CISP0203鑒別與訪問控制_30剖析

1、鑒別與訪問控制鑒別與訪問控制課程內(nèi)容課程內(nèi)容2鑒別與訪問鑒別與訪問控制控制知識體知識域訪問控制模型訪問控制模型訪問控制技術(shù)訪問控制技術(shù)知識子域集中訪問控制集中訪問控制非集中訪問控制非集中訪問控制強(qiáng)制訪問控制模型強(qiáng)制訪問控制模型訪問訪問控制基本控制基本概念概念自主訪問控制模型自主訪問控制模型鑒別鑒別鑒別的類型鑒別的類型鑒別的方法鑒別的方法基于角色的訪問基于角色的訪問控制模型控制模型知識域：知識域：鑒別鑒別v知識子域：鑒別的類型 理解標(biāo)識、鑒別的概念和作用 理解單向鑒別、雙向鑒別和第三方鑒別的區(qū)別v知識子域：鑒別的方法 理解基于所知、所有和生物特征的三種基本鑒別方法及其特點(diǎn) 理解每種鑒別方法及組合

2、鑒別方法的強(qiáng)度3標(biāo)識標(biāo)識v標(biāo)識是實(shí)體身份的一種計算機(jī)表達(dá)，每個實(shí)體與計算機(jī)內(nèi)部的一個身份表達(dá)綁定v標(biāo)識的主要作用：訪問控制和審計 訪問控制：標(biāo)識用于控制是否允許特定的操作 審計：標(biāo)識用于跟蹤所有操作的參與者，參與者的任何操作都能被明確地標(biāo)識出來4鑒別鑒別v確認(rèn)實(shí)體是它所聲明的，提供了關(guān)于某個實(shí)體身份的保證，某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體 口令、挑戰(zhàn)-應(yīng)答、生物特征鑒別v所有其它的安全服務(wù)都依賴于該服務(wù)v需求：某一成員（聲稱者）提交一個主體的身份并聲稱它是那個主體v目的：使別的成員（驗(yàn)證者）獲得對聲稱者所聲稱的事實(shí)的信任5標(biāo)識和鑒別的作用標(biāo)識和鑒別的作用v作為訪問控制的一種必要支持

3、，訪問控制的執(zhí)行依賴于確知的身份 訪問控制直接對機(jī)密性、完整性、可用性及合法使用資源提供支持v作為數(shù)據(jù)源認(rèn)證的一種方法 與數(shù)據(jù)完整性機(jī)制結(jié)合起來使用v作為審計追蹤的支持 在審計追蹤記錄時，提供與某一活動關(guān)聯(lián)的確知身份6鑒別系統(tǒng)的組成鑒別系統(tǒng)的組成v被驗(yàn)證者P（Prover）：出示身份標(biāo)識的人，又稱聲稱者（Claimant）v驗(yàn)證者V（Verifier）：檢驗(yàn)聲稱者提出的身份標(biāo)識的正確性和合法性，決定是否滿足要求v可信賴者TP（Trusted Third Party）：參與鑒別的第三方，參與調(diào)解糾紛P VTP7鑒別的類型鑒別的類型v單向鑒別和雙向鑒別 單向鑒別：通信雙方中只有一方向另一方進(jìn)行鑒別

4、 雙向鑒別：通信雙方相互進(jìn)行鑒別 第三方鑒別：由可信第三方來確認(rèn)身份v本地鑒別和遠(yuǎn)程鑒別 本地鑒別：實(shí)體在本地環(huán)境的初始化鑒別 遠(yuǎn)程鑒別：連接遠(yuǎn)程設(shè)備的實(shí)體鑒別8鑒別的鑒別的方法方法v基于你所知道的（What you know ） 知識、口令、密碼v基于你所擁有的（What you have ） 身份證、信用卡、鑰匙、智能卡、令牌等v基于你的個人特征（What you are） 指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜v雙因素、多因素認(rèn)證9常見的鑒別技術(shù)常見的鑒別技術(shù)v基于口令的身份認(rèn)證v基于生物特征的身份認(rèn)證v基于個人令牌的身份認(rèn)證10基于口令的身份認(rèn)證基于口令的身份認(rèn)證v口令是使用最廣泛

