写在前面

现在是综合应用，来看看横向到纵向的权限提升。

通常情况下，横向权限提升攻击可以变成纵向权限提升，通过危害更高权限的用户。例如，水平升级可能允许攻击者重置或捕获属于另一个用户的密码。如果攻击者以管理用户为目标并破坏了他们的帐户，那么他们可以获得管理访问权限，从而执行垂直权限升级。

在这里补充一下IDOR的概念
不安全的直接对象引用 (IDOR) 是一种访问控制漏洞，当应用程序使用用户提供的输入直接访问对象时会出现这种漏洞。

具体来说，有以下几个场景
1.引用数据库参数进行索引。例如，https://insecure-website.com/customer_account?customer_number=132355，这样的一个链接，可以通过参数的修改进行水平越权，但是一旦在水平越权的过程中，获取到具有权限的用户，或者敏感信息泄露，就可能造成更加严重的垂直越权。在这里基于参数的引用就是不安全的。

2.直接引用静态文件的 IDOR 漏洞

User ID controlled by request parameter with password disclosure

常规登录后捕获到请求个人界面时，是通过参数进行索引。

更换参数进行验证，可以看出是水平越权。

水平越权的同时，发现具有修改密码的功能，在修改之前，就会泄露以前的密码。
（这里就是在Update password 那个input框里，查看源码就可以看到是 gwfroce…）


使用获取到的密码登录管理员账户。（cookie就变了）


此时，就从水平越权更进一步完成了垂直越权，可以使用管理员功能了。

Insecure direct object references

这里是由于不安全的静态文件放置造成的，首先使用普通用户登录。

登录后有一个类似聊天的功能，下面两个按钮分别可以进行发送操作和下载聊天历史的操作。

捕获"view transcript"传出的数据包

可以看到链接上明显有一个2.txt 同时在浏览器上下载了聊天历史。

这里有明显的数字特征，可以进行fuzz，不过在这里很容易猜，2.txt是我们自己的，1.txt或者3.txt就很有可能有东西。
下面查看1.txt

敏感信息泄露

You: Ok so my password is q3w895g2ztg269i52574. Is that right?

实验室条件告诉了我们用户，登录上去。
又从水平越权转变到了垂直越权。

Access control vulnerabilities in multi-step processes

这个是多步骤流程中的访问控制漏洞

例如，更新用户详细信息的管理功能可能涉及以下步骤：

1.加载包含特定用户详细信息的表单。
2.提交更改。
3.查看更改并确认。

有时，网站会对其中一些步骤实施严格的访问控制，而忽略其他步骤。例如，假设访问控制正确应用于第一步和第二步，但没有应用于第三步。实际上，网站假设用户只有在已经完成了正确控制的第一步后才能到达第 3 步。在这里，攻击者可以通过跳过前两个步骤并直接提交带有所需参数的第三步请求来获得对该功能的未经授权的访问。

在这个场景下就是，管理员在修改普通用户权限时，会发出表单和确认的包，但是在验证后，就默认安全了，最后完成提交时就产生了漏洞。

这里捕获最后一个包：

接下来使用无痕模式，使用普通用户登录。取出普通用户的cookie

再次发出这个敏感请求，修改cookie和权限升级对象。可以看到，仍然完成了这个post请求。
在这个场景下，就出现了特殊的垂直越权，可以使用部分管理员的功能。
但是适用条件也比较苛刻。

Referer-based access control

这里题目提示的非常明显了，是通过refer来进行权限控制的。
使用管理员权限，能够正常发出请求。

修改refer发现不能再重放了，可以看到是通过refer来进行权限控制的。

使用普通用户来做这个敏感操作，取出他的cookie

同样可以发出这个请求，换好refer，就可以实现越权了。

Location-based access control

一些网站根据用户的地理位置对资源实施访问控制。例如，这可以适用于适用州立法或业务限制的银行应用程序或媒体服务。这些访问控制通常可以通过使用网络代理、VPN 或操纵客户端地理定位机制来规避。

如何防止访问控制漏洞

访问控制漏洞通常可以通过采取深度防御方法并应用以下原则来预防：

1.永远不要仅仅依靠混淆来进行访问控制。
2.除非资源旨在公开访问，否则默认拒绝访问。
3.尽可能使用单一的应用程序范围的机制来实施访问控制。
4.在代码级别，强制开发人员声明每个资源允许的访问权限，并默认拒绝访问。
5.彻底审核和测试访问控制，以确保它们按设计工作。

补充：访问控制安全模型

访问控制安全模型是一组独立于技术或实现平台的访问控制规则的正式定义的定义。访问控制安全模型在操作系统、网络、数据库管理系统和后台、应用程序和 Web 服务器软件中实施。多年来，人们设计了各种访问控制安全模型，以将访问控制策略与业务或组织规则以及技术变化相匹配。

1.程序访问控制
使用编程访问控制，用户权限矩阵存储在数据库或类似的数据库中，并且访问控制参考该矩阵以编程方式应用。这种访问控制方法可以包括角色或组或个人用户、流程的集合或工作流，并且可以是高度精细的。

