GB-T 36633-2018 信息安全技术 网络用户身份鉴别技术指南.pdf
- 文档编号:14660701
- 上传时间:2023-06-25
- 格式:PDF
- 页数:23
- 大小:2.42MB
GB-T 36633-2018 信息安全技术 网络用户身份鉴别技术指南.pdf
《GB-T 36633-2018 信息安全技术 网络用户身份鉴别技术指南.pdf》由会员分享,可在线阅读,更多相关《GB-T 36633-2018 信息安全技术 网络用户身份鉴别技术指南.pdf(23页珍藏版)》请在冰点文库上搜索。
书书书犐犆犛犔?
犌犅犜?
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犜犲犮犺狀犻犮犪犾犵狌犻犱犲犳狅狉犻犱犲狀狋犻狋狔犪狌狋犺犲狀狋犻犮犪狋犻狅狀狅狏犲狉狀犲狋狑狅狉犽?
书书书目次前言范围规范性引用文件术语和定义缩略语概述网络用户身份鉴别过程鉴别协议凭证验证方依赖方密码支持用户注册和凭证发放过程注册和发放威胁注册和发放威胁的应对策略鉴别信息提交和验证过程提交和验证威胁提交和验证威胁的应对策略断言过程断言威胁断言威胁的应对策略凭证凭证的类型凭证威胁凭证威胁的应对策略凭证管理凭证管理活动凭证管理威胁凭证管理威胁的应对策略附录(资料性附录)三种鉴别模型的鉴别过程附录(资料性附录)基本断言模型犌犅犜前言本标准按照给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会()提出并归口。
本标准起草单位:
公安部第三研究所、中国电子技术标准化研究院、西安西电捷通无线网络通信股份有限公司、北京工业大学、武汉大学。
本标准主要起草人:
顾健、张笑笑、杨元原、陈妍、范科峰、顾玮、俞优、沈亮、王莹莹、沈清泓、许东阳、杜志强、李琴、杨震、王丽娜。
犌犅犜信息安全技术网络用户身份鉴别技术指南范围本标准给出了网络环境下用户身份鉴别的主要过程和常见鉴别技术存在的威胁,并规定了抵御威胁的方法。
本标准适用于网络环境下用户身份鉴别系统的设计、开发与测试。
规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
信息技术安全技术实体鉴别第部分:
总则信息技术安全技术实体鉴别第部分:
采用对称加密算法的机制信息技术安全技术实体鉴别第部分:
采用数字签名技术的机制信息技术安全技术实体鉴别第部分:
采用密码校验函数的机制信息技术安全技术实体鉴别第部分:
使用零知识技术的机制信息安全技术术语信息安全技术引入可信第三方的实体鉴别及接入架构规范术语和定义界定的以及下列术语和定义适用于本文件。
声称方犮犾犪犻犿犪狀狋为了进行鉴别,本身是本体或者代表本体的个人。
注:
声称方具备代表本体进行鉴别交换的各种功能。
申请方犪狆狆犾犻犮犪狀狋请求分配注册项及其标号的个人。
验证方狏犲狉犻犳犻犲狉对声称方合法性进行验证的机构或组织。
依赖方狉犲犾狔犻狀犵狆犪狉狋狔依赖身份鉴别结果决定是否与声称方建立信任关系的机构或组织。
凭证犮狉犲犱犲狀狋犻犪犾身份证明。
犌犅犜凭证服务提供方犮狉犲犱犲狀狋犻犪犾狊犲狉狏犻犮犲狆狉狅狏犻犱犲狉发布或者注册合法用户的凭证,并且为合法用户颁发凭证的机构或组织。
合法用户狊狌犫狊犮狉犻犫犲狉从凭证服务提供方得到凭证的个人。
断言犪狊狊犲狉狋犻狅狀狊验证方所作出的不包含有效证据的声明。
断言参考犪狊狊犲狉狋犻狅狀狉犲犳犲狉犲狀犮犲和断言结合的,包含验证方标识和断言指针信息的数据对象。
