1、1身份管理(Identity Management,IdM)是一个广泛而又深入的术语,包括使用不同产品对用户进行自动化的身份标识、身份验证和授权。对许多人而言,这个术语还包括用户账户管理、访问控制、密码管理、单点登录(SSO)功能、管理用户账户的权限和特权以及设计和监控上述所有项。个人和公司之所以对身份管理(IdM)有着不同的定义和看法,是因为身份管理的内容非常广泛,而且包含许多不同的技术和过程。安全专业人员不仅需要理解整个身份管理,而且还要理解构成整个企业IdM解决方案的各种技术,这是十分重要的。IdM要求管理唯一标识的实体、它们的特征、凭证和资格。身份管理允许组织机构以及时和自动的方式创建
2、并管理数字身份的生命周期(创建、维护、终止)。企业IdM必须满足业务需求以及面向内部系统和外部系统的标准。在本节中,我们将讨论这些技术以及如何加以组合应用。企业目前在控制资产访问方面需要处理的许多常见问题:每位用户应当能够访问哪些内容?由谁批准和允许访问?访问决策如何与策略相对应?离职员工是否仍然拥有访问权?我们如何与动态的、不断变化的环境同步?撤消访问的过程是怎样的?如何对访问进行集中控制和监控?为什么雇员需要记住8个密码?我们有5个不同的操作平台。如果每个平台(和应用程序)都需要自己的凭证,那么如何进行集中控制?我们如何控制雇员、客户和合作伙伴的访问权限?如何确保我们遵守了必要的法规?准备
3、CISSP 考试时应当了解的一些技术:目录、Web 访问管理、密码管理、单点登录、账户管理、配置文件更新。2大多数企业都使用某种类型的目录,目录中包含了与公司网络资源和用户有关的信息。多数目录遵循一种层次化的数据库格式,基于X.500标准和某种协议(如轻量级目录访间协议(Lightweight Directory Access Protocol,LDAP),允许主体和应用程序与目录进行交互。应用程序可以向目录发出一个LDAP 请求,请求访问特定用户的相关信息:用户也可以通过类似的请求要求访问某个资源的相关信息。目录内的客体由目录服务管理。目录服务允许管理员配置和管理如何在网络中进行身份标识、身
4、份验证、授权和访问控制。目录内的客体通过名称空间标记和标识。目录服务如何让这些实体保持有序运行呢?这就需要使用名称空间。每种目录服务都采用某种方式标识和命名它们所管理的客体。目录服务管理目录中的条目和数据,并且通过执行访问控制和身份管理功能来实施已配置的安全策略。例如,当你登入DC后,目录服务(AD)将决定你能够访问网络中的哪些资源。目录在身份管理中的角色 用于IdM的目录是一种为读取和搜索操作而进行过优化的专用数据库软件,它是身份管理解决方案的主要组件,其原因在于所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略以及其他内容都存储在这一位置中。当其他IdM软件应用程序需要执行它们的功
5、能(授权、访问控制、分配权限)时,就能够从一个集中的位置来获取它们所需的信息。3Web 访问控制管理过程的基本组件和活动:(1)用户向Web 服务器送交凭证。(2)Web服务器请求WAM平台去认证用户。WAM对LDAP目录进行身份验证,并从策略数据库中检索授权。(3)用户请求访问一个资源(客体)。(4)Web 服务器使用安全策略进行验证,并且允许用户访问请求的资源。4一些最常用的密码管理方法:密码同步 降低保留不同系统的不同密码的复杂性。自助式密码重设 通过允许用户重新设置他们的密码,减少服务台人员收到的求助电话数量。辅助式密码重设 为服务台减少有关密码问题的决策过程,这包括使用其他类型的身份
6、验证机制(生物测定学、令牌)进行身份验证。5SSO 技术允许用户只需要进行一次身份验证,随后不需要再次身份验证就可以访问环境中的资源。如果攻击者找出某个用户的凭证,那么就可以访问这名合法用户能够访问的所有资源。SSO解决方案还会造成瓶颈或单点故障。如果SSO服务器崩溃,那么用户就不能访问网络资源。这也就是我们需要采用某种冗余或故障排除技术的原因。如果攻击者找出某个用户的凭证,那么就可以访问这名合法用户能够访问的所有资源。SSO解决方案还会造成瓶颈或单点故障。如果SSO服务器崩溃,那么用户就不能访问网络资源。这也就是我们需要采用某种冗余或故障排除技术的原因。单点登录技术的示例 Kerberos
7、使用KDC和票证的身份验证协议,基于对称密钥密码学。SESAME 使用PAS和PAC的身份验证协议,基于对称和非对称密码学。安全域 在相同安全策略下运行的资源,由相同的组管理。目录服务 允许资源以标准化方式命名和允许访问控制被集中维护的一种技术。瘦客户端 依赖一台中央服务器进行访问控制、处理和存储的终端。6账户管理 账户管理负责创建所有系统中的用户账户,在必要时更改账户权限,并在不再需要时删除账户。用户指配指的是为响应业务过程而创建、维护和删除存在于一个或多个系统、目录或应用程序中的用户对象与属性。用户指配软件可能包括下列一个或多个组件:变更传播、自助式工作流程、统一化用户管理、委托式用户管理