5、的身份鑒別方法v選擇原則：易記、難猜測、抗分析能力強(qiáng)v口令提供弱鑒別，面臨的威脅： 口令猜測 線路竊聽 重放攻擊 11防止線路竊聽防止線路竊聽v使用保護(hù)口令機(jī)制：單向函數(shù)v攻擊者很容易構(gòu)造一張q與p對應(yīng)的表，表中的p盡可能包含所期望的值 解決辦法：在口令后使用隨機(jī)數(shù)12一次性口令機(jī)制一次性口令機(jī)制v確保在每次鑒別中所使用的口令不同，以對付重放攻擊v口令的確定方法： 兩端共同擁有一串隨機(jī)口令，在該串的某一位置保持同步 兩端共同使用一個隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步 使用時間戳，兩端維持同步的時鐘13基于個人令牌的身份認(rèn)證基于個人令牌的身份認(rèn)證v集成電路卡（Integrated Ci

6、rcuit Card）簡稱IC卡，其中鑲嵌集成電路芯片vIC卡的分類 IC卡接口類型 接觸式IC卡 非接觸式IC卡 雙界面卡 嵌入集成電路芯片的形式和類型 非加密存儲卡 邏輯加密卡 （EEPROMEEPROM存儲單元陣列存儲單元陣列 + + 密碼控制邏輯單元密碼控制邏輯單元) ) CPU卡（又稱智能卡）14智能卡的安全特性智能卡的安全特性v硬件 與外界通信前，先完成智能卡與終端間的認(rèn)證 加入安全傳感器，防止在數(shù)據(jù)被讀出或?qū)懭霑r被修改 發(fā)生異常，智能卡復(fù)位，或者置標(biāo)志位，使智能卡操作系統(tǒng)做出相應(yīng)反應(yīng) 存儲器加密，不保存任何明文v軟件 使用需要通過雙因素認(rèn)證，進(jìn)入操作智能卡的安全狀態(tài) 信息采用文件

7、系統(tǒng)進(jìn)行保存，依據(jù)類型或密鑰的不同，提供不同的訪問操作 支持DES、3DES和RSA等密碼算法15基于生物特征的身份認(rèn)證（一）基于生物特征的身份認(rèn)證（一）v每個人所具有的唯一生理特征 指紋，視網(wǎng)膜，聲音，虹膜、語音、面部、簽名等v指紋 一些曲線和分叉以及一些非常微小的特征 提取指紋中的一些特征并且存儲這些特征信息：節(jié)省資源，快速查詢v手掌、手型 手掌有折痕，起皺，還有凹槽 還包括每個手指的指紋 人手的形狀（手的長度，寬度和手指）表示了手的幾何特征 16基于生物特征的身份認(rèn)證（二）基于生物特征的身份認(rèn)證（二）v視網(wǎng)膜掃描 掃描眼球后方的視網(wǎng)膜上面的血管的圖案；v虹膜掃描 虹膜是眼睛中位于瞳孔周圍

8、的一圈彩色的部分 虹膜有其獨(dú)有的圖案，分叉，顏色，環(huán)狀，光環(huán)以及皺褶v語音識別 記錄時說幾個不同的單詞，然后識別系統(tǒng)將這些單詞混雜在一起，讓他再次讀出給出的一系列單詞v面部掃描 人都有不同的骨骼結(jié)構(gòu)，鼻梁，眼眶，額頭和下顎形狀17指紋識別的實(shí)現(xiàn)原理指紋識別的實(shí)現(xiàn)原理v通過特殊的光電掃描和計算機(jī)圖像處理技術(shù)，對指紋進(jìn)行采集、分析和比對，自動、迅速、準(zhǔn)確地認(rèn)證出個人身份。v指紋識別的過程 按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫中的模板指紋調(diào)出來，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出于同一幅指紋。指紋圖象采集儀圖象輸入通道指紋細(xì)節(jié)匹配認(rèn)證結(jié)果18虹膜識別的實(shí)現(xiàn)原理（一）