身份确认犻犱犲狀狋犻狋狔犮狅狀犳犻狉犿犪狋犻狅狀采集用户身份信息,并确认用户身份真实性和一致性的过程。
网络用户身份鉴别犻犱犲狀狋犻狋狔犪狌狋犺犲狀狋犻犮犪狋犻狅狀狅狏犲狉狀犲狋狑狅狉犽在网络中识别用户身份并辨别其合法性的过程。
缩略语下列缩略语适用于本文件。
:
凭证服务提供方():
跨站请求伪造():
域名系统():
超文本传送协议():
多因素():
动态口令():
个人识别码():
公钥基础设施():
注册机构():
依赖方():
单因素():
安全套接层():
安全传输层协议():
可信第三方():
统一资源定位符():
跨站脚本()概述网络用户身份鉴别过程依赖方根据对用户的鉴别结果和用户的身份确定该用户是否拥有访问依赖方的权限。
犌犅犜网络用户身份鉴别的一般过程包括:
注册和发放过程、提交和验证以及断言过程。
图注册和发放的一般过程注册和发放的一般过程如图所示。
在注册和发放过程中,申请方向申请成为的合法用户,对申请方进行身份确认。
如果能够确认申请方的身份,会为申请方注册并颁发一个凭证,同时将凭证和申请方的身份或其他相关属性进行绑定。
至此申请方就成为了的一个合法用户,并且可以在鉴别协议中使用凭证证明其为合法用户。
一个用户可以是不同的合法用户。
图提交和验证以及断言的一般过程提交和验证以及断言的一般过程如图所示。
在提交和验证以及断言过程中,声称方在鉴别协议中通过与验证方的交互来证明他们是特定凭证的合法用户。
声称方首先与依赖方交互,发起鉴别会话,当依赖方和验证方是同一机构或组织时,在此鉴别会话中即可完成所有鉴别协议、消息交换;若依赖方与验证方不是同一机构或组织,在鉴别过程中,声称方还需要通过鉴别协议将凭证提交至验证方,验证方验证后将断言或断言参考发送至依赖方进行后续处理。
验证方通过鉴别协议验证声称者持有以及控制和断言相关的凭证。
一旦持有和控制被证实,验证方通常通过和交互证明凭证是合法的。
网络用户身份鉴别包括单向或双向鉴别,根据鉴别场景的不同,鉴别双方可能分别为声称方和验证方,也可能同时为声称方和验证方;对于有可信第三方参与的鉴别,为验证方。
三种鉴别模型的鉴别过程参见附录。
犌犅犜鉴别协议验证方和声称方在鉴别协议中的交互过程对于鉴别系统的总体安全性是极其重要的。
设计良好的鉴别协议在鉴别期间和之后都能保护声称方和验证方之间会话的完整性和保密性,它能减少攻击者伪装成合法验证方进行破坏造成的损失。
此外,验证方能够通过限制攻击者不正确验证的频率从而降低在线猜测攻击的成功率。
鉴别过程建立了声称方与验证方之间的关系,该过程通过鉴别协议消息的交互来实现。
其中,鉴别协议消息需要在受保护的会话中传递。
鉴别协议是声称方和验证方之间定义的一个消息序列,表明声称方拥有一个有效的凭证来确定其身份,同时表明该声称方正在与目标验证方交流。
声称方和验证方之间交互的鉴别(或鉴别无效)消息就是一个鉴别协议的运行过程。
完成或正在进行一个鉴别协议时,会在两者之间生成一个受保护的交互会话;这个受保护的会话可用于交互预定的鉴别协议运行的消息,或者在两者之间交互会话数据。
声称方和验证方的管理机制用于进一步提高鉴别过程的安全性。
例如,可以使用公共密钥机制生成信任链,从而实现验证方对声称方的鉴别;也可以限制攻击者在线猜测的口令次数。
此外,如果检测出鉴别请求来自于一个未知地址的声称方,或者声称方使用了未知的硬件或软件配置时,也可提高风险等级并要求声称方提供额外的信息用以身份确认。
