身份鉴别与访问控制（NISP一级考试内容）

一、身份鉴别

1.标识与鉴别

（1）标识是实体身份的一种计算机表达。信息系统在执行操作是，首先要求用户标识自己的身份，并提供证明自己身份的依据，不同的系统使用不同的方式表示实体的省份，同一个实体也可以有多个不同的身份。

（2）鉴别是将标识和实体联系在一起的过程，是信息系统的第一道安全防线。也为其他安全服务提供支撑。访问控制机制的正确执行依赖于对用户身份的正确识别，标识和鉴别作为访问控制的必要支持，以实现对资源机密性、完整性、可用性以及合法使用的支持。

（3）如果与数据完整性机制结合起来使用，可以作为数据源认证的一种方法。在审计记录中，一般需要提供与某一活动关联的确知身份，因此，标识与鉴别支持安全审计服务。

2.鉴别类型

（1）单向鉴别

指的是当用户希望在应用服务器上注册是，用户仅需要被应用服务器鉴别。通常是用户发送自己的用户名和口令给应用服务器，应用服务器对收到的用户名和口令进行校验，确认用户名和口令是否由合法用户发出。

（2）双向鉴别

双向鉴别是在单向鉴别的基础上增加了两个步骤：服务器向客户发送服务器名和口令，客户确认服务器身份的合法性。

双向鉴别一般很少使用，一旦用户增加、减少或者改变口令，都要调整口令清单，管理繁琐且效率低。

（3）第三方鉴别

第三方用于存储、经验标识和鉴别信息。每个用户或者应用服务器都向可信第三方发送身份标识和口令，提高了口令存储和使用安全性，并且具有较高的效率。

3.鉴别的方式

（1）实体所知

即实体所知道的，如口令等，常常将一个秘密信息发送到系统中，该秘密信息仅为用户和系统已知，系统据此鉴别用户身份。

（2）实体所有

即实体所拥有的物品，如钥匙，磁卡等，系统借助这些物品鉴别用户。在鉴别时，用户手持这些物品，通过外围设备完成鉴别。

（3）实体特征

即实体所拥有的可能被记录并比较的生理或行为方面的特征，这些特征能被系统观察和记录，通过与系统中存储的特征比较进行鉴别。

（4）多因素鉴别

是使用多种鉴别机制检查要用户身份的真实性。使用两种鉴别方式的组合（双因素鉴别）是常用的多因素鉴别形式。使用多因素验证能有效提高安全性，降低身份滥用的风险

4.基于实体所知的鉴别

1.定义

使用可以记忆的秘密信息作为依据的鉴别是基于实体所知的鉴别，目前广泛采用的使用用户名和口令进行登录验证就是一种基于实体所知的鉴别。

2.口令破解攻击以及防御措施

（1）弱口令

用户使用的鉴别依据（口令）通常由系统默认生成或者用户生成，为了记忆方便，用户通常不对系统生成的默认口令进行更改或者选择自己相关的信息来设置口令。

2020年弱口令排行

可以看到，123456这样的弱口令长期给用户作为鉴别依据，使得基于实体所知的鉴别方式缺乏足够的安全性。

（2）穷举攻击

穷举攻击是针对口令进行破解的一种方式，它通过穷举所有的可能的口令的方法来进行攻击，攻击者要做的就是将所有可能的组合尝试一遍。理论上，只要有足够的时间，所有口令都可以被破解。著名的破解软件John the Ripper和L0phtCrack就是利用穷举方式对Linux和Windows系统中存储的口令散列值进行破解

随着技术发展，口令破解中使用口令字典以提高破解的效率已经成为主流，攻击者预先构建了用户经常使用的各种口令，通常是英语单词、用户名+生日组合及其他可能的组合。使用口令破解软件，从口令字典中逐个选择口令进行尝试，如果口令错误，则选择下一个口令继续尝试，知道猜测成功或字典上所有口令被遍历。