9、虹膜識別的實(shí)現(xiàn)原理（一）v虹膜是環(huán)繞在瞳孔四周有色彩的部分 每一個虹膜都包含一個獨(dú)一無二的基于像冠、水晶體、細(xì)絲、斑點(diǎn)、結(jié)構(gòu)、凹點(diǎn)、射線、皺紋和條紋等特征的結(jié)構(gòu) 每一個人的虹膜各不相同，一個人的左眼和右眼就可能不一樣，即使是雙胞胎的虹膜也可能不一樣 人的虹膜在出生后6-18個月成型后終生不再發(fā)生變化19虹膜識別的實(shí)現(xiàn)原理（二）虹膜識別的實(shí)現(xiàn)原理（二）20知識域：訪問控制模型知識域：訪問控制模型v知識子域：訪問控制基本概念 理解訪問控制的作用 理解主體、客體、訪問權(quán)限等基本概念 理解訪問控制模型的一般構(gòu)成v知識子域：自主訪問控制 理解自主訪問控制（DAC）的含義 理解DAC的常用描述方式訪問控制

10、矩陣模型，及其兩種常見實(shí)現(xiàn)方法：訪問控制表、能力表，了解其他實(shí)現(xiàn)方法如前綴表、保護(hù)位 理解DAC的特點(diǎn)21知識域：訪問控制模型知識域：訪問控制模型v知識子域：強(qiáng)制訪問控制 理解強(qiáng)制訪問控制（MAC）的分類和含義 理解典型MAC模型：Bell-Lapudula模型、Biba模型 了解Chinese Wall模型和Clark-Wilson模型 理解MAC的特點(diǎn)v知識子域：基于角色的訪問控制 理解基于角色的訪問控制（RBAC）模型的基本組成 理解RBAC的特點(diǎn)22訪問控制的概念和目標(biāo)訪問控制的概念和目標(biāo)v訪問控制：針對越權(quán)使用資源的防御措施v目標(biāo)：防止對任何資源（如計算資源、通信資源或信息資源）進(jìn)行

11、未授權(quán)的訪問，從而使資源在授權(quán)范圍內(nèi)使用，決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。23訪問控制的作用訪問控制的作用v未授權(quán)訪問：包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。 非法用戶對系統(tǒng)資源的使用 合法用戶對系統(tǒng)資源的非法使用v作用：機(jī)密性、完整性和可用性24主體與客體主體與客體v主體 發(fā)起者，是一個主動的實(shí)體，可以操作被動實(shí)體的相關(guān)信息或數(shù)據(jù) 用戶、程序、進(jìn)程等v客體 一種被動實(shí)體，被操作的對象，規(guī)定需要保護(hù)的資源 文件、存儲介質(zhì)、程序、進(jìn)程等25主體與客體之間的關(guān)系主體與客體之間的關(guān)系v主體：接收客體相關(guān)信息和數(shù)據(jù)，也可能改變客體相關(guān)信息v一個主體為了完成任務(wù)

12、，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計算機(jī)上運(yùn)行，并由父主體控制它們v客體：始終是提供、駐留信息或數(shù)據(jù)的實(shí)體v主體和客體的關(guān)系是相對的，角色可以互換26 授權(quán)授權(quán) v規(guī)定主體可以對客體執(zhí)行的操作： 讀 寫 執(zhí)行 拒絕訪問 27主體標(biāo)識的實(shí)例主體標(biāo)識的實(shí)例v主體的標(biāo)識 在UNIX中，主體（用戶）的身份標(biāo)識為0-65535之間的一個整數(shù)，稱為用戶身份號（UID） 常見的主體標(biāo)識還包括用戶名、卡、令牌等，也可以是指紋、虹膜等生物特征28客體標(biāo)識的實(shí)例客體標(biāo)識的實(shí)例v客體的標(biāo)識 文件名 文件描述符或句柄 文件分配表的條目 UNIX中提供了四種不同的文件標(biāo)識： inode 文件描述符 絕對

