《2022年身份管理之访问控制 .pdf》由会员分享,可在线阅读,更多相关《2022年身份管理之访问控制 .pdf(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、访问控制访问控制是允许或拒绝某人是否可以使用某东西的能力。物理访问纽约地铁系统得地下入口物理访问是依靠付费授权来进行访问的。但也存在单向交通的民族。 当然也有强行进入的人士,例如 : 边防人员、门卫、监票员等,或者像旋转门一样的设备。为了避免对访问控制的破坏, 也存在对其的一些防护措施。严格意义上讲, 一种可选的访问控制(物理控制访问本身)是一个首先检测授权的系统,例如:运输的票据控制。另一个不同的是存在控制,例如:商店或者国家的边检。在物理安全中, “访问控制”这一术语涉及到对授权的人进行财产使用限制,建筑物访问限制或者房间进入限制等实践。人们时常会遇到物理访问控制, 例如门卫、保镖、招待员
2、,尽管此类控制的运行意味着钥匙和锁,或者意味着系统访问卡片或者生物身份识别技术。物理访问控制是用来说明谁、 在那里、什么时候此类事情。 访问控制系统决定谁被允许进入或者退出, 在那里被允许进入或者退出, 什么时候被允许进入或者退出。在过去,这种访问控制已经通过钥匙和锁的方式部分实现。门依赖着锁的配置,锁着的门只有拥有钥匙的人才可以进入或者出来。机械锁和钥匙一般不限制钥匙持有者使用的具体时间和次数。 机械锁和钥匙不提供记录钥匙使用于具体门上的次数, 也不管钥匙是否容易复制, 或转移给一个没有授权的人。当机械锁钥匙被丢失或者钥匙持有者在该受保护的区域不再被授权,那么锁就必须被换掉。电子访问控制利用
3、计算机解决了机械锁和钥匙不能解决的问题。更大范围定义的凭证被用来取代机械钥匙。 电子系统基于提供的凭证和什么时候提供来决定是否给与某人访问某安全区域的权限。如果访问被接收, 门就会在预定的时间段里打开,同时这个过程也会被记录;如果访问被拒绝,门仍会紧锁,这时访问也会被记录;系统会一直监控门, 如果门被强制打开或者门开的时间过长,系统就会发出警报。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 9 页 - - - - - - - - - 访问控制系统操作有时候,理解一个系统
4、最好的方式是从头至尾的对他的典型应用进行使用。在访问控制中,一般开始于用户展示了分配的凭证给特定的读取器。读取器传达凭证信息给做出访问决定的设备。 在大部分电子访问控制系统中, 这是一个高信赖独立的控制面板。 该控制面板知道当前的日期和时间,决定这个时候出示凭证的人是否可以被允许进入。 不论访问是否被允许, 该事务都会被作为历史记录,以便引起问题时拿出商量解决。访问控制系统组件访问控制的要点可以比喻成一个门,如十字转门, 停车场大门, 电梯或者其他的物理障碍,这些物理障碍可以进行电子控制。一般来说,如果访问要点是门,访问就是通过铁锁或者电子锁进行控制。知道门的位置是系统的一个重要元素,通常是通
5、过打开隐藏在门的结构里的磁性开关来完成的。 这个传感器被用来监控未经授权就强制打开,或是监控授权后门打开的时间过长的事件的。有时会增加在安全区域内监视锁状态和行为的传感器,以及其他警报传感器。用户进入访问控制系统的主要接口是凭证读取器。读取器反映了凭证的技术水平。磁卡、条形码、韦根卡的读卡器被称为刷卡读取器,一般在零售商店和ATM机上使用。一些刷卡读取器需要在特殊的方位进行刷卡以方便读取,但是典型的针对访问控制的读卡器在任何方向刷卡时都是可以读取凭证信息。接触式或者非接触式智能卡读取器一般为一个无线收发器。读卡器的广播功能激活卡片, 然后开始和读卡器进行基于无线机制的传输。在正面可以看到金色的