2.自主访问控制 (DAC)
通过自主访问控制，对资源或功能的访问受到用户或指定用户组的限制。资源或功能的所有者能够向用户分配或委派访问权限。该模型具有高度精细的访问权限，为单个资源或功能和用户定义了访问权限。因此，模型的设计和管理会变得非常复杂。

3.强制访问控制 (MAC)
强制访问控制是一种集中控制的访问控制系统，其中主体对某些对象（文件或其他资源）的访问受到限制。值得注意的是，与 DAC 不同，资源的用户和所有者没有能力委派或修改其资源的访问权限。该模型通常与基于军事许可的系统相关联。

4.基于角色的访问控制 (RBAC)
使用基于角色的访问控制，可以定义命名角色，并为其分配访问权限。然后将用户分配给单个或多个角色。RBAC 提供了对其他访问控制模型的增强管理，如果设计得当，则可以提供足够的粒度以在复杂的应用程序中提供可管理的访问控制。例如，采购员可能被定义为对采购分类帐功能和资源的子集具有访问权限的角色。随着员工离开或加入组织，访问控制管理被简化为定义或撤销采购员角色的成员资格。

当有足够多的角色可以正确调用访问控制但又不足以使模型过于复杂和难以管理时，RBAC 是最有效的。

写在最后

访问控制，除了普通的水平越权，垂直越权之外，还有综合起来造成更大的漏洞危害。从水平越权，信息泄露最后到垂直越权，涉及范围和影响范围都比较大。

上述的解决方案大多还是手动测试，而在bp上也有很多自动化检测越权漏洞的插件（比如Authz等等），算是之后深入学习越权漏洞的一个方向，可以参考参考。

失效的访问控制

这是我在OWASP上几篇文章翻译整理加删减总结出的一个关于失效的访问控制的检查可解决的文章。勉强算个原创吧。

由于缺乏自动化的检测和应用程序开发人员缺乏有效 的功能测试，因而访问控制缺陷很常见。导致攻击者可以冒充用户、管理员或拥有特权的用户，或者创建、访问、更新或删除任何记录。

出现的问题

文件包含/目录遍历

许多web应用使用文件管理作为它们日常操作的一部分。但他们使用没有被好好设计的输入验证方法，攻击者可以利用（这个漏洞）来修改或写入文件，甚至执行任意代码。

传统的web服务器和web应用程序用身份验证来控制文件资源访问。web服务器尝试将用户的文件限制在“根目录”或“web文档根”中，后者标识文件系统层面的物理目录。用户必须将此目录十位web应用程序层次结构的基本目录。

许多web应用程序使用服务器端脚本来包含不同类型的文件。如管理图像，模板，加载静态文本等，但如果未正确验证输入参数（如表单，cookie）这些程序会暴露安全漏洞。这种问题出现在路径遍历/文件包含攻击中。通过利用此类漏洞，攻击者能读取它们通常无法读取的目录或文件，访问web文档根目录之外的数据，或包含来自外部网络的脚本或其他类型文件。

如臭名昭著的%5c 暴库或dot-dot-slash （../）目录遍历，目录爬升或回溯。

例子

http://example.com/getUserProfile.jsp?item=ikki.html 
http://example.com/getUserProfile.jsp?item=../../../../etc/passwd

若getUserProfile.jsp是从文件加载静态信息并向用户显示，如果在访问控制不理想的情况下，攻击者可以构造相对路径，读取etc/passwd的文件内容。

其他地方也可能有类似漏洞如cookie：

Cookie：USER = 1826cc8f：PSTYLE = GreenDotRed
Cookie：USER = 1826cc8f：PSTYLE = .. / .. / .. / .. / etc / passwd

也可能包含外部网站的文件：

http://example.com/index.php?file=http://www.owasp.org/malicioustxt

如果可接受协议类参数，也可以构造如下攻击：

http://example.com/index.php?file=file:///etc/passwd

或探测本地服务：

http://example.com/index.php?file=http://localhost:8080或http://example.com/index.php?file=http://192.168.0.2:9080

甚至可以不使用任何目录遍历字符开显示CGI组件源代码：

http://example.com/main.cgi?home=main.cgi

main.cgi的组件和普通html静态文件在同一个目录中，在某些情况下，攻击者使用. %00 null等的编码可以绕过扩展名校验。

关于不同操作系统的路径分隔符

Linux
根目录：“/” 
目录分隔符：“/”
Windows
根目录：“<驱动器号>：\”   
目录分隔符：“\”或“/”
Mac OS
根目录：“<驱动器号>：” 
目录分隔符：“：”

url编码与双url编码绕过：

％2e％2e％2f 表示 ../
％2e％2e / 表示 ../ 
..％2f 表示 ../
％2e％2e％5c 表示 .. \ 
％2e％2e \ 表示 .. \ 
..％5c 代表 .. \ 
％252e％252e％255c 代表 .. \ 
..％255c 代表 .. \等等。