（3）穷举攻击防御方法

①提高口令强度

目标是确保密码具有足够的复杂性，具备一定的复杂度、不容易被穷举、口令字典攻击方式猜测出来，难以猜测的口令要求口令红应该同时包含大写、小写、数字、特殊字符等，具备足够的强度，还要避免采用一些规律过于明显的组合。

②阻止攻击者反复尝试

在应用系统中设置策略，对登录尝试达到一定次数的账户锁定一段时间或者由管理员解锁，避免攻击者反复登录尝试。

使用验证码等需要人工识别的因素以对抗反复的登录尝试，验证码应具有很好的抗机器识别能力，且人工识别相对容易。

3.口令嗅探攻击以及防御措施

（1）口令嗅探攻击介绍

由于早期采用的网络协议（如Telnet、FTP、POP3）在网络上以明文形式或简单的编码（如HTTP所采用的的BASE64）等形式传输口令。攻击者通过在会话路径中的任何节点部署嗅探器（一种抓取网络报文的软件）就可以获得口令。

（2）防御

使用密码技术对传输数据进行保护，如对传输口令进行加密，使得攻击者即使嗅探到了传输的口令数据，也无法获得口令的明文。但是在实际应用中，存在大量应用系统使用MD5对口令进行明文处理，存储和传输的都是处理过的数据（通常称为密码散列），攻击者虽然无法从密码散列中还原出口令明文，但由于口令明文和散列明文可以视同一一对应的，攻击者可以构造出一张对照表，将各种不同的口令明文和散列建立对应关系，因此只要获得密码散列，就能根据对照表知道对应的口令明文，这样的对照表通常称为“彩虹表”。

4.重放攻击以及防御措施

（1）重放攻击介绍

重放攻击又称重播攻击、回放攻击，是指攻击者发送一个目的主机（需要登录的服务器）接受过的数据包，特别是在认证过程中用于认证用户身份所接收的数据包以达到欺骗系统的目的。

在这个数据包中，包含认证用户身份时所用的凭证（登录口令或者会话ID），若系统对于这个会话凭证仅仅采用简单的加密措施，使得攻击者不知道传输的真正信息是什么，但是因为缺乏有效的验证机制，若攻击者录下登录验证的会话过程，并且在稍后的验证过程中进行重放，系统便无法发送登录信息的是攻击者还是合法用户，会允许攻击者的访问。

（2）防御

①在会话中引入时间戳

在用户的会话中引入数字签名的时间戳，那么即使这个会话过程被攻击者获取并且重放，也会被系统拒绝。

②使用一次性口令

即本次登录后，所使用的口令就失败。攻击者即使记录下会话过程，但是口令已经失效，也无法通过重放进入系统，系统可以预先生成一个庞大的随机的口令序列，每次登录成功后口令失效，下次登录必须使用另外一个口令。或者双方根据某个值来实时计算出口实时令，常见的登录方式是登录的口令实时变化，每次登陆时根据时间生成口令，为了保证用户能正确登录，需要维持双方的同步时钟。

③在会话中引入随机数

挑战/应答是一种有效应对口令嗅探和重放攻击的鉴别方式，在挑战/应答过程中，用户和系统将协商一个只有双方知道的数据变换函数，鉴别时，系统会发送一个由系统生成的随机数M给用户，这就是一个挑战，登录验证的用户使用数据变换函数，结合登录口令将M计算生成值N（即应答）返回给系统。系统知道用户的登录口令，因此会用同样的数据变换函数计算M的结果，然后比较这个结果是否与用户发送过来的应答N一致，如果一致，则判断用户登录验证通过。

由于登录验证过程中给出的M是随机生成，每次都不一样，因此攻击者记录下会话郭晨进行重放是无法通过系统验证的，并且由于会话过程中双方传输的是随机数M（挑战）和计算的结果N（应答），没有传输登录口令，因此也可以有效地避免嗅探攻击。

5.基于实体所有的鉴别

1.定义

基于实体所有的鉴别是指使用户所持有的物品来验证用户的身份，也是采用较多的鉴别方法。用于鉴别的物品通常不容易被复制，具有唯一性。基于实体所有的鉴别方式是一种长期使用的身份鉴别方式，古代军队出示的令牌就是一种基于实体所有的鉴别。