在鉴别协议运行结束时,验证方有时会颁发一个二次鉴别凭证(例如)给合法用户,合法用户可以以此代替原有凭证进行鉴别。
鉴别协议的设计应符合和的规定。
凭证典型的鉴别系统通常采用以下三个因素作为验证的凭证:
知道的信息(例如口令等);拥有的东西(例如智能卡、动态口令令牌、智能密码钥匙、数字证书等);固有的特征(例如指纹、虹膜、人脸或者其他生物信息)。
多因素鉴别指多于一个条件的组合。
鉴别系统的强度很大程度上是由系统中以上因素的个数决定的。
使用两个因素的系统比仅仅使用一个因素要强;使用三个因素的系统要比仅仅使用两个因素的系统要强。
凭证中包含秘密信息以证明声称方是某个凭证的合法用户。
在网络用户身份鉴别中,声称方通过证明他拥有且控制某个凭证从而可在网络中通过某个应用的身份鉴别。
在凭证签发的过程中将凭证和合法用户的标识绑定。
凭证由签发和维护,验证方可使用凭证,在基于对凭证拥有和控制的情况下,验证声称方的身份。
为了通过凭证验证声称方是否为合法用户,验证方也应验证凭证本身(例如确定凭证是由授权的颁发并且未过期或者被吊销)。
如果验证方本身就是,可以直接对凭证有效性进行验证。
否则,验证方可以通过安全协议询问,进行交互验证。
以凭证公开的方式绑定的凭证称为公共凭证。
典型的公共凭证如公共密钥鉴别,即使知晓相关公共密钥的前提下,也无法计算用户的私有密钥。
不能公开的凭证称为私有凭证,这种凭证一旦泄露,可能威胁到凭证的安全。
典型的私有凭证的例子是口令的哈希值,该哈希值一旦泄露,则可能受到口令离线攻击。
验证方验证方是一个功能角色,常常和或者实现在一起。
如果验证方是和分开的机构或组织,应确保验证方在鉴别过程中并不知道合法用户的凭证秘密,或者至少保证验证方只能对保存的凭证秘密进行受限访问。
犌犅犜依赖方依赖于网络用户身份鉴别的结果从而建立合法用户身份或者属性的信任关系,最终可以执行某些事务。
验证方和可能是同一个机构或组织,或者是不同的机构或组织。
如果他们是不同的机构或组织,通常从验证方收到断言,此过程中应保证断言是从信任的验证方传过来的。
密码支持凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。
用户注册和凭证发放过程注册和发放威胁身份鉴别从注册开始。
申请方向申请成为的合法用户。
申请方身份确认成功后,为申请方注册,为合法用户颁发一个凭证,并将凭证与用户标识绑定。
这个凭证可以是签署的,也可以直接由合法用户生成,或者由第三方提供。
可以是的一个部分,也可以是一个独立的机构或组织。
若与是分开的机构或组织,则需建立信任关系。
或保存注册记录。
网络用户身份鉴别过程中,和面向公众提供服务,此时,身份确认过程一般只限于确认其证件、手机号和电子邮件等信息和先前发放的凭证。
注册和身份确认过程应确保知道申请方的真实身份。
具体来说是为了确保以下内容:
)用户与申请方声称的属性存在,且这些属性足够用于唯一标识一个用户;)拥有注册凭证的申请方实际上拥有该身份权;)声称方难以否定该注册。
申请方可当面注册,也可远程注册。
不同情况下的身份确认的过程和机制会有所不同。
在注册和身份确认与凭证签发分开的模型中,负责验证凭证签发给的人与进行身份确认的人是同一个。
在该模型中,发放与注册和身份确认应牢牢绑定,防止攻击者冒充一个新的注册合法用户,尝试收集真实用户的凭证。
并且,从凭证起始点到申请方或的传输安全性需要得到保障,以维护凭证的保密性和完整性,以及凭证被真正的申请方所拥有。
