信息安全原理與技術(shù)ch06-身份認證與訪問控制課件

信息安全原理與技術(shù)第2版郭亞軍宋建華李莉董慧慧清華大學(xué)出版社2022/12/91Ch6-身份認證與訪問控制信息安全原理與技術(shù)第2版2022/12/71Ch6-身份認證第6章身份認證與訪問控制主要知識點：

--身份認證

--訪問控制概述

--自主訪問控制

--強制訪問控制

--基于角色的訪問控制2022/12/92Ch6-身份認證與訪問控制第6章身份認證與訪問控制主要知識點：2022/12/72C6.1身份認證認證一般可以分為兩種:消息認證:用于保證信息的完整性和抗否認性。在很多情況下，用戶要確認網(wǎng)上信息是不是假的，信息是否被第三方修改或偽造，這就需要消息認證。身份認證:用于鑒別用戶身份。包括識別和驗證，識別是指明確并區(qū)分訪問者的身份；驗證是指對訪問者聲稱的身份進行確認。2022/12/93Ch6-身份認證與訪問控制6.1身份認證認證一般可以分為兩種:2022/12/73C圖6.1身份認證是安全系統(tǒng)中的第一道關(guān)卡2022/12/94Ch6-身份認證與訪問控制圖6.1身份認證是安全系統(tǒng)中的第一道關(guān)卡2022/12/74單向認證和雙向認證軟件認證和硬件認證單因子認證和雙因子認證靜態(tài)認證和動態(tài)認證

認證手段:基于用戶所知道的(whatyouknow)基于用戶所擁有的(whatyouhave)基于用戶本身的（生物特征如：語音特征、筆跡特征或指紋）相關(guān)概念

2022/12/95Ch6-身份認證與訪問控制單向認證和雙向認證相關(guān)概念2022/12/75Ch6-身份6.1.1身份認證的基本方法

用戶名/密碼方式

IC卡認證方式動態(tài)口令方式生物特征認證方式USBKey認證方式2022/12/96Ch6-身份認證與訪問控制6.1.1身份認證的基本方法用戶名/密碼方式2022/1用戶名/密碼方式是一種基于“用戶所知道”的驗證手段每一個合法用戶都有系統(tǒng)給的一個用戶名/口令對，當用戶要求訪問提供服務(wù)的系統(tǒng)時，系統(tǒng)就要求輸入用戶名、口令，在收到口令后，將其與系統(tǒng)中存儲的用戶口令進行比較，以確認被認證對象是否為合法訪問者。如果正確，則該用戶的身份得到了驗證。

優(yōu)點：由于一般的操作系統(tǒng)都提供了對口令認證的支持，對于封閉的小型系統(tǒng)來說是一種簡單可行的方法。缺點：是一種單因素的認證，它的安全性依賴于密碼。由于許多用戶為了防止忘記密碼，經(jīng)常會采用容易被他人猜到的有意義的字符串作為密碼，因此極易造成密碼泄露。密碼一旦泄露，用戶即可被冒充。

2022/12/97Ch6-身份認證與訪問控制用戶名/密碼方式是一種基于“用戶所知道”的驗證手段2022/IC卡認證方式是一種基于“用戶所擁有”的認證手段

IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器中讀取其中的信息，以驗證用戶的身份。優(yōu)點：

通過IC卡硬件的不可復(fù)制性可保證用戶身份不會被仿冒。缺點：由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易能截取到用戶的身份驗證信息。因此，靜態(tài)驗證的方式還是存在著根本的安全隱患。2022/12/98Ch6-身份認證與訪問控制IC卡認證方式是一種基于“用戶所擁有”的認證手段2022/1動態(tài)口令方式是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術(shù)

采用動態(tài)密碼卡(專用硬件)，密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼。用戶將動態(tài)令牌上顯示的當前密碼輸入，由這個信息的正確與否可識別使用者的身份。

優(yōu)點：采用一次一密的方法，不能由產(chǎn)生的內(nèi)容去預(yù)測出下一次的內(nèi)容。而且輸入方法普遍(一般計算機鍵盤即可)，能符合網(wǎng)絡(luò)行為雙方的需要。

缺點：如果客戶端硬件與服務(wù)器端程序的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題，這使得用戶的使用非常不方便。2022/12/99Ch6-身份認證與訪問控制動態(tài)口令方式是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化生物特征認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征(如指紋、虹膜、臉部、掌紋等)為依據(jù)，采用計算機的強大功能和網(wǎng)絡(luò)技術(shù)進行圖像處理和模式識別。優(yōu)點：使用者幾乎不可能被仿冒。缺點：

較昂貴。不夠穩(wěn)定(辯識失敗率高)。2022/12/910Ch6-身份認證與訪問控制生物特征認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征(如指紋USBKey認證方式采用軟硬件相結(jié)合、一次一密的強雙因子認證模式。

USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認證。

兩種應(yīng)用模式：基于挑戰(zhàn)/應(yīng)答的認證模式基于PKI體系的認證模式

優(yōu)點：便于攜帶、使用方便、成本低廉、安全可靠性很高，被認為將會成為身份認證的主要發(fā)展方向。缺點：

安全性不如生物特征認證。2022/12/911Ch6-身份認證與訪問控制USBKey認證方式采用軟硬件相結(jié)合、一次一密的強雙因子認6.1.2常用身份認證機制

簡單認證機制

基于DCE/Kerberos的認證機制

基于公共密鑰的認證機制

基于挑戰(zhàn)/應(yīng)答的認證機制

2022/12/912Ch6-身份認證與訪問控制6.1.2常用身份認證機制簡單認證機制2022/12/簡單認證機制

口令認證一次性口令(One-TimePassword)2022/12/913Ch6-身份認證與訪問控制簡單認證機制口令認證2022/12/713Ch6-身份認證口令認證過程：①用戶將口令傳送給計算機；②計算機完成口令單向函數(shù)值的計算；③計算機把單向函數(shù)值和機器存儲的值比較。不足之處：以明文方式輸入口令容易泄密；口令在傳輸過程中可能被截獲；口令以文件形式存儲在認證方，易于被攻擊者獲??；用戶為了記憶的方便，訪問多個不同安全級別的系統(tǒng)時往往采用相同的口令，使得攻擊者也能對高安全級別系統(tǒng)進行攻擊。只能進行單向認證，即系統(tǒng)可以認證用戶，而用戶無法對系統(tǒng)進行認證?？诹钫J證2022/12/914Ch6-身份認證與訪問控制口令認證過程：口令認證2022/12/714Ch6-身份認證一次性口令(One-TimePassword)一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。確定口令的方法兩端共同擁有一串隨機口令，在該串的某一位置保持同步；兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步；使用時戳，兩端維持同步的時鐘。2022/12/915Ch6-身份認證與訪問控制一次性口令(One-TimePassword)一基于DCE/Kerberos的認證機制圖6.2認證雙方與Kerberos的關(guān)系

DCE/Kerberos是一種被證明為非常安全的雙向身份認證技術(shù)。Kerberos既不依賴用戶登錄的終端，也不依賴用戶所請求的服務(wù)的安全機制，它本身提供了認證服務(wù)器來完成用戶的認證工作。

DCE/Kerberos的身份認證強調(diào)了客戶機對服務(wù)器的認證；而其它產(chǎn)品，只解決了服務(wù)器對客戶機的認證。2022/12/916Ch6-身份認證與訪問控制基于DCE/Kerberos的認證機制圖6.2認證雙方基于公共密鑰的認證機制使用符合X.509的身份證明使用這種方法必須有一個第三方的授權(quán)證明（CertificatesofAuthority,CA）中心為客戶簽發(fā)身份證明。客戶和服務(wù)器各自從CA獲取證明，并且信任該授權(quán)證明中心。在會話和通訊時首先交換身份證明，其中包含了將各自的公鑰交給對方，然后才使用對方的公鑰驗證對方的數(shù)字簽名、交換通訊的加密密鑰等。在確定是否接受對方的身份證明時，還需檢查有關(guān)服務(wù)器，以確認該證明是否有效。優(yōu)點:是非常安全的用戶認證形式。缺點：實現(xiàn)起來比較復(fù)雜，要求通信的次數(shù)多，而且計算量較大。2022/12/917Ch6-身份認證與訪問控制基于公共密鑰的認證機制使用符合X.509的身份證明2022/基于挑戰(zhàn)/應(yīng)答的認證機制每次認證時認證服務(wù)器端都給客戶端發(fā)送一個不同的"挑戰(zhàn)"字串，客戶端程序收到這個"挑戰(zhàn)"字串后，做出相應(yīng)的"應(yīng)答"。