2.集成电路卡

集成电路卡（IC卡）是信息化时代广泛使用的实体所有鉴别物品，是将一个专用的集成电路芯片镶嵌于PVC（或者ABS等）材料做成的基片中，封装成卡片形式或纽扣，IC卡根据实现方式可以分为内存卡，安全卡，CPU卡等不同类型。

（1）内存卡

内存卡也称内嵌存储器，用于存储各种数据，这类卡信息存储方便，使用简单，价格便宜，很多场合可以代替磁卡，但是由于其本身不对存储的数据进行加密且易于被复制，一般用于单位门禁卡等

（2）安全卡

安全卡也称逻辑加密卡，内嵌芯片对存储区域增加了逻辑控制，在访问存储区之前要核对密码，若连续多次密码验证错误，卡片可以自锁，成为死卡。一般用于电话卡、餐饮会员卡，水电燃气收费卡。

（3）CPU卡

CPU卡也称为智能卡，相当于一种特殊的单片机，在卡片中封装了微处理单元（CPU），存储单元（RAM、ROM等）和输入/输出接口，甚至带有双方单元和操作系统。CPU卡具有存储容量大、处理能力强、信息存储安全等特点，一般用于银行卡、信用卡等。

要根据实际情况选择IC卡，还需要结合应用场景确保相应的逻辑安全措施得到落实，结合PIN码甚至其他技术实现对数据的安全防护，避免各类对数据的非法操作。对稿安全要求的应用场景，使用高强的密码算法对数据进行加密。

6.基于实体特征鉴别

1.定义

实体特征通常指的是实体生物特征，与实体所知和实体所有相比，实体特征鉴别方式具有一下特点。

普遍性：鉴别的特征是每个实体都具有的，因此不存在遗忘等问题。

唯一性：每个实体拥有的特征都是独一无二的。

稳定性：实体的生物特征不随时间、空间和环境变化而变化。

可比性：用于鉴别的特征易于采集。

2.实体特征鉴别系统

由信息采集和信息识别两个部分组成。信息采集部分通过光、声、红外等传感器，采集鉴别的用户生物特征和行为特征，然后交给信息识别部分，与预先采用并存储在数据库中的用户生物特征进行对比。

（1）指纹识别

这种技术是生物特征鉴别中应用最成熟、使用最广泛的技术。主要通过对纹路的起止点、中断点、分叉点、汇合点等的位置、数目和方向的分析比较来鉴别用户。

（2）静脉识别

这种技术是最近几年来开始出现的生物特征识别方式，其原理是通过静脉识别设备提取实体的静脉分布图，采用特定算法从静脉分布图中提取特征与预先存储在数据库中的特征进行对比。

（3）视网膜、虹膜、巩膜识别

视网膜识别主要是采集视网膜特征进行鉴别，虹膜识别系统用摄像机捕获用户眼睛的图像，从中定位虹膜，提取特征，并且加以判断。巩膜也称眼纹识别，以巩膜血管分布为识别依据，巩膜识别具有较好的稳定性。

（4）面部识别

面部识别是人们熟悉的“刷脸”，主要工作是在输入的图像中准确定位人脸，抽取人脸特征，并且进行匹配识别。目前，人面部的表情、姿态、化妆的等的变化以及采集图像时光线、角度、距离、遮挡等问题是影响人脸识别准确性的难题。识别准确率低于指纹和虹膜识别。

（5）语音识别

利用发声者的发生频率和幅值来辨识身份的一种特征识别技术，在远程传递中有明显优势。在依赖特定文字识别的方式中，通过发声者说某个或几个特定的词语时的随机性特征来识别其身份，这种系统设计简单但是安全性低。但是不依赖于特定文字，允许发声者说出任何词语，识别系统找出发声者发音的共性特征，并且进行识别，该方式的防伪性高，但是设计复杂，因为声音的变化范围大，环境、身体状态和情绪等因素均会影响语音识别系统的准确率。

