InformationSecurityCourseandLaboratoriesISCAL資訊安全課程課件

InformationSecurityFundamentalsandPractices

資訊安全概論與實(shí)務(wù)潘天佑博士主編版權(quán)聲明：本教學(xué)投影片僅供教師授課講解使用，投影片內(nèi)之圖片、文字及其相關(guān)內(nèi)容，未經(jīng)著作權(quán)人許可，不得以任何形式或方法轉(zhuǎn)載使用。InformationSecurityFundament認(rèn)證、授權(quán)與存取控制第二篇第5章認(rèn)證、授權(quán)與存取控制第二篇第5章OntheInternet,nobodyknowsyou’readog.CartoonbyPeterSteiner.TheNewYorker,July5,1993issue(Vol.69no.20)page61身分識(shí)別是網(wǎng)際網(wǎng)路的一大挑戰(zhàn)OntheInternet,nobodyknows安全性組織政策要確保只有得到授權(quán)的人可以讀取機(jī)密的資訊；只有得到授權(quán)的人可以修改資料或程式；並確保使用者不會(huì)輕易的造成系統(tǒng)無(wú)法運(yùn)作?？捎眯源嫒】刂频臋C(jī)制應(yīng)讓使用者易於瞭解，並且儘量不影響他們的正常工作方式與習(xí)慣。存取控制的機(jī)制要能夠每次都如預(yù)期的運(yùn)作。擴(kuò)展性當(dāng)一個(gè)組織的人員、系統(tǒng)或工作量增加時(shí)，存取控制的機(jī)制不應(yīng)隨之變?yōu)檫^(guò)度複雜，以致影響系統(tǒng)效能與行政效率。存取控制的基本需求安全性組織政策要確保只有得到授權(quán)的人可以讀取機(jī)密的資訊；只有責(zé)任分擔(dān)(separationofduties)應(yīng)該避免讓一個(gè)人完整的知道或持有一個(gè)秘密的資訊或流程。最低權(quán)限(leastprivilege)每人只擁有足以完成工作的最低權(quán)限。知的必要性(need-to-know)每人對(duì)秘密資訊「知的權(quán)利」端視其所負(fù)責(zé)業(yè)務(wù)的需要性。資訊分類(informationclassification)使用者(人)與被使用者(系統(tǒng)或資料)間應(yīng)有清楚的權(quán)限對(duì)應(yīng)關(guān)係。存取控制的主要概念責(zé)任分擔(dān)(separationofduties)應(yīng)該避預(yù)防性偵測(cè)性指導(dǎo)性嚇阻性復(fù)原性存取控制的類別預(yù)防性偵測(cè)性指導(dǎo)性嚇阻性復(fù)原性存取控制的類別存取控制的威脅拒絕服務(wù)(denialofservice)緩衝區(qū)溢位(bufferoverflow)惡意程式(malware)密碼破解(passwordcracker)欺騙(spoofing)中間監(jiān)看(sniffer)垃圾搜尋(dumpsterdiving)窺視(shouldersurfing)未經(jīng)授權(quán)之資料探勘(unauthorizeddatamining)電子訊號(hào)外洩(emanation)物件重用(objectreuse)資料剩磁(dataremanence)存取控制的威脅拒絕服務(wù)(denialofservice偷竊偷竊是存取控制的最大威脅。入侵入侵可能是實(shí)體或虛擬的，也可能兩者結(jié)合。

社交工程社交工程也常結(jié)合實(shí)體與虛擬的詐欺。實(shí)體與虛擬的威脅偷竊偷竊是存取控制的最大威脅。入侵入侵可能是實(shí)體或虛擬的，也身分讓使用者擁有一個(gè)唯一、可電子讀取的名稱，電腦系統(tǒng)以此識(shí)別使用者身分。身分認(rèn)證確認(rèn)使用該電子身分者為使用者本人。授權(quán)系統(tǒng)通過(guò)身分認(rèn)證後，授予使用者的讀、寫、執(zhí)行、刪除等權(quán)限。責(zé)任歸屬能讓已經(jīng)授權(quán)的使用者對(duì)自己在系統(tǒng)上的行為負(fù)責(zé)。系統(tǒng)存取控制身分讓使用者擁有一個(gè)唯一、可電子讀取的名稱，電腦系統(tǒng)以此識(shí)別電子世界中「身分」的類型：使用者名稱(username)，各種電子識(shí)別證、智慧卡、提款卡等，銀行的帳戶號(hào)碼(accountnumber)等，將在後面細(xì)談的生物特徵(biometrics)也是一種電子身分。身分應(yīng)有以下特性：在一個(gè)存取控制系統(tǒng)中，每位使用者的身分應(yīng)為唯一。有助於身分認(rèn)證的進(jìn)行與責(zé)任歸屬的釐清。身分資料應(yīng)保持最新，離職員工或已不使用的身分應(yīng)立刻刪除。機(jī)構(gòu)內(nèi)應(yīng)有選定使用者名稱的政策，以免重複使用或在名稱上洩漏太多訊息。身份電子世界中「身分」的類型：身份身分認(rèn)證的方法認(rèn)證工具的強(qiáng)度認(rèn)證方式的強(qiáng)度所知之事所持之物所具之形通關(guān)密碼PIN工具產(chǎn)生單次密碼智慧卡私密金鑰公開(kāi)金鑰智慧卡結(jié)合所知之事–形成雙重要素認(rèn)證指紋與聲紋等視網(wǎng)膜智慧卡、密碼與生物特徵形成三重要素認(rèn)證身分認(rèn)證的方法認(rèn)證工具的強(qiáng)度認(rèn)證方式的強(qiáng)度所知之事所持之物所單點(diǎn)登錄1.使用者在客戶端鍵入使用者名稱與通關(guān)密碼4.