2.2身份鉴别与访问控制

身份鉴别基础

标识示例：用户ID、编号、用户名

身份鉴别的作用

授权的前提：访问控制机制的正确执行依赖于对用户身份的正确识别，标识和鉴别访问控制的必要支持，以实现对资源机密性、完整性、可用性及合法使用的支持
数据源认证：与完整性保护结合可对数据源进行认证
为安全审计服务提供支撑
审计记录中，一般需要提供与某一活动关联的确知身份

身份鉴别的概念

身份鉴别的相关实体
被验证者P(Prover)：出示身份标识的人，又称声称者（Claimant)
验证者V(verifier):检验声称者提出的身份标识的正确性和合法性，决定是否满足要求
可信赖者TP(Trusted Third Party)：参与鉴别的第三方，参与调解纠纷

基于实体所知的鉴别

1.使用可以记忆的秘密信息作为鉴别依据
目前广泛采用的使用用户名和登录密码进行登录验证就是一种基于“实体所知”的鉴别方式
实现简单、成本低，广泛应用在各类商业系统中
2.面临安全威胁
信息泄露：登录密码猜测、线路窃听
信息伪造：重放攻击
3.线路窃听防御措施
防御措施：加密（单向函数）
攻击者可能构造一张q与p对应的表，表中的p尽可能包含所期望的值，列如彩虹表
解决方法：在口令中使用随机
4.重放攻击：攻击者发送一个目的主机已接收过的包，特别是在认证的过程中，用于认证用户身份所接收的包，来达到欺骗系统的目的
对于传输的会话凭证（登录密码或session等），如果仅采取简单加密措施，攻击者可以记录下来，并且在稍后的验证过程中进行重放，系统无法区分这次发送的登录信息是攻击者或是合法用户
5.针对重放攻击防御措施：
1）在会话中引入时间戳，由于时间戳的存在，攻击者的重放攻击会被系统拒绝
2）使用一次性口令
3)在会话中引入随机数

基于实体所有的鉴别

集成电路卡，内存卡，逻辑加密卡，CPU卡（用于保密性要求较高的场合）

基于实体特征的鉴别

访问控制基础

概念：一个信息系统在进行安全设计和开发时，必须满足某一给定的安全策略，即有关管理、保护和发布敏感信息的法律、规则和实施细则。
访问控制模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，可以是形式化的，它综合了各种因素。包括系统的使用方式、使用环境、授权的定义、共享的资源和受控的思想
访问控制实施一般包括两个步骤：
鉴别主体的合法身份
根据当前系统的访问控制规则授予用户相应的访问权。

访问控制模型

Biba模型：与数学上对偶的完整性保护模型；多级访问控制模型，保护数据完整性
访问控制策略：强制安全策略为每一个主体和客体都分配了完整级，根据完整级进行访问控制
规则：向下写 向上读
优点：完整性高，有效的防止非法篡改、破坏
缺点：机密性缺乏，无法保护机密信息泄露