典型的認證過程為：（1)客戶向認證服務(wù)器發(fā)出請求，要求進行身份認證；（2)認證服務(wù)器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進一步處理；2022/12/918Ch6-身份認證與訪問控制基于挑戰(zhàn)/應(yīng)答的認證機制每次認證時認證服務(wù)器端都給客戶端發(fā)送基于挑戰(zhàn)/應(yīng)答的認證機制（3)認證服務(wù)器內(nèi)部產(chǎn)生一個隨機數(shù)，作為"提問"，發(fā)送給客戶；（4)客戶將用戶名字和隨機數(shù)合并，使用單向Hash函數(shù)（例如MD5算法）生成一個字節(jié)串作為應(yīng)答；（5)認證服務(wù)器將應(yīng)答串與自己的計算結(jié)果比較，若二者相同，則通過一次認證；否則，認證失??；（6)認證服務(wù)器通知客戶認證成功或失敗。

2022/12/919Ch6-身份認證與訪問控制基于挑戰(zhàn)/應(yīng)答的認證機制（3)認證服務(wù)器內(nèi)部產(chǎn)生一個隨機數(shù)提問-握手認證協(xié)議CHAP

CHAP（ChallengeHandshakeAuthenticationProtocol）采用的是挑戰(zhàn)/應(yīng)答方法，它通過三次握手（3-wayhandshake）方式對被認證方的身份進行周期性的認證。認證過程：

（1）在通信雙方鏈路建立階段完成后，認證方（authenticator）向被認證方（peer）發(fā)送一個提問（challenge）消息；2022/12/920Ch6-身份認證與訪問控制提問-握手認證協(xié)議CHAPCHAP（Challe（2）被認證方向認證方發(fā)回一個響應(yīng)（response），該響應(yīng)由單向散列函數(shù)計算得出，單向散列函數(shù)的輸入?yún)?shù)由本次認證的標識符、秘訣（secret）和提問構(gòu)成；（3）認證方將收到的響應(yīng)與它自己根據(jù)認證標識符、秘訣和提問計算出的散列函數(shù)值進行比較，若相符則認證通過，向被認證方發(fā)送“成功”消息，否則，發(fā)送“失敗”消息，斷開連接。在雙方通信過程中系統(tǒng)將以隨機的時間間隔重復(fù)上述三步認證過程。2022/12/921Ch6-身份認證與訪問控制（2）被認證方向認證方發(fā)回一個響應(yīng)（response），該響CHAP的優(yōu)點通過不斷地改變認證標識符和提問消息的值來防止回放(playback)攻擊。利用周期性的提問防止通信雙方在長期會話過程中被攻擊。雖然CHAP進行的是單向認證，但在兩個方向上進行CHAP協(xié)商，也能實現(xiàn)通信雙方的相互認證。CHAP可用于認證多個不同的系統(tǒng)。2022/12/922Ch6-身份認證與訪問控制CHAP的優(yōu)點2022/12/722Ch6-身份認證與訪問控CHAP的不足CHAP認證的關(guān)鍵是秘訣，CHAP的秘訣以明文形式存放和使用，不能利用通常的不可逆加密口令數(shù)據(jù)庫。并且CHAP的秘訣是通信雙方共享的，因此給秘訣的分發(fā)和更新帶來了麻煩，要求每個通信對都有一個共享的秘訣，這不適合大規(guī)模的系統(tǒng)。2022/12/923Ch6-身份認證與訪問控制CHAP的不足2022/12/723Ch6-身份認證與訪問控6.1.3OpenID和OAuth認證協(xié)議OpenID協(xié)議的角色和標識OpenID的工作流程

OAuth協(xié)議OAuth2.0的工作流程2022/12/924Ch6-身份認證與訪問控制6.1.3OpenID和OAuth認證協(xié)議OpenID協(xié)議OpenID與OAuthOpenID（OpenIdentity）是一個開放的、基于URI/URL的、去中心化的身份認證協(xié)議，也是一個開放的標準。通過OpenID，任何人都能夠使用一個URL在互聯(lián)網(wǎng)上用統(tǒng)一的方式來認證自己。一次注冊，可以在多個網(wǎng)站上登錄，從而實現(xiàn)了跨域的單點登錄的功能，用戶再無須進行重復(fù)的注冊和登錄。OAuth（OpenAuthorization）協(xié)議是一個開放的授權(quán)協(xié)議，其目標是為了授權(quán)第三方在可控范圍下訪問用戶資源。OAuth與OpenID互補，一般支持OpenID的服務(wù)都會使用到OAuth。2022/12/925Ch6-身份認證與訪問控制OpenID與OAuthOpenID（OpenIdentiOAuth和OpenID的區(qū)別OAuth和OpenID的區(qū)別在于應(yīng)用場景的區(qū)別，OAuth用于為用戶授權(quán)，是一套授權(quán)協(xié)議；OpenID是用來認證的，是一套認證協(xié)議。兩者是互補的。一般支持OpenID的服務(wù)都會使用到OAuth。2022/12/926Ch6-身份認證與訪問控制OAuth和OpenID的區(qū)別OAuth和OpenID的區(qū)別OpenID協(xié)議的角色和標識OpenID定義了如下3個角色和一個標識：終端用戶(EndUser)利用OpenID進行身份認證的互聯(lián)網(wǎng)用戶，也可以指代用戶所使用的瀏覽器。身份提供者IDP(IdentityProvider)

提供OpenID帳號的網(wǎng)站，提供OpenID注冊、存儲、驗證等服務(wù)。如AOL、Yahoo!、Veristgn等2022/12/927Ch6-身份認證與訪問控制OpenID協(xié)議的角色和標識OpenID定義了如下3個角色和服務(wù)提供者RP(RelyingParty)

支持使用OpenID登錄的服務(wù)商，也就是用戶要登錄的網(wǎng)站。如LiveJournal、WikiSpaces等

身份標識頁(IdentityPage)

用戶所擁有OpenID的URL地址以及其上所存放的文件例如：在360網(wǎng)站上注冊用戶名為zhansan的用戶希望登錄美團網(wǎng)進行購物，則用戶為zhangsan，360網(wǎng)站為身份提供者，而美團網(wǎng)是服務(wù)提供者。2022/12/928Ch6-身份認證與訪問控制服務(wù)提供者RP(RelyingParty)2022/12OpenID的工作流程(1)用戶(EndUser)需要使用服務(wù)提供者(RelyingParty)的服務(wù)時，要向其提供自己的標識OpenIDURL。(2)服務(wù)提供者根據(jù)用戶的OpenIDURL與身份提供者(IdentityProvider)進行通信。(3)服務(wù)提供者將用戶引導(dǎo)到身份提供者的身份認證頁面。(4)用戶向身份提供者表明身份，并完成認證。