認(rèn)證成功後，身分認(rèn)證伺服器允許使用者使用應(yīng)用伺服器。認(rèn)證伺服器應(yīng)用伺服器應(yīng)用伺服器2.使用者名稱與密碼傳送給認(rèn)證伺服器3.認(rèn)證伺服器認(rèn)證使用者身分單點(diǎn)登錄1.使用者在客戶端鍵入使用者名稱與通關(guān)密碼4.認(rèn)它是麻省理工學(xué)院所開(kāi)發(fā)的自由軟體，微軟、思科、蘋果等公司都曾使用在其產(chǎn)品中，包括Windows,MacOSX,Apache等。Kerberos協(xié)定建構(gòu)於對(duì)稱式金鑰系統(tǒng)(於第七章說(shuō)明)，並需要「信任第三者」。進(jìn)階的Kerberos可以在一些步驟中使用公開(kāi)金鑰。它的信任第三者稱為KeyDistributionCenter(KDC)，包括兩部分：AuthenticationServer(AS)與TicketGrantingServer(TGS)。Kerberos以票證(ticket)為基礎(chǔ)，做為使用者身分的憑證。KDC擁有網(wǎng)路上密鑰的完整資料庫(kù)。而其它成員(客戶或伺服端)則只擁有自己的密鑰。當(dāng)網(wǎng)路內(nèi)任何兩者需要對(duì)話時(shí)，則由KDC完成身分認(rèn)證後，發(fā)出一個(gè)會(huì)談金鑰(sessionkey)供兩端進(jìn)行安全通訊。Kerberos(I)它是麻省理工學(xué)院所開(kāi)發(fā)的自由軟體，微軟、思科、蘋果等公司都曾Kerberos(II)認(rèn)證伺服器應(yīng)用伺服器TGSAS2.客戶端向AS要求登入系統(tǒng)。1.使用者在客戶端鍵入使用者名稱與通關(guān)密碼；客戶端以one-wayfunction將密碼轉(zhuǎn)換為客戶端金鑰。3.若AS在資料庫(kù)中找到使用者，就回覆兩樣?xùn)|西：a.一把會(huì)談金鑰(以客戶端金鑰加密)，b.一張票證(以TGS金鑰加密)。

4.客戶端解開(kāi)會(huì)談金鑰，用以與TGS會(huì)談；但票證只有TGS才能解開(kāi)。客戶端保存這些東西可重複使用。5.當(dāng)客戶端要使用應(yīng)用伺服器或其他網(wǎng)路資源時(shí)，就以會(huì)談金鑰與票證向TGS提出要求。6.TGS發(fā)給客戶端與應(yīng)用伺服器會(huì)談的金鑰與票證，並以應(yīng)用伺服器的金鑰加密。7.客戶端以TGS新發(fā)給的會(huì)談金鑰與票證與應(yīng)用伺服器進(jìn)行相互認(rèn)證與安全通訊。Kerberos(II)認(rèn)證伺服器應(yīng)用伺服器TGSAS2.非同步工具產(chǎn)生單次密碼1.使用者向身分認(rèn)證伺服器要求登入2.身分認(rèn)證伺服器產(chǎn)生一組挑戰(zhàn)隨機(jī)碼給使用者3.使用者將挑戰(zhàn)隨機(jī)碼輸入手持式電子認(rèn)證工具4.手持式電子認(rèn)證工具以密碼學(xué)計(jì)算回應(yīng)值(亦即通關(guān)密碼)5.使用者將通關(guān)密碼送給身分認(rèn)證伺服器6.認(rèn)證成功後，身分認(rèn)證伺服器允許使用者使用應(yīng)用伺服器。認(rèn)證伺服器應(yīng)用伺服器非同步工具產(chǎn)生單次密碼1.使用者向身分認(rèn)證伺服器要求登入2同步電子代符(synchronoustoken)可以自動(dòng)產(chǎn)生單次密碼，然而隨身攜帶的電子代符必須與身分認(rèn)證伺服器之間保持同步，方法包括：時(shí)間基準(zhǔn)同步：電子代符與身分認(rèn)證伺服器之間保持精準(zhǔn)的時(shí)間同步，因此在同一個(gè)時(shí)間，電子代符上顯示的數(shù)字(亦即使用者的單次通關(guān)密碼)與伺服器裡的認(rèn)證數(shù)字相同。同步電子代符事件基準(zhǔn)同步：電子代符每產(chǎn)生一次密碼，代符與伺服器的數(shù)字就會(huì)同步變更一次。但若代符產(chǎn)生密碼卻未被使用於系統(tǒng)登入，則代符與伺服器間就會(huì)失去同步；此時(shí)使用者需要對(duì)電腦輸入PIN後，讓兩者重新同步。AcmeSecurity70596612同步電子代符(synchronoustoken)可以自智慧卡(smartcard)將晶片嵌入塑膠卡中，是最方便攜帶的電子身分認(rèn)證工具。智慧卡可分為以下類別：接觸式智慧卡(contactsmartcards)：包括塑膠卡身、晶片、與金屬接觸介面?？ㄆ迦胱x卡機(jī)內(nèi)，讓智慧卡晶片裡的微處理器與電腦或伺服器建立通訊。目前臺(tái)灣的金融卡都是接觸式智慧卡。非接觸式智慧卡(contactlesscards)：類似接觸式智慧卡，但是介面不是金屬接觸層，而是無(wú)線射頻(RF)。非接觸式智慧卡使用更為方便，臺(tái)北捷運(yùn)悠遊卡即為一例。接觸與非接觸式智慧卡本身都沒(méi)有電源，要靠讀卡機(jī)以接觸或非接觸方式傳輸電力。兩用智慧卡(combi-cards)：是指同一張卡有接觸與非接觸式兩種介面，部分金融卡與悠遊卡結(jié)合成一張聯(lián)名卡，就具備兩種介面。智慧卡智慧卡(smartcard)將晶片嵌入塑膠卡中，是最方智慧卡結(jié)構(gòu)智慧卡晶片像一臺(tái)微型電腦，內(nèi)容包括軟、硬體兩部分。硬體包括CPU和幾種記憶體：RAM與ROM分別為暫存與永久儲(chǔ)存之用；EEPROM的功能像電腦裡的硬碟或flash碟，其上的資料可修改，但斷電後資料仍然存在。軟體包括OS和應(yīng)用程式。OS例如像JavaCard。