6、智能卡, 被称为接触式智能卡,使用时需要金色部位和读卡器进行物理接触来完成一次信息传递。生物识别是已存在技术中独一无二的技术,但该技术需要用户展示人体的某些部位,如通过接触卡片进行手印, 手形识别, 或者拍摄人脸进行人脸识别的图像,还有虹膜,视网膜扫描识别,说几句话进行声音鉴别。进入受保护区一般都需要设备来验证用户访问请求的有效性。退出受保护区可以也可以不进行有效判断。 当一套设备验证完成, 第二套读取器一般也使用同样的技术进行进入和退出的有效性判断。即使退出需要有效性判断时, 但当遇到火灾和紧急事件需要退出区域时可不提供有效凭证。由于这个原因, 出现了具有退出请求范围的设备,一般被称为REX
7、设备。REX 设备可以简单设置一个按钮,也可以像热量和运动探测器一样成熟。REX按钮将会开门,或者至少在REX设备被激活的时间可以打开门。如果退出有效判断不需要。REX激活就被认为是一个一般操作。如果退出有效性需要判断,REX设备的激活会触发警报器。上述的每个设备都是和访问控制进行交互的面板。这些面板应该设计为在没有监控电脑时也可独立操作。 控制装置必须有后备电源, 当一个主要的电力供应中断,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 9 页 - - - - - -
8、- - - 仍能够维持系统的运作过程, 因为它通常需要重新建立主要电源的连接或安排给另一个候补电源。概述今天电子访问控制系统已经由独立的门控制器遍及到集成了闭路电视的复杂的网络系统,防盗系统及建筑控制系统。 选择系统属性需要的合适的凭证和读取器,选用合适的安装和实现, 这些往往需要复杂的计划和困难的抉择。现在可以获得很多帮助我们了解怎么抉择的书籍, 也可以通过联系专业的开发商来帮助你定义需求并获得合适的解决方案。 如果你想开始定义需求的过程, 可以尝试我们免费的风险分析。凭证凭证就是你拥有的东西,你知道的事情,一些生物特征,或者这些的组合。现在比较典型的凭证有门禁卡, key fob, 或者其
9、它的重要东西。现在有很多智能卡技术,包括磁条,条形码,韦根, 125 kHz 感应,接触式智能卡,非接触式智能卡。基于个人知道的凭证,可以是个人能身份号码(PIN),或一系列你所知道内容的组合, 或者是密码。 使用身份特征作为凭证被称为生物测定。典型的生物测定技术包括指纹、面部识别、虹膜识别、视网膜扫描、声音、手形识别。卡片技术通常被用于传达身份号码,该身份号码由卡号、设备或地址码和发行编号。卡号是唯一的, 与其他持卡人的卡做区分。 设备码有时被称为地址码, 是帮助人们记忆创造出来的一组数字, 它允许最小范围内的数字独一无二而不重复。当每次卡片被代替或者遗失补挂的时候,发行码就会递增。大部分技
10、术使用的身份号码一般以两种形式存储:韦根和ABA 。韦根格式是以第一次使用的技术命名的,是一种以bit为基础,长度在 26 到 60 位之间的格式。ABA格式,有美国银行业命名,是以数字为基础的,一般应用于信用卡或者使用磁条技术的卡片。条形码技术条形码是一系列黑色和白色间隔的条纹,这些条纹可以被光学扫描仪器读取。组织和条纹的宽度由条形码选择的协议决定。当前有很多不同的协议, 但是在安全工业上比较流行的是39 码。有时黑色和白色条纹会有数字标明打印出来,人们可以读取号码而不用扫描仪器。使用条形码技术的优点是便宜,容易生成凭证,并且容易应用到卡片或其他项目上。 缺点就是因为其便宜易生成凭证而导致该
11、技术容易出现造假, 并且光学读卡器有可能存在可靠性的问题而使凭证被脏读。一种减少造假的方法是使用碳墨油迹打印条形码,然后用一个暗红层覆盖条形码。条形码可以被光学读取器通过调节红外光谱来进行读取,但这样的条形码却不容易被复制。但这并不是说条形码就很安全了,他仍可以通过任意打印机从计算机上打印生成的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 9 页 - - - - - - - - - 磁条技术磁条技术通常被称为mag-stripe ,之所以这样命名是因为层压在卡片上磁性
