论文部分内容阅读
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近20本。
信息安全管理系列之五十三
身份与访问管理(Identity & Access Management,IAM)是信息安全中重要的控制域之一,在之前的讨论中,陆续开始介绍主流的安全技术,本文作为该系列之一,介绍了与身份与访问管理的主要概念、机制及其相关控制。
谢宗晓(特约编辑)
摘要:介绍身份与访问管理中凭证和公钥基础设施等主要概念,身份鉴别/实体鉴别协议,以及其相关控制,以FIPS PUB 201-2为例讨论了集成应用。
关键词:信息安全 网络安全 身份与访问管理
A Brief Analysis of Identity and Access Management (IAM) Related Control
Xie Zongxiao (China Financial Certification Authority, CFCA)
Dong Kunxiang (School of Management Science and Engineering, Shandong University of Finance and Economics)
Zhen Jie (School of Business Planning, Chongqing Technology and Business University)
Abstract: This paper introduces the main concepts such as credentials and public key infrastructure in identity and access management, authentication/entity authentication protocol, and its related control, on the basis of which the integrated application is discussed with FIPS PUB 201-2.
Key words: information security, network security, Identity & Access Management (IAM)
身份与访问管理,有时候也被称为“身份管理(Identity Management,IDM)”。IAM是一个策略和技术的框架集,用于确保组织中的适当人员能够适当地访问相应的资源,主要包括:1)身份鉴别(authentication)/实体鉴别(entity authentication)1)协议;2)凭证(credential);3)公钥基础设施(Public Key Infrastructure,PKI);4)授权(privilege authorization);5)访问控制(access control)。
1 身份鉴别/实体鉴别协议
身份鉴别/实体鉴别,是指确认一个实体所声称身份的过程[1]。所谓鉴别机制,是指用于证实某个实体就是他所称的实体。一般而言,待鉴别的实体通过表明它确实知道某个秘密、持有某种特有物品,或者拥有某种特征,来证明其身份。实体鉴别,有单向的,也有双向的。对于单向鉴别,如果实体A定义为声称方,则实体B定义为验证方。这是最常见的模式,例如,日常的系统登录,A一般指的是用户,B一般指的是系统。
关于实体鉴别,有一个比较重要的标准,ISO/IEC 9798《信息技术 安全技术 实体鉴别》Information technology—Security techniques —Entity authentication,目前其状态如表1所示。
ISO/IEC 9798是关于实体鉴别模式的,只是规定了鉴别模型及一般安全要求,例如,第2部分是采用对称加密算法的实体鉴别机制,但是其中并不涉及具体的身份鉴别/实体鉴别技术。或者说,ISO/IEC 9798仅仅是一个框架,并不涉及如何区分实体,或者如何产生可区分标识符。
2 凭证
目前,身份鉴别技术中使用各种各样的凭证,最常见也最实用的毫无疑问是口令(password),但是口令存在一个问题,就是集中存储所带来的风险,因此,口令应该加密存储。一般而言,口令的保存以不可逆的加密算法,或者是单向散列函数算法,加密存储。
整体而言,身份鉴别技术所使用的凭证,可以分为三大类:
1) 你所知道的信息(what you know),例如,口令,PIN(Personal Identification Number)等;
2) 你所拥有的东西(what you have),例如,智能卡、USB Key等;
3) 你独一无二的特征(who you are),比如,指纹、人脸识别等。
已经存在的诸多身份鉴别方式,各有利弊。例如,现在最流行的是生物识别技术,包括指纹和人脸识别。为了解决集中存储所带来的风险,口令可以加密存储,这是第一道防线,即便扛不住攻击,可以通知用户及时修改口令,这也就是说,一般而言,攻击者不會花费大量的精力去破解加密的口令,因为不值得。
