课件分享：D5-4身份管理和相关技术＃CISSP认证学习

每天叫醒你的不是闹钟，而是学习

01

身份管理(IdM)是一个广泛而又深入的术语，包括使用不同产品对用户进行自动化的身份标识、身份验证和授权。

对许多人而言，这个术语还包括用户账户管理、访问控制、密码管理、单点登录（SSO）功能、管理用户账户的权限和特权以及设计和监控上述所有项。个人和公司之所以对身份管理(IdM)有着不同的定义和看法，是因为身份管理的内容非常广泛，而且包含许多不同的技术和过程。

安全专业人员不仅需要理解整个身份管理，而且还要理解构成整个企业IdM解决方案的各种技术，这是十分重要的。

IdM要求管理唯一标识的实体、它们的特征、凭证和资格。身份管理允许组织机构以及时和自动的方式创建并管理数字身份的生命周期（创建、维护、终止）。

企业IdM必须满足业务需求以及面向内部系统和外部系统的标准。

企业目前在控制资产访问方面需要处理的许多常见问题:

每位用户应当能够访问哪些内容？

由谁批准和允许访问？

访问决策如何与策略相对应？

离职员工是否仍然拥有访问权？

我们如何与动态的、不断变化的环境同步？

撤消访问的过程是怎样的？

如何对访问进行集中控制和监控？

为什么雇员需要记住8个密码？

我们有5个不同的操作平台。如果每个平台（和应用程序）都需要自己的凭证，那么如何进行集中控制？

我们如何控制雇员、客户和合作伙伴的访问权限？

如何确保我们遵守了必要的法规？

准备CISSP 考试时应当了解的一些技术: 目录、Web 访问管理、密码管理、单点登录、账户管理等内容。

02

大多数企业都使用某种类型的目录，目录中包含了与公司网络资源和用户有关的信息。

多数目录遵循一种层次化的数据库格式，基于X.500标准和某种协议（如轻量级目录访间协议(LDAP))，，允许主体和应用程序与目录进行交互。应用程序可以向目录发出一个LDAP 请求，请求访问特定用户的相关信息:用户也可以通过类似的请求要求访问某个资源的相关信息。

目录内的客体由目录服务管理。目录服务允许管理员配置和管理如何在网络中进行身份标识、身份验证、授权和访问控制。目录内的客体通过名称空间标记和标识。

目录服务如何让这些实体保持有序运行呢?这就需要使用名称空间。每种目录服务都采用某种方式标识和命名它们所管理的客体。

目录服务管理目录中的条目和数据，并且通过执行访问控制和身份管理功能来实施已配置的安全策略。例如，当你登入桌面终端后，目录服务（AD）将决定你能够访问网络中的哪些资源。

目录在身份管理中的角色是什么呢？

用于IdM的目录是一种为读取和搜索操作而进行过优化的专用数据库软件，它是身份管理解决方案的主要组件，其原因在于所有资源信息、用户属性、授权资料、角色、潜在的访问控制策略以及其他内容都存储在这一位置中。当其他IdM软件应用程序需要执行它们的功能（授权、访问控制、分配权限）时，就能够从一个集中的位置来获取它们所需的信息。

03

Web访问管理（WAM）软件用于控制用户在使用Web浏览器与基于Web 的企业资产进行交互时能够访问哪些内容。

Web 访问控制管理过程的基本组件和活动:

首先，用户向Web 服务器送交凭证。

然后，Web服务器请求WAM平台去认证用户。WAM对LDAP目录进行身份验证，并从策略数据库中检索授权。

第三步，用户请求访问一个资源（客体）。

最后，Web 服务器使用安全策略进行验证，并且允许用户访问请求的资源。

04

一些最常用的密码管理方法有：密码同步、自助式密码重设和辅助式密码重设。

密码同步用于降低保留不同系统的不同密码的复杂性；

自助式密码重设 通过允许用户重新设置他们的密码，减少服务台人员收到的求助电话数量。

辅助式密码重设 为服务台减少有关密码问题的决策过程，这包括使用其他类型的身份验证机制（如生物测定学、令牌）进行身份验证。

05

单点登录SSO 技术允许用户只需要进行一次身份验证，随后不需要再次身份验证就可以访问环境中的资源。

但是，如果攻击者找出某个用户的凭证，那么就可以访问这名合法用户能够访问的所有资源。

SSO解决方案还会造成瓶颈或单点故障。如果SSO服务器崩溃，那么用户就不能访问网络资源。

这也就是我们需要采用某种冗余或故障排除技术的原因。如果攻击者找出某个用户的凭证，那么就可以访问这名合法用户能够访问的所有资源。

SSO解决方案还会造成瓶颈或单点故障。如果SSO服务器崩溃，那么用户就不能访问网络资源。这也就是我们需要采用某种冗余或故障排除技术的原因。

06

一般企业会开发或购买一套 企业身份管理系统 来进行身份与访问控制管理，这个系统包括的功能有：

账户管理 账户管理负责创建所有系统中的用户账户，在必要时更改账户权限，并在不再需要时删除账户。

2. 用户指配指的是为响应业务过程而创建、维护和删除存在于一个或多个系统、目录或应用程序中的用户对象与属性。用户指配软件可能包括下列一个或多个组件：变更传播、自助式工作流程、统一化用户管理、委托式用户管理以及联合变更控制。用户对象可能表示雇员、承包商、供应商、合作伙伴、客户或其他服务对象。服务可能包括电子邮件、对数据库的访问、对文件服务器或大型机的访问等。创建账户也是创建对公司资产的访问权限，具体方式是通过指配来赋予用户访问权限或取消其权限。在用户身份的整个生命周期中，该用户的访问权利、权限或特权应以一种明确的、自动的、经过审计的方式进行必要的更改。