13、路徑文件名 相對路徑文件名29訪問控制的兩個重要過程訪問控制的兩個重要過程v第一步：鑒別 檢驗(yàn)主體的合法身份v第二步：授權(quán) 限制用戶對資源的訪問權(quán)限30訪問控制模型訪問控制模型主 體客 體訪問控制實(shí)施訪問控制決策提交訪問 請求請求決策決 策提出訪問 請求31v什么是訪問控制模型 對一系列訪問控制規(guī)則集合的描述，可以是非形式化的，也可以是形式化的。v組成訪問控制模型的分類訪問控制模型的分類訪問控制模型強(qiáng)制訪問控制模型（MAC）自主訪問控制模型（DAC）訪問矩陣模型訪問控制列表（ACL）權(quán)能列表（Capacity List）Bell-Lapudula 模型Biba 模型Clark-Wilson 模

14、型Chinese Wall 模型保密性 模型完整性 模型基于角色訪問控制模型（RBAC）混合策略模型32知識域：訪問控制模型知識域：訪問控制模型v知識子域：自主訪問控制模型 理解自主訪問控制的含義 理解訪問控制矩陣模型，及其實(shí)現(xiàn)方法：訪問控制列表、權(quán)能列表 理解自主訪問控制模型的特點(diǎn)33自主訪問控制的含義自主訪問控制的含義v允許客體的屬主（創(chuàng)建者）決定主體對該客體的訪問權(quán)限 靈活地調(diào)整安全策略 具有較好的易用性和可擴(kuò)展性 常用于商業(yè)系統(tǒng) 安全性不高34自主訪問控制的實(shí)現(xiàn)機(jī)制和方法自主訪問控制的實(shí)現(xiàn)機(jī)制和方法v實(shí)現(xiàn)機(jī)制 訪問控制表/矩陣v實(shí)現(xiàn)方法 訪問控制表（Access Control Lis

15、ts） 訪問能力表（Capacity List） 35目標(biāo)xR、W、OwnR、W、Own目標(biāo)y目標(biāo)z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W 目標(biāo)用戶 訪問許可與訪問模式訪問許可與訪問模式v訪問許可訪問許可(Access Permission)(Access Permission)： 描述主體對客體所具有的控制權(quán) 定義了改變訪問模式的能力或向其它主體傳送這種能力的能力v訪問模式訪問模式： 描述主體對客體所具有的訪問權(quán) 指明主體對客體可進(jìn)行何種形式的特定訪問操作：讀/寫/運(yùn)行 36訪問許可的類型訪問許可的類型v等級型（Hierarchical）v有主型（Owner） 每個客體設(shè)置一

16、個擁有者（一般是客體的生成者），擁有者是唯一有權(quán)修改客體訪問控制表的主體，擁有者對其客體具有全部控制權(quán)v自由型（Laissez-faire）37訪問模式的類型訪問模式的類型v對文件的訪問模式設(shè)置如下： 讀-拷貝 寫-刪除/更改 運(yùn)行 無效38訪問控制矩陣訪問控制矩陣v行：主體（用戶）v列：客體（文件）v矩陣元素：規(guī)定了相應(yīng)用戶對應(yīng)于相應(yīng)的文件被準(zhǔn)予的訪問許可、訪問權(quán)限客體客體x x客體客體y y客體客體z z主體aR、W、OwnR、W主體bRR、W、Own主體cR主體dR、WR、W39訪問控制表訪問控制表v訪問控制矩陣按列：訪問控制表v訪問控制表：每個客體可以被訪問的主體及權(quán)限客體y主體b主體