注册过程中通常有两类的威胁:
身份假冒威胁和对基础设施(和)的危害或破坏。
本标准关注解决身份假冒威胁。
基础设施威胁可通过常用的网络安全技术措施解决(如,职责分离、记录保存、独立审计),不在本标准的范围中。
发放过程的威胁包括身份假冒攻击和凭证或凭证签发传输机制的威胁。
表中详细列举了与注册和发放相关的威胁。
表注册和发放的常见威胁行为类型实例注册假冒声称身份申请方通过使用伪造的证件声称一个不正确的身份否认注册合法用户否认注册,声称他她没有注册过该凭证犌犅犜表(续)行为类型实例发放泄露为合法用户创建的凭证在凭证发放过程中从传送到合法用户时被攻击者复制篡改合法用户创建的凭证在递交给时被攻击者更改未经授权发放假冒其他人获得凭证注册和发放威胁的应对策略注册威胁可以通过增加身份假冒难度来阻止,如规定一定的方法和程序,以来确定申请方就是该身份的有效拥有者,且申请方日后不能否认该注册。
表列出了抵御注册和发放过程威胁的应对策略。
表注册和发放威胁的应对策略行为类型应对策略注册假冒声称身份否认注册在申请方身份鉴别时提交的请求文档具有相当的可信度,使冒名顶替者难以成功通过身份确认阶段,如采用政府签发的经常被用来判断申请方身份的证件(如身份证、驾驶执照、护照等)身份鉴别时,申请方提供非政府签发文档(例如包含有申请方的姓名和当前所在地址的电费单,或信用卡账单)从而帮助实现更高级别的可信度当面或者通过摄像头实时交互,比对有效证件的照片与申请方是否一致申请方可以签署一份表格承认参与注册活动发放泄露篡改未经授权发放当面发放凭证;使用密封的信封邮寄到一个安全的地方,或采取会话保护的方式发送电子凭证当面发放凭证;使用密封的信封邮寄存储介质,或使用安全的通信协议保护会话数据的完整性作为合法用户接收到的所有凭证数据的源头,需建立程序允许合法用户对其进行验证建立程序以确保获得凭证的人与参加注册程序的人是同一个注册和发放过程包括:
注册、身份确认、凭证创建发放和凭证签发等过程。
注册和发放过程中产生的注册记录应由或保存,且该过程收集的个人信息应受到保护,且应满足所有的隐私要求。
应能够唯一标识每个合法用户以及与该用户相关的凭证,用户和相关的凭证之间应有一一对应关系。
根据或政策规定,申请方要提供姓名、地址、电话、出生日期等信息。
在某些情况下,可能会选择使用额外的、基于实践的鉴别方法来增加注册过程的可信度。
例如,申请方可能被要求提供其在相关机构办理的有助于确认申请方身份的非公开信息。
在注册和身份确认阶段收集的敏感信息在任何时候(如,传输、存储)都应受到保护以确保其安全性和保密性。
此外,身份确认过程中的相关结果应妥善保管,并保证数据的保密性和完整性。
如果和之间是通过网络进行远程通信,整个和之间的注册业务应建立在双方已相互鉴别的前提下,并且应对整个会话进行保护。
注册和发放过程允许当面注册和远程注册,其中远程注册过程一般采用全自动化方式实现。
某些犌犅犜情况下,作为全自动解决方案的替代或补充,也可以采用呼叫中心或在线辅助方式实现。
注册和发放过程的每个场景都应有明确要求,必要时(例如涉及金融服务时)应只允许当面注册。
如果之前已经签发过一个有效的凭证,可以发放另一个保证等级相同或更低的凭证。
在这种情况下,可以使用重复身份确认步骤来代替原始凭证的拥有权和控制权的证明,但仍应需满足在相应的级别上交付凭证的要求。
鉴别信息提交和验证过程提交和验证威胁通常情况下,、和验证方都是由可信实体运行维护的,他们不会故意滥用权利,但网络中的声称方不一定可信,因此需要对其申明的身份进行验证。