3. 用户资料更新 大多数公司并不只是保存与用户有关的重要信息，而且要根据这些信息做出访问决策。另一方面，收集的用户资料（电子邮件地址、家庭住址、电话号码等）可能过多。如果这组数据与某个用户的身份相关联，那么就将其称为用户资料。

07

Kerberos协议是实现单点登录的一个身份验证和授权协议。它使用对称密钥密码学，并提供端对端的安全性。

尽管允许使用密码进行身份验证，但是它在设计时专门消除了通过网络传输密码的要求。

绝大多数Kerberos 实现方案使用的是共享的秘密密钥。理解Kerberos 所用的几个不同元素很重要。

密钥分发中心密钥分发中心(KDC)是提供身份认证服务的可信第三方。

Kerberos 使用对称密钥加密认证需要登录服务器的客户。所有客户和服务器都用KDC 做了注册，所有网络成员的密钥都由KDC 维持。

Kerberos身份认证服务器KDC 的功能包括：票据授予服务（TGS)和身份认证服务(AS)。

授予票证授予票证(TGT)通过KDC 提供主体已认证的证明， 并授权请求访问其他客体的票据。

TGT已进行加密， 并且包括对称密钥、过期时间和用户的IP 地址。主体在请求访问客体的票据时， 会出示TGT。

票据（ST）票据是加密的信息， 证明主体己被授权访问某个对象。票据有时被称为服务票据(ST)。主体请求访问客体的票据， 如果他们已经进行认证， 并被授权访问对象， Kerberos 会向他们发放一张票据。Kerberos 票据有特定的寿命和使用参数。一旦票据到期， 就必须要求客户续期或申请新票据以继续与任何服务器通信。

Kerberos 需要账户数据库， 这通常包含在目录服务中。它使用客户、网络服务器和KDC 之间的票据交换来证明身份并提供身份认证。这允许客户端从服务器请求资源， 但客户端和服务器都应该能够确保双方的身份。这些加密的票据也确保登录凭证、会话密钥和认证消息不会以明文传输。

下面我们举一个例子，来说明Kerberos协议是怎么工作的：

首先，假设一个用户Emily上午8 点开始上班，然后在工作站中输入自己的用户名和密码。Emily计算机上的Kerberos软件将用户名发送至KDC上的身份验证服务(AS)，AS随后向Emily发送一个使用她的密码(对称密钥)加密的票证授予票证(TGT)。如果Emily 输入正确的密码，那么这个TGT被解密，Emily就能够访问其本地的工作站桌面。反之说明。

如果Emily需要向打印服务器发送一个打印作业，那么她的系统就会将TGT发送至在KDC上运行的票证授予服务(Ticket Granting Service，TGS)，这允许Emily证明她已通过身份验证，并且可以请求访问打印服务器。

TGS创建并发送给Emily 另一个票证，Emily将使用新创建的票证对打印服务器进行身份验证。第二个票证包含相同会话密钥的两个实例，一个实例使用Emily 的秘密密钥加密，另一个实例则使用打印服务器的秘密密钥加密。这个票证还包含一个身份验证器，身份验证器包含与Emily 相关的身份标识信息及其系统的IP 地址、序列号和时间标记。

Emily的系统接收第二个票证，解密和提取会话密钥，在该票证中添加第二个包含另一组身份标识信息的身份验证器，并且将第二个票证发送至打印服务器。

打印服务器接收票证，解密和提取会话密钥，并且解密和提取票证中的两个身份验证器。如果打印服务器能够解密和提取会话密钥，那么就会知道该票证是KDC创建的，因为只有KDC才拥有用于加密会话密钥的秘密密钥。如果向KDC 和用户添加票证的身份验证器匹配，那么打印服务器就知道自己接收的票证来自正确的委托人。

完成上述步骤后，Emily就已经正确通过了打印服务器的身份验证，服务器开始打印她的文挡。

上面简单地概述了Kerberos交换中的运作方式。

Kerberos的弱点

下面列举了Kerberos可能存在的一些弱点：

KDC可以是一个单一故障点。如果KDC出现故障，那么没有人能够访问所需的资源。对于KDC来说，冗余是必要的。

KDC必须能够以实时方式处理接收到的大量请求。它必须可扩展。

秘密密钥临时存储在用户的工作站上，这意味着入侵者有可能获得这些密钥。

会话密钥被解密后驻留在用户工作站的缓存或密钥表中。同样地，入侵者也可以获取这些密钥。

Kerberos容易遭受密码猜测攻击。KDC并不知道是否正在发生字典攻击。

如果没有应用加密功能，那么Kerberos不能保护网络流量。

如果密钥过短，那么它们可能易受蛮力攻击。

Kerberos 要求所有客户端和服务器的时钟同步。

Kerberos 必须是透明的（在后台运行，不需要用户理解）、可扩展的（在大型的异构环境中运行）、可靠的（使用分布式服务器架构来确保不会出现单点故障）和安全的（提供身份验证和机密性）。

-END-