但是对于指纹和人脸等特征就不同了,这些特征不能轻易改变,攻击者就有动力去获取并破解。因此,集中存储生物特征所带来的风险,就远不是口令所能比的。加上对称密码学的密文中集成了密钥[2],所以无论是线上快速身份验证(Fast Identity Online, FIDO)联盟 还是互联网金融身份认证联盟(Internet Finance Authentication Alliance, IFAA)都是建立在公钥密码学基础上。 对内部管理用户而言,一般系统使用口令即可,但是对于银行而言,大批量处理敏感个人信息、查询征信、系统运维、特权审批的岗位等,应该使用双因素认证,包括指纹、U盾和证书等。
3 公钥基础设施
既然说到公钥密码学,就容易想到PKI[3-4],同时引入了一个词汇——认证,例如,认证机构(Certification Authority,CA)。在公钥密码中,发送者用公钥(加密密钥)加密,接收者用私钥(解密密钥)解密。公钥一般是公开的,不再担心窃听,这解决了对称密码中难以解决的密钥配送问题。但是接收者依然无法判断收到的公钥是否是合法的,因为有可能是中间人假冒的。事实上,仅靠公钥密码本身,无法防御中间人攻击。于是,需要(认证机构)对公钥进行签名,从而确认公钥没有被篡改。加了数字签名的公钥称为证书(公钥证书,一般简称为证书)。
也就是说,PKI中的“认证”也是证明其身份的过程,具有一定的权威性, CA对公钥签名,本质上是有第三方参与的。“鉴别”与这个概念不同,含有“筛选”“甄选”的意思,从一堆里面挑出来。还有,在PKI中的认证,并不需要频繁地进行。CA在生成证书时,会对公钥是否被篡改进行认证,然后将认证结果以证书的形式发放。之后,使用该证书中包含的公钥对数字签名进行验证的PKI用户,而不是CA。从这个意义上讲,CA应该称为“证书颁发机构”[5]。
4 授权与访问控制
授权,是指在属性管理系统中,将主体与角色绑定的过程[1]。鉴别和授权是两件不同的事,鉴别指的是证明声称方(claimant)确实是声称者本体,当然,严格讲,两者都是访问控制的一部分。
基于角色的访问控制(Role-Based Access Control,RBAC)可能是目前使用最广泛的授权方案(authorization scheme),其中的角色(例如,经理、应收账款职员、信贷员)提供了用户权限、职责或工作职能的一种表达方法。在RBAC中,将用户赋予角色的过程,实际是间接地授予与角色关联的用户权限。这种访问控制方法通常称为基于属性的访问控制(Attribute-Based Access Control,ABAC)。
组织在考虑访问控制系统时,应该考虑三个方面:1)访问策略;2)访问模型;3)访问机制。访问控制策略指定如何管理访问以及在什么情况下谁可以访问信息。访问控制策略是通过一种机制执行的,这种机制通常根据系统提供的结构转换用户的访问请求。访问控制列表(Access Control List,ACL)是一个常见的例子。访问控制模型在策略和机制之间架起了桥梁。安全模型通常用于描述访问控制系统的安全属性,而不是仅在机制级别评估和分析访问控制系统。安全模型是系统执行的安全策略的正式表示,对于证明系统的理论局限性非常有用。
5 集成示例:FIPS PUB 201-2
在一般的Web应用程序通常使用三层相互关联的安全机制处理用户访问:1)身份鉴别;2)会话管理;3)访问控制。在实際的应用中,身份与访问管理(IAM)都是一套组合拳,一般不会是单一功能的部署。
美国国土安全部总统12号指令(Homeland Security Presidential Directive-12,HSPD-12)为了加强安全、提高政府效率、减少身份欺诈和保护个人隐私的政策,为联邦政府向其雇员和承包商发布的安全可靠的身份证明形式建立了强制性的、政府范围内的要求。
基于此,美国国家标准与技术研究院(NIST)发布了FIPS PUB 201-2,《联邦雇员与承包商个人身份验证》[Personal Identity Verification (PIV) of Federal Employees and Contractors],其中定义了联邦雇员和承包商通用的身份识别标准的体系结构和技术要求,整体的目标是通过有效地验证试图物理访问联邦控制的政府设施和逻辑访问政府信息系统的个人所声称的身份,为多个应用程序实现适当的安全保证。
也就是说,HSPD-12是原则性要求,FIPS PUB 201-2是具体细化。相应的还有一系列更具体的要求和实现指南。例如,SP 800-76规定了生物特征信息的收集和格式化的要求,SP 800-78则规定了密码算法和密钥长度等相关问题。
参考文献
[1] 国家密码管理局. 密码术语:GM/Z 0001—2013[S].北京: 中国标准出版社, 2013.
[2] Diffie W, Hellman M E. New directions in cryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6):644-654.
[3] 谢宗晓,刘琦. 公钥基础设施(PKI)国际标准进展[J]. 金融 电子化, 2018, (10):56-59.
[4] 谢宗晓,甄杰.公钥基础设施(PKI)国家标准解析[J].中国质 量与标准导报,2018(12):18-21.
[5] 结城浩.图解密码技术(第3版)[M].北京:中国工信出版 集团/人民邮电出版社,2016.