Unicode/UTF-8编码绕过

..％c0％af 表示 ../ 
..％c1％9c 代表 .. \

Windows shell中，解析文件非常灵活，如以下任何内容附加到shell命令中使用的路径会导致函数没有区别：

• 路径末端的尖括号“>”和“<”
• 在路径末尾双引号（正确关闭）
• 无关的当前目录标记，例如“./”或“。\”
• 具有可能存在或可能不存在的任意项的无关父目录标记

-  file.txt 
-  file.txt ... 
-  file.txt <spaces> 
-  file.txt“”“” 
-  file.txt <<< >>> < 
-  ./././file.txt 
- nonexistant / ../file.txt

在任何shell命令或API调用中使用时，下面的符号会被丢弃，其中字符串被视为文件名：

句号
空格

Windows UNC文件路径：用于引用SMB共享上的文件。有时，可以使应用程序引用远程UNC文件路径上的文件。如果是这样，Windows SMB服务器可能会将存储的凭据发送给攻击者，攻击者可以捕获并破解。这些也可以与自引用IP地址或域名一起使用来逃避过滤器，或者用于访问攻击者无法访问的SMB共享上的文件，但可以从Web服务器访问。

\\ server_or_ip \ path \ to \ file.abc 
\\？\ server_or_ip \ path \ to \ file.abc

Windows NT设备命名空间：用于指代Windows设备命名空间。某些引用将允许使用不同的路径访问文件系统。

• 可能相当于驱动器号，例如c：\，甚至是没有指定字母的驱动器卷。

  \\.\GLOBALROOT\Device\HarddiskVolume1\

• 指机器上的第一个光盘驱动器。

  \\.\CdRom0\

权限绕过（水平越权）

用户未经过身份验证访问资源，或注销后仍可访问资源，对不同用户访问的资源没有做很好的校验，如标准用户可访问管理员资源，或访问其他用户私有资源等。

例子

下面例子的url是管理员彩蛋的一部分：

 https://www.example.com/admin/addUser.jsp 

访问这个页面你的HTTP请求如下：

POST /admin/addUser.jsp HTTP/1.1
Host: www.example.com
[other HTTP headers]

userID=fakeuser&role=3&group=grp001

如果一个非管理员用户发送这个请求到服务器，会执行什么操作，在权限验证和访问控制不理想的情况下，非管理员用户通过构造管理员相应操作的数据包，也能达到管理员的权限。如增加/删除用户等。

权限提升（垂直越权）

权限提升是指用户权限从一个阶段提升到另一个阶段的问题，当用户访问的资源比通常情况下访问到的资源更多时，就发生了权限提示漏洞，应用程序应该阻止该权限提升或更改。权限提升一般是由于应用程序自身的缺陷引起的，最后导致程序执行的操作拥有比开发人员或系统管理员预期更多的权限。

例子

下面的HTTP POST请求允许属于grp001的用户访问#0001订单：

 POST /user/viewOrder.jsp HTTP/1.1
 Host: www.example.com
 ...

 groupID=grp001&orderID=0001

如果对权限的校验不正常的情况，一个不属于grp001的用户修改groupID参数也可获得查看#0001的权限。

操纵用户配置权限：下面服务器的响应显示校验成功后返回给用户的HTML中的隐藏字段。

HTTP/1.1 200 OK
Server: Netscape-Enterprise/6.0
Date: Wed, 1 Apr 2006 13:51:20 GMT
Set-Cookie: USER=aW78ryrGrTWs4MnOd32Fs51yDqp; path=/; domain=www.example.com 
Set-Cookie: SESSION=k+KmKeHXTgDi1J5fT7Zz; path=/; domain= www.example.com
Cache-Control: no-cache
Pragma: No-cache 
Content-length: 247
Content-Type: text/html
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Connection: close

<form  name="autoriz" method="POST" action = "visual.jsp"> 
<input type="hidden" name="profile" value="SysAdmin">
<body onload="document.forms.autoriz.submit()">
</td>
</tr>

如果我们将profile改为”SysAdmin”，可能会变成管理员。

操纵条件值：在服务器发送错误消息时，该消息包含在一组相应代码中的特定参数中，如：

@0`1`3`3``0`UC`1`Status`OK`SEC`5`1`0`ResultSet`0`PVValid`-1`0`0` Notifications`0`0`3`Command  Manager`0`0`0` StateToolsBar`0`0`0`    
StateExecToolBar`0`0`0`FlagsToolBar`0

如果我们将“PVValid”从-1改为0，那可能代表没有错误，从而通过管理员身份验证

操纵IP地址：某些网站使用IP地址来限制访问或根据IP地址计算错误登录次数，如：

X-Forwarded-For: 8.1.1.1

如果可以修改X-Forwarded-For就可以绕过这种检验

URL遍历：尝试遍历网站查看是否有页面漏掉权限检验

/../.././userInfo.html

弱SessionID：

若SessionID加密算法很弱，或使用有规律的算法，可能会被攻击者猜到或解密，造成越权。

不安全直接对象的引用

当应用程序根据用户提供的输入提供对对象的直接访问时，会发生不安全的直接对象引用。 攻击者可以直接绕过授权并访问系统中的资源，例如数据库记录或文件。

由于应用程序获取用户提供的输入并使用它来检索对象而不执行足够的授权检查。不安全的直接对象引用允许攻击者通过修改用于直接指向对象的参数值来直接绕过授权和访问资源。这些资源可以是属于其他用户的数据库条目，系统中的文件等。