AP1AP2AP3OS(例如JavaCard)CPUROMRAMEEPROMI/O(接觸或非接觸)智慧卡結(jié)構(gòu)智慧卡晶片像一臺(tái)微型電腦，內(nèi)容包括軟、硬體兩部分。智慧卡攜帶方便，可以在不增加使用者負(fù)擔(dān)的情況下做到「雙重要素認(rèn)證(two-factorauthentication)」，最常用的雙重要素認(rèn)證是智慧卡結(jié)合通關(guān)密碼或PIN。有較先進(jìn)的安全系統(tǒng)已將使用者的指紋資料存入智慧卡中，做到三重要素認(rèn)證。智慧卡可以儲(chǔ)存人腦無(wú)法記憶的密碼長(zhǎng)度，因此，使用者只要記得智慧卡的PIN，就可以讓智慧卡去記多組冗長(zhǎng)的密碼。萬(wàn)一智慧卡遭竊，大部分智慧卡都設(shè)計(jì)成三次PIN輸入錯(cuò)誤則永遠(yuǎn)鎖卡。有些智慧卡具備公開(kāi)金鑰(publickey)的運(yùn)算能力，如此能讓使用者隨身攜帶電子憑證，執(zhí)行安全性極高的PKI運(yùn)算；同時(shí)也可以做電子簽章，讓交易具備不可否認(rèn)性(non-repudiation)。使用智慧卡的優(yōu)勢(shì)智慧卡攜帶方便，可以在不增加使用者負(fù)擔(dān)的情況下做到「雙重要素智慧卡技術(shù)已被使用二十年以上，許多攻擊方式應(yīng)運(yùn)而生。以下是一些常被討論的方法：實(shí)體侵入式攻擊(physicalinvasiveattacks)精密儀器可將晶片電路清晰放大，並以探針搭接在要讀取的金屬接點(diǎn)上，這個(gè)作法稱為micro-probing，可直接讀取記憶體內(nèi)資料，或用以瞭解加密引擎的設(shè)計(jì)方法。智慧卡攻擊(I)這種攻擊所需要的設(shè)備雖然在半導(dǎo)體領(lǐng)域不難取得，但究竟所費(fèi)不貲；因此會(huì)進(jìn)行實(shí)體攻擊者大多為了較大經(jīng)濟(jì)利益。例如某種全國(guó)性的智慧卡票證若都使用同一把密鑰，攻擊者就有足夠的動(dòng)因進(jìn)行精密的實(shí)體攻擊。智慧卡技術(shù)已被使用二十年以上，許多攻擊方式應(yīng)運(yùn)而生。以下是一旁道攻擊(side-channelattacks)攻擊者在智慧卡正常運(yùn)作時(shí)，輸入特定數(shù)值讓晶片計(jì)算(尤其是加解密)，再統(tǒng)計(jì)該計(jì)算所使用的時(shí)間或計(jì)算過(guò)程中所消耗的電力。如果統(tǒng)計(jì)樣本夠大，就有機(jī)會(huì)推算出晶片內(nèi)可能的金鑰密碼。較有名的旁道攻擊法為timingattack與powerattack等。操弄攻擊(manipulativeattacks)攻擊者刻意在智慧卡運(yùn)算環(huán)境中加入變數(shù)，使軟硬體發(fā)生非預(yù)期的亂象。若這些亂象不是智慧卡設(shè)計(jì)者所考慮到的，攻擊者就有可能取得機(jī)密資料。例如每當(dāng)智慧卡在做PIN的認(rèn)證時(shí)，攻擊者就刻意升高或降低電壓，使CPU無(wú)法完成認(rèn)證程序。如果智慧卡程式設(shè)計(jì)為defaulttrue，攻擊者就能通過(guò)認(rèn)證。智慧卡攻擊(II)旁道攻擊(side-channelattacks)智慧卡假設(shè)智慧卡執(zhí)行以下程式(以虛擬程式碼表示)，允許將EEPROM記憶體中位址101到110的十比資料輸出到卡外?！静倥簟坑^察以上程式，執(zhí)行“IF(i>110)GOTO12”這行指令所需花費(fèi)的時(shí)間比其它指令都長(zhǎng)，因?yàn)樗鲆粋€(gè)判斷(i是否大於110?)之後，還要執(zhí)行跳行(GOTO12)。若攻擊者故意將智慧卡的時(shí)鐘頻率(clockrate)調(diào)高，例如從標(biāo)準(zhǔn)的5MHz調(diào)升到10MHz，這行指令就無(wú)法在一個(gè)時(shí)鐘週期(clockcycle)內(nèi)完成：也許只做了判斷卻沒(méi)有完成跳行，因此永遠(yuǎn)離不開(kāi)循環(huán)(loop)；i的值會(huì)繼續(xù)往上增加，因此記憶體中所有的資料都被輸出卡外。智慧卡攻擊(III) i=101;IF(i>110)GOTO12 OUTPUT(mem[i]); i=i+1; GOTO1012 EXIT 假設(shè)智慧卡執(zhí)行以下程式(以虛擬程式碼表示)，允許將EEPRO生物特徵是somethingyouare,也是三種認(rèn)證要素中最難被偽造者。它可以同時(shí)兼具「身分」與「認(rèn)證」的功能。生物特徵有靜態(tài)與動(dòng)態(tài)兩種：靜態(tài)者包括指紋、視網(wǎng)膜等身體特徵。動(dòng)態(tài)者包括聲音、簽字律動(dòng)等行為特徵。採(cǎi)用生物特徵辨識(shí)系統(tǒng)時(shí)應(yīng)注意以下事項(xiàng)：測(cè)量應(yīng)該準(zhǔn)確，下一頁(yè)將介紹CER概念，用以量測(cè)準(zhǔn)確度。一些生物特徵辨識(shí)系統(tǒng)可能遭到使用者抗拒，例如視網(wǎng)膜掃描等。有的生物特徵辨識(shí)過(guò)程需要較長(zhǎng)時(shí)間，以致未必實(shí)用。目前還是指紋辨識(shí)的技術(shù)較為成熟。生物特徵認(rèn)證生物特徵是somethingyouare,也是三種認(rèn)當(dāng)儀器的靈敏度被訂越高，越多對(duì)的東西會(huì)被誤判為錯(cuò)(誤殺)，稱為第一類錯(cuò)誤。當(dāng)儀器的靈敏度被訂越低，越多錯(cuò)的東西會(huì)被誤判為對(duì)(誤放)，稱為第二類錯(cuò)誤。