12、氧化物形成的条纹而得名的。当前有3 种关于磁条的数据方式( tracks )。一般每个方式(tracks )的数据遵循一个特殊的编码标准,对每个方式(tracks )的任意的编码都是可以做到的 。 磁卡相对与其他卡片技术便宜且易编程。磁卡在相同空间内 比条形码存储的数据要多。 当然磁卡的生成要比条形码复杂,但读取和磁条的编码技术已经很普遍而且很容易获得。磁条技术也很容易出现误读,卡片磨损,脏读等现象的影响。韦根卡技术韦根卡技术是一项专利技术, 他战略性的定位, 使用嵌入式铁磁电线创建独特格式来生成身份号码。 和磁卡与条形码一样, 韦根卡必须通过读卡器和卡的快速接触来读取。和其他技术不同的是,
13、韦根技术的鉴定介质嵌入到卡片内部而不容易被磨损。因为该技术复制的复杂性及带给人们的高安全感知,所以该技术曾经很流行。因为韦根卡的供应资源有限,而感应读卡器具有更好的抗干扰性,和更少的接触性,使得韦根卡正在被感应卡所取代。感应卡技术一般的感应卡是一个包含微芯片和内嵌天线的塑料卡片。当卡片放到读卡器的无线区域,能源就会从读卡器释放而激活卡片内的微芯片,这样读卡器和卡片就可以开始进行数据交互了。当读卡器识别了卡片,就会从卡片中查询到身份信息。感应卡分为主动卡和被动卡。主动卡有一个电池给微芯片供电,通常比标准的ISO塑料卡厚。被动卡完全由读卡器的无线区域供电,它的尺寸小但寿命长。因为感应读卡器的易用,
14、耐磨,高技术性,所以正在稳步的日益普及。因为感应卡需要微芯片,无线技术知识,协议实现,所以感应卡很难复制。此外关系到该技术的另一个问题就是会感应卡会偶尔发现射频干扰。事实上因为感应卡读取数据很复杂,所以跟随一个有权限访问门的人通过门很容易,这使门卫很难验证一个人是否出示过卡片。智能卡智能卡分为接触式和非接触式两种。两种卡都内嵌了微处理器和内存。智能卡不同于内嵌微芯片的感应卡只提供给读卡器身份数字一种作用。智能卡中的处理器拥有一个操作系统, 可以处理多种应用, 如现金卡、预付会员卡、访问控制卡等。两种职能卡的不同之处是微处理器对外世界的交互方式不同。接触式智能卡有8种形式的接触, 每次接触必须是
15、和读卡器物理接触来进行双方的信息传输。非接触式智能卡和感应卡一样使用同样的无线技术而不需要频繁用手。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 9 页 - - - - - - - - - PIN 个人身份号码个人身份号码是属于你知道的而不是你拥有的范围。个人身份号码通常为由4到 8 位数字组成。 少于 4 位的号码很容易被猜出, 多余 8 位很难被记住。 使用个人身份号码作为访问凭证的好处是一旦你记住这个号码,凭证就不会被丢失或遗失。 缺点是对于那些不频繁使用PIN
16、的人很难记住这些号码, 同时容易被人偷窥,而使得该号码被未授权的人使用。个人身份号码甚至不如条形码和磁条卡安全。计算机安全在计算机安全中, 访问控制包含认证, 授权和审计。 也包含像物理设备的采用的措施方法,如包括生物扫描,金属锁,隐藏路径,数字证书,加密,社会障碍,人类和自动系统的监控等。在任意一个访问控制模式中, 在系统执行行为操作的实体被称为主体,代表需要控制的访问资源被称为对象。 主体和对象两者都被认为是软件实体而不是人类用户。人类用户只能通过他们控制的软件实体来影响系统。尽管一些系统使用用户ID 作为主体,以开始该用户默认拥有同样的授权内的所有的处理,这种水平的控制不够严密来满足“最
17、少权限主体”, 但是在这样的系统中容易流行恶意软件。在一些模式里,例如能力对象模式,一些软件实体可以充当主体和对象。当前系统使用的访问控制倾向于两种类型之一:基于能力的和基于访问控制列表的。基于能力模式中一个对象拥有不可伪造的证明和能力来访问另一对象(也可以这样理解, 你的房屋钥匙能进入那个房间你就拥有那个房间); 到其他地方时,访问的传输是通过在安全通道之上的能力来进行的。在访问控制列表模式中, 主体到对象的访问是依赖于它的身份是否存于与对象的相关列表中(通俗的理解,私人聚会上的保镖检查你的名字是否存在于客人列表中),访问传输通过编辑列表来进行。不同的访问控制列表系统由不同的方式来规定谁来编