例子

参数值直接用于数据库检索：

http://foo.bar/somepage?invoice=12345

参数invoice的值直接进入发票数据库检索，并将结果显示，如不对检索对象进行校验，那么攻击者可以遍历发票编号造成信息泄露。

参数值直接在系统中操作：

http://foo.bar/changepassword?user=someuser

user参数值用于告诉应用程序用户访问哪个功能，若没有对用户本身作出限制，那么用户修改user参数，可能造成越权访问功能。

访问控制的（防御）思路

授权是应该授予或拒绝访问特定资源的请求的过程。Web应用程序需要访问控制以允许用户（具有不同的权限）使用该应用程序。他们还需要管理员来管理应用程序访问控制规则以及向用户和其他实体授予权限或权利。提供各种访问控制设计方法。要选择最合适的风险评估，需要执行风险评估以识别特定于您的应用程序的威胁和漏洞，以便适当的访问控制方法适合您的应用程序。

基于角色的访问控制（RBAC）

在基于角色的访问控制（RBAC）中，访问决策基于个人在组织或用户群中的角色和职责。

定义角色的过程通常基于分析组织的基本目标和结构，并且通常与安全策略相关联。例如，在医疗机构中，用户的不同角色可能包括医生，护士，服务员，护士，患者等等。显然，这些成员需要不同级别的访问才能执行其功能，但也需要根据安全政策和任何相关法规（HIPAA，Gramm-Leach-Bliley等）。

RBAC访问控制框架应该为Web应用程序安全管理员提供确定的“谁可以执行哪些操作，何时，从何处，以何种顺序以及在某些情况下在什么关系环境下“执行操作的能力。

使用此方法的优点是：

• 角色是根据组织结构分配的，重点是组织安全策略
• 使用方便
• 易于管理
• 内置于大多数框架中
• 符合职责分离和最低特权等安全原则

使用此方法时可能遇到的问题：

• 必须严格保持角色和访问的文档。
• 除非有办法将角色与多租户功能要求相关联，例如Active Directory中的OU，否则无法有效实施多租户
• 存在范围蔓延的趋势，例如可以给出比预期更多的访问和特权。或者，如果未执行适当的访问查看和后续撤销，则用户可能包含在两个角色中。
• 不支持基于数据的访问控制

使用RBAC时的注意事项是：

• 必须使用严格的签名和流程来转让或委派角色。
• 当用户将其角色更改为另一个角色时，管理员必须确保撤消先前的访问权限，以便在任何给定的时间点，仅在需要知道的基础上将用户分配给那些角色。
• 必须使用严格的访问控制审查来执行RBAC保证。

自由访问控制（DAC）

自由访问控制（DAC）是一种基于用户身份和某些组成员身份限制对信息的访问的方法。访问决策通常基于授权给用户的授权，该授权基于他在认证时呈现的凭证（用户名，密码，硬件/软件令牌等）。在大多数典型的DAC模型中，信息所有者或任何资源都可以自行决定更改其权限 。

DAC框架可以为Web应用程序安全管理员提供实现细粒度访问控制的能力。该模型可以作为基于数据的访问控制的实现的基础 。

使用此模型的优点是：

• 使用方便
• 易于管理
• 符合最小特权原则。
• 对象所有者完全控制授予的访问权限

使用此方法时可能遇到的问题：

• 必须严格保持角色和访问的文档。
• 除非有办法将角色与多租户功能要求相关联，例如Active Directory中的OU，否则无法有效实施多租户
• 存在范围蔓延的趋势，例如可以给出比预期更多的访问和特权。

使用DAC时的注意事项是：

• 在给予信任的同时DAC保证必须使用严格的访问控制审查。

强访问控制（MAC）

强制访问控制（MAC）确保组织安全策略的实施不依赖于Web应用程序用户的合规性。MAC通过在信息上分配敏感标签并将其与用户操作的灵敏度级别进行比较来保护信息。MAC通常适用于极其安全的系统，包括多级安全军事应用或关键任务数据应用。

使用此方法的优点是：

• 对对象的访问权限取决于对象的敏感性
• 严格遵守基于需要知识的访问，并且范围蠕变具有最小可能性
• 只有管理员才能授予访问权限

使用此方法时可能遇到的问题：

• 实施起来困难且昂贵
• 不灵活

使用MAC时的注意事项是：

• 在适当和务实的层面上进行分类和敏感性分配
• 必须执行MAC保证以确保对象的分类处于适当的级别。

基于权限的访问控制

基于权限的访问控制中的关键概念是将应用程序操作抽象为一组权限。权限可以被简单地表示为一个基于名称的字符串，例如“读”。通过检查当前用户是否具有与所请求的应用程序动作相关联的许可来做出访问决定。