17、dRWOwnRW40訪問能力表訪問能力表v訪問控制矩陣按行：訪問能力表v訪問能力表：每個主體可訪問的客體及權(quán)限主體b客體x客體yRRWOwn41訪問控制表與訪問能力表的比較訪問控制表與訪問能力表的比較ACLACLCLCL保存位置客體主體瀏覽訪問權(quán)限容易困難訪問權(quán)限傳遞困難容易訪問權(quán)限回收容易困難使用集中式系統(tǒng)分布式系統(tǒng)42自主訪問控制的特點(diǎn)自主訪問控制的特點(diǎn) v優(yōu)點(diǎn)： 根據(jù)主體的身份和訪問權(quán)限進(jìn)行決策 具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個子集授予其它主體 靈活性高，被大量采用v缺點(diǎn)： 信息在傳遞過程中其訪問權(quán)限關(guān)系會被改變43強(qiáng)制訪問控制的含義強(qiáng)制訪問控制的含義v主體對客體的所有訪問

18、請求按照強(qiáng)制訪問控制策略進(jìn)行控制，客體的屬主無權(quán)控制客體的訪問權(quán)限，以防止對信息的非法和越權(quán)訪問 主體和客體分配有一個安全屬性 應(yīng)用于軍事等安全要求較高的系統(tǒng) 可與自主訪問控制結(jié)合使用44常見強(qiáng)制訪問控制模型常見強(qiáng)制訪問控制模型vBLP模型 1973年提出的多級安全模型，影響了許多其他模型的發(fā)展，甚至很大程度上影響了計算機(jī)安全技術(shù)的發(fā)展vBiba模型 1977年，Biba提出的一種在數(shù)學(xué)上與BLP模型對偶的完整性保護(hù)模型vClark-Wilson模型 1987年，David Clark和David Wilson開發(fā)的以事務(wù)處理為基本操作的完整性模型，該模型應(yīng)用于多種商業(yè)系統(tǒng)vChinese W

19、all模型 1989年，D. Brewer和M. Nash提出的同等考慮保密性與完整性的安全策略模型，主要用于解決商業(yè)中的利益沖突45BLPBLP模型的組成模型的組成v主體集：Sv客體集：Ov安全級：密級和范疇 密級：絕密、機(jī)密、秘密、公開 范疇：NUC、EUR、USv偏序關(guān)系：支配 安全級L=(C,S)高于安全級L=(C,S)，當(dāng)且僅當(dāng)滿足以下關(guān)系：C C，S S46BLPBLP模型規(guī)則（一）模型規(guī)則（一）v簡單安全特性： S可以讀O，當(dāng)且僅當(dāng)S的安全級可以支配O的安全級，且S對O具有自主型讀權(quán)限 向下讀v*特性： S可以寫O，當(dāng)且僅當(dāng)O的安全級可以支配S的安全級，且S對O具有自主型寫權(quán)限

20、向上寫47BLPBLP模型規(guī)則（二）模型規(guī)則（二）v當(dāng)一個高等級的主體必須與另一個低等級的主體通信，即高等級的主體寫信息到低等級的客體，以便低等級的主體可以讀 主體有一個最高安全等級和一個當(dāng)前安全等級，最高安全等級必須支配當(dāng)前等級 主體可以從最高安全等級降低下來，以便與低安全等級的實(shí)體通信48BLPBLP模型實(shí)例模型實(shí)例49BibaBiba模型的組成模型的組成v主體集：Sv客體集：Ov安全級：完整級和范疇 完整等級：Crucial，Very Important，Important 范疇：NUC、EUR、USv偏序關(guān)系：支配 完整級L=(C,S)高于完整級L=(C,S)，當(dāng)且僅當(dāng)滿足以下關(guān)系：C