18、辑列表,编辑列表代表什么,怎样编辑。基于能力的访问控制和基于访问控制列表的访问控制模式都具有允许访问权限下发给一组主体中的所有成员的机制。(通常该组本身也被定义为一个主体)访问控制系统提供重要的服务:身份识别和认证,授权,可说明性。. 身份识别和认证决定了谁可以登录系统,软件主体所在的用户组织,可以控制登录结果。授权决定了一个主体可以做什么。. 说明性明确一个主题可以做什么(或者说和一个用户相关的主体可以做什么)。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 9 页 -
19、 - - - - - - - - 身份识别和认证( I&A)身份识别和认证是验证一个身份是否为其声称实体的过程。身份识别和认证过程是假设存在一个初始化审核的身份,在初始化过程中验证器被建立。随后,实体声称的身份连同认证器一起以一种方式来进行确认。对一个身份来说唯一的需求是在他的安全域中身份唯一。认证器一般是至少基于以下4 种要素之一的基础上建立起来的。这4 种要素为:. 你所知道的,如密码或者个人身份信息。该前提假设只有账号拥有者知道密码或者个人身份号码,才能使用改账号。. 你所拥有的,如职能卡或者token 。该前提假设只有账号的拥有者具有必要的智能卡或token ,通过这些可以解锁账号。.
20、 唯一代表你的事物,如指纹,声音, 视网膜,虹膜特征。. 你在那里,如是在防火墙内还是在防火墙外,或者登录位置到个人GPS 设备的远近。授权授权应用于主体而不是用户。 用户和主题的关系由最初身份识别和认证决定的用户所控制的。授权决定了主体可以在系统中做什么。大多数现代的操作系统定义了权限的集合,该集合为可改变或者扩展为3 种基础类型的访问:. 读(R):主体可以读取文件内容,列出目录内容。. 写(W ):主体可以改变文件或目录的内容,其任务有:增加、创建、删除、重命名。执行( X):如果文件是一个程序,主体可以运行程序。在 Unix 系统中,当执行权限被授予一个目录时,他可以作为双倍遍历目录的
21、权限。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 9 页 - - - - - - - - - 这些权利和权限在不同的系统有不同的实现,一般都基于自由决定访问控制(DAC )和强制访问控制( MAC )两种方式之一。可说明性可说明性使用像审计跟踪和日志等系统组件一样来使主体和其行为相联系。记录信息应该足够使控制用户和主体映射到一起。审计跟踪和日志对检测违背安全现象和重建安全事件是很重要的。如果没人规律性的查看日志,而且也没有以安全和一致的习惯来维护系统,那他们作为设备是
22、不允许的。很多系统可以自动生成报表, 该报表是基于预定义的标准和开端,较为知名的有剪裁水平。 例如,一种剪裁水平被设置来创建如下报表:在给定的时间段内超过3 次登录失败;使用不可用账号进行访问者。访问控制技术访问控制技术有时被归类于自由决定访问控制或者非自由决定访问控制。3 种被广泛认知的模式有自由决定访问控制,强制访问控制和基于角色的访问控制。强制访问控制和基于角色的访问控制都属于非自由决定访问控制。自由决定访问控制自由决定访问控制是由对象拥有者决定的访问策略。该拥有者决定谁被允许访问对象,他们都具有什么权限。在由决定访问控制中两个重要的概念是:1)文件和数据所有者:系统中每个对象都有一个所
23、有者。在大部分由决定访问控制系统中,每个对象的初始化所有者是被创建的那个主体。访问策略是有该拥有者决定的。2)访问权利和权限:拥有者可以控制分配具体的资源给一些主体。在基于访问控制列表或者基于能力的访问控制系统中一般为决定访问控制。在基于能力的系统中通常没有明确的拥有者的概念,但是主体的创建者对访问策略具有同样限度的控制力。强制访问控制名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 9 页 - - - - - - - - - 强制访问控制是由系统决定访问策略而不是所有者。