此外,尽管、和验证方通常可信,但存在被攻击者破坏的威胁。
因此,即使对于可信机构或组织,仍需避免使用暴露过多凭证秘密的鉴别协议。
表列出了对鉴别过程构成威胁的常见问题。
表提交和验证的常见威胁类型描述实例在线猜测攻击者通过猜测凭证秘密来进行登录尝试攻击者进入网页,试图使用合法用户的用户名和常用口令登录,例如“”钓鱼合法用户被引诱与假冒的验证方互动,并被骗取了凭证秘密、敏感个人数据或可用于伪装成合法用户的鉴别值合法用户收到一封电子邮件,链接到一个欺诈网站,并要求合法用户使用其用户名和口令登录网址嫁接想要连接合法验证方的合法用户通过操作域名服务或路由表连接到了攻击者的网站由于中毒,合法用户被引导到一个假冒网站,在认为与合法验证方连接的情况下泄露或使用了凭证窃听攻击者被动侦听鉴别协议来捕捉信息,并利用这些信息伪装成合法用户进行主动攻击攻击者从合法用户到验证方的传输过程中捕获口令或口令哈希重放攻击者能够重放之前捕获的消息(合法用户和验证方之间),伪装成验证方的对应合法用户攻击者从一个真实的鉴别会话中捕获合法用户的口令或口令哈希,过一段时间后并重放给验证方进行访问会话劫持攻击者能够将其插入合法用户和验证方之间,继而进入两者之间的一个成功的鉴别交互。
攻击者可以假扮成验证方依赖方的合法用户(反之亦然)从而控制会话数据的交互通过窃听或预测校验(用于标记合法用户传送的请求)的值,攻击者能够接管一个已鉴别的会话中间人攻击者置身于合法用户和验证方之间,从而可以拦截和修改鉴别协议消息的内容。
攻击者通常面对合法用户时模仿验证方,同时面对验证方时假装合法用户。
在两者之间交互时假扮对应角色时,攻击者可能准许使用合法方传递给另一方的鉴别消息攻击者侵入一个转发验证方和合法用户之间消息的路由器。
当转发消息时,攻击者将其公钥代替验证方的公钥。
合法用户被欺骗用该密钥加密其口令,从而攻击者可以解密该口令攻击者设置了一个欺诈网站来冒充验证方。
当一个粗心的合法用户试图使用其一次性口令装置登录时,攻击者的网站假装使用合法用户的一次性口令装置登录到真实的验证方威胁不只局限于鉴别协议本身,还可能包括:
)拒绝服务攻击,攻击者用大量的流量通过鉴别协议的方式淹没了验证方。
拒绝服务攻击的目的是淹没鉴别协议的来源,使合法用户无法接触验证方,或者减缓过程从而增加合法用户接触犌犅犜验证方的难度。
几乎所有的鉴别协议都容易受到拒绝服务攻击;抵御此类攻击的可行方法是通过使用分布式验证架构和负载均衡技术,将协议请求分派给多个镜像校验系统,或者其他的类似技术。
)恶意代码攻击,鉴别凭证秘密泄露或被利用。
恶意代码可以植入合法用户的电脑系统,从而迫使鉴别凭证秘密泄露或被利用。
恶意代码可以通过多种途径传播。
许多措施(例如病毒检查和防火墙)可以降低恶意代码对合法用户系统的风险。
降低恶意代码威胁风险方法不在本标准讨论的范围之中。
)欺骗合法用户使用不安全协议的攻击,而合法用户认为还在使用一个安全的协议,或者该攻击欺骗合法用户重写安全机制(例如,接受无效的服务器证书)。
提交和验证威胁的应对策略表列出了抵御提交和验证过程威胁的应对策略。
表抵御提交和验证威胁的应对策略类型应对策略在线猜测鉴别过程能够抵御某些在线猜测攻击,使得攻击者通过重复具有猜测性质的鉴别尝试无法实现成功鉴别。
例如,口令鉴别系统可以通过要求使用具有一定复杂度的口令、限制失败鉴别尝试的次数等方式防止暴力猜测钓鱼、网址嫁接鉴别过程能够抵御某些钓鱼和网址嫁接(也称为验证冒领)攻击,而这些冒领并不知晓凭证秘密或者验证方的断言。