21、 C，S S50BibaBiba模型規(guī)則與實(shí)例模型規(guī)則與實(shí)例vS可以讀O，當(dāng)且僅當(dāng)O的安全級支配S的安全級vS可以寫O，當(dāng)且僅當(dāng)S的安全級支配O的安全級51Clark-WilsonClark-Wilson模型的目標(biāo)模型的目標(biāo)v解決商業(yè)系統(tǒng)最關(guān)心的問題：系統(tǒng)數(shù)據(jù)的完整性以及對這些操作的完整性v一致性狀態(tài)：數(shù)據(jù)滿足給定屬性，就稱數(shù)據(jù)處于一個一致性狀態(tài)n實(shí)例：今天到目前為止存入金額的總數(shù)：D今天到目前為止提取金額的總數(shù)：W昨天為止所有賬戶的金額總數(shù)：YB今天到目前為止所有賬戶的金額總數(shù)：TB一致性屬性：D+YB-W=TB52Clark-WilsonClark-Wilson模型模型 自由數(shù)據(jù)條目 Un

22、constrained Data Item (UDI) 受限數(shù)據(jù)條目 Constrained Data Item (CDI) 轉(zhuǎn)換程序 Transformation Procedure (TP) 完整性檢查程序 Integrity Verification Procedure (IVP) 數(shù)據(jù)庫服務(wù)器應(yīng)用程序服務(wù)器用戶TP轉(zhuǎn)換UD1為CDI1TP基于CDI1更新CDI2(訂單)和CDI3(賬單)IVP檢查所有訂單和賬單(CDI2/CDI3)Chinese WallChinese Wall模型的組成（一）模型的組成（一）v主體集：Sv客體集：O 無害客體：可以公開的數(shù)據(jù) 有害客體：會產(chǎn)生利益沖突

23、，需要限制的數(shù)據(jù)vPR(S)表示S曾經(jīng)讀取過的客體集合54Chinese WallChinese Wall模型的組成（二）模型的組成（二）v公司數(shù)據(jù)集CD：與某家公司相關(guān)的若干客體v利益沖突(COI)類：若干相互競爭的公司的數(shù)據(jù)集銀行COI類銀行a銀行b銀行c石油公司COI類公司w公司u公司v公司x55Chinese WallChinese Wall模型規(guī)則模型規(guī)則v CW-簡單安全特性：S能讀取O，當(dāng)且僅當(dāng)以下任一條件滿足： （1）存在一個O，它是S曾經(jīng)訪問過的客體，并且 CD（O）= CD（O）（2）對于所有的客體O， O PR（S），則 COI（O） COI（O）（3）O是無害客體v C

24、W-*-特性： S能寫O，當(dāng)且僅當(dāng)以下兩個條件同時滿足： （1）CW-簡單安全特性允許S讀O （2）在其它COI類上不存在該主體可以讀取的客體56Chinese WallChinese Wall模型實(shí)例模型實(shí)例57自主訪問控制與強(qiáng)制訪問控制的比較自主訪問控制與強(qiáng)制訪問控制的比較v自主訪問控制n細(xì)粒度n靈活性高n配置效率低v強(qiáng)制訪問控制n控制粒度大n靈活性不高n安全性強(qiáng)58基于角色的訪問控制基于角色的訪問控制v由NIST的Ferraiolo等人在90年代提出vNIST成立專門機(jī)構(gòu)進(jìn)行研究v1996年提出一個較完善的基于角色的訪問控制參考模型RBAC9659RBAC RBAC 模型的基本思想模型的

25、基本思想vRBAC的基本思想是根據(jù)用戶所擔(dān)任的角色來決定用戶在系統(tǒng)中的訪問權(quán)限。v一個用戶必須扮演某種角色，而且還必須激活這一角色，才能對一個對象進(jìn)行訪問或執(zhí)行某種操作。安全管理員用戶角色/權(quán)限指定訪問或操作激活60RBAC 96RBAC 96的組成的組成vRBAC0: 含有RBAC核心部分vRBAC1: 包含RBAC0，另含角色繼承關(guān)系(RH)vRBAC2: 包含RBAC0，另含限制(Constraints)vRBAC3: 包含所有層次內(nèi)容，是一個完整模型61RBAC RBAC 模型的組成（一）模型的組成（一）v用戶（User）：訪問計算機(jī)資源的主體，用戶集合為 Uv角色（role）：一種崗