信息安全管理系列之五十三
身份与访问管理(Identity & Access Management,IAM)是信息安全中重要的控制域之一,在之前的讨论中,陆续开始介绍主流的安全技术,本文作为该系列之一,介绍了与身份与访问管理的主要概念、机制及其相关控制。
谢宗晓(特约编辑)
摘要:介绍身份与访问管理中凭证和公钥基础设施等主要概念,身份鉴别/实体鉴别协议,以及其相关控制,以FIPS PUB 201-2为例讨论了集成应用。
关键词:信息安全 网络安全 身份与访问管理
A Brief Analysis of Identity and Access Management (IAM) Related Control
Xie Zongxiao (China Financial Certification Authority, CFCA)
Dong Kunxiang (School of Management Science and Engineering, Shandong University of Finance and Economics)
Zhen Jie (School of Business Planning, Chongqing Technology and Business University)
Abstract: This paper introduces the main concepts such as credentials and public key infrastructure in identity and access management, authentication/entity authentication protocol, and its related control, on the basis of which the integrated application is discussed with FIPS PUB 201-2.
Key words: information security, network security, Identity & Access Management (IAM)
身份与访问管理,有时候也被称为“身份管理(Identity Management,IDM)”。IAM是一个策略和技术的框架集,用于确保组织中的适当人员能够适当地访问相应的资源,主要包括:1)身份鉴别(authentication)/实体鉴别(entity authentication)1)协议;2)凭证(credential);3)公钥基础设施(Public Key Infrastructure,PKI);4)授权(privilege authorization);5)访问控制(access control)。
1 身份鉴别/实体鉴别协议
身份鉴别/实体鉴别,是指确认一个实体所声称身份的过程[1]。所谓鉴别机制,是指用于证实某个实体就是他所称的实体。一般而言,待鉴别的实体通过表明它确实知道某个秘密、持有某种特有物品,或者拥有某种特征,来证明其身份。实体鉴别,有单向的,也有双向的。对于单向鉴别,如果实体A定义为声称方,则实体B定义为验证方。这是最常见的模式,例如,日常的系统登录,A一般指的是用户,B一般指的是系统。
关于实体鉴别,有一个比较重要的标准,ISO/IEC 9798《信息技术 安全技术 实体鉴别》Information technology—Security techniques —Entity authentication,目前其状态如表1所示。
ISO/IEC 9798是关于实体鉴别模式的,只是规定了鉴别模型及一般安全要求,例如,第2部分是采用对称加密算法的实体鉴别机制,但是其中并不涉及具体的身份鉴别/实体鉴别技术。或者说,ISO/IEC 9798仅仅是一个框架,并不涉及如何区分实体,或者如何产生可区分标识符。
2 凭证
目前,身份鉴别技术中使用各种各样的凭证,最常见也最实用的毫无疑问是口令(password),但是口令存在一个问题,就是集中存储所带来的风险,因此,口令应该加密存储。一般而言,口令的保存以不可逆的加密算法,或者是单向散列函数算法,加密存储。
整体而言,身份鉴别技术所使用的凭证,可以分为三大类:
1) 你所知道的信息(what you know),例如,口令,PIN(Personal Identification Number)等;
2) 你所拥有的东西(what you have),例如,智能卡、USB Key等;
3) 你独一无二的特征(who you are),比如,指纹、人脸识别等。
已经存在的诸多身份鉴别方式,各有利弊。例如,现在最流行的是生物识别技术,包括指纹和人脸识别。为了解决集中存储所带来的风险,口令可以加密存储,这是第一道防线,即便扛不住攻击,可以通知用户及时修改口令,这也就是说,一般而言,攻击者不會花费大量的精力去破解加密的口令,因为不值得。