2022/12/929Ch6-身份認證與訪問控制OpenID的工作流程(1)用戶(EndUser)需要使用(5)認證結(jié)束后，身份提供者將用戶引導(dǎo)回服務(wù)提供者，同時返回的信息包含認證用戶的結(jié)果判斷，以及服務(wù)提供者需要的一些其它信息。(6)服務(wù)提供者判斷返回信息的有效性，認證成功，用戶即可使用相應(yīng)的功能OpenID的工作流程如圖6.3所示2022/12/930Ch6-身份認證與訪問控制(5)認證結(jié)束后，身份提供者將用戶引導(dǎo)回服務(wù)提供者，同時返回圖6.3OpenID的工作流程2022/12/931Ch6-身份認證與訪問控制圖6.3OpenID的工作流程2022/12/731C（1）終端用戶請求登錄RP網(wǎng)站，用戶選擇了以O(shè)penID方式來登錄。（2）RP將OpenID的登錄界面返回給終端用戶。（3）終端用戶以O(shè)penID登陸RP網(wǎng)站。（4）RP網(wǎng)站對用戶的OpenID進行標準化。OpenID以xri://、xri://$ip或者xri://$dns開頭，先去掉這些符號；然后對如下的字符串進行判斷，如果第一個字符是=、@、+、$、!，則視為標準的XRI，否則視為HTTPURL（若沒有http,為其增加http://）。OpenID的交互過程：2022/12/932Ch6-身份認證與訪問控制（1）終端用戶請求登錄RP網(wǎng)站，用戶選擇了以O(shè)penID方式（5）RP發(fā)現(xiàn)IDP，如果OpenID是XRI，就采用XRI解析，如果是URL，則用YADIS協(xié)議解析，若YADIS解析失敗，則用HTTP發(fā)現(xiàn)。（6）RP跟IDP建立一個關(guān)聯(lián)。兩者之間可以建立一個安全通道，用于傳輸信息并降低交互次數(shù)。（7）IDP處理RP的關(guān)聯(lián)請求。（8）RP請求IDP對用戶身份進行驗證。（9）IDP對用戶認證，如請求用戶進行登錄認證。（10）用戶登錄IDP。2022/12/933Ch6-身份認證與訪問控制（5）RP發(fā)現(xiàn)IDP，如果OpenID是XRI，就采用XRI（11）IDP將認證結(jié)果返回給RP。（12）RP對IDP的結(jié)果進行分析。（13）RP分析后，如用戶合法，則返回用戶認證成功，可以使用RP服務(wù)。2022/12/934Ch6-身份認證與訪問控制（11）IDP將認證結(jié)果返回給RP。2022/12/734COpenID的交互流程如圖6.4所示2022/12/935Ch6-身份認證與訪問控制OpenID的交互流程如圖6.4所示2022/12/735OAuth協(xié)議OAuth是一個開放的授權(quán)協(xié)議，允許用戶在不泄露用戶名/密碼的情況下，和其他網(wǎng)站共享存儲在另一個網(wǎng)站上的個人資源(照片、視頻、通信錄等)。OAuth是一種授權(quán)服務(wù)，不同于OpenID，但與OpenID相輔相成。OAuth是為了讓用戶授權(quán)一個應(yīng)用程序去訪問用戶的信息。IETF目前正在起草OAuth2.0協(xié)議。OAuth2.0定義了如下4個角色：資源所有者、客戶端、資源服務(wù)器、授權(quán)服務(wù)器。2022/12/936Ch6-身份認證與訪問控制OAuth協(xié)議OAuth是一個開放的授權(quán)協(xié)議，允許用戶在不泄(1)資源所有者（ResourceOwner）：一個實體，能授權(quán)一個應(yīng)用（即客戶端）訪問受保護的資源。(2)客戶端（Client）：代表受保護資源的應(yīng)用程序，能獲得授權(quán)并請求訪問受保護的資源。(3)資源服務(wù)器（ResourceServer）：一個服務(wù)器，托管受保護資源的服務(wù)器，通過存取令牌（token）接收受保護資源的訪問請求，并能應(yīng)答對受保護的資源的請求。(4)授權(quán)服務(wù)器（AuthorizationServer）：一個服務(wù)器，能成功認證資源所有者及獲得資源所有者的授權(quán)，認證成功及獲得授權(quán)后能發(fā)布訪問令牌（token）。它可能與資源服務(wù)器合設(shè)，也可能是一個獨立的網(wǎng)絡(luò)設(shè)備。2022/12/937Ch6-身份認證與訪問控制(1)資源所有者（ResourceOwner）：一個實體，OAuth2.0的工作流程OAuth2.0的工作流程如圖6.5所示：2022/12/938Ch6-身份認證與訪問控制OAuth2.0的工作流程OAuth2.0的工作流程如圖6.(1)客戶端想要訪問受資源所有者控制的網(wǎng)絡(luò)資源，但客戶端并不知道資源所有者的認證憑證?？蛻舳诵枰谑跈?quán)服務(wù)器注冊，以便獲取客戶端的認證憑據(jù)(如client_id，client_secret)。客戶端請求資源所有者授權(quán)，訪問用戶的網(wǎng)絡(luò)資源。(2)資源所有者在授權(quán)客戶端訪問前，資源所有者需要通過授權(quán)服務(wù)器的認證。(3)資源所有者認證成功后，客戶端接收到一個訪問資源授權(quán)憑證，授權(quán)憑證代表資源所有者允許客戶端訪問網(wǎng)絡(luò)資源。(4)客戶端向授權(quán)服務(wù)器請求訪問令牌，請求消息包含用于認證客戶端的認證憑證和訪問資源的授權(quán)憑證。2022/12/939Ch6-身份認證與訪問控制(1)客戶端想要訪問受資源所有者控制的網(wǎng)絡(luò)資源，但客戶端并不(5)授權(quán)服務(wù)器根據(jù)客戶端的認證憑證認證客戶端，并驗證資源訪問授權(quán)憑證的有效性，如果都成功，則向客戶端發(fā)布一個訪問令牌。(6)客戶端向資源服務(wù)器請求訪問受保護的資源，請求包含一個訪問令牌。資源服務(wù)器驗證訪問令牌的有效性，如果有效，則客戶端能訪問資源服務(wù)器上受保護的資源。OAuth是一個令牌的協(xié)議。能用于Web2.0中授權(quán)第三方安全訪問網(wǎng)絡(luò)資源。一些電信運營商已認可OAuth能確保第三方應(yīng)用安全訪問電信網(wǎng)絡(luò)資源，而且GSMA的RCS計劃已經(jīng)明確要求使用OAuth2.0來保證網(wǎng)絡(luò)資源的授權(quán)訪問。2022/12/940Ch6-身份認證與訪問控制(5)授權(quán)服務(wù)器根據(jù)客戶端的認證憑證認證客戶端，并驗證資源訪OpenID和OAuth的作用就是為開放平臺提供規(guī)范、簡潔、安全的通信、授權(quán)和管理機制。這兩種協(xié)議已經(jīng)得到了很多大型廠商的支持，如Yahoo，F(xiàn)acebook，Twitter，Microsoft，Google等，國內(nèi)的新浪，豆瓣，騰訊等都已開始應(yīng)用這兩項技術(shù)。2022/12/941Ch6-身份認證與訪問控制OpenID和OAuth的作用就是為開放平臺提供規(guī)范、簡潔、6.2訪問控制概述

一個經(jīng)過計算機系統(tǒng)識別和驗證后的用戶（合法用戶）進入系統(tǒng)后，并非意味著他具有對系統(tǒng)所有資源的訪問權(quán)限。訪問控制的任務(wù)就是要根據(jù)一定的原則對合法用戶的訪問權(quán)限進行控制，以決定他可以訪問哪些資源以及以什么樣的方式訪問這些資源。

2022/12/942Ch6-身份認證與訪問控制6.2訪問控制概述一個經(jīng)過計算機系統(tǒng)識別和驗證后6.2.1訪問控制的基本概念

主體（Subject）：主體是指主動的實體，是訪問的發(fā)起者，它造成了信息的流動和系統(tǒng)狀態(tài)的改變，主體通常包括人、進程和設(shè)備。

客體（Object）：客體是指包含或接受信息的被動實體，客體在信息流動中的地位是被動的，是處于主體的作用之下，對客體的訪問意味著對其中所包含信息的訪問?？腕w通常包括文件、設(shè)備、信號量和網(wǎng)絡(luò)節(jié)點等。訪問（Access）：是使信息在主體和客體之間流動的一種交互方式。訪問包括讀取數(shù)據(jù)、更改數(shù)據(jù)、運行程序、發(fā)起連接等。2022/12/943Ch6-身份認證與訪問控制6.2.1訪問控制的基本概念主體（Subject）：主體是6.2.1訪問控制的基本概念

訪問控制（AccessControl）：訪問控制規(guī)定了主體對客體訪問的限制，并在身份識別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。訪問控制所要控制的行為主要有讀取數(shù)據(jù)、運行可執(zhí)行文件、發(fā)起網(wǎng)絡(luò)連接等。2022/12/944Ch6-身份認證與訪問控制6.2.1訪問控制的基本概念訪問控制（AccessCon6.2.2訪問控制技術(shù)入網(wǎng)訪問控制網(wǎng)絡(luò)權(quán)限控制目錄級控制