用户和许可之间关系可以通过创建用户和权限（称为间接关系满足许可）来表示。在间接模型中，权限授予是指中间实体，例如用户组。当且仅当用户从用户组继承权限时，才将用户视为用户组的成员。间接模型可以更轻松地管理大量用户的权限，因为更改分配给用户组的权限会影响用户组的所有成员。

在一些基于权限的提供细粒度域对象级访问控制的访问控制系统中，可以将权限分组到类中。假设系统中的每个域对象可以与确定与相应域对象的许可的类关联。在这样的系统中，可以用权限“READ”，“WRITE”和DELETE“定义”DOCUMENT“类;可以用权限”START“，”STOP“和”REBOOT“定义”SERVER“类。

访问控制验证要求

描述
验证最小特权的原则：用户应仅能够访问函数、数据文件、URL、控制器、服务和其他资源，它们处理特定的授权，它们使应用程序免受欺骗和提权。
验证对敏感记录的访问是否实施了保护措施，这样只有授权的对象或数据才允许访问（例如：防止用户篡改参数或更改其它用户账户）
验证目录遍历是禁用的，除非故意为之。此外应用程序不应允许发现或泄露文件或目录元数据，例如：Thumbs.db、.DS_Store、.git或.svn
验证访问控制是否以安全的方式显示失败处理。
验证表示层访问控制规则是否在服务器端强制执行。
验证访问控制使用的所有用户和数据属性、策略信息不能被终端用户操纵，除非特别授权。
验证是否存在集中化机制（包括调用外部授权服务的库），以保护对每种受保护资源的访问。
验证是否可以记录所有访问控制决定，并记录所有失败的决定。
验证应用程序或框架是否使用强大的随机数（抵御CSRF令牌）或具有其他事务处理保护机制。
验证系统能抵御对安全功能、资源或数据的持续访问。例如，考虑使用资源治理器来限制每小时编辑的数量，或阻止整个数据库被单个用户独占。
验证应用程序是否具有针对较低价值系统的额外授权（例如，升级或自适应认证）或高价值应用程序的职责隔离，以根据应用程序和过去欺诈的风险执行反欺诈控制。
验证应用程序是否正确强制执行了上下文相关的授权，以进制通过参数篡改进行未授权的操作。

身份认证与访问控制

身份认证技术概述

身份认证的概念和种类
多数银行的网银服务，除了向客户提供U盾证书保护模式外，还推出了动态口令方式，可免除携带U盾的不便，这是一种动态密码技术，在使用网银过程中，输入用户名后，即可通过绑定的手机一次性收到本次操作的密码,非常安全快捷方便。

1. 身份认证的概念
通常，身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。

认证（Authentication）是指对主客体身份进行确认的过程。

身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的识别和验证过程。

2. 身份认证的作用
身份认证与鉴别是信息安全中的第一道防线，对信息系统的安全有着重要意义。可以确保用户身份的真实、合法和唯一性，可以防止非法人员进入系统，通过各种违法操作获取不正当利益、非法访问受控信息、恶意破坏系统数据的完整性等情况的发生，严防“病从口入”关口。访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计，如图所示。

3.认证技术的种类
认证技术是用户身份认证与信息鉴别的重要手段，也是网络系统安全中一项重要内容。
从鉴别对象上,分为消息认证和用户身份认证:
（1）消息认证：用于保证信息的完整性和不可否认性。
（2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。
从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证，本章只讨论前者身份认证。

常用网络身份认证方式
1. 静态密码方式
静态密码方式是指以用户名及密码认证的方式，用户名/密码方式是最简单、最常用的身份认证方法，是基于“你知道什么”的验证手段。

2.动态口令认证
动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密。前者是将系统发给用户注册手机的动态短信密码进行身份认证。后者则以发给(机构)用户动态口令牌进行认证。

3. USB Key认证
采用软硬件相结合、一次一密的强双因素(两种认证方法)认证模式.其身份认证系统有两种认证模式：基于PKI体系的认证模式、基于冲击/响应模式。
4. 生物识别技术
是指通过可测量的身体或行为等生物特征信息进行身份认证的技术。

1. 指纹识别技术。
2. 视网膜识别技术。
3. 声音识别技术。

5. CA认证系统
CA(Certification Authority)认证是对网络用户身份证的发放、管理和确认验证的过程。
CA的主要职能体现在3个方面：
（1）管理和维护客户的证书和证书作废表（CRL）。
（2）维护整个认证过程的安全。
（3）提供安全审计的依据。

证书的类型与作用

身份认证系统构成及方法
1. 身份认证系统的构成
身份认证系统的组成一般包括三个部分：认证服务器、认证系统客户端和认证设备。系统主要通过身份认证协议和认证系统进行实现。身份认证协议又分为：单向认证协议和双向认证协议。若通信双方只需一方鉴别另一方的身份，则称单项认证协议；如果双方都需要验证身份，则称双向认证协议。认证系统网络结构图，如图6-4。

