謝宗曉 董坤祥 甄杰

“十二五”國家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之五十三

身份與訪問管理（Identity & Access Management，IAM）是信息安全中重要的控制域之一，在之前的討論中，陸續(xù)開始介紹主流的安全技術(shù)，本文作為該系列之一，介紹了與身份與訪問管理的主要概念、機(jī)制及其相關(guān)控制。

謝宗曉（特約編輯）

摘要：介紹身份與訪問管理中憑證和公鑰基礎(chǔ)設(shè)施等主要概念，身份鑒別/實(shí)體鑒別協(xié)議，以及其相關(guān)控制，以FIPS PUB 201-2為例討論了集成應(yīng)用。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò)安全 身份與訪問管理

A Brief Analysis of Identity and Access Management （IAM） Related Control

Xie Zongxiao （China Financial Certification Authority， CFCA）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Zhen Jie （School of Business Planning， Chongqing Technology and Business University）

Abstract： This paper introduces the main concepts such as credentials and public key infrastructure in identity and access management， authentication/entity authentication protocol， and its related control， on the basis of which the integrated application is discussed with FIPS PUB 201-2.

Key words： information security， network security， Identity & Access Management （IAM）

身份與訪問管理，有時(shí)候也被稱為“身份管理（Identity Management，IDM）”。IAM是一個(gè)策略和技術(shù)的框架集，用于確保組織中的適當(dāng)人員能夠適當(dāng)?shù)卦L問相應(yīng)的資源，主要包括：1）身份鑒別（authentication）/實(shí)體鑒別（entity authentication）1）協(xié)議;2）憑證（credential）;3）公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）;4）授權(quán)（privilege authorization）;5）訪問控制（access control）。

1 身份鑒別/實(shí)體鑒別協(xié)議

身份鑒別/實(shí)體鑒別，是指確認(rèn)一個(gè)實(shí)體所聲稱身份的過程[1]。所謂鑒別機(jī)制，是指用于證實(shí)某個(gè)實(shí)體就是他所稱的實(shí)體。一般而言，待鑒別的實(shí)體通過表明它確實(shí)知道某個(gè)秘密、持有某種特有物品，或者擁有某種特征，來證明其身份。實(shí)體鑒別，有單向的，也有雙向的。對(duì)于單向鑒別，如果實(shí)體A定義為聲稱方，則實(shí)體B定義為驗(yàn)證方。這是最常見的模式，例如，日常的系統(tǒng)登錄，A一般指的是用戶，B一般指的是系統(tǒng)。

關(guān)于實(shí)體鑒別，有一個(gè)比較重要的標(biāo)準(zhǔn)，ISO/IEC 9798《信息技術(shù) 安全技術(shù) 實(shí)體鑒別》Information technology—Security techniques —Entity authentication，目前其狀態(tài)如表1所示。

ISO/IEC 9798是關(guān)于實(shí)體鑒別模式的，只是規(guī)定了鑒別模型及一般安全要求，例如，第2部分是采用對(duì)稱加密算法的實(shí)體鑒別機(jī)制，但是其中并不涉及具體的身份鑒別/實(shí)體鑒別技術(shù)。或者說，ISO/IEC 9798僅僅是一個(gè)框架，并不涉及如何區(qū)分實(shí)體，或者如何產(chǎn)生可區(qū)分標(biāo)識(shí)符。

2 憑證

目前，身份鑒別技術(shù)中使用各種各樣的憑證，最常見也最實(shí)用的毫無疑問是口令（password），但是口令存在一個(gè)問題，就是集中存儲(chǔ)所帶來的風(fēng)險(xiǎn)，因此，口令應(yīng)該加密存儲(chǔ)。一般而言，口令的保存以不可逆的加密算法，或者是單向散列函數(shù)算法，加密存儲(chǔ)。

整體而言，身份鑒別技術(shù)所使用的憑證，可以分為三大類：

1） 你所知道的信息（what you know），例如，口令，PIN（Personal Identification Number）等;

2） 你所擁有的東西（what you have），例如，智能卡、USB Key等;

