资产安全策略和访问权限
ØWAM提供单点登录功能
2.3.2 密码管理
n 安全和自动化方法,协助IT人员和服务台 n 密码同步
Ø降低保留不同系统不同密码的复杂性
n 自助式密码重置
Ø允许用户重新设定密码,减少服务台请求
n 辅助式密码重置
Ø使用其他类型身份验证机制,减少服务台请求
密码管理技术
n 密码同步
Ø允许用户只需要为多个系统唯一个密码,密码可更复杂,且定期修改 Ø产品同步其他系统和应用程序的密码,同步过程对用户透明 Ø黑客获得密码将获得全部可访问资源权限
n 访问是在主体和客体之间进行的信息流动
n 涵盖对计算机系统、网络和信息资源进行访问控 制的不同机制
Ø第一道防线 Ø给予组织机构控制、限制、监控及保护资源安全CIA的能力
2.2 安全原则
n 三个安全原则 AIC
Ø可用性 Ø完整性 Ø机密性
n 可用性
Ø信息、系统和资源必须在时间上保证用户使用,不影响其工作效率 Ø采用容错和恢复机制保证资源可用性的持续性
l l l l
ØIdM用元目录或虚拟目录整合访问
l 元目录 - 从不同来源收集必要信息,并保存在一个中央目录中,定期同步;统一的 身份视图 l 虚拟目录 - 目录中没有数据,而是指向驻留实际数据的位置
用户属性信息 - 人力资源数据库 身份验证信息 - Keberos服务器 角色和组织标识信息 - SQL数据库 面向资源的验证信息 - 域控制器/AD
Ø目录服务管理目录中的条目和数据,并通过执行访问控制和身份管理功 能来实施已配置的安全策略
X.500标准的数据库目录
n 目录采用树结构,使用父-子配置组织条目 n 每个条目都具有由某个特定客体的属性组成的唯 一名字 n 目录中所使用的属性由预定义模式规定
Ø预定义模式描述了目录结构和目录内可以使用的名称以及其他内容
n 唯一标识符为可区分名
IdM管理技术
n 目录管理技术
Ø无法管理许多遗留设备和应用程序,需单独配置和管理
l 须由它们继承的管理软件来管理
n IdM中的目录角色
Ø一种为读取和搜索操作而优化的专用数据库软件,IdM的主要部件 Ø存储了所有资源信息、用户属性、授权资料、角色、潜在的访问控制 Ø存储在身份管理目录中的许多信息分散在整个企业中(身份存储库)
ØIdM的目的在于简化身份、身份验证、授权管理,以及对多系统内主 体的审计
l 传统的身份管理 - 使用具有权限、访问控制列表ACL和配置文件的目录服务手工进 行
访问控制概念
n 身份标识Identification
Ø提供身份标识信息的主体 Ø用户名、用户ID、账号
n 身份验证Authentication
Ø网络访问控制NAC技术
n MAC三个概念
Ø介质访问控制- 第二层DLL子层 - Media Access Control Ø强制访问控制 - Mandatory Access Control Ø消息认证码 - Message Authentication Code Ø每个值都是唯一的,便于用户问责 Ø应遵循标准的命名方案 Ø身份标识不得描述用户职位或任务 Ø身份标志值不得在用户之间共享
Ø主体被唯一标识,并且记录主体行为
n 逻辑访问控制
Ø用于身份标识、身份验证、授权与可问责性的技术工具 Ø实施针对系统、程序、进程和信息的访问控制措施的软件组件
l 可嵌入操作系统、应用程序、附加安全包、通信管理系统内
Ø身份验证2步骤 - 身份标识和身份验证
l 输入公共信息 - 用户名、雇员号、账号或部门ID l 输入私有信息 - 静态密码,智能令牌,感知密码,一次性密码、PIN或数字签名
Ø瓶颈和单点故障
l 冗余
Ø实现成本昂贵
账户管理
n 账户管理
Ø创建、维护和删除账户
l 集中账户管理,确保离职员工账号处于停用状态
Ø账户管理最好通过工作流程方式 Ø账户管理解决方案 - 自动化的工作流程组件
l 用户申请,管理者批准,创建账号,问责
n 指配provisioning
l l l l l
Ø为响应业务过程而创建、维护和删除存于一个或多个系统、目录或应 用程序中的用户对象与属性
身份管理技术
n 门户网站Web Portal
Ø以统一方式呈现来自不同源头的信息 Ø外观和感觉统一,功能多样的连贯界面 Ø由Portlet组成 - 可拔插用户接口软件组件,负责收集来自其他系统的 信息 Ø用户身份验证信息的处理
身份管理技术
n 访问控制和标记语言