屬性控制網(wǎng)絡(luò)服務(wù)器的安全控制2022/12/945Ch6-身份認證與訪問控制6.2.2訪問控制技術(shù)入網(wǎng)訪問控制2022/12/745C入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，通過控制機制來明確能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源的合法用戶、用戶入網(wǎng)的時間和準許入網(wǎng)的工作站等。

基于用戶名和口令的用戶入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證和用戶賬號的缺省限制檢查。如果有任何一個步驟未通過檢驗，該用戶便不能進入該網(wǎng)絡(luò)。

2022/12/946Ch6-身份認證與訪問控制入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問網(wǎng)絡(luò)權(quán)限控制網(wǎng)絡(luò)權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。能夠訪問網(wǎng)絡(luò)的合法用戶被劃分為不同的用戶組，不同的用戶組被賦予不同的權(quán)限。訪問控制機制明確了不同用戶組可以訪問哪些目錄、子目錄、文件和其他資源等，指明不同用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作等。

2022/12/947Ch6-身份認證與訪問控制網(wǎng)絡(luò)權(quán)限控制網(wǎng)絡(luò)權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出網(wǎng)絡(luò)權(quán)限控制

實現(xiàn)方式：受托者指派。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽（IRM）。繼承權(quán)限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；審計用戶，負責網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。

2022/12/948Ch6-身份認證與訪問控制網(wǎng)絡(luò)權(quán)限控制實現(xiàn)方式：2022/12/748Ch6-身份目錄級控制目錄級安全控制是針對用戶設(shè)置的訪問控制，控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可以進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和訪問控制權(quán)限。

2022/12/949Ch6-身份認證與訪問控制目錄級控制目錄級安全控制是針對用戶設(shè)置的訪問控制屬性控制屬性安全控制在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。當用戶訪問文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)該給出文件、目錄的訪問屬性，網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標出安全屬性，用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性能夠控制以下幾個方面的權(quán)限:向某個文件寫數(shù)據(jù)、拷貝文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等，避免發(fā)生非法訪問的現(xiàn)象。

2022/12/950Ch6-身份認證與訪問控制屬性控制屬性安全控制在權(quán)限安全的基礎(chǔ)上提供更進一網(wǎng)絡(luò)服務(wù)器的安全控制網(wǎng)絡(luò)服務(wù)器的安全控制是由網(wǎng)絡(luò)操作系統(tǒng)負責。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)。此外，還可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔等。

2022/12/951Ch6-身份認證與訪問控制網(wǎng)絡(luò)服務(wù)器的安全控制網(wǎng)絡(luò)服務(wù)器的安全控制是由網(wǎng)絡(luò)6.2.3訪問控制原理

訪問控制包括兩個重要過程：通過“鑒別（authentication）”來驗證主體的合法身份；通過“授權(quán)（authorization）”來限制用戶可以對某一類型的資源進行何種類型的訪問。

2022/12/952Ch6-身份認證與訪問控制6.2.3訪問控制原理訪問控制包括兩個重要過程：2022例如，當用戶試圖訪問您的Web服務(wù)器時，服務(wù)器執(zhí)行幾個訪問控制進程來識別用戶并確定允許的訪問級別。其訪問控制過程：（1）客戶請求服務(wù)器上的資源。（2）將依據(jù)IIS中IP地址限制檢查客戶機的IP地址。如果IP地址是禁止訪問的，則請求就會失敗并且給用戶返回“403禁止訪問”消息。2022/12/953Ch6-身份認證與訪問控制例如，當用戶試圖訪問您的Web服務(wù)器時，服（3）如果服務(wù)器要求身份驗證，則服務(wù)器從客戶端請求身份驗證信息。瀏覽器既提示用戶輸入用戶名和密碼，也可以自動提供這些信息。（在用戶訪問服務(wù)器上任何信息之前，可以要求用戶提供有效的MicrosoftWindows用戶帳戶、用戶名和密碼。該標識過程就稱為“身份驗證”?？梢栽诰W(wǎng)站或FTP站點、目錄或文件級別設(shè)置身份驗證?？梢允褂肐nternet信息服務(wù)（IIS提供的）身份驗證方法來控制對網(wǎng)站和FTP站點的訪問。）（4)IIS檢查用戶是否擁有有效的Windows用戶帳戶。如果用戶沒有提供，則請求就會失敗并且給用戶返回“401拒絕訪問”消息。2022/12/954Ch6-身份認證與訪問控制（3）如果服務(wù)器要求身份驗證，則服務(wù)器從客戶端請求身份驗證信（5)IIS檢查用戶是否具有請求資源的Web權(quán)限。如果用戶沒有提供，則請求就會失敗并且給用戶返回“403禁止訪問”消息。（6)添加任何安全模塊，如MicrosoftASP.NET模擬。（7)IIS檢查有關(guān)靜態(tài)文件、ActiveServerPages(ASP)和通用網(wǎng)關(guān)接口(CGI)文件上資源的NTFS權(quán)限。如果用戶不具備資源的NTFS權(quán)限，則請求就會失敗并且給用戶返回“401拒絕訪問”消息。（8)如果用戶具有NTFS權(quán)限，則可完成該請求。2022/12/955Ch6-身份認證與訪問控制2022/12/755Ch6-身份認證與訪問控制訪問控制矩陣通常使用訪問控制矩陣來限制主體對客體的訪問權(quán)限。訪問控制機制可以用一個三元組（S,O,A）來表示。其中，S代表主體集合，O代表客體集合，A代表屬性集合，A集合中列出了主體Si對客體Oj所允許的訪問權(quán)限。這一關(guān)系可以用如下所示的一個訪問控制矩陣來表示：

2022/12/956Ch6-身份認證與訪問控制訪問控制矩陣2022/12/756Ch6-身份認證與訪問控制三種訪問控制策略自主訪問控制強制訪問控制基于角色的訪問控制2022/12/957Ch6-身份認證與訪問控制三種訪問控制策略2022/12/757Ch6-身份認證與訪問6.3自主訪問控制（DAC）

自主訪問控制（DiscretionaryAccessControl）是指對某個客體具有擁有權(quán)（或控制權(quán)）的主體能夠?qū)υ摽腕w的一種訪問權(quán)或多種訪問權(quán)自主地授予其它主體，并在隨后的任何時刻將這些權(quán)限回收。這種控制是自主的，也就是指具有授予某種訪問權(quán)力的主體（用戶）能夠自己決定是否將訪問控制權(quán)限的某個子集授予其他的主體或從其他主體那里收回他所授予的訪問權(quán)限。

2022/12/958Ch6-身份認證與訪問控制6.3自主訪問控制（DAC）自主訪問控制（D例如，假設(shè)某所大學(xué)使用計算機系統(tǒng)進行學(xué)生信息的管理。教務(wù)處在系統(tǒng)中建立了一張表，存入了每個學(xué)生的有關(guān)信息，如姓名、年齡、年級、專業(yè)、系別、成績、受過哪些獎勵和處分等。教務(wù)處不允許每個學(xué)生都能看到所有這些信息，他可能按這樣一個原則來控制:每個學(xué)生可以看到自己的有關(guān)信息，但不允許看別人的；每個班的老師可以隨時查看自己班的學(xué)生的有關(guān)信息，但不能查看其他班學(xué)生的信息；并且教務(wù)處可限制教務(wù)處以外的所有用戶不得修改這些信息，也不能插入和刪除表中的信息，這些信息的擁有者是教務(wù)處。2022/12/959Ch6-身份認證與訪問控制例如，假設(shè)某所大學(xué)使用計算機系統(tǒng)進行學(xué)生信息的管理教務(wù)處可按照上述原則對系統(tǒng)中的用戶（該大學(xué)的所有老師和學(xué)生）進行授權(quán)。于是其他用戶只能根據(jù)教務(wù)處的授權(quán)來對這張表進行訪問。根據(jù)教務(wù)處的授權(quán)規(guī)則，計算機中相應(yīng)存放有一張表（授權(quán)表），將教務(wù)處的授權(quán)情況記錄下來，以后當任何用戶對教務(wù)處的數(shù)據(jù)要進行訪問時，系統(tǒng)首先查這張表，檢查教務(wù)處是否對他進行了授權(quán)，如果有授權(quán)，計算機就執(zhí)行其操作；若沒有，則拒絕執(zhí)行。2022/12/960Ch6-身份認證與訪問控制教務(wù)處可按照上述原則對系統(tǒng)中的用戶（該大學(xué)的所有自主訪問控制中，用戶可以針對被保護對象制定自己的保護策略。優(yōu)點:靈活性、易用性與可擴展性