26、位，代表一種資格、權(quán)利和責(zé)任，角色集合為 Rv權(quán)限（permission）：對客體的操作權(quán)力，權(quán)限集合為 Pv用戶分配（User Assignment）n將用戶與角色關(guān)聯(lián)。n用戶 u與角色 r關(guān)聯(lián)后，將擁有 r的權(quán)限62RBAC RBAC 模型的組成（二）模型的組成（二）v權(quán)限分配（Permission Assignment）n將角色與權(quán)限關(guān)聯(lián)n權(quán)限 p與角色 r關(guān)聯(lián)后，角色 r將擁有權(quán)限 pv激活角色（Active Role）n角色只有激活才能起作用，否則不起作用n通過會話激活角色v會話（Session）n用戶要訪問系統(tǒng)資源時，必須先建立一個會話n一次會話僅對應(yīng)一個用戶，一次會話可激活幾個角

27、色63RBAC RBAC 模型的基本機(jī)制模型的基本機(jī)制64RBACRBAC模型實(shí)例模型實(shí)例65RBACRBAC模型的特點(diǎn)模型的特點(diǎn)v便于授權(quán)管理（角色的變動遠(yuǎn)遠(yuǎn)低于個體的變動）v便于處理工作分級，如文件等資源分級管理v利用安全約束，容易實(shí)現(xiàn)各種安全策略，如最小特權(quán)、職責(zé)分離等v便于任務(wù)分擔(dān)，不同角色完成不同的任務(wù)66知識域：訪問控制技術(shù)知識域：訪問控制技術(shù)v知識子域：集中訪問控制 理解集中訪問控制的基本概念 理解實(shí)現(xiàn)集中訪問控制的常用協(xié)議：Kerberos協(xié)議、AAA協(xié)議 了解三個常見的AAA協(xié)議：RADIUS、TACACS+和Diameter，以及每個協(xié)議的優(yōu)缺點(diǎn)v知識子域：非集中訪問控制

28、理解非集中訪問控制的基本概念 理解域等非集中訪問控制的實(shí)現(xiàn)方式67單點(diǎn)登錄技術(shù)單點(diǎn)登錄技術(shù)v單點(diǎn)登錄（SSO，Single Sign-on） 用戶只需在登錄時進(jìn)行一次注冊，就可以訪問多個系統(tǒng)，不必重復(fù)輸入用戶名和密碼來確定身份 實(shí)質(zhì)是安全上下文（Security Context）或憑證（Credential）在多個應(yīng)用系統(tǒng)之間的傳遞或共享v單點(diǎn)登錄的優(yōu)點(diǎn) 方便用戶 方便管理員 簡化應(yīng)用系統(tǒng)開發(fā)68KerberosKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議v美國麻省理工學(xué)院（MIT）為Athena項(xiàng)目開發(fā)的一種身份鑒別協(xié)議v“Kerberos”的本意是希臘神話中守護(hù)地獄之門的守護(hù)者 vKerberos提供

29、了一個網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證框架結(jié)構(gòu) 實(shí)現(xiàn)采用對稱密鑰加密技術(shù) 公開發(fā)布的Kerberos版本包括版本4和版本5 安全性、可靠性、可伸縮性、透明性69KerberosKerberos認(rèn)證協(xié)議使用條件認(rèn)證協(xié)議使用條件v有一個時鐘基本同步的環(huán)境v客戶機(jī)與KDC（ Key Distribution Center ）， KDC與服務(wù)器在協(xié)議工作前已經(jīng)有了各自的共享密鑰v組成 密鑰分發(fā)中心（KDC）：由兩個獨(dú)立的邏輯部分組成 認(rèn)證服務(wù)器AS（Authentication Server） 票據(jù)授權(quán)服務(wù)器TGS（Ticket Granting Server） 票據(jù)許可票據(jù)TGT70獲得票據(jù)許可票據(jù)獲得票據(jù)許可