AAA（Authentication，Authorization，Accounting）认证系统应用最广泛。其中认证（Authentication）是验证用户身份与可使用网络服务的过程,授权(Authorization)是依据认证结果开放网络服务给用户的过程，计费审计（Accounting）是记录用户对各种网络操作及服务的用量，并进行计费审计的过程。
AAA系统及接口是身份认证系统的关键部分。系统中专门设计的AAA平台，可实现灵活的认证、授权、审计功能，且系统预留了扩展接口，可根据具体业务系统的需要，灵活进行相应的扩展和调整。

常用认证系统及认证方法
（ 1） 固定口令认证及隐患
固定口令认证方式简单，易受攻击：
1）网络数据流窃听（Sniffer）。
2）认证信息截取/重放。
3）字典攻击。
4）穷举尝试（Brute Force）。
5）窥探密码。
6）社会工程攻击(冒充)。
7）垃圾搜索。

（ 2）一次性(动态)口令方式
一次性口令认证系统组成：
1）生成不确定因子。
2）生成一次性口令。

（3）双因素安全令牌及认证系统
E-Securer安全身份认证系统是面向安全领域的AAA系统，提供了双因素身份认证、统一授权、集中审计等功能，可以为网络设备、VPN、主机系统、数据库系统、WEB服务器、应用服务系统等提供集中的身份认证和权限控制。
*双因素身份认证系统组成

1. 身份认证服务器提供数据存储、AAA服务、管理等功能,是整个系统的核心部分。
2. 双因素安全令牌（Secure Key）用于生成用户当前登录的动态口令，采用加密算法及可靠设计，可防止读取密码信息。
3. 认证代理（Authentication Agent）安装在被保护系统上，被保护系统通过认证代理向认证服务器发送认证请求，从而保证被保护系统身份认证的安全。

(4）单点登入系统
在大型网络系统中，面对各种服务器系统认证方法与手段。在查看邮件、访问工资查询系统或登入公司分支机构时，总要记住不同的用户名和口令。不仅不易管理，也为网络安全留下隐患，为此产生了单点登入系统。

单点登入（Single Sign On，SSO）也称单次登入，是在多个应用系统中，用户只需要登入一次就可访问所有相互信任的应用系统。

单点登入的优点体现在5个方面：
1）管理简单。
2）管理控制便捷。
3）用户使用简捷。
4）安全性更高。
5）合并异构网络。

银行认证授权管理应用
1.认证与授权管理体系
某银行机构的认证与授权管理的体系，对于银行机构的网络安全至关重要，如图所示。

*2. 认证授权管理的原则
为实现上述的目标，应遵循的指导原则：
(1)统一规划管理，分步部署实施

1. 进行认证和授权管理的统一规划，并制订工作计划；
2. 制订及维护认证和授权相关业务流程；
3. 统一用户编码规则，制订及维护认证凭证政策；
4. 确定用户身份信息的数据源和数据流，并进行数据质量管理；
5. 认证和授权分权管理委派；
6. 对银行认证和授权的现状进行周期性的审计和跟踪。

(2) 建立统一信息安全服务平台,提供统一身份认证和访问管理服务

(3) 保护现有IT投资，并便于未来扩展

数字签名技术

1.数字签名的概念
数字签名（Digital Signature）又称公钥数字签名或电子签章,是以电子形式存储于信息中或以附件或逻辑上关联数据, 用于辨识数据签署人身份,表明签署人对数据中所包含信息的认可。

基于公钥或私钥密码体制都可获得数字签名，目前主要是基于公钥密码体制数字签名。包括普通数字签名和特殊数字签名两种。

2.数字签名的方法和功能
主要方法①基于PKI的公钥密码技术的数字签名;②用一个以生物特征统计学为基础的识别标识，如手书签名和图章的电子图像的模式识别；③手印、声音印记或视网膜扫描的识别；④一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN；⑤基于量子计算机文件等。比较成熟的、使用方便具有可操作性的、在世界先进国家和普遍使用电子签名技术基于PKI的数字签名技术。

数字签名算法组成主要有2部分：签名算法和验证算法。
保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。
最终目的是实现6种安全保障功能：
（1）必须可信。（2）无法抵赖。（3）不可伪造。
（4）不能重用。（5）不许变更。（6）处理快、应用广。

数字签名的种类
1.手写签名或图章识别
将手写签名或印章作为图像,扫描后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别方法对将两者进行比对，以确认该签名或印章的真伪。

2.生物识别技术
生物识别技术是利用人体生物特征进行身份认证的一种技术。生物特征是一个人的唯一表征，可以测量、自动识别和验证。生物识别系统对生物特征进行取样，提取其唯一的特征进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中。

3. 密码、密码代号或个人识别码
主要指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样的对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。