缺點:這種控制是自主的，帶來了嚴重的安全問題。

2022/12/961Ch6-身份認證與訪問控制自主訪問控制中，用戶可以針對被保護對象制定自己的保

強制訪問控制（MandatoryAccessControl）是指計算機系統(tǒng)根據(jù)使用系統(tǒng)的機構(gòu)事先確定的安全策略，對用戶的訪問權(quán)限進行強制性的控制。也就是說，系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制，用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩浴娭圃L問控制進行了很強的等級劃分，所以經(jīng)常用于軍事用途。6.4強制訪問控制(MAC)

圖6-6強制訪問控制示例

2022/12/962Ch6-身份認證與訪問控制強制訪問控制（MandatoryAccess例如，某單位部分行政機構(gòu)如下圖：2022/12/963Ch6-身份認證與訪問控制例如，某單位部分行政機構(gòu)如下圖：2022/12/763Ch6假設(shè)計算機系統(tǒng)中的數(shù)據(jù)的密級為：一般＜秘密＜機密＜絕密定義校長的安全級C校長＝（絕密，{人事處,教務(wù)處,財務(wù)處,設(shè)備處}），（即校長的密級為絕密，部門屬性為所有的部門）教務(wù)處長的安全級C教=(機密,{教務(wù)處})財務(wù)處長的安全級C財=(機密,{財務(wù)處})財務(wù)一科長的安全級C一財=(秘密,{財務(wù)處})財務(wù)處工作人員的安全級C工=(一般,{財務(wù)處})假設(shè)財務(wù)一科長產(chǎn)生了一份工作文件A，文件A的安全級定義為與一科長的安全級相同，即CA=(秘密,{財務(wù)處})，那么，對于文件A，只有校長和財務(wù)處長能看到，而教務(wù)處長不能看，盡管教務(wù)處長的密級是機密級，可以看秘密級的文件，但教務(wù)處長的部門屬性僅是{教務(wù)處},他無權(quán)看財務(wù)處的信息。2022/12/964Ch6-身份認證與訪問控制假設(shè)計算機系統(tǒng)中的數(shù)據(jù)的密級為：2022/12/76強制訪問控制在自主訪問控制的基礎(chǔ)上，增加了對網(wǎng)絡(luò)資源的屬性劃分，規(guī)定不同屬性下的訪問權(quán)限。優(yōu)點:安全性比自主訪問控制的安全性有了提高。缺點:靈活性要差一些。

2022/12/965Ch6-身份認證與訪問控制強制訪問控制在自主訪問控制的基礎(chǔ)上，增加了對網(wǎng)絡(luò)6.5基于角色的訪問控制(RBAC)傳統(tǒng)的訪問控制方法中，都是由主體和訪問權(quán)限直接發(fā)生關(guān)系，主要針對用戶個人授予權(quán)限，主體始終是和特定的實體捆綁對應(yīng)的。這樣會出現(xiàn)一些問題：在用戶注冊到銷戶這期間，用戶的權(quán)限需要變更時必須在系統(tǒng)管理員的授權(quán)下才能進行，因此很不方便；大型應(yīng)用系統(tǒng)的訪問用戶往往種類繁多、數(shù)量巨大、并且動態(tài)變化，當用戶量大量增加時，按每個用戶分配一個注冊賬號的方式將使得系統(tǒng)管理變得復(fù)雜，工作量急劇增加，且容易出錯；也很難實現(xiàn)系統(tǒng)的層次化分權(quán)管理，尤其是當同一用戶在不同場合處在不同的權(quán)限層次時，系統(tǒng)管理很難實現(xiàn)（除非同一用戶以多個用戶名注冊）。

2022/12/966Ch6-身份認證與訪問控制6.5基于角色的訪問控制(RBAC)傳統(tǒng)的訪問在用戶和訪問權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起來，通過對角色的授權(quán)來控制用戶對系統(tǒng)資源的訪問。這種方法可根據(jù)用戶的工作職責設(shè)置若干角色，不同的用戶可以具有相同的角色，在系統(tǒng)中享有相同的權(quán)力，同一個用戶又可以同時具有多個不同的角色，在系統(tǒng)中行使多個角色的權(quán)力?；诮巧脑L問控制（RoleBasedAccessControl）方法

的基本思想2022/12/967Ch6-身份認證與訪問控制在用戶和訪問權(quán)限之間引入角色的概念，將用戶和角色RBAC的基本概念

許可(Privilege，也叫權(quán)限)：就是允許對一個或多個客體執(zhí)行操作。角色(role)：就是許可的集合。會話（Session）：一次會話是用戶的一個活躍進程，它代表用戶與系統(tǒng)交互。標準上說，每個Session是一個映射，一個用戶到多個role的映射。當一個用戶激活他所有角色的一個子集的時候，建立一個session。活躍角色(Activerole)：一個會話構(gòu)成一個用戶到多個角色的映射，即會話激活了用戶授權(quán)角色集的某個子集，這個子集稱為活躍角色集。

2022/12/968Ch6-身份認證與訪問控制RBAC的基本概念許可(Privilege，也叫權(quán)限)：就RBAC的基本模型

圖6-7RBAC模型RBAC的關(guān)注點在于角色與用戶及權(quán)限之間的關(guān)系。關(guān)系的左右兩邊都是Many-to-Many關(guān)系，就是user可以有多個role，role可以包括多個user。2022/12/969Ch6-身份認證與訪問控制RBAC的基本模型圖6-7RBAC模型2022/12/例如在一個學(xué)校管理系統(tǒng)中，可以定義校長、院長、系統(tǒng)管理員、學(xué)生、老師、處長、會計、出納員等角色。其中，擔任系統(tǒng)管理員的用戶具有維護系統(tǒng)文件的責任和權(quán)限，而不管這個用戶具體是誰。系統(tǒng)管理員也可能是由某個老師兼任，這樣他就具有兩種角色。但是出于責任分離，需要對一些權(quán)利集中的角色組合進行限制，比如規(guī)定會計和出納員不能由同一個用戶擔任。2022/12/970Ch6-身份認證與訪問控制例如在一個學(xué)校管理系統(tǒng)中，可以定義校長、院長、系統(tǒng)管理員、學(xué)可設(shè)計如下的訪問策略：(1)允許系統(tǒng)管理員查詢系統(tǒng)信息和開關(guān)系統(tǒng)，但不允許讀或修改學(xué)生的信息；(2)允許一個學(xué)生查詢自己的信息，但不能查詢其它任何信息或修改任何信息；(3)允許老師查詢所有學(xué)生的信息，但只能在規(guī)定的時間和范圍內(nèi)的修改學(xué)生信息；…2022/12/971Ch6-身份認證與訪問控制2022/12/771Ch6-身份認證與訪問控制基于角色的訪問控制方法的特點由于基于角色的訪問控制不需要對用戶一個一個的進行授權(quán)，而是通過對某個角色授權(quán)，來實現(xiàn)對一組用戶的授權(quán)，因此簡化了系統(tǒng)的授權(quán)機制?？梢院芎玫拿枋鼋巧珜哟侮P(guān)系，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責任關(guān)系。利用基于角色的訪問控制可以實現(xiàn)最小特權(quán)原則。RBAC機制可被系統(tǒng)管理員用于執(zhí)行職責分離的策略?；诮巧脑L問控制可以靈活地支持企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。2022/12/972Ch6-身份認證與訪問控制基于角色的訪問控制方法的特點由于基于角色的訪問控制不需要信息安全原理與技術(shù)第2版郭亞軍宋建華李莉董慧慧清華大學(xué)出版社2022/12/973Ch6-身份認證與訪問控制信息安全原理與技術(shù)第2版2022/12/71Ch6-身份認證第6章身份認證與訪問控制主要知識點：