最佳的儀器靈敏度應(yīng)該在兩條曲線的交點(diǎn)，這個(gè)點(diǎn)的錯(cuò)誤率稱做交點(diǎn)錯(cuò)誤率(crossovererrorrate,CER)。生物特徵認(rèn)證準(zhǔn)確性錯(cuò)誤率儀器靈敏度第一類錯(cuò)誤(誤殺)第二類錯(cuò)誤(誤放)交點(diǎn)錯(cuò)誤率(CER)當(dāng)儀器的靈敏度被訂越高，越多對(duì)的東西會(huì)被誤判為錯(cuò)(誤殺)，稱指紋、掌紋有相當(dāng)高的準(zhǔn)確性，屬於應(yīng)用最廣的生物特徵。手掌結(jié)構(gòu)電腦量測(cè)手掌的長(zhǎng)、寬、厚度，相當(dāng)準(zhǔn)確且快速。視網(wǎng)膜(retina)掃描以低度光源來(lái)分析眼球後端視網(wǎng)膜上的血管分布模式。虹膜(iris)掃描記錄眼球虹膜的獨(dú)特模式，準(zhǔn)確、快速、且接受度較高。靜態(tài)生物特徵指紋、掌紋有相當(dāng)高的準(zhǔn)確性，屬於應(yīng)用最廣的生物特徵。手掌結(jié)構(gòu)聲音模式不太準(zhǔn)確且辨識(shí)時(shí)間較長(zhǎng)，但使用者接受度高。臉部辨識(shí)準(zhǔn)確度尚佳，但因隱私問(wèn)題不願(yuàn)意臉部資料被建檔。敲鍵盤律動(dòng)可以自然的與通關(guān)密碼形成雙重要素認(rèn)證，接受度高。簽字律動(dòng)在電子筆中加入感應(yīng)器以辨識(shí)簽字律動(dòng)，使用者接受度高。動(dòng)態(tài)生物特徵聲音模式不太準(zhǔn)確且辨識(shí)時(shí)間較長(zhǎng)，但使用者接受度高。臉部辨識(shí)準(zhǔn)強(qiáng)制存取控制(mandatoryaccesscontrol,MAC)任意存取控制(discretionaryaccesscontrol,DAC)存取控制目錄(accesscontrollist,ACL)規(guī)則基準(zhǔn)存取控制(rule-basedaccesscontrol)角色基準(zhǔn)存取控制(role-basedaccesscontrol)資料存取控制強(qiáng)制存取控制(mandatoryaccesscontr強(qiáng)制存取控制是最嚴(yán)格的資料存取控制手段，它對(duì)主體(subject)及物件(object)都清楚的劃分安全等級(jí)，符合等級(jí)者方得存取?！钢黧w」是指使用者或客戶端主機(jī)等，能發(fā)出存取需求者；「物件」是指伺服器、資料庫(kù)、檔案等被存取者。機(jī)密等級(jí)標(biāo)籤(sensitivitylabels)常被用來(lái)標(biāo)示主體與物件的安全等級(jí)。例如我國(guó)國(guó)家機(jī)密區(qū)分為「絕對(duì)機(jī)密」、「極機(jī)密」、「機(jī)密」三個(gè)等級(jí)，一般公務(wù)機(jī)密則列為「密」等級(jí)。強(qiáng)制存取控制的系統(tǒng)會(huì)比對(duì)主體與物件之間的安全等級(jí)，來(lái)決定是否同意資料存取之要求。除此之外，該物件的「所有人(owner)」也可以依照「知的必要性(need-to-know)」來(lái)否決一些安全等級(jí)符合者之存取要求。並非所有等級(jí)符合者都有存取該項(xiàng)機(jī)密物件的必要。強(qiáng)制存取控制強(qiáng)制存取控制是最嚴(yán)格的資料存取控制手段，它對(duì)主體(subj「任意」是指相對(duì)於強(qiáng)制存取控制較不嚴(yán)格，但仍有一定之資料存取控制的方式。任意存取控制必須具備一些一致的規(guī)定，以控制或限制主體對(duì)物件的存取。這種存取權(quán)力是基於「知的必要性(need-to-know)」。在實(shí)作上，會(huì)由該物件的「所有人(owner)」或他所指定的代理人來(lái)決定那些主體有權(quán)存取該物件。這種存取控制較不嚴(yán)格：如果一個(gè)主體有某些權(quán)利，他可以把這種權(quán)利轉(zhuǎn)給另外的主體。例如在任意存取控制的環(huán)境下，總經(jīng)理可以讓他的秘書代讀電子郵件；但在強(qiáng)制存取控制的環(huán)境下，這是不被允許的。任意存取控制「任意」是指相對(duì)於強(qiáng)制存取控制較不嚴(yán)格，但仍有一定之資料存取存取控制目錄(ACL)是最常見(jiàn)的任意存取控制的一種建置方式。ACL將使用者是否被允許存取每個(gè)物件以條列方式展開(kāi)，並對(duì)權(quán)限作限制。存取控制目錄使用者目錄或資源名稱權(quán)限AliceAlice’sdirectory完全控制Bob’sdirectory唯讀Calvin’sdirectory唯讀Printer001可使用BobAlice’sdirectory禁止Bob’sdirectory完全控制Calvin’sdirectory唯讀Printer001可使用CalvinAlice’sdirectory禁止Bob’sdirectory禁止Calvin’sdirectory完全控制Printer001禁止存取控制目錄(ACL)是最常見(jiàn)的任意存取控制的一種建置方規(guī)則基準(zhǔn)存取控制規(guī)則基準(zhǔn)存取控制是另一種任意存取控制的建置方式。ACL是條列主體對(duì)每個(gè)物件的存取權(quán)限；而規(guī)則基準(zhǔn)存取控制則是藉由一套規(guī)則，來(lái)決定那些存取要求該被允許而哪些該被拒絕。