3） 你獨(dú)一無二的特征（who you are），比如，指紋、人臉識(shí)別等。

已經(jīng)存在的諸多身份鑒別方式，各有利弊。例如，現(xiàn)在最流行的是生物識(shí)別技術(shù)，包括指紋和人臉識(shí)別。為了解決集中存儲(chǔ)所帶來的風(fēng)險(xiǎn)，口令可以加密存儲(chǔ)，這是第一道防線，即便扛不住攻擊，可以通知用戶及時(shí)修改口令，這也就是說，一般而言，攻擊者不會(huì)花費(fèi)大量的精力去破解加密的口令，因?yàn)椴恢档谩?/p>

但是對(duì)于指紋和人臉等特征就不同了，這些特征不能輕易改變，攻擊者就有動(dòng)力去獲取并破解。因此，集中存儲(chǔ)生物特征所帶來的風(fēng)險(xiǎn)，就遠(yuǎn)不是口令所能比的。加上對(duì)稱密碼學(xué)的密文中集成了密鑰[2]，所以無論是線上快速身份驗(yàn)證（Fast Identity Online， FIDO）聯(lián)盟 還是互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟（Internet Finance Authentication Alliance， IFAA）都是建立在公鑰密碼學(xué)基礎(chǔ)上。

對(duì)內(nèi)部管理用戶而言，一般系統(tǒng)使用口令即可，但是對(duì)于銀行而言，大批量處理敏感個(gè)人信息、查詢征信、系統(tǒng)運(yùn)維、特權(quán)審批的崗位等，應(yīng)該使用雙因素認(rèn)證，包括指紋、U盾和證書等。

3 公鑰基礎(chǔ)設(shè)施

既然說到公鑰密碼學(xué)，就容易想到PKI[3-4]，同時(shí)引入了一個(gè)詞匯——認(rèn)證，例如，認(rèn)證機(jī)構(gòu)（Certification Authority，CA）。在公鑰密碼中，發(fā)送者用公鑰（加密密鑰）加密，接收者用私鑰（解密密鑰）解密。公鑰一般是公開的，不再擔(dān)心竊聽，這解決了對(duì)稱密碼中難以解決的密鑰配送問題。但是接收者依然無法判斷收到的公鑰是否是合法的，因?yàn)橛锌赡苁侵虚g人假冒的。事實(shí)上，僅靠公鑰密碼本身，無法防御中間人攻擊。于是，需要（認(rèn)證機(jī)構(gòu)）對(duì)公鑰進(jìn)行簽名，從而確認(rèn)公鑰沒有被篡改。加了數(shù)字簽名的公鑰稱為證書（公鑰證書，一般簡(jiǎn)稱為證書）。

也就是說，PKI中的“認(rèn)證”也是證明其身份的過程，具有一定的權(quán)威性， CA對(duì)公鑰簽名，本質(zhì)上是有第三方參與的?！拌b別”與這個(gè)概念不同，含有“篩選”“甄選”的意思，從一堆里面挑出來。還有，在PKI中的認(rèn)證，并不需要頻繁地進(jìn)行。CA在生成證書時(shí)，會(huì)對(duì)公鑰是否被篡改進(jìn)行認(rèn)證，然后將認(rèn)證結(jié)果以證書的形式發(fā)放。之后，使用該證書中包含的公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證的PKI用戶，而不是CA。從這個(gè)意義上講，CA應(yīng)該稱為“證書頒發(fā)機(jī)構(gòu)”[5]。

4 授權(quán)與訪問控制

授權(quán)，是指在屬性管理系統(tǒng)中，將主體與角色綁定的過程[1]。鑒別和授權(quán)是兩件不同的事，鑒別指的是證明聲稱方（claimant）確實(shí)是聲稱者本體，當(dāng)然，嚴(yán)格講，兩者都是訪問控制的一部分。

基于角色的訪問控制（Role-Based Access Control，RBAC）可能是目前使用最廣泛的授權(quán)方案（authorization scheme），其中的角色（例如，經(jīng)理、應(yīng)收賬款職員、信貸員）提供了用戶權(quán)限、職責(zé)或工作職能的一種表達(dá)方法。在RBAC中，將用戶賦予角色的過程，實(shí)際是間接地授予與角色關(guān)聯(lián)的用戶權(quán)限。這種訪問控制方法通常稱為基于屬性的訪問控制（Attribute-Based Access Control，ABAC）。