--身份認證

--訪問控制概述

--自主訪問控制

--強制訪問控制

--基于角色的訪問控制2022/12/974Ch6-身份認證與訪問控制第6章身份認證與訪問控制主要知識點：2022/12/72C6.1身份認證認證一般可以分為兩種:消息認證:用于保證信息的完整性和抗否認性。在很多情況下，用戶要確認網(wǎng)上信息是不是假的，信息是否被第三方修改或偽造，這就需要消息認證。身份認證:用于鑒別用戶身份。包括識別和驗證，識別是指明確并區(qū)分訪問者的身份；驗證是指對訪問者聲稱的身份進行確認。2022/12/975Ch6-身份認證與訪問控制6.1身份認證認證一般可以分為兩種:2022/12/73C圖6.1身份認證是安全系統(tǒng)中的第一道關(guān)卡2022/12/976Ch6-身份認證與訪問控制圖6.1身份認證是安全系統(tǒng)中的第一道關(guān)卡2022/12/74單向認證和雙向認證軟件認證和硬件認證單因子認證和雙因子認證靜態(tài)認證和動態(tài)認證

認證手段:基于用戶所知道的(whatyouknow)基于用戶所擁有的(whatyouhave)基于用戶本身的（生物特征如：語音特征、筆跡特征或指紋）相關(guān)概念

2022/12/977Ch6-身份認證與訪問控制單向認證和雙向認證相關(guān)概念2022/12/75Ch6-身份6.1.1身份認證的基本方法

用戶名/密碼方式

IC卡認證方式動態(tài)口令方式生物特征認證方式USBKey認證方式2022/12/978Ch6-身份認證與訪問控制6.1.1身份認證的基本方法用戶名/密碼方式2022/1用戶名/密碼方式是一種基于“用戶所知道”的驗證手段每一個合法用戶都有系統(tǒng)給的一個用戶名/口令對，當用戶要求訪問提供服務(wù)的系統(tǒng)時，系統(tǒng)就要求輸入用戶名、口令，在收到口令后，將其與系統(tǒng)中存儲的用戶口令進行比較，以確認被認證對象是否為合法訪問者。如果正確，則該用戶的身份得到了驗證。

優(yōu)點：由于一般的操作系統(tǒng)都提供了對口令認證的支持，對于封閉的小型系統(tǒng)來說是一種簡單可行的方法。缺點：是一種單因素的認證，它的安全性依賴于密碼。由于許多用戶為了防止忘記密碼，經(jīng)常會采用容易被他人猜到的有意義的字符串作為密碼，因此極易造成密碼泄露。密碼一旦泄露，用戶即可被冒充。

2022/12/979Ch6-身份認證與訪問控制用戶名/密碼方式是一種基于“用戶所知道”的驗證手段2022/IC卡認證方式是一種基于“用戶所擁有”的認證手段

IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器中讀取其中的信息，以驗證用戶的身份。優(yōu)點：

通過IC卡硬件的不可復(fù)制性可保證用戶身份不會被仿冒。缺點：由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易能截取到用戶的身份驗證信息。因此，靜態(tài)驗證的方式還是存在著根本的安全隱患。2022/12/980Ch6-身份認證與訪問控制IC卡認證方式是一種基于“用戶所擁有”的認證手段2022/1動態(tài)口令方式是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術(shù)

采用動態(tài)密碼卡(專用硬件)，密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼。用戶將動態(tài)令牌上顯示的當前密碼輸入，由這個信息的正確與否可識別使用者的身份。

優(yōu)點：采用一次一密的方法，不能由產(chǎn)生的內(nèi)容去預(yù)測出下一次的內(nèi)容。而且輸入方法普遍(一般計算機鍵盤即可)，能符合網(wǎng)絡(luò)行為雙方的需要。

缺點：如果客戶端硬件與服務(wù)器端程序的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題，這使得用戶的使用非常不方便。2022/12/981Ch6-身份認證與訪問控制動態(tài)口令方式是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化生物特征認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征(如指紋、虹膜、臉部、掌紋等)為依據(jù)，采用計算機的強大功能和網(wǎng)絡(luò)技術(shù)進行圖像處理和模式識別。優(yōu)點：使用者幾乎不可能被仿冒。缺點：

較昂貴。不夠穩(wěn)定(辯識失敗率高)。2022/12/982Ch6-身份認證與訪問控制生物特征認證方式以人體惟一的、可靠的、穩(wěn)定的生物特征(如指紋USBKey認證方式采用軟硬件相結(jié)合、一次一密的強雙因子認證模式。

USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認證。

兩種應(yīng)用模式：基于挑戰(zhàn)/應(yīng)答的認證模式基于PKI體系的認證模式

優(yōu)點：便于攜帶、使用方便、成本低廉、安全可靠性很高，被認為將會成為身份認證的主要發(fā)展方向。缺點：

安全性不如生物特征認證。2022/12/983Ch6-身份認證與訪問控制USBKey認證方式采用軟硬件相結(jié)合、一次一密的強雙因子認6.1.2常用身份認證機制

簡單認證機制

基于DCE/Kerberos的認證機制

基于公共密鑰的認證機制

基于挑戰(zhàn)/應(yīng)答的認證機制

2022/12/984Ch6-身份認證與訪問控制6.1.2常用身份認證機制簡單認證機制2022/12/簡單認證機制

口令認證一次性口令(One-TimePassword)2022/12/985Ch6-身份認證與訪問控制簡單認證機制口令認證2022/12/713Ch6-身份認證口令認證過程：①用戶將口令傳送給計算機；②計算機完成口令單向函數(shù)值的計算；③計算機把單向函數(shù)值和機器存儲的值比較。不足之處：以明文方式輸入口令容易泄密；口令在傳輸過程中可能被截獲；口令以文件形式存儲在認證方，易于被攻擊者獲??；用戶為了記憶的方便，訪問多個不同安全級別的系統(tǒng)時往往采用相同的口令，使得攻擊者也能對高安全級別系統(tǒng)進行攻擊。只能進行單向認證，即系統(tǒng)可以認證用戶，而用戶無法對系統(tǒng)進行認證?？诹钫J證2022/12/986Ch6-身份認證與訪問控制口令認證過程：口令認證2022/12/714Ch6-身份認證一次性口令(One-TimePassword)一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。確定口令的方法兩端共同擁有一串隨機口令，在該串的某一位置保持同步；兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步；使用時戳，兩端維持同步的時鐘。2022/12/987Ch6-身份認證與訪問控制一次性口令(One-TimePassword)一基于DCE/Kerberos的認證機制圖6.2認證雙方與Kerberos的關(guān)系

DCE/Kerberos是一種被證明為非常安全的雙向身份認證技術(shù)。Kerberos既不依賴用戶登錄的終端，也不依賴用戶所請求的服務(wù)的安全機制，它本身提供了認證服務(wù)器來完成用戶的認證工作。

DCE/Kerberos的身份認證強調(diào)了客戶機對服務(wù)器的認證；而其它產(chǎn)品，只解決了服務(wù)器對客戶機的認證。2022/12/988Ch6-身份認證與訪問控制基于DCE/Kerberos的認證機制圖6.2認證雙方基于公共密鑰的認證機制使用符合X.509的身份證明使用這種方法必須有一個第三方的授權(quán)證明（CertificatesofAuthority,CA）中心為客戶簽發(fā)身份證明?？蛻艉头?wù)器各自從CA獲取證明，并且信任該授權(quán)證明中心。在會話和通訊時首先交換身份證明，其中包含了將各自的公鑰交給對方，然后才使用對方的公鑰驗證對方的數(shù)字簽名、交換通訊的加密密鑰等。在確定是否接受對方的身份證明時，還需檢查有關(guān)服務(wù)器，以確認該證明是否有效。優(yōu)點:是非常安全的用戶認證形式。缺點：實現(xiàn)起來比較復(fù)雜，要求通信的次數(shù)多，而且計算量較大。2022/12/989Ch6-身份認證與訪問控制基于公共密鑰的認證機制使用符合X.509的身份證明2022/基于挑戰(zhàn)/應(yīng)答的認證機制每次認證時認證服務(wù)器端都給客戶端發(fā)送一個不同的"挑戰(zhàn)"字串，客戶端程序收到這個"挑戰(zhàn)"字串后，做出相應(yīng)的"應(yīng)答"。