30、票據(jù)71v 第一步：獲得票據(jù)許可票據(jù) 用戶登錄客戶機(jī)請求主機(jī)服務(wù) 認(rèn)證服務(wù)器（AS）在數(shù)據(jù)庫中驗(yàn)證用戶的訪問權(quán)限，生成票據(jù)許可票據(jù)和會話密鑰，它們用由用戶口令導(dǎo)出的密鑰進(jìn)行加密AS客戶機(jī)請求票據(jù)許可票據(jù)(TGT)票據(jù)+會話密鑰TGT +（kc,tgs）獲得服務(wù)許可票據(jù)獲得服務(wù)許可票據(jù)72v 第二步：獲得服務(wù)許可票據(jù) 客戶機(jī)提示用戶輸入口令來對收到的報文進(jìn)行解密，然后將票據(jù)許可票據(jù)以及包含用戶名稱、網(wǎng)絡(luò)地址和時間的鑒別符發(fā)往票據(jù)授權(quán)服務(wù)器TGS 票據(jù)授權(quán)服務(wù)器TGS對票據(jù)和鑒別符進(jìn)行解密，驗(yàn)證請求，然后生成服務(wù)許可票據(jù)TGS客戶機(jī)請求服務(wù)許可票據(jù)(SGT)票據(jù)+會話密鑰SGT +（kc,s）獲得

31、服務(wù)獲得服務(wù)73v第三步：獲得服務(wù) 客戶機(jī)將票據(jù)和鑒別符發(fā)給服務(wù)器 服務(wù)器驗(yàn)證票據(jù)和鑒別符是否匹配，然后許可訪問服務(wù)。如果需要雙向鑒別，服務(wù)器返回一個鑒別符服務(wù)器客戶機(jī)請求服務(wù)提供服務(wù)器鑒別符KerberosKerberos認(rèn)證協(xié)議的特點(diǎn)認(rèn)證協(xié)議的特點(diǎn)v優(yōu)點(diǎn) 單點(diǎn)登錄，只要用戶拿到了TGT并且該TGT沒有過期，就可以使用該TGT通過TGS完成到任一個服務(wù)器的認(rèn)證而不必重新輸入密碼 與授權(quán)機(jī)制相結(jié)合 支持雙向的身份認(rèn)證 通過交換“跨域密鑰”實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證v缺點(diǎn) AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全 時鐘同步問題 身份認(rèn)證采用的是

32、對稱加密機(jī)制，隨用戶數(shù)量增加，密鑰管理較復(fù)雜74集中訪問控制的基本概念及實(shí)現(xiàn)集中訪問控制的基本概念及實(shí)現(xiàn)vRADIUS協(xié)議vTACACS協(xié)議vTACACS+協(xié)議vDiameter協(xié)議75RADIUSRADIUS協(xié)議協(xié)議v遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)（Remote Authentication Dial In User Service） 最初由Livingston公司提出，為撥號用戶進(jìn)行認(rèn)證和計費(fèi)，經(jīng)多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計費(fèi)協(xié)議 RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS （Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計算機(jī)都可以成為RAD

33、IUS的客戶端 基本設(shè)計組件有認(rèn)證、授權(quán)和記賬(AAA)(AAA)76RADIUSRADIUS協(xié)議的基本消息交互流程協(xié)議的基本消息交互流程應(yīng)用服務(wù)器遠(yuǎn)程訪問服務(wù)器（RAS）/RADIUS客戶端RADIUS服務(wù)器1234RADIUSRADIUS協(xié)議的特點(diǎn)協(xié)議的特點(diǎn)v簡單明確，可擴(kuò)充v使用UDP端口1812，1813；v不足： 口令傳輸一般為明文；可使用MD5進(jìn)行加密； 缺少丟包重傳機(jī)制RADIUSServerPSTN/ISDNCorporateNetwork78RADIUSClientTACACS+TACACS+協(xié)議協(xié)議v終端訪問控制器訪問控制系統(tǒng)（ Terminal Access Controller