Ø标记语言是构造文本及其查看方式的一种方法,决定文本的视图方式和使用 方式 ØXML - 通用的基础性标准语言,为其他独立的标记语言提供结构和互操作性
Ø验证身份标识信息 Ø密码短语、PIN值、生物测定学、一次性密码、密码
n 授权Authorisation
Ø使用一个准则来确定主体能对客体进行的操作
n 可问责性Accountaility
Ø跟踪主体对客体所执行活动的审计日志和监控
身份管理解决方案
n 相关技术
Ø目录 ØWeb访问管理 Ø密码管理 Ø遗留单点登录 Ø账户管理 Ø配置文件更新
身份管理系统组件
身份管理技术
n 用户资料更新
Ø集中管理用户资料
l 与用户相关的电子邮件、家庭住址、电话号码等
Ø用户资料更新技术,允许管理员在必要时以自n 数字身份
Ø用户的属性、权利及特征的合集
l 属性 - 部门、职位、工作时间、许可级别等 l 权利 - 可使用的资源、在公司中的授权权利等 l 特征 - 生物测定学信息、体重、性别等
2.3.1 身份标识 和 身份验证
n 三种因素能用于身份验证
Ø某人知道的内容 Ø某人拥有的物品 Ø某人的特征
n 强身份验证包含上述三种方法的两种 n 创建和发布安全身份 - 3个关键
Ø唯一性 Ø非描述性 - 不标明账户目的 Ø签发 - 由一个权威机构提供,用于证明身份
系统身份验证
n 可根据硬件地址/IP地址对设备进行身份标识、验 证、监视和控制
SPML
l 访问控制政策语言 l 以标准化方式解释和执行政策的处理模型
Ø使用主体单元(请求实体)、资源单元(被请求实体)和行动单元(访问类 型)
n OASIS开发和维护标准化语言
Ø结构化信息标准促进组织 ØOrg for the Advancement of Structured Information Standards
IdM管理技术
IdM管理技术 n Web访问管理 - WAM
ØWeb Access Mgmt Ø用于控制用户在使用Web浏览器与基于Web的企业资产进 行交互式能够访问哪些内容 ØWAM软件是用户与基于Web的企业资源的主要网关
l Web服务器插件、前端进程 l 查询目录、身份验证服务器和后端数据库 l WAM控制台 - 管理员配置访问级别、身份验证要求、账户设置流程,执行 总体维护 l 跟踪用户的身份状态和安全上下文 - Web服务器/HTTP协议无状态 l cookie以文本的形式存储在用户硬盘/内存 l 电子商务、网上银行、内容提供、Web服务持续增长
n 身份标识组件要求
身份管理 Identity Management
n IdM - Identity Mgmt
Ø内容广泛的术语,包含不同的技术和过程 - AAA Ø使用不同产品对用户进行自动化的身份标识、身份验证和授权
l 用户账号管理、访问控制、密码管理、单点登录功能、管理用户账户的权限和特权、 设计和监控上述所有项目 l 管理唯一标识的实体 - 特征、凭证和资格 l 数字身份的生命周期 - 创建、维护、终止 l 满足业务需求以及面向内部系统和外部系统的标准
CBK2 访问控制
主要内容
n 身份标识方法和技术 n 身份验证方法、模型和技术 n 自主访问控制、强制访问控制和非自主访问控制 n 可问责性、监控和审计实践 n 发射安全和技术 n 入侵检测系统 n 访问控制实践和技术中可能遇到的安全问题
2.1 访问控制概述
n 一种安全手段
Ø控制用户和系统如何与其他系统和资源进行通信和交互 Ø保护系统和资源免受未授权访问,并在身份验证成功后确定授权访问 等级 Ø主体 - 主动的实体;用户、程序或进程 Ø客体 - 包含被访问信息或所需功能的被动实体;计算机、数据库、文 件、程序、目录等
目录
n 用标准、自动化方式给事物命名并控制对其访问 n 层次化数据结构 n X.500标准 / LDAP协议 - 名称空间
ØDistinguishedName - DN ØCommon Name - cn ØDomain Component - dc
n 目录内的客体由目录服务管理
Ø管理员配置和管理如何在网络中进行身份标识、身份验证、授权和访 问控制 Ø目录内客体通过名称空间标记和标识
n 授权
Ø系统验证过用户身份,需要确定主体是否具有执行请求的权限 Ø查看访问控制矩阵、安全标签
n 竞态条件
Ø进程按错误的顺序对某个共享资源执行任务,两个或多个进程使用一 个共享资源时,就可能造成竞态条件 Ø授权在身份验证步骤之前完成,及可造成未授权访问