然而用于识别的生理特征数据终生不变的性质也成为其对应的安全风险，因为人们不可能改变生理特征，一旦数据丢失，攻击者就能使用这些数据绕过安全鉴别。

3.实体特征鉴别的有效性判断

基于实体特征鉴别的设备拒绝一个已获授权的个人，称为第一类错误，某个用户通过生理特征来进行登录验证时，系统验证其为非正确用户，从而拒绝其登录该系统的情况出现的概率称为错误拒绝率（FRR）。

若设备接受了一个本应该被杜绝的冒名顶替者，称之为第二类错误，也就是攻击者不是这个账户的拥有者，但是他使用了自己的生理特征通过了验证，系统允许他登录，这种非真个用户可以通过验证的情况出现的概率称为错误概率（FAR）这类错误很危险，必须严格避免。

一个好的生理特征鉴别系统需要在错误拒绝率和错误接受率之间找到一个最佳平衡，交叉错误率（CER）就是用于衡量生理特征鉴别系统质量的一个指标。

 当验证设置越严格，即安全性越高，错误拒绝率越高，错误接受率越低。两条曲线相交的位置就是交叉错误率，交叉错误率越低，说明鉴别系统越准确，也就是质量更高。

二、访问控制基本概念

1.定义

在信息系统中，访问控制是重要的安全功能之一，其任务是在为用户系统资源提供最大限度共享的基础上，对用户的访问权进行管理，防止对信息的非授权篡改和滥用。拒绝合法越权，拒绝非法访问，防止非授权篡改和滥用。

一个信息系统在进行安全设计和开发时，必须满足某一给定的安全策略，即有关管理、

保护和发布敏感信息的法律、规则和实施细则。

2.特点

访问控制模型通过对主体的识别来限制对客体的访问权。

（1）精确的、无歧义的。

（2）简单的、抽象的、容易理解。

（3）只涉及安全性质，不牵扯系统的功能或其实现细节。

3.主体与客体

（1）主体

是使信息在客体间流动的一种实体，通常指的是人、进程或者设备等。

（2）客体

是一种信息实体，或者是从其他主体或者客体接受信息的实体。通常数据块、存储页、文件、目录目录、程序等都属于客体。在系统中，文件是一个处理单位的最小信息集合，每个文件就是一个客体，若每个文件还可以分成若干小块，而每个小块又可以单独处理，那么每个小块也是一个可客体。

（3）主客体的联系

主体接受客体相关信息数据，也可能改变个体相关信息。一个主体为了完成任务，可以创建另外的主体，称为子主体。子主体可以独立运行，并且受父主体控制。客体始终是提供、驻留信息或数据的实体。主体和客体的关系是相对的，角色可以互换的。

4.访问权限

（1）定义

是指主体对客体所执行的操作。文件是系统支持的最基本的保护客体。

（2）常见文件访问模式

读：允许主体对客体进行读访问操作。

写：允许主体对客体进行修改，包括扩展、收缩以及删除。

执行：允许主体将客体作为一种可运行文件而运行。

拒绝访问：主体对客体不具有任何访问权。

（3）目录

目录也是常见的保护客体。目录常作为结构化文件或结构化段来实现。对目录的访问模式可以分为读、写和执行。

读：允许主体看到目录实体，包括目录名、访问控制表以及该目录下的文件与目录的相应信息。

写：允许主体在该目录下增加一个新的客体。也就是说，允许主体在该目录下生成与删除文件或者子目录。

执行：允许该目录下的客体被执行。

（4）访问控制的实施步骤

鉴别主体的合法身份

根据当前系统访问控制规则授予用户相应的访问权

三、访问控制模型

1.自主访问控制模型

自主访问控制模型（DAC）是应用很广泛的访问控制方法。用这种控制方法，资源的所有者往往也是创建者，可以规定谁有权访问它们的资源，用户或用户进程就可以有选择地与其他用户共享资源。它是一种对单个用户执行访问控制的过程和措施。