使用防篡改凭证可以保护秘密免于钓鱼和网址嫁接,防篡改凭证可以避免秘密被凭证鉴别者重构。
为了降低钓鱼和网址嫁接攻击的可能性,建议合法用户在向对应验证方提交凭证验证请求之前,使用加密机制来验证该验证方。
此外,验证方还可以使用某些管理机制,在成功鉴别了合法用户后发送一个带声称方个人信息的消息。
这样就可以使声称方在与验证方或依赖方进行其他会话之前就掌握的验证方真伪信息窃听鉴别过程能够抵御某些窃听攻击,窃听者记录了声称方和验证方之间传递的所有消息,但无法据此获得声称方的凭证秘密。
例如,使用受保护的会话协议,例如,能够抵御窃听重放鉴别过程能够抵御某些重放攻击,使得这些攻击无法通过记录和重放一个之前的鉴别消息来实现成功鉴别。
使用随机数或质询来保证交互过程实时的协议可以抵御重放攻击,因为验证方可以轻易检测出重放的旧协议消息不包含合适的与当前鉴别会话相关的随机数或实时数据会话劫持鉴别过程和数据传输协议的组合能够抵御某些会话劫持的攻击,把鉴别过程绑定在数据传输过程上。
通常在鉴别过程中生成一个会话共享密钥,合法用户和验证方或依赖方使用该密钥来实现所有会话数据的鉴别。
即使是那些受保护的应用,仍然容易遭受会话劫持的攻击。
在这种攻击中,一个恶意网站包含一个与合法依赖方的链接。
恶意网站具有通用结构,从而只要浏览器访问该恶意网站,都会自动发送一个请求给依赖方。
如果合法用户访问恶意网站,并且他拥有一个开放的与依赖方的会话,请求就很可能会在相同的会话中传送并携带完好无损的鉴别。
即使攻击者不会从访问会话密钥中获益,该请求也会具有潜在威胁,例如发送一个电子邮件消息或者授权大笔资金的转移。
可以构建一个有效的请求来授权依赖方的行动的方式来抵御攻击。
在具有潜在威胁的链接中,以及在依赖方网站的所有隐藏区域中插入依赖方提供的随机数据,可以实现这种抵御。
然而,如果攻击者可以在依赖方网站上运行脚本(跨站点脚本或),这种机制就会失效。
为了防止漏洞,在将来自声称方或合法用户的输入发布成合法用户的浏览器内容之前,依赖方应对其进行杀毒,保证这些输入不是可执行文件,或者最起码没有恶意犌犅犜表(续)类型应对策略中间人弱中间人防御被称为对中间人攻击进行弱抵御的协议,向声称方提供一个机制来确定其是否正在与真实的验证方进行交互,但如果声称方不够警惕,仍然有可能泄露凭证秘密(给未经授权方),从而使对方能够假装成声称方。
例如,通过服务器验证来传递口令的模式对中间人攻击的抵御很弱,浏览器允许声称方核实验证方的身份,然而,如果声称方不够警惕,口令就可能泄露给未授权方,从而造成信息滥用。
零知识口令协议也可以提供弱中间人防御,但攻击者还可能欺骗声称方将其口令通过一个不太安全的协议传递,然后将口令泄露给攻击者。
并且,如果声称方很难确认是否在使用合适的协议,那么鉴别过程甚至不会提供弱中间人防御强中间人防御被称为对中间人攻击进行强抵御的协议,不允许声称方向伪装成验证方的攻击者泄露凭证秘密。
例如浏览器和网络服务器使用技术进行相互鉴别。
即使是粗心的声称方也不会轻易泄露任何信息给伪装成验证方的攻击者,攻击者就无法使用这些信息通过真实验证方的鉴别。
在特定的协议中,声称方的凭证容器只会将鉴别机制泄漏给预设的有效验证方列表,这种协议对中间人攻击也具有强抵御的能力断言过程断言威胁当依赖方和验证方不是同一个机构或组织时,验证方发送断言给依赖方。