4.基于量子力学的计算机(文件)
基于量子力学的计算机被称作量子计算机，是以量子力学原理直接进行计算的计算机。比传统的图灵计算机具有更强大的功能，计算速度要比现代的计算机快几亿倍。

5.基于PKI 的电子签名
基于PKI 的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”，其实这是一般性说法，数字签名只是电子签名的一种特定形式。

数字签名过程及实现
1. 身份认证的实现
PKI 提供的服务首先是认证，即身份识别与鉴别，就是确认实体即为自己所声明的实体。认证的前提是双方都具有第三方CA所签发的证书，认证分为单向认证和双向认证。

1. 单向认证。
2. 双向认证。
   
   2. 数字签名过程
   网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。数字签名的全过程分两大部分，即签名与验证。数字签名与验证的过程和技术实现的原理，如图6-6。
   
   3.数字签名的操作过程
   数字签名的操作过程如图6-7所示，需要有发方的签名证书的私钥及其验证公钥。

4.数字签名的验证过程
收方收到发方的签名后进行签名验证，其具体操作过程如图6-8所示。

5.原文保密的数据签名的实现方法
上述数字签名原理中定义的对原文做数字摘要及签名并传输原文，实际上在很多场合传输的原文要求保密，不许别人接触。要求对原文加密的数字签名方法的实现涉及到“数字信封”问题，此处理过程稍复杂一些，但数字签名的基本原理仍相同，其签名过程如图所示。

访问控制技术

1.访问控制的概念及任务
访问控制（Access Control）指针对越权使用资源的防御措施，即判断使用者是否有权限使用或更改某一项资源，并防止非授权使用者滥用资源。目的是限制访问主体对访问客体的访问权限。

访问控制包含三方面含义：一是机密性控制，保证数据资源不被非法读出；二是完整性控制，保证数据资源不被非法增加、改写、删除和生成；三是有效性控制，保证资源不被非法访问主体使用和破坏。主要任务是保证网络资源不被非法使用，也是保护网络系统和资源安全的重要手段。访问控制三个要素：
（1）主体S（Subject）.指提出访问资源具体请求方.
（2）客体O（Object）. 指被访问资源的实体。
（3）控制策略A（Attribution）。主体对客体的访问控制规则。

2. 访问控制的功能和内容
访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。

访问控制的内容包括三个方面：
(1)认证：包括主体对客体的识别认证和客体对主体检验认证
(2)控制策略的具体实现：如何设定规则集合从而确保正常用户对信息资源的合法使用，既要防止非法用户，也要考虑敏感资源的泄漏，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。
(3)安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。

访问控制规则和管理
1. 访问控制的层次
可将访问控制分为2个层次:
1)物理访问控制包括标准的钥匙、门锁和设备标签等.
2)逻辑访问控制在数据、应用、系统和网络等层面实现。
对于银行、证券等重要金融机构的网站，网络信息安全重点关注的是逻辑访问控制，物理访问控制则主要由其他类型的安全部门完成。

2. 访问控制的模式
主要的访问控制模式有三种：
(1)自主访问控制（DAC）.在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。
(2)强制访问控制（MAC）
(3)基于角色的访问控制（RBAC）

3. 访问控制规则
(1)访问者
主体对客体访问可以基于身份,也可基于角色。即“访问者”可以是身份标识或角色。从业务角度对系统进行统一的角色定义是实现统一访问管理的最佳实践。
(2) 资源保护
对资源保护包括两个层面:物理层和逻辑层。
(3) 访问控制规则
四要素:访问者(主体),资源(客体),访问请求和访问响应。

4. 单点登入的访问管理
根据登入的应用类型不同,可分为3种类型.
1）对桌面资源的统一访问管理
对桌面资源的访问管理，包括两个方面：
①登入Windows后统一访问应用资源。
②登入Windows后访问其他应用资源。
2）Web单点登入
由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现，如图6-8所示。
3）对传统C/S 结构应用的统一访问管理
在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键.采用Web客户端作为前台是企业最为常见的一种解决方案。

访问控制的安全策略
1. 安全策略实施原则
访问控制安全策略是指在某个自治区域内（属于某个组织/机构的一系列处理和通信资源范畴）, 用于所有与安全相关活动的一套访问控制规则. 其安全策略有三种类型：基于身份的安全策略、基于规则的安全策略和综合访问控制方式。
访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。
（1）最小特权原则。
（2）最小泄露原则。
（3）多级安全策略。

2. 访问控制安全策略的实现
访问控制安全策略三种实现方式：
（1）基于身份的安全策略
基于身份的安全策略是过滤对数据或资源的访问，只有通过认证的主体才能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略，主要有两种基本的实现方法：能力表和访问控制表。
（2）基于规则的安全策略
策略中的授权通常依赖于敏感性。在安全策略系统中,所有数据和资源都标注了安全标记,用户的活动进程与其原发者具有相同的安全标记。