身边标识、身份验证、授权与可问责性
n 可问责性
l HTML源于SGML,SGML源于GML
n SPML - service provisioning
l 用户管理(创建、修改和删除账户)
Ø服务供应标记语言, 允许驻留在一个组织或多个组织上的应用程序之间交换供 应数据
l 多系统上有关电子出版服务的访问权利配置自动化
Ø三个组件 - RA, PSP, PST
SAML
n Security Assertion Markup Language
Ø允许在安全域之间交换身份验证和授权数据 Ø提供身份验证信息给联合身份管理系统,从而进行B2B,B2C交易
n SAML数据通过不同协议传输
ØSOAP - 简单对象访问协议
l 一个规范,规定如何以结构化方式交换与Web服务器有关的信息
n 完整性 n 机密性
Ø信息必须准确,完整,并且不会受未授权更改 Ø保证信息不会泄露给未授权的个人、程序和进程 Ø加密、逻辑性和物理性访问控制、传输协议、数据库视图、流量控制等
2.3 身边标识、身份验证、授权与可问责性
n 身份标识和身份验证
Ø描述一种能够确保主体就是其所声明实体的方法 Ø用户名+密码,或其他凭证
变更传播 自助式工作流程 统一化用户管理 委托式用户管理 联合变更控制
身份管理技术
n 构建目录 - 保存用户和资源信息
Ø元数据目录 - 从网络内不同位置提取身份信息,从而允许身份管理过 程从该目录获得完整任务所需的数据
n 用户管理工具 - 在用户身份整个生命周期中对其 进行自动控制并提供指配 n 密码管理工具 - 放置由于用户遗忘密码而造成生 产力下降 n 单点登录 - 内部用户在访问企业资源时只需要一 次身份验证 n Web 访问管理 - 为外部用户提供单点登录服务, 并控制对Web资源的访问
Ø目录或元数据将负责集中上述所有信息
身份管理技术
n 联合身份
Ø一种编写身份以及与之相关联的权利,可在整个业务范围内使用 Ø允许用户通过多个IT系统和企业的身份验证 Ø在两个或多个地点链接一名用户的特定身份为基础
l 不需要同步或合并目录信息
Ø可使公司和客户能够更加方便地访问分布式资源 Ø电子商务的关键组件
n 自助式密码重置
Ø注册过程预存问答、其他身份证明
n 辅助式密码重置
Ø服务台在重设密码前打电话对用户进行身份验证 Ø降低呼叫成本,确保以统一、连贯和安全的方式处理呼叫
密码管理技术
n SSO单点登录技术
Ø只需一次身份验证 ØSSO截获来自系统和应用程序的请求,替代用户响应
l 不同于密码同步的机制 l 相同的脆弱性 - 黑客获得所有可访问资源
Ø组织可提供面向服务体系结构SOA
l Service Oriented Architecture l 以连贯方式提供在不同业务领域内不同系统上的独立服务
HTTP 头
HTTP主体
SOAP头
SOAP主体
SAML请求或响应
身份管理技术
n 可扩展访问控制标记语言XACML
Ø向Web服务器和其他企业APP提供资产安全策略和访问权限
ØWAM提供单点登录功能
2.3.2 密码管理
n 安全和自动化方法,协助IT人员和服务台 n 密码同步
Ø降低保留不同系统不同密码的复杂性
n 自助式密码重置
Ø允许用户重新设定密码,减少服务台请求
n 辅助式密码重置
Ø使用其他类型身份验证机制,减少服务台请求
密码管理技术
n 密码同步
Ø允许用户只需要为多个系统唯一个密码,密码可更复杂,且定期修改 Ø产品同步其他系统和应用程序的密码,同步过程对用户透明 Ø黑客获得密码将获得全部可访问资源权限
n 访问是在主体和客体之间进行的信息流动
n 涵盖对计算机系统、网络和信息资源进行访问控 制的不同机制
Ø第一道防线 Ø给予组织机构控制、限制、监控及保护资源安全CIA的能力
2.2 安全原则
n 三个安全原则 AIC
Ø可用性 Ø完整性 Ø机密性
n 可用性
Ø信息、系统和资源必须在时间上保证用户使用,不影响其工作效率 Ø采用容错和恢复机制保证资源可用性的持续性
l l l l
ØIdM用元目录或虚拟目录整合访问
l 元目录 - 从不同来源收集必要信息,并保存在一个中央目录中,定期同步;统一的 身份视图 l 虚拟目录 - 目录中没有数据,而是指向驻留实际数据的位置
用户属性信息 - 人力资源数据库 身份验证信息 - Keberos服务器 角色和组织标识信息 - SQL数据库 面向资源的验证信息 - 域控制器/AD