例如，有一條規(guī)則可能是：只有通過(guò)財(cái)務(wù)訓(xùn)練的同仁可以存取庫(kù)存系統(tǒng)。Bob尚未接受訓(xùn)練，他自然無(wú)法存取該系統(tǒng)。庫(kù)存系統(tǒng)客戶關(guān)係資料庫(kù)會(huì)計(jì)系統(tǒng)AliceBob存取規(guī)則規(guī)則基準(zhǔn)存取控制規(guī)則基準(zhǔn)存取控制是另一種任意存取控制的建置方角色基準(zhǔn)存取控制與前面討論的規(guī)則基準(zhǔn)類似，只是角色基準(zhǔn)的存取規(guī)則是以使用者在組織內(nèi)的角色為基準(zhǔn)。例如，只有財(cái)務(wù)與庫(kù)房同仁可以存取庫(kù)存系統(tǒng)，而Alice是財(cái)務(wù)課長(zhǎng)，所以他可以存取該系統(tǒng)。但下周他高升會(huì)計(jì)經(jīng)理，就無(wú)法再存取庫(kù)存系統(tǒng)了。角色基準(zhǔn)存取控制是一種任意存取控制的建置方式；但也可應(yīng)用於強(qiáng)制存取控制。角色基準(zhǔn)的強(qiáng)制存取控制也要對(duì)主體與物件做清楚的安全等級(jí)劃分與比對(duì)；但主體是「角色」而非一般所謂的使用者。角色基準(zhǔn)存取控制最大優(yōu)勢(shì)是能與組織內(nèi)的結(jié)構(gòu)與階級(jí)維持一致的關(guān)係，對(duì)組織變動(dòng)的反應(yīng)最快速。角色基準(zhǔn)存取控制角色基準(zhǔn)存取控制與前面討論的規(guī)則基準(zhǔn)類似，只是角色基準(zhǔn)的存取稽核追蹤(audittrail)是確保存取控制的重要方式?；俗粉櫼罆r(shí)間性記錄系統(tǒng)上的所有活動(dòng)，藉由對(duì)系列活動(dòng)的重整與判讀，就能找出可能的入侵行為或其他資訊安全事件。記錄資料應(yīng)包括系統(tǒng)、網(wǎng)路、應(yīng)用程式、與使用者的各種活動(dòng)。記錄資料可用來(lái)警告可疑的事件，分析入侵的行為，並可用於電子犯罪調(diào)查甚至當(dāng)作法庭證據(jù)。記錄資料量通常極大，遠(yuǎn)超過(guò)系統(tǒng)管理員所能判讀，因此需要設(shè)定一些過(guò)濾機(jī)制。應(yīng)該有嚴(yán)格的控管，避免稽核追蹤記錄被竄改。自動(dòng)化的稽核追蹤工具很多，價(jià)格差異也很大，應(yīng)該選擇最適合需要的工具，並因應(yīng)稽核目的做適當(dāng)調(diào)整。稽核追蹤稽核追蹤(audittrail)是確保存取控制的重要方入侵偵測(cè)系統(tǒng)(intrusiondetectionsystems,IDS)可以即時(shí)監(jiān)控系統(tǒng)或網(wǎng)路，並偵測(cè)可能的入侵行為。IDS常以「稽核追蹤記錄」與「網(wǎng)路流量資訊」做為即時(shí)分析數(shù)據(jù)。當(dāng)IDS偵測(cè)到入侵行為時(shí)，他有主動(dòng)或被動(dòng)的做法：主動(dòng)做法：1.主動(dòng)收集更多入侵者資料；2.切斷入侵者連線；3.主動(dòng)反擊入侵者(不建議這個(gè)做法)。被動(dòng)做法：1.緊急事件的警報(bào)；2.可疑事件的警告；3.定時(shí)的回報(bào)。入侵防禦系統(tǒng)(intrusionprotectionsystems,IPS)比IDS更進(jìn)一步，能在侵入發(fā)生時(shí)主動(dòng)防禦系統(tǒng)或網(wǎng)路。例如有一個(gè)可疑的封包進(jìn)入網(wǎng)路，IDS會(huì)提出警告後讓封包進(jìn)入，但I(xiàn)PS會(huì)在提出警告後攔截封包。IPS的風(fēng)險(xiǎn)是一旦誤殺

(第一類錯(cuò)誤)，反而產(chǎn)生了新的問(wèn)題。入侵偵測(cè)系統(tǒng)入侵偵測(cè)系統(tǒng)(intrusiondetectionsy滲透測(cè)試(penetrationtest,PT)是以一套正式的步驟來(lái)突破安全控制，並存取應(yīng)受保護(hù)的系統(tǒng)與資料。它的目的在協(xié)助組織瞭解自身的安全漏洞，並演練一旦遭入侵後之標(biāo)準(zhǔn)作業(yè)流程。外部測(cè)試時(shí)，測(cè)試人員扮演一位從外部入侵的駭客。Zero-knowledge(blackbox)test是指進(jìn)行測(cè)試時(shí)，專業(yè)測(cè)試人員完全沒(méi)有受測(cè)組織的資訊，這種測(cè)試在模擬外部駭客的攻擊行為。Partial-knowledgetest是指測(cè)試人員有部分受測(cè)組織的資訊，可以縮短滲透測(cè)試花費(fèi)之時(shí)間，並集中在較脆弱的部分測(cè)試。內(nèi)部測(cè)試時(shí)，測(cè)試人員扮演一位內(nèi)部人員。Full-knowledge(whitebox)test:是指測(cè)試人員清楚瞭解受測(cè)組織，這種測(cè)試在模擬組織內(nèi)部惡意工作人員的攻擊行為。滲透測(cè)試滲透測(cè)試(penetrationtest,PT)是以InformationSecurityFundamentalsandPractices