（3）综合访问控制策略
综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问.特点：具有良好灵活性、可维护性,可管理性、更精准的访问控制性和更高安全性。
HAC主要包括：
（1）入网访问控制。
（2）网络(资源-服务)权限控制。
（3）目录级安全控制。
（4）属性安全控制。
（5）网络服务器安全控制。
（6）网络监控和锁定控制。
（7）网络端口和结点的安全控制。
（8）防火墙控制

3.网上银行访问控制的安全策略
为了让用户安全、放心地使用网上银行，通常在网上银行系统采取了八大安全策略，以全面保护的信息资料与资金的安全。
（1）加强证书存储安全。
（2）动态口令。
（3）先进技术的保障。
（4）双密码控制，并设定密码安全强度。
（5）交易限额控制。
（6）信息提示，增加透明度。
（7）客户端密码安全检测。
（8）短信服务

网络安全审计

1. 安全审计的概念及目的
网络安全审计（Audit）是指按照一定安全策略,利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。
主要作用和目的包括5个方面：
（1）对潜在攻击者起到威慑和警示作用。
（2）测试系统的控制情况，及时调整。
（3）对已出现的破坏事件，做出评估并提供依据。
（4）对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。
（5）协助发现入侵或潜在的系统漏洞及隐患。

2. 安全审计的类型
从审计级别上可分为3种类型：
（1）系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间(次数)、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。
（2）应用级审计。主要针对的是应用程序的活动信息。
（3）用户级审计。主要是审计用户的操作活动信息。

3. 安全审计系统的基本结构
安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图6-12所示。

系统日记安全审计
1. 系统日志的内容
系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。
对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。

2. 安全审计的记录机制
对各种网络系统应采用不同记录日志机制。记录方式有3种：由操作系统完成，也可由应用系统或其他专用记录系统完成。

Syslog是一种日志记录方法,程序中凡用其记录信息都发送到该服务器,根据配置决定此信息记录及位置,使系统内应用程序都能以统一方式记录日志,为系统日志的统一审计提供方便。

Syslog安全审计的记录机制

3. 日志分析
日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况.主要任务包括:
（1）潜在威胁分析。 （2）异常行为检测。
（3）简单攻击探测。 （4）复杂攻击探测。

4. 审计事件查阅与存储
审计系统可成为追踪入侵、恢复系统的直接证据，其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施：
（1）审计查阅。
（2）有限审计查阅。
（3）可选审计查阅。

审计事件的存储安全要求：
（1）保护审计记录的存储。
（2）保证审计数据的可用性。
（3）防止审计数据丢失。

审计跟踪及应用
1. 审计跟踪的概念及意义
审计跟踪（Audit Trail）指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。
审计跟踪作为一种安全机制其目标：
（1）审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。
（2）可发现试图绕过保护机制的入侵行为或其他操作。
（3）能够发现用户的访问权限转移行为。
（4）制止用户企图绕过系统保护机制的操作事件。

审计跟踪是提高系统安全性的重要工具其意义:
（1）利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。
（2）审计信息可以确定事件和攻击源，用于检查网络犯罪。
（3）通过对安全事件的收集、积累和分析，可对其中的某些站点或用户审计跟踪，以提供发现可能产生破坏性行为的证据。
（4）既能识别访问系统来源，又能指出系统状态转移过程。

2. 审计跟踪的主要问题
安全审计跟踪重点考虑：
（1）选择记录信息内容。
（2）确定审计跟踪信息所采用的语法和语义定义。
审计是系统安全策略的一个重要组成部分，贯穿整个系统运行过程中，覆盖不同的安全机制，为其他安全策略的改进和完善提供必要的信息。

为了确保审计实施的可用性和正确性，需要在保护和审查审计数据的同时，做好计划分步实施. 具体实施主要包括：保护审查审计数据及审计工具与步骤。

1. 保护审计数据
   应当严格限制在线访问审计日志。
   审计数据保护常用方法: 用数据签名和只读设备存储数据。
   审计跟踪信息的保密性也应进行严格保护。

2. 审查审计数据
   审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。

3. 审计工具与步骤
   1）审计精选工具。 2）趋势/差别探测工具。 3）攻击特征探测工具。

金融机构审计跟踪的实施
1.审计跟踪系统概述
审计跟踪系统会执行系统方面的策略，如对文件及系统的访问。对实施这些策略的相关系统配置文件改动的监控十分重要，系统须在相关访问发生时生成审计记录。审计跟踪可提供更详细记录。对于重要应用还需对用户和使用细节记录。系统管理员不仅会对所有系统和活动监控，同时也应选择记录某个应用在系统层面上的具体功能。包括审计跟踪任何试图登陆的情况，登陆ID、每次登陆尝试时间和日期、终止登陆时间和日期、使用的设备、登陆成功后使用的功能。

2.系统安全审计跟踪的实施
1)不同系统在不同情况下审计跟踪信息所记录的内容有一定差异
2)对在线审计日志的访问须严格控制。
3)审计跟踪信息在保留期限到期后应立即予以删除和销毁。
4)审计跟踪审核分析方式，3种：
审计跟踪事后审核。
审计跟踪阶段性审核。
实时审计分析。
5)审计跟踪分析的工具。