DAC可为用户提供灵活已调整的安全策略，具有较好的易用性和可扩展性，具有某种访问能力的主体能够自主地访问权的某个子集授权其他主体，常用于多种商业系统中，但安全性相对较低。因为在DAC中，主体权限较容易被改变，某些资源不能得到充分保护，不能抵御特洛伊木马的攻击

（1）访问控制矩阵

DAC可以用访问控制矩阵来表示

 矩阵中的行表示主体对所有客体的访问权限，列表示客体允许主体进行的操作权限，矩阵元素规定了主体对客体被准予的访问权限。某一主体要对客体进行访问前，访问控制机制要检查访问控制矩阵中主、客体的访问权限。某一主体要对客体进行访问前，访问控制机制要检查访问控制矩阵中主、客体对应的访问权限，以决定主体对客体是否可以进行访问，以及可进行什么样的访问。访问控制的基本功能就是对用户的访问请求作出“是”或“否”的回答。

（2）访问控制功能

DAC通常使用访问控制列表（ACL）或者能力表（CL）来实现访问控制的功能

                                                                     ACL结构

                                                                      CL结构

ACL结构

可以决定任何一个特定的主体是否可以对某个客体进行访问，它是利用在客体上附加一个主体明细表的方法来标识访问控制矩阵的。表中的每一项包括主体的身份以及对该客体的访问权限。目前，ACL是DAC实现中比较通用的方法。

CL结构

CL决定主体对客体的访问权限（读、写、执行），在这种方式下，系统必须对每个主题维护一份CL，即：按照读取访问控制矩阵，标识每个主体可以访问的客体及权限。如上图所示，用户可以将自己的部分能力，如读写某个文件的能力传给其他用户，这样那个用户就获得了读写该文件的能力。在用户较少的系统中，这种方式比较好，但一旦用户数增加，便要花费系统大量的时间和资源来维护系统中每个用户的CL

2.强制访问控制模型

强制访问控制模型（MAC）是主体和客体都有一个固定的安全属性，系统通过比较主体和客体的安全性，根据已经确定的访问控制规则限制来决定主体是否可访问客体这个访问控制规则是强制执行的，系统中的主体和客体均无更改权限。

MAC比DAC具有更高的安全性，能有效防范特洛伊木马，也可以防止由于用户无意或不负责任的操作而导致机密信息泄露，适用于专用或安全性要求较高的系统。但是这种机制也是用户受到限制，若在用户共享数据方面不灵活。因此，保护敏感信息一般使用MAC，需对用户提供灵活的保护，更多地考虑共享信息时使用DAC。

3.基于角色的访问控制模型

基于角色访问控制（RBAC）成为安全领域的一个研究热点。

在基于角色的访问控制中，要求明确区分权限和职责。例如：访问权限为0级的官员不能访问所有保密级别为0级的资源，因为0级是他的权限，不是职责。一个用户可能有权访问资源的某个集合，但是不能设计有关授权分配等工作。

基于角色的访问控制中，将若干特定用户的集合和某种授权连结在一起，即与某种业务分工。这样的授权管理比对个体的授权来说，可操作性性和可管理性都要强得多，因为角色的变动远远低于个体的变动，因此该模型的一个主要优点就是简单。

基于角色访问控制模可以较好地支持最小特权原则，使得分配给角色的权限不超过具有该角色身份的用户完成其任务的权限，当用户请求访问某资源时，若其操作权限不在用户当前被激活角色的授权范围内，访问请求被拒绝。基于角色的访问控制还能落实职责分离原则，即利用互斥角色约束，控制用户的权限，通过激活相互制约的角色共同完成一些敏感任务，以减少完成任务过程中的欺诈行为。

此外，该模型在不同的系统配置下可以显示不同的安全控制功能，既可以构造具备自主存取控制类型的系统，也可以构造称为强制存取控制类型的系统，也可以构造成为强制存取控制类型的系统，甚至可以构造同时兼备这两种存取控制类型的系统。