依赖方使用断言中的信息去识别声称方及其对依赖方资源的使用权利。
一个断言可以包含对于合法用户的识别和鉴别,也可能包含更多关于合法用户的属性信息从而支持依赖方的鉴别决策。
在鉴别过程结束后,验证方产生了对鉴别结果的断言,并将断言提交给。
如果验证方和实现在一起,无需传递断言。
如果验证方是和分开的,断言则被用来从验证方传递声称方信息或者鉴别过程到。
断言可以被直接呈现给,也能由声称方传递给。
验证方对声称方的一次鉴别可以为多个依赖方提供服务,即支持声称方的单点登录,使声称方经过验证方的一次鉴别后,不需要更多的鉴别就可以在多个依赖方获得服务。
在经验证方成功鉴别之后,声称方被颁发了一个断言或者断言参考,依赖方可使用该断言或断言参考去鉴别声称方。
基于断言的鉴别的基本模型包括直接模式和间接模式,基本断言模型参见附录。
本节假设验证方和依赖方是可信的(在正确使用而不是故意滥用的基础上),但声称方并不一定可信(因为声称方可能修改或替换断言从而达到更高的等级来访问依赖方提供的数据服务)。
其他攻击假设潜伏在网络(如互联网)中,可能获取或修改断言和断言参考以假装合法用户访问未经授权的数据或服务。
攻击者试图通过破坏断言数据的保密性和完整性来扰乱断言协议。
为了抵御这种类型的威胁,那些试图访问超出其权限的声称方可能被视为攻击者。
除了保障断言通过可靠途径从验证方传递到的之外,断言协议还有更多用途:
为了使能够识别出合法用户,应颁发给合法用户一些秘密信息,其中所含的知识可以将合法用户与试图假扮合法用户的攻击者区分开来。
在密钥持有人断言中,这个秘密通常是申请方的长期凭证秘密,该秘密已经在断言协议起始之前就已经通过建立了。
在某些情况下,验证方会生成一个临时的秘密并传送给成功鉴别的合法用户。
而后,当这个秘密被用于向校验时,通常会以协议的形式替代凭证鉴别,这个临时秘密在这里被称为二次鉴别。
断言的常见威胁见表。
犌犅犜表断言的常见威胁类型描述实例断言伪造修改攻击者可能生成一个虚假的断言或者修改现有断言的内容(例如鉴别或属性语句),导致依赖方授权合法用户进行不适当的访问例如,攻击者可能会修改断言来延长有效期;合法用户可能修改断言来访问本来不能查看的信息断言泄露断言可能包含鉴别和属性语句,这些语句包含敏感的合法用户信息。
断言内容的泄露可能使合法用户易于受到其他类型的攻击验证方否认断言如果没有合适的机制,验证方可能会否认断言例如,如果验证方没有对断言进行数字签名,那么他就可以声称该断言没有通过他的服务生成合法用户否认断言如果没有合适的机制,合法用户可能否认与只是使用接收断言进行鉴别的依赖方之间的交互断言重定向攻击者使用为某依赖方生成的断言来访问另一个依赖方断言重用攻击者试图使用一个已经被目标依赖方使用过的断言二次鉴别伪造攻击者可能试图生成一个有效的二次鉴别,并用于冒充合法用户二次鉴别捕获当验证方将二次鉴别传送给合法用户时,攻击者可能使用会话劫持攻击来捕获二次鉴别,或者攻击者可能在合法用户使用二次鉴别向依赖方进行鉴别时使用中间人攻击来获取该二次鉴别在间接模型中,如果依赖方需要回送二次鉴别给验证方以检
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 36633-2018 信息安全技术 网络用户身份鉴别技术指南 GB 36633 2018 信息 安全技术 网络 用户 身份 鉴别 技术 指南
![提示](https://static.bingdoc.com/images/bang_tan.gif)