組織在考慮訪問控制系統(tǒng)時(shí)，應(yīng)該考慮三個(gè)方面：1）訪問策略;2）訪問模型;3）訪問機(jī)制。訪問控制策略指定如何管理訪問以及在什么情況下誰可以訪問信息。訪問控制策略是通過一種機(jī)制執(zhí)行的，這種機(jī)制通常根據(jù)系統(tǒng)提供的結(jié)構(gòu)轉(zhuǎn)換用戶的訪問請(qǐng)求。訪問控制列表（Access Control List，ACL）是一個(gè)常見的例子。訪問控制模型在策略和機(jī)制之間架起了橋梁。安全模型通常用于描述訪問控制系統(tǒng)的安全屬性，而不是僅在機(jī)制級(jí)別評(píng)估和分析訪問控制系統(tǒng)。安全模型是系統(tǒng)執(zhí)行的安全策略的正式表示，對(duì)于證明系統(tǒng)的理論局限性非常有用。

5 集成示例：FIPS PUB 201-2

在一般的Web應(yīng)用程序通常使用三層相互關(guān)聯(lián)的安全機(jī)制處理用戶訪問：1）身份鑒別;2）會(huì)話管理;3）訪問控制。在實(shí)際的應(yīng)用中，身份與訪問管理（IAM）都是一套組合拳，一般不會(huì)是單一功能的部署。

美國國土安全部總統(tǒng)12號(hào)指令（Homeland Security Presidential Directive-12，HSPD-12）為了加強(qiáng)安全、提高政府效率、減少身份欺詐和保護(hù)個(gè)人隱私的政策，為聯(lián)邦政府向其雇員和承包商發(fā)布的安全可靠的身份證明形式建立了強(qiáng)制性的、政府范圍內(nèi)的要求。

基于此，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了FIPS PUB 201-2，《聯(lián)邦雇員與承包商個(gè)人身份驗(yàn)證》[Personal Identity Verification （PIV） of Federal Employees and Contractors]，其中定義了聯(lián)邦雇員和承包商通用的身份識(shí)別標(biāo)準(zhǔn)的體系結(jié)構(gòu)和技術(shù)要求，整體的目標(biāo)是通過有效地驗(yàn)證試圖物理訪問聯(lián)邦控制的政府設(shè)施和邏輯訪問政府信息系統(tǒng)的個(gè)人所聲稱的身份，為多個(gè)應(yīng)用程序?qū)崿F(xiàn)適當(dāng)?shù)陌踩ＷC。

也就是說，HSPD-12是原則性要求，F(xiàn)IPS PUB 201-2是具體細(xì)化。相應(yīng)的還有一系列更具體的要求和實(shí)現(xiàn)指南。例如，SP 800-76規(guī)定了生物特征信息的收集和格式化的要求，SP 800-78則規(guī)定了密碼算法和密鑰長(zhǎng)度等相關(guān)問題。

參考文獻(xiàn)

[1] 國家密碼管理局. 密碼術(shù)語：GM/Z 0001—2013[S].北京：? ? ?中國標(biāo)準(zhǔn)出版社， 2013.

[2] Diffie W， Hellman M E. New directions in cryptography? ? ?[J]. IEEE Transactions on Information Theory， 1976，?? ? ?22（6）：644-654.

[3] 謝宗曉，劉琦. 公鑰基礎(chǔ)設(shè)施（PKI）國際標(biāo)準(zhǔn)進(jìn)展[J]. 金融? ? ? 電子化， 2018， （10）：56-59.

[4] 謝宗曉，甄杰.公鑰基礎(chǔ)設(shè)施（PKI）國家標(biāo)準(zhǔn)解析[J].中國質(zhì)? ? ? 量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018（12）：18-21.

[5] 結(jié)城浩.圖解密碼技術(shù)（第3版）[M].北京：中國工信出版? ? ?集團(tuán)/人民郵電出版社，2016.