24、强制访问控制使用在多级系统中,用于处理高敏感数据, 比如机密政府和军事信息。 多级系统是独立的计算机系统,用户处理主体和对象间的多级分类。. 敏感分类:在基于强制访问控制系统中,所有的主体和对象必须分配给标签。主体的敏感标签表明了受信任的水平。对象的敏感标签表明了访问时需要的信任水平。访问特定的对象,主体必须具有等同或者高于对象需要信任水平的级别。. 数据导入和导出:控制从其他系统中导入信息和导入信息到其他系统是基于强制访问控制中一个重要的功能,执行时必须确保敏感标志被准确完整的维持和实现,以便敏感信息在任意时刻都被合理保护。应用的强制访问控制的两种常用方法为:1) 基于规则的访问控制:该类型
25、的控制更好的定义了访问请求对象需要的条件。所有的强制访问控制系统都实现了简单的基于角色的访问控制形式,通过匹配以下条件来决定访问是否被给与或决定:对象的敏感标识和主体的敏感标识。2) 基于格子的访问控制: 该方式存在适用于包括多重主体或对象的复杂的访问控制决定。各自模式是一种数据结构模式, 他定义了一对元素的最大下边界和最小上边界,例如一个主体和一个对象。很少有系统实现强制访问控制,XTS-400 是其中之一。基于角色的访问控制基于角色的访问控制,简称RBAC ,是由系统决定的一种访问策略,而不是由拥有者。 RBAC 被应用于商业应用和军事系统中,在这些系统也可能存在多级安全需求。RBAC 不
26、同于 DAC 允许用户控制访问资源,在RBAC 中,访问由系统级控制而不受用户所控制。虽然RBAC 是非强制决定访问控制,但是在权限的处理方式上它和强制访问控制从根本上是不同。强制访问控制根据用户的清理级别和附加标志来控制读写权限。 RBAC 控制权限集合,该集合中可能包含像电子商务传输一样的复杂操作,也可以包含像读写一样简单的操作。在RBAC 中的角色可以被理解为权限的集合。RBAC 定义的 3 种主要的规则:1、角色分配:仅当主体选择了或者被分配了一个角色,它才可以执行事务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名
27、师精心整理 - - - - - - - 第 8 页,共 9 页 - - - - - - - - - 2、角色授权:主体的活跃角色必须被授权。满足规则1 前提下,该规则确保用户只能执行授权角色可以执行的角色。3、事务授权:仅当事务被授权给主体的活跃角色,主题才可以执行事务。满足规则 1 和 2 前提下,该规则确保了用户只能执行杯授权的事务。其他限制也可以被应用到该模式中,角色可以由层级组成, 其中高级角色包含其拥有的子角色的权限。大部分的 IT 销售商在一个或多个产品中提供给与角色的访问控制。无线通讯无线通讯中,访问控制这个术语是在美国定义的。Federal Standard 1037C1中有这
28、样的定义:1、服务特征或技术是用来允许或者拒绝使用通讯系统中的组件的。2、技术是用来定义或者限制个体或应用程序从存储设备中获得数据或者存放数据的权利的。定义或者限制个体或应用程序从存储设备中获得数据或者存放数据的权利。通过授权用户、程序、过程或者其他系统来限制访问 AIS 资源的过程。资源控制器来执行功能,控制器分配给满足请求用户的系统资源注:该定义来源于Federal Standard 1037C 中的其他技术术语。公共策略在公共策略中,用来限制系统访问、跟踪和监视系统行为的访问控制,对于使用信任系统的安全和社会控制来说是一项必需要执行的属性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 9 页 - - - - - - - - -