資訊安全概論與實(shí)務(wù)潘天佑博士主編版權(quán)聲明：本教學(xué)投影片僅供教師授課講解使用，投影片內(nèi)之圖片、文字及其相關(guān)內(nèi)容，未經(jīng)著作權(quán)人許可，不得以任何形式或方法轉(zhuǎn)載使用。InformationSecurityFundament認(rèn)證、授權(quán)與存取控制第二篇第5章認(rèn)證、授權(quán)與存取控制第二篇第5章OntheInternet,nobodyknowsyou’readog.CartoonbyPeterSteiner.TheNewYorker,July5,1993issue(Vol.69no.20)page61身分識(shí)別是網(wǎng)際網(wǎng)路的一大挑戰(zhàn)OntheInternet,nobodyknows安全性組織政策要確保只有得到授權(quán)的人可以讀取機(jī)密的資訊；只有得到授權(quán)的人可以修改資料或程式；並確保使用者不會(huì)輕易的造成系統(tǒng)無(wú)法運(yùn)作。可用性存取控制的機(jī)制應(yīng)讓使用者易於瞭解，並且儘量不影響他們的正常工作方式與習(xí)慣。存取控制的機(jī)制要能夠每次都如預(yù)期的運(yùn)作。擴(kuò)展性當(dāng)一個(gè)組織的人員、系統(tǒng)或工作量增加時(shí)，存取控制的機(jī)制不應(yīng)隨之變?yōu)檫^(guò)度複雜，以致影響系統(tǒng)效能與行政效率。存取控制的基本需求安全性組織政策要確保只有得到授權(quán)的人可以讀取機(jī)密的資訊；只有責(zé)任分擔(dān)(separationofduties)應(yīng)該避免讓一個(gè)人完整的知道或持有一個(gè)秘密的資訊或流程。最低權(quán)限(leastprivilege)每人只擁有足以完成工作的最低權(quán)限。知的必要性(need-to-know)每人對(duì)秘密資訊「知的權(quán)利」端視其所負(fù)責(zé)業(yè)務(wù)的需要性。資訊分類(informationclassification)使用者(人)與被使用者(系統(tǒng)或資料)間應(yīng)有清楚的權(quán)限對(duì)應(yīng)關(guān)係。存取控制的主要概念責(zé)任分擔(dān)(separationofduties)應(yīng)該避預(yù)防性偵測(cè)性指導(dǎo)性嚇阻性復(fù)原性存取控制的類別預(yù)防性偵測(cè)性指導(dǎo)性嚇阻性復(fù)原性存取控制的類別存取控制的威脅拒絕服務(wù)(denialofservice)緩衝區(qū)溢位(bufferoverflow)惡意程式(malware)密碼破解(passwordcracker)欺騙(spoofing)中間監(jiān)看(sniffer)垃圾搜尋(dumpsterdiving)窺視(shouldersurfing)未經(jīng)授權(quán)之資料探勘(unauthorizeddatamining)電子訊號(hào)外洩(emanation)物件重用(objectreuse)資料剩磁(dataremanence)存取控制的威脅拒絕服務(wù)(denialofservice偷竊偷竊是存取控制的最大威脅。入侵入侵可能是實(shí)體或虛擬的，也可能兩者結(jié)合。

社交工程社交工程也常結(jié)合實(shí)體與虛擬的詐欺。實(shí)體與虛擬的威脅偷竊偷竊是存取控制的最大威脅。入侵入侵可能是實(shí)體或虛擬的，也身分讓使用者擁有一個(gè)唯一、可電子讀取的名稱，電腦系統(tǒng)以此識(shí)別使用者身分。身分認(rèn)證確認(rèn)使用該電子身分者為使用者本人。授權(quán)系統(tǒng)通過(guò)身分認(rèn)證後，授予使用者的讀、寫、執(zhí)行、刪除等權(quán)限。責(zé)任歸屬能讓已經(jīng)授權(quán)的使用者對(duì)自己在系統(tǒng)上的行為負(fù)責(zé)。系統(tǒng)存取控制身分讓使用者擁有一個(gè)唯一、可電子讀取的名稱，電腦系統(tǒng)以此識(shí)別電子世界中「身分」的類型：使用者名稱(username)，各種電子識(shí)別證、智慧卡、提款卡等，銀行的帳戶號(hào)碼(accountnumber)等，將在後面細(xì)談的生物特徵(biometrics)也是一種電子身分。身分應(yīng)有以下特性：在一個(gè)存取控制系統(tǒng)中，每位使用者的身分應(yīng)為唯一。有助於身分認(rèn)證的進(jìn)行與責(zé)任歸屬的釐清。身分資料應(yīng)保持最新，離職員工或已不使用的身分應(yīng)立刻刪除。機(jī)構(gòu)內(nèi)應(yīng)有選定使用者名稱的政策，以免重複使用或在名稱上洩漏太多訊息。身份電子世界中「身分」的類型：身份身分認(rèn)證的方法認(rèn)證工具的強(qiáng)度認(rèn)證方式的強(qiáng)度所知之事所持之物所具之形通關(guān)密碼PIN工具產(chǎn)生單次密碼智慧卡私密金鑰公開(kāi)金鑰智慧卡結(jié)合所知之事–形成雙重要素認(rèn)證指紋與聲紋等視網(wǎng)膜智慧卡、密碼與生物特徵形成三重要素認(rèn)證身分認(rèn)證的方法認(rèn)證工具的強(qiáng)度認(rèn)證方式的強(qiáng)度所知之事所持之物所單點(diǎn)登錄1.使用者在客戶端鍵入使用者名稱與通關(guān)密碼4.認(rèn)證成功後，身分認(rèn)證伺服器允許使用者使用應(yīng)用伺服器。認(rèn)證伺服器應(yīng)用伺服器應(yīng)用伺服器2.使用者名稱與密碼傳送給認(rèn)證伺服器3.認(rèn)證伺服器認(rèn)證使用者身分單點(diǎn)登錄1.使用者在客戶端鍵入使用者名稱與通關(guān)密碼4.認(rèn)它是麻省理工學(xué)院所開(kāi)發(fā)的自由軟體，微軟、思科、蘋果等公司都曾使用在其產(chǎn)品中，包括Windows,MacOSX,Apache等。