典型的認證過程為：（1)客戶向認證服務(wù)器發(fā)出請求，要求進行身份認證；（2)認證服務(wù)器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進一步處理；2022/12/990Ch6-身份認證與訪問控制基于挑戰(zhàn)/應(yīng)答的認證機制每次認證時認證服務(wù)器端都給客戶端發(fā)送基于挑戰(zhàn)/應(yīng)答的認證機制（3)認證服務(wù)器內(nèi)部產(chǎn)生一個隨機數(shù)，作為"提問"，發(fā)送給客戶；（4)客戶將用戶名字和隨機數(shù)合并，使用單向Hash函數(shù)（例如MD5算法）生成一個字節(jié)串作為應(yīng)答；（5)認證服務(wù)器將應(yīng)答串與自己的計算結(jié)果比較，若二者相同，則通過一次認證；否則，認證失??；（6)認證服務(wù)器通知客戶認證成功或失敗。

2022/12/991Ch6-身份認證與訪問控制基于挑戰(zhàn)/應(yīng)答的認證機制（3)認證服務(wù)器內(nèi)部產(chǎn)生一個隨機數(shù)提問-握手認證協(xié)議CHAP

CHAP（ChallengeHandshakeAuthenticationProtocol）采用的是挑戰(zhàn)/應(yīng)答方法，它通過三次握手（3-wayhandshake）方式對被認證方的身份進行周期性的認證。認證過程：

（1）在通信雙方鏈路建立階段完成后，認證方（authenticator）向被認證方（peer）發(fā)送一個提問（challenge）消息；2022/12/992Ch6-身份認證與訪問控制提問-握手認證協(xié)議CHAPCHAP（Challe（2）被認證方向認證方發(fā)回一個響應(yīng)（response），該響應(yīng)由單向散列函數(shù)計算得出，單向散列函數(shù)的輸入?yún)?shù)由本次認證的標識符、秘訣（secret）和提問構(gòu)成；（3）認證方將收到的響應(yīng)與它自己根據(jù)認證標識符、秘訣和提問計算出的散列函數(shù)值進行比較，若相符則認證通過，向被認證方發(fā)送“成功”消息，否則，發(fā)送“失敗”消息，斷開連接。在雙方通信過程中系統(tǒng)將以隨機的時間間隔重復(fù)上述三步認證過程。2022/12/993Ch6-身份認證與訪問控制（2）被認證方向認證方發(fā)回一個響應(yīng)（response），該響CHAP的優(yōu)點通過不斷地改變認證標識符和提問消息的值來防止回放(playback)攻擊。利用周期性的提問防止通信雙方在長期會話過程中被攻擊。雖然CHAP進行的是單向認證，但在兩個方向上進行CHAP協(xié)商，也能實現(xiàn)通信雙方的相互認證。CHAP可用于認證多個不同的系統(tǒng)。2022/12/994Ch6-身份認證與訪問控制CHAP的優(yōu)點2022/12/722Ch6-身份認證與訪問控CHAP的不足CHAP認證的關(guān)鍵是秘訣，CHAP的秘訣以明文形式存放和使用，不能利用通常的不可逆加密口令數(shù)據(jù)庫。并且CHAP的秘訣是通信雙方共享的，因此給秘訣的分發(fā)和更新帶來了麻煩，要求每個通信對都有一個共享的秘訣，這不適合大規(guī)模的系統(tǒng)。2022/12/995Ch6-身份認證與訪問控制CHAP的不足2022/12/723Ch6-身份認證與訪問控6.1.3OpenID和OAuth認證協(xié)議OpenID協(xié)議的角色和標識OpenID的工作流程

OAuth協(xié)議OAuth2.0的工作流程2022/12/996Ch6-身份認證與訪問控制6.1.3OpenID和OAuth認證協(xié)議OpenID協(xié)議OpenID與OAuthOpenID（OpenIdentity）是一個開放的、基于URI/URL的、去中心化的身份認證協(xié)議，也是一個開放的標準。通過OpenID，任何人都能夠使用一個URL在互聯(lián)網(wǎng)上用統(tǒng)一的方式來認證自己。一次注冊，可以在多個網(wǎng)站上登錄，從而實現(xiàn)了跨域的單點登錄的功能，用戶再無須進行重復(fù)的注冊和登錄。OAuth（OpenAuthorization）協(xié)議是一個開放的授權(quán)協(xié)議，其目標是為了授權(quán)第三方在可控范圍下訪問用戶資源。OAuth與OpenID互補，一般支持OpenID的服務(wù)都會使用到OAuth。2022/12/997Ch6-身份認證與訪問控制OpenID與OAuthOpenID（OpenIdentiOAuth和OpenID的區(qū)別OAuth和OpenID的區(qū)別在于應(yīng)用場景的區(qū)別，OAuth用于為用戶授權(quán)，是一套授權(quán)協(xié)議；OpenID是用來認證的，是一套認證協(xié)議。兩者是互補的。一般支持OpenID的服務(wù)都會使用到OAuth。2022/12/998Ch6-身份認證與訪問控制OAuth和OpenID的區(qū)別OAuth和OpenID的區(qū)別OpenID協(xié)議的角色和標識OpenID定義了如下3個角色和一個標識：終端用戶(EndUser)利用OpenID進行身份認證的互聯(lián)網(wǎng)用戶，也可以指代用戶所使用的瀏覽器。身份提供者IDP(IdentityProvider)

提供OpenID帳號的網(wǎng)站，提供OpenID注冊、存儲、驗證等服務(wù)。如AOL、Yahoo!、Veristgn等2022/12/999Ch6-身份認證與訪問控制OpenID協(xié)議的角色和標識OpenID定義了如下3個角色和服務(wù)提供者RP(RelyingParty)

支持使用OpenID登錄的服務(wù)商，也就是用戶要登錄的網(wǎng)站。如LiveJournal、WikiSpaces等

身份標識頁(IdentityPage)

用戶所擁有OpenID的URL地址以及其上所存放的文件例如：在360網(wǎng)站上注冊用戶名為zhansan的用戶希望登錄美團網(wǎng)進行購物，則用戶為zhangsan，360網(wǎng)站為身份提供者，而美團網(wǎng)是服務(wù)提供者。2022/12/9100Ch6-身份認證與訪問控制服務(wù)提供者RP(RelyingParty)2022/12OpenID的工作流程(1)用戶(EndUser)需要使用服務(wù)提供者(RelyingParty)的服務(wù)時，要向其提供自己的標識OpenIDURL。(2)服務(wù)提供者根據(jù)用戶的OpenIDURL與身份提供者(IdentityProvider)進行通信。(3)服務(wù)提供者將用戶引導(dǎo)到身份提供者的身份認證頁面。(4)用戶向身份提供者表明身份，并完成認證。