但是对于指纹和人脸等特征就不同了,这些特征不能轻易改变,攻击者就有动力去获取并破解。因此,集中存储生物特征所带来的风险,就远不是口令所能比的。加上对称密码学的密文中集成了密钥[2],所以无论是线上快速身份验证(Fast Identity Online, FIDO)联盟 还是互联网金融身份认证联盟(Internet Finance Authentication Alliance, IFAA)都是建立在公钥密码学基础上。 对内部管理用户而言,一般系统使用口令即可,但是对于银行而言,大批量处理敏感个人信息、查询征信、系统运维、特权审批的岗位等,应该使用双因素认证,包括指纹、U盾和证书等。
3 公钥基础设施
既然说到公钥密码学,就容易想到PKI[3-4],同时引入了一个词汇——认证,例如,认证机构(Certification Authority,CA)。在公钥密码中,发送者用公钥(加密密钥)加密,接收者用私钥(解密密钥)解密。公钥一般是公开的,不再担心窃听,这解决了对称密码中难以解决的密钥配送问题。但是接收者依然无法判断收到的公钥是否是合法的,因为有可能是中间人假冒的。事实上,仅靠公钥密码本身,无法防御中间人攻击。于是,需要(认证机构)对公钥进行签名,从而确认公钥没有被篡改。加了数字签名的公钥称为证书(公钥证书,一般简称为证书)。
也就是说,PKI中的“认证”也是证明其身份的过程,具有一定的权威性, CA对公钥签名,本质上是有第三方参与的。“鉴别”与这个概念不同,含有“筛选”“甄选”的意思,从一堆里面挑出来。还有,在PKI中的认证,并不需要频繁地进行。CA在生成证书时,会对公钥是否被篡改进行认证,然后将认证结果以证书的形式发放。之后,使用该证书中包含的公钥对数字签名进行验证的PKI用户,而不是CA。从这个意义上讲,CA应该称为“证书颁发机构”[5]。
4 授权与访问控制
授权,是指在属性管理系统中,将主体与角色绑定的过程[1]。鉴别和授权是两件不同的事,鉴别指的是证明声称方(claimant)确实是声称者本体,当然,严格讲,两者都是访问控制的一部分。
基于角色的访问控制(Role-Based Access Control,RBAC)可能是目前使用最广泛的授权方案(authorization scheme),其中的角色(例如,经理、应收账款职员、信贷员)提供了用户权限、职责或工作职能的一种表达方法。在RBAC中,将用户赋予角色的过程,实际是间接地授予与角色关联的用户权限。这种访问控制方法通常称为基于属性的访问控制(Attribute-Based Access Control,ABAC)。
组织在考虑访问控制系统时,应该考虑三个方面:1)访问策略;2)访问模型;3)访问机制。访问控制策略指定如何管理访问以及在什么情况下谁可以访问信息。访问控制策略是通过一种机制执行的,这种机制通常根据系统提供的结构转换用户的访问请求。访问控制列表(Access Control List,ACL)是一个常见的例子。访问控制模型在策略和机制之间架起了桥梁。安全模型通常用于描述访问控制系统的安全属性,而不是仅在机制级别评估和分析访问控制系统。安全模型是系统执行的安全策略的正式表示,对于证明系统的理论局限性非常有用。
5 集成示例:FIPS PUB 201-2
在一般的Web应用程序通常使用三层相互关联的安全机制处理用户访问:1)身份鉴别;2)会话管理;3)访问控制。在实際的应用中,身份与访问管理(IAM)都是一套组合拳,一般不会是单一功能的部署。
美国国土安全部总统12号指令(Homeland Security Presidential Directive-12,HSPD-12)为了加强安全、提高政府效率、减少身份欺诈和保护个人隐私的政策,为联邦政府向其雇员和承包商发布的安全可靠的身份证明形式建立了强制性的、政府范围内的要求。
基于此,美国国家标准与技术研究院(NIST)发布了FIPS PUB 201-2,《联邦雇员与承包商个人身份验证》[Personal Identity Verification (PIV) of Federal Employees and Contractors],其中定义了联邦雇员和承包商通用的身份识别标准的体系结构和技术要求,整体的目标是通过有效地验证试图物理访问联邦控制的政府设施和逻辑访问政府信息系统的个人所声称的身份,为多个应用程序实现适当的安全保证。
也就是说,HSPD-12是原则性要求,FIPS PUB 201-2是具体细化。相应的还有一系列更具体的要求和实现指南。例如,SP 800-76规定了生物特征信息的收集和格式化的要求,SP 800-78则规定了密码算法和密钥长度等相关问题。
参考文献
[1] 国家密码管理局. 密码术语:GM/Z 0001—2013[S].北京: 中国标准出版社, 2013.
[2] Diffie W, Hellman M E. New directions in cryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6):644-654.
[3] 谢宗晓,刘琦. 公钥基础设施(PKI)国际标准进展[J]. 金融 电子化, 2018, (10):56-59.
[4] 谢宗晓,甄杰.公钥基础设施(PKI)国家标准解析[J].中国质 量与标准导报,2018(12):18-21.
[5] 结城浩.图解密码技术(第3版)[M].北京:中国工信出版 集团/人民邮电出版社,2016.