8、以及联合变更控制。用户对象可能表示雇员、承包商、供应商、合作伙伴、客户或其他服务对象。服务可能包括电子邮件、对数据库的访问、对文件服务器或大型机的访问等。创建账户也是创建对公司资产的访问权限,具体方式是通过指配来赋予用户访问权限或取消其权限。在用户身份的整个生命周期中,该用户的访问权利、权限或特权应以一种明确的、自动的、经过审计的方式进行必要的更改。用户资料更新 大多数公司并不只是保存与用户有关的重要信息,而且要根据这些信息做出访问决策。另一方面,收集的用户资料(电子邮件地址、家庭住址、电话号码、裤子尺码等)可能过多。如果这组数据与某个用户的身份相关联,那么就将其称为用户资料。7Kerbero
9、s使用对称密钥密码学,并提供端对端的安全性。尽管允许使用密码进行身份验证,但是它在设计时专门消除了通过网络传输密码的要求。绝大多数Kerberos 实现方案使用的是共享的秘密密钥。Kerberos中的主要组件 密钥分发中心(Key Distribution Center,KDC)是Kerberos环境内最重要的组件。KDC保存了所有用户和服务的秘密密钥。它提供身份验证服务以及密钥分发功能。客户和服务都信任KDC的完整性,这种信任是Kerberos安全的基础。KDC为委托人(principal)提供安全服务,委托人可以是用户、应用程序或网络服务。KDC必须为每个委托人提供一个账户,并且与之共享一
10、个秘密密钥。对于用户来说,密码被转换为秘密密钥值,该秘密密钥用于在委托人和KDC之间往返发送敏感信息,目的在于进行用户身份验证。KDC上的票证(ticket)由票证授予服务(Ticket Granting Service,TGS)生成,用于一个委托人(假设为用户)需要对另一个委托人(假设为打印服务器)进行身份验证。票证使一个委托人能够对另一个委托人进行身份验证。如果Emily需要使用打印服务器,那么她必须向打印服务器证明她就是自己声称的人,并且已被授权使用打印服务。因此,Emily向TGS请求一个票证。TGS向Emily授予票证,Emily随后将该票证提交给打印服务器。如果打印服务器认可这个票
11、证,那么Emily就可以使用打印服务。KDC为一组委托人提供安全服务,这个组称为Kerberos中的一个域(realm)。在一个域内,KDC对于所有用户、应用程序和服务来说都是可信任的身份验证服务器。一个KDC能够对一个或几个域有效。域用于允许管理员对资源和用户进行逻辑分组。到目前为止,我们了解了委托人(用户和服务)需要KDC的服务以彼此进行身份验证,KDC所具有的数据库充满了其域内所有委托人的相关信息,KDC保存和递送密钥与票证,票证被委托人用于彼此进行身份验证。那么,这个工作过程是怎样的呢?Kerberos身份验证过程 用户与KDC共享一个秘密密钥,而服务与KDC 又共享另外一个秘密密钥。
12、用户与请求的服务最初没有共享对称密钥。因为共享一个秘密密钥,所以用户信任KDC。它们之间可以对互相传递的数据进行加密和解密,这样就拥有了一条受保护的通信路径。一旦用户对服务进行了身份验证,它们就共享一个对称密钥(会话密钥),用来进行身份验证。身份验证服务是KDC 中用于对委托人进行身份验证的部分,而TGS 是KDC 中用于生成票证并将票证发送给委托人的部分。使用TGT 是为了让用户不必在每次需要与另一个委托人通信时都输入自己的密码。用户输入密码后,密码会临时存储在他的系统中,用户任何时候需要与另一个委托人通信,都只需要重用TGT。必须要认识到会话密钥与秘密密钥是不同的。秘密密钥在KDC 和委托
13、人之间进行共享,它在本质上是静态的。会话密钥在两个委托人之间进行共享,它在需要的时候生成,并在会话结束时销毁。Kerberos的弱点 下面列举了Kerberos可能存在的一些弱点:KDC可以是一个单一故障点。如果KDC出现故障,那么没有人能够访问所需的资源。对于KDC来说,冗余是必要的。KDC必须能够以实时方式处理接收到的大量请求。它必须可扩展。秘密密钥临时存储在用户的工作站上,这意味着入侵者有可能获得这些密钥。会话密钥被解密后驻留在用户工作站的缓存或密钥表中。同样地,入侵者也可以获取这些密钥。Kerberos容易遭受密码猜测攻击。KDC并不知道是否正在发生字典攻击。如果没有应用加密功能,那么Kerberos不能保护网络流量。如果密钥过短,那么它们可能易受蛮力攻击。Kerberos 要求所有客户端和服务器的时钟同步。Kerberos 必须是透明的(在后台运行,不需要用户理解)、可扩展的(在大型的异构环境中运行)、可靠的(使用分布式服务器架构来确保不会出现单点故障)和安全的(提供身份验证和机密性)。89