Ø目录服务管理目录中的条目和数据,并通过执行访问控制和身份管理功 能来实施已配置的安全策略
X.500标准的数据库目录
n 目录采用树结构,使用父-子配置组织条目 n 每个条目都具有由某个特定客体的属性组成的唯 一名字 n 目录中所使用的属性由预定义模式规定
Ø预定义模式描述了目录结构和目录内可以使用的名称以及其他内容
n 唯一标识符为可区分名
IdM管理技术
n 目录管理技术
Ø无法管理许多遗留设备和应用程序,需单独配置和管理
l 须由它们继承的管理软件来管理
n IdM中的目录角色
Ø一种为读取和搜索操作而优化的专用数据库软件,IdM的主要部件 Ø存储了所有资源信息、用户属性、授权资料、角色、潜在的访问控制 Ø存储在身份管理目录中的许多信息分散在整个企业中(身份存储库)
ØIdM的目的在于简化身份、身份验证、授权管理,以及对多系统内主 体的审计
l 传统的身份管理 - 使用具有权限、访问控制列表ACL和配置文件的目录服务手工进 行
访问控制概念
n 身份标识Identification
Ø提供身份标识信息的主体 Ø用户名、用户ID、账号
n 身份验证Authentication
Ø网络访问控制NAC技术
n MAC三个概念
Ø介质访问控制- 第二层DLL子层 - Media Access Control Ø强制访问控制 - Mandatory Access Control Ø消息认证码 - Message Authentication Code Ø每个值都是唯一的,便于用户问责 Ø应遵循标准的命名方案 Ø身份标识不得描述用户职位或任务 Ø身份标志值不得在用户之间共享
Ø主体被唯一标识,并且记录主体行为
n 逻辑访问控制
Ø用于身份标识、身份验证、授权与可问责性的技术工具 Ø实施针对系统、程序、进程和信息的访问控制措施的软件组件
l 可嵌入操作系统、应用程序、附加安全包、通信管理系统内
Ø身份验证2步骤 - 身份标识和身份验证
l 输入公共信息 - 用户名、雇员号、账号或部门ID l 输入私有信息 - 静态密码,智能令牌,感知密码,一次性密码、PIN或数字签名
Ø瓶颈和单点故障
l 冗余
Ø实现成本昂贵
账户管理
n 账户管理
Ø创建、维护和删除账户
l 集中账户管理,确保离职员工账号处于停用状态
Ø账户管理最好通过工作流程方式 Ø账户管理解决方案 - 自动化的工作流程组件
l 用户申请,管理者批准,创建账号,问责
n 指配provisioning
l l l l l
Ø为响应业务过程而创建、维护和删除存于一个或多个系统、目录或应 用程序中的用户对象与属性
身份管理技术
n 门户网站Web Portal
Ø以统一方式呈现来自不同源头的信息 Ø外观和感觉统一,功能多样的连贯界面 Ø由Portlet组成 - 可拔插用户接口软件组件,负责收集来自其他系统的 信息 Ø用户身份验证信息的处理
身份管理技术
n 访问控制和标记语言
Ø标记语言是构造文本及其查看方式的一种方法,决定文本的视图方式和使用 方式 ØXML - 通用的基础性标准语言,为其他独立的标记语言提供结构和互操作性
Ø验证身份标识信息 Ø密码短语、PIN值、生物测定学、一次性密码、密码
n 授权Authorisation
Ø使用一个准则来确定主体能对客体进行的操作
n 可问责性Accountaility
Ø跟踪主体对客体所执行活动的审计日志和监控
身份管理解决方案
n 相关技术
Ø目录 ØWeb访问管理 Ø密码管理 Ø遗留单点登录 Ø账户管理 Ø配置文件更新
身份管理系统组件
身份管理技术
n 用户资料更新
Ø集中管理用户资料
l 与用户相关的电子邮件、家庭住址、电话号码等
Ø用户资料更新技术,允许管理员在必要时以自n 数字身份
Ø用户的属性、权利及特征的合集
l 属性 - 部门、职位、工作时间、许可级别等 l 权利 - 可使用的资源、在公司中的授权权利等 l 特征 - 生物测定学信息、体重、性别等
2.3.1 身份标识 和 身份验证
n 三种因素能用于身份验证
Ø某人知道的内容 Ø某人拥有的物品 Ø某人的特征
n 强身份验证包含上述三种方法的两种 n 创建和发布安全身份 - 3个关键
Ø唯一性 Ø非描述性 - 不标明账户目的 Ø签发 - 由一个权威机构提供,用于证明身份
系统身份验证
n 可根据硬件地址/IP地址对设备进行身份标识、验 证、监视和控制