2022/12/9101Ch6-身份認證與訪問控制OpenID的工作流程(1)用戶(EndUser)需要使用(5)認證結(jié)束后，身份提供者將用戶引導(dǎo)回服務(wù)提供者，同時返回的信息包含認證用戶的結(jié)果判斷，以及服務(wù)提供者需要的一些其它信息。(6)服務(wù)提供者判斷返回信息的有效性，認證成功，用戶即可使用相應(yīng)的功能OpenID的工作流程如圖6.3所示2022/12/9102Ch6-身份認證與訪問控制(5)認證結(jié)束后，身份提供者將用戶引導(dǎo)回服務(wù)提供者，同時返回圖6.3OpenID的工作流程2022/12/9103Ch6-身份認證與訪問控制圖6.3OpenID的工作流程2022/12/731C（1）終端用戶請求登錄RP網(wǎng)站，用戶選擇了以O(shè)penID方式來登錄。（2）RP將OpenID的登錄界面返回給終端用戶。（3）終端用戶以O(shè)penID登陸RP網(wǎng)站。（4）RP網(wǎng)站對用戶的OpenID進行標準化。OpenID以xri://、xri://$ip或者xri://$dns開頭，先去掉這些符號；然后對如下的字符串進行判斷，如果第一個字符是=、@、+、$、!，則視為標準的XRI，否則視為HTTPURL（若沒有http,為其增加http://）。OpenID的交互過程：2022/12/9104Ch6-身份認證與訪問控制（1）終端用戶請求登錄RP網(wǎng)站，用戶選擇了以O(shè)penID方式（5）RP發(fā)現(xiàn)IDP，如果OpenID是XRI，就采用XRI解析，如果是URL，則用YADIS協(xié)議解析，若YADIS解析失敗，則用HTTP發(fā)現(xiàn)。（6）RP跟IDP建立一個關(guān)聯(lián)。兩者之間可以建立一個安全通道，用于傳輸信息并降低交互次數(shù)。（7）IDP處理RP的關(guān)聯(lián)請求。（8）RP請求IDP對用戶身份進行驗證。（9）IDP對用戶認證，如請求用戶進行登錄認證。（10）用戶登錄IDP。2022/12/9105Ch6-身份認證與訪問控制（5）RP發(fā)現(xiàn)IDP，如果OpenID是XRI，就采用XRI（11）IDP將認證結(jié)果返回給RP。（12）RP對IDP的結(jié)果進行分析。（13）RP分析后，如用戶合法，則返回用戶認證成功，可以使用RP服務(wù)。2022/12/9106Ch6-身份認證與訪問控制（11）IDP將認證結(jié)果返回給RP。2022/12/734COpenID的交互流程如圖6.4所示2022/12/9107Ch6-身份認證與訪問控制OpenID的交互流程如圖6.4所示2022/12/735OAuth協(xié)議OAuth是一個開放的授權(quán)協(xié)議，允許用戶在不泄露用戶名/密碼的情況下，和其他網(wǎng)站共享存儲在另一個網(wǎng)站上的個人資源(照片、視頻、通信錄等)。OAuth是一種授權(quán)服務(wù)，不同于OpenID，但與OpenID相輔相成。OAuth是為了讓用戶授權(quán)一個應(yīng)用程序去訪問用戶的信息。IETF目前正在起草OAuth2.0協(xié)議。OAuth2.0定義了如下4個角色：資源所有者、客戶端、資源服務(wù)器、授權(quán)服務(wù)器。2022/12/9108Ch6-身份認證與訪問控制OAuth協(xié)議OAuth是一個開放的授權(quán)協(xié)議，允許用戶在不泄(1)資源所有者（ResourceOwner）：一個實體，能授權(quán)一個應(yīng)用（即客戶端）訪問受保護的資源。(2)客戶端（Client）：代表受保護資源的應(yīng)用程序，能獲得授權(quán)并請求訪問受保護的資源。(3)資源服務(wù)器（ResourceServer）：一個服務(wù)器，托管受保護資源的服務(wù)器，通過存取令牌（token）接收受保護資源的訪問請求，并能應(yīng)答對受保護的資源的請求。(4)授權(quán)服務(wù)器（AuthorizationServer）：一個服務(wù)器，能成功認證資源所有者及獲得資源所有者的授權(quán)，認證成功及獲得授權(quán)后能發(fā)布訪問令牌（token）。它可能與資源服務(wù)器合設(shè)，也可能是一個獨立的網(wǎng)絡(luò)設(shè)備。2022/12/9109Ch6-身份認證與訪問控制(1)資源所有者（ResourceOwner）：一個實體，OAuth2.0的工作流程OAuth2.0的工作流程如圖6.5所示：2022/12/9110Ch6-身份認證與訪問控制OAuth2.0的工作流程OAuth2.0的工作流程如圖6.(1)客戶端想要訪問受資源所有者控制的網(wǎng)絡(luò)資源，但客戶端并不知道資源所有者的認證憑證?？蛻舳诵枰谑跈?quán)服務(wù)器注冊，以便獲取客戶端的認證憑據(jù)(如client_id，client_secret)?？蛻舳苏埱筚Y源所有者授權(quán)，訪問用戶的網(wǎng)絡(luò)資源。(2)資源所有者在授權(quán)客戶端訪問前，資源所有者需要通過授權(quán)服務(wù)器的認證。(3)資源所有者認證成功后，客戶端接收到一個訪問資源授權(quán)憑證，授權(quán)憑證代表資源所有者允許客戶端訪問網(wǎng)絡(luò)資源。(4)客戶端向授權(quán)服務(wù)器請求訪問令牌，請求消息包含用于認證客戶端的認證憑證和訪問資源的授權(quán)憑證。2022/12/9111Ch6-身份認證與訪問控制(1)客戶端想要訪問受資源所有者控制的網(wǎng)絡(luò)資源，但客戶端并不(5)授權(quán)服務(wù)器根據(jù)客戶端的認證憑證認證客戶端，并驗證資源訪問授權(quán)憑證的有效性，如果都成功，則向客戶端發(fā)布一個訪問令牌。(6)客戶端向資源服務(wù)器請求訪問受保護的資源，請求包含一個訪問令牌。資源服務(wù)器驗證訪問令牌的有效性，如果有效，則客戶端能訪問資源服務(wù)器上受保護的資源。OAuth是一個令牌的協(xié)議。能用于Web2.0中授權(quán)第三方安全訪問網(wǎng)絡(luò)資源。一些電信運營商已認可OAuth能確保第三方應(yīng)用安全訪問電信網(wǎng)絡(luò)資源，而且GSMA的RCS計劃已經(jīng)明確要求使用OAuth2.0來保證網(wǎng)絡(luò)資源的授權(quán)訪問。2022/12/9112Ch6-身份認證與訪問控制(5)授權(quán)服務(wù)器根據(jù)客戶端的認證憑證認證客戶端，并驗證資源訪OpenID和OAuth的作用就是為開放平臺提供規(guī)范、簡潔、安全的通信、授權(quán)和管理機制。這兩種協(xié)議已經(jīng)得到了很多大型廠商的支持，如Yahoo，F(xiàn)acebook，Twitter，Microsoft，Google等，國內(nèi)的新浪，豆瓣，騰訊等都已開始應(yīng)用這兩項技術(shù)。2022/12/9113Ch6-身份認證與訪問控制OpenID和OAuth的作用就是為開放平臺提供規(guī)范、簡潔、6.2訪問控制概述

一個經(jīng)過計算機系統(tǒng)識別和驗證后的用戶（合法用戶）進入系統(tǒng)后，并非意味著他具有對系統(tǒng)所有資源的訪問權(quán)限。訪問控制的任務(wù)就是要根據(jù)一定的原則對合法用戶的訪問權(quán)限進行控制，以決定他可以訪問哪些資源以及以什么樣的方式訪問這些資源。

2022/12/9114Ch6-身份認證與訪問控制6.2訪問控制概述一個經(jīng)過計算機系統(tǒng)識別和驗證后6.2.1訪問控制的基本概念

主體（Subject）：主體是指主動的實體，是訪問的發(fā)起者，它造成了信息的流動和系統(tǒng)狀態(tài)的改變，主體通常包括人、進程和設(shè)備。

客體（Object）：客體是指包含或接受信息的被動實體，客體在信息流動中的地位是被動的，是處于主體的作用之下，對客體的訪問意味著對其中所包含信息的訪問?？腕w通常包括文件、設(shè)備、信號量和網(wǎng)絡(luò)節(jié)點等。訪問（Access）：是使信息在主體和客體之間流動的一種交互方式。訪問包括讀取數(shù)據(jù)、更改數(shù)據(jù)、運行程序、發(fā)起連接等。2022/12/9115Ch6-身份認證與訪問控制6.2.1訪問控制的基本概念主體（Subject）：主體是6.2.1訪問控制的基本概念

訪問控制（AccessControl）：訪問控制規(guī)定了主體對客體訪問的限制，并在身份識別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。訪問控制所要控制的行為主要有讀取數(shù)據(jù)、運行可執(zhí)行文件、發(fā)起網(wǎng)絡(luò)連接等。2022/12/9116Ch6-身份認證與訪問控制6.2.1訪問控制的基本概念訪問控制（AccessCon6.2.2訪問控制技術(shù)入網(wǎng)訪問控制網(wǎng)絡(luò)權(quán)限控制目錄級控制

屬性控制網(wǎng)絡(luò)服務(wù)器的安全控制2022/12/9117Ch6-身份認證與訪問控制6.2.2訪問控制技術(shù)入網(wǎng)訪問控制2022/12/745C入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，通過控制機制來明確能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源的合法用戶、用戶入網(wǎng)的時間和準許入網(wǎng)的工作站等。

基于用戶名和口令的用戶入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證和