Kerberos協(xié)定建構(gòu)於對(duì)稱式金鑰系統(tǒng)(於第七章說(shuō)明)，並需要「信任第三者」。進(jìn)階的Kerberos可以在一些步驟中使用公開(kāi)金鑰。它的信任第三者稱為KeyDistributionCenter(KDC)，包括兩部分：AuthenticationServer(AS)與TicketGrantingServer(TGS)。Kerberos以票證(ticket)為基礎(chǔ)，做為使用者身分的憑證。KDC擁有網(wǎng)路上密鑰的完整資料庫(kù)。而其它成員(客戶或伺服端)則只擁有自己的密鑰。當(dāng)網(wǎng)路內(nèi)任何兩者需要對(duì)話時(shí)，則由KDC完成身分認(rèn)證後，發(fā)出一個(gè)會(huì)談金鑰(sessionkey)供兩端進(jìn)行安全通訊。Kerberos(I)它是麻省理工學(xué)院所開(kāi)發(fā)的自由軟體，微軟、思科、蘋果等公司都曾Kerberos(II)認(rèn)證伺服器應(yīng)用伺服器TGSAS2.客戶端向AS要求登入系統(tǒng)。1.使用者在客戶端鍵入使用者名稱與通關(guān)密碼；客戶端以one-wayfunction將密碼轉(zhuǎn)換為客戶端金鑰。3.若AS在資料庫(kù)中找到使用者，就回覆兩樣?xùn)|西：a.一把會(huì)談金鑰(以客戶端金鑰加密)，b.一張票證(以TGS金鑰加密)。

4.客戶端解開(kāi)會(huì)談金鑰，用以與TGS會(huì)談；但票證只有TGS才能解開(kāi)。客戶端保存這些東西可重複使用。5.當(dāng)客戶端要使用應(yīng)用伺服器或其他網(wǎng)路資源時(shí)，就以會(huì)談金鑰與票證向TGS提出要求。6.TGS發(fā)給客戶端與應(yīng)用伺服器會(huì)談的金鑰與票證，並以應(yīng)用伺服器的金鑰加密。7.客戶端以TGS新發(fā)給的會(huì)談金鑰與票證與應(yīng)用伺服器進(jìn)行相互認(rèn)證與安全通訊。Kerberos(II)認(rèn)證伺服器應(yīng)用伺服器TGSAS2.非同步工具產(chǎn)生單次密碼1.使用者向身分認(rèn)證伺服器要求登入2.身分認(rèn)證伺服器產(chǎn)生一組挑戰(zhàn)隨機(jī)碼給使用者3.使用者將挑戰(zhàn)隨機(jī)碼輸入手持式電子認(rèn)證工具4.手持式電子認(rèn)證工具以密碼學(xué)計(jì)算回應(yīng)值(亦即通關(guān)密碼)5.使用者將通關(guān)密碼送給身分認(rèn)證伺服器6.認(rèn)證成功後，身分認(rèn)證伺服器允許使用者使用應(yīng)用伺服器。認(rèn)證伺服器應(yīng)用伺服器非同步工具產(chǎn)生單次密碼1.使用者向身分認(rèn)證伺服器要求登入2同步電子代符(synchronoustoken)可以自動(dòng)產(chǎn)生單次密碼，然而隨身攜帶的電子代符必須與身分認(rèn)證伺服器之間保持同步，方法包括：時(shí)間基準(zhǔn)同步：電子代符與身分認(rèn)證伺服器之間保持精準(zhǔn)的時(shí)間同步，因此在同一個(gè)時(shí)間，電子代符上顯示的數(shù)字(亦即使用者的單次通關(guān)密碼)與伺服器裡的認(rèn)證數(shù)字相同。同步電子代符事件基準(zhǔn)同步：電子代符每產(chǎn)生一次密碼，代符與伺服器的數(shù)字就會(huì)同步變更一次。但若代符產(chǎn)生密碼卻未被使用於系統(tǒng)登入，則代符與伺服器間就會(huì)失去同步；此時(shí)使用者需要對(duì)電腦輸入PIN後，讓兩者重新同步。AcmeSecurity70596612同步電子代符(synchronoustoken)可以自智慧卡(smartcard)將晶片嵌入塑膠卡中，是最方便攜帶的電子身分認(rèn)證工具。智慧卡可分為以下類別：接觸式智慧卡(contactsmartcards)：包括塑膠卡身、晶片、與金屬接觸介面?？ㄆ迦胱x卡機(jī)內(nèi)，讓智慧卡晶片裡的微處理器與電腦或伺服器建立通訊。目前臺(tái)灣的金融卡都是接觸式智慧卡。非接觸式智慧卡(contactlesscards)：類似接觸式智慧卡，但是介面不是金屬接觸層，而是無(wú)線射頻(RF)。非接觸式智慧卡使用更為方便，臺(tái)北捷運(yùn)悠遊卡即為一例。接觸與非接觸式智慧卡本身都沒(méi)有電源，要靠讀卡機(jī)以接觸或非接觸方式傳輸電力。兩用智慧卡(combi-cards)：是指同一張卡有接觸與非接觸式兩種介面，部分金融卡與悠遊卡結(jié)合成一張聯(lián)名卡，就具備兩種介面。智慧卡智慧卡(smartcard)將晶片嵌入塑膠卡中，是最方智慧卡結(jié)構(gòu)智慧卡晶片像一臺(tái)微型電腦，內(nèi)容包括軟、硬體兩部分。硬體包括CPU和幾種記憶體：RAM與ROM分別為暫存與永久儲(chǔ)存之用；EEPROM的功能像電腦裡的硬碟或flash碟，其上的資料可修改，但斷電後資料仍然存在。軟體包括OS和應(yīng)用程式。OS例如像JavaCard。AP1AP2AP3OS(例如JavaCard)CPUROMRAMEEPROMI/O(接觸或非接觸)智慧卡結(jié)構(gòu)智慧卡晶片像一臺(tái)微型電腦，內(nèi)容包括軟、硬體兩部分。智慧卡攜帶方便，可以在不增加使用者負(fù)擔(dān)的情況下做到「雙重要素認(rèn)證(two-factorauthentication)」，最常用的雙重要素認(rèn)證是智慧卡結(jié)合通關(guān)密碼或PIN。有較先進(jìn)的安全系統(tǒng)已將使用者的指紋資料存入智慧卡中，做到三重要素認(rèn)證。智慧卡可以儲(chǔ)存人腦無(wú)法記憶的密碼長(zhǎng)度，因此，使用者只要記得智慧卡的PIN，就可以讓智慧卡去記多組冗長(zhǎng)的密碼。萬(wàn)一智慧卡遭竊，大部分智慧卡都設(shè)計(jì)成三次PIN輸入錯(cuò)誤則永遠(yuǎn)鎖卡。有些智慧卡具備公開(kāi)金鑰(publickey)的運(yùn)算能力，如此能讓使用者隨身攜帶電子憑證，執(zhí)行安全性極高的PKI運(yùn)算；同時(shí)也可以做電子簽章，讓交易具備不可否認(rèn)性(non-repudiation)。使用智慧卡的優(yōu)勢(shì)智慧卡攜帶方便，可以在不增加使用者負(fù)擔(dān)的情況下做到「雙重要素智慧卡技術(shù)已被使用二十年以上，許多攻擊方式應(yīng)運(yùn)而生。以下是一些常被討論的方法：實(shí)體侵入式攻擊(physicalinvasiveattacks)精密儀器可將晶片電路清晰放大，並以探針搭接在要讀取的金屬接點(diǎn)上，這個(gè)作法稱為micro-probing，可直接讀取記憶體內(nèi)資料，或用以瞭解加密引擎的設(shè)計(jì)方法。智慧卡攻擊(I)這種攻擊所需要的設(shè)備雖然在半導(dǎo)體領(lǐng)域不難取得，但究竟所費(fèi)不貲；因此會(huì)進(jìn)行實(shí)體攻擊者大多為了較大經(jīng)濟(jì)利益。例如某種全國(guó)性的智慧卡票證若都使用同一把密鑰，攻擊者就有足夠的動(dòng)因進(jìn)行精密的實(shí)體攻擊。智慧卡技術(shù)已被使用二十年以上，許多攻擊方式應(yīng)運(yùn)而生。以下是一旁道攻擊(side-channelattacks)攻擊者在智慧卡正常運(yùn)作時(shí)，輸入特定數(shù)值讓晶片計(jì)算(尤其是加解密)，再統(tǒng)計(jì)該計(jì)算所使用的時(shí)間或計(jì)算過(guò)程中所消耗的電力。如果統(tǒng)計(jì)樣本夠大，就有機(jī)會(huì)推算出晶片內(nèi)可能的金鑰密碼。較有名的旁道攻擊法為timingattack與powerattack等。操弄攻擊(manipulativeattacks)攻擊者刻意在智慧卡運(yùn)算環(huán)境中加入變數(shù)，使軟硬體發(fā)生非預(yù)期的亂象。若這些亂象不是智慧卡設(shè)計(jì)者所考慮到的，攻擊者就有可能取得機(jī)密資料。例如每當(dāng)智慧卡在做PIN的認(rèn)證時(shí)，攻擊者就刻意升高或降低電壓，使CPU無(wú)法完成認(rèn)證程序。如果智慧卡程式設(shè)計(jì)為defaulttrue，攻擊者就能通過(guò)認(rèn)證。智慧卡攻擊(II)旁道攻擊(side-channelattacks)智慧卡假設(shè)智慧卡執(zhí)行以下程式(以虛擬程式碼表示)，允許將EEPROM記憶體中位址101到110的十比資料輸出到卡外?！静倥簟坑^察以上程式，執(zhí)行“IF(i>110)GOTO12”這行指令所需花費(fèi)的時(shí)間比其它指令都長(zhǎng)，因?yàn)樗鲆粋€(gè)判斷(i是否大於110?)之後，還要執(zhí)行跳行(GOTO12)。若攻擊者故意將智慧卡的時(shí)鐘頻率(clockrate)調(diào)高，例如從標(biāo)準(zhǔn)的5MHz調(diào)升到10MHz，這行指令就無(wú)法在一個(gè)時(shí)鐘週期(clockcycle)內(nèi)完成：也許只做了判斷卻沒(méi)有完成跳行，因此永遠(yuǎn)離不開(kāi)循環(huán)(loop)；i的值會(huì)繼續(xù)往上增加，因此記憶體中所有的資料都被輸出卡外。智慧卡攻擊(III) i=101;IF(i>110)GOTO12 OUTPUT(mem[i]); i=i+1; GOTO1012 EXIT 假設(shè)智慧卡執(zhí)行以下程式(以虛擬程式碼表示)，允許將EEPRO生物特徵是somethingyouare,也是三種認(rèn)證要素中最難被偽造者。它可以同時(shí)兼具「身分」與「認(rèn)證」的功能。生物特徵有靜態(tài)與動(dòng)態(tài)兩種：靜態(tài)者包括指紋、視網(wǎng)膜等身體特徵。動(dòng)態(tài)者包括聲音、簽字律動(dòng)等行為特徵。採(cǎi)用生物特徵辨識(shí)系統(tǒng)時(shí)應(yīng)注意以下事項(xiàng)：測(cè)量應(yīng)該準(zhǔn)確，下一頁(yè)將介紹CER概念，用以量測(cè)準(zhǔn)確度。一些生物特徵辨識(shí)系統(tǒng)可能遭到使用者抗拒，例如視網(wǎng)膜掃描等。有的生物特徵辨識(shí)過(guò)程需要較長(zhǎng)時(shí)間，以致未必實(shí)用。目前還是指紋辨識(shí)的技術(shù)較為成熟。生物特徵認(rèn)證生物特徵是somethingyouare,也是三種認(rèn)當(dāng)儀器的靈敏度被訂越高，越多對(duì)的東西會(huì)被誤判為錯(cuò)(誤殺)，稱為第一類錯(cuò)誤。當(dāng)儀器的靈敏度被訂越低，越多錯(cuò)的東西會(huì)被誤判為對(duì)(誤放)，稱為第二類錯(cuò)誤。最佳的儀器靈敏度應(yīng)該在兩條曲線的交點(diǎn)，這個(gè)點(diǎn)的錯(cuò)誤率稱做交點(diǎn)錯(cuò)誤率(crossovererrorrate,CER)。生物特徵認(rèn)證準(zhǔn)確性錯(cuò)誤率儀器靈敏度第一類錯(cuò)誤(誤殺)第二類錯(cuò)誤(誤放)交點(diǎn)錯(cuò)誤率(CER)當(dāng)儀器的靈敏度被訂越高，越多對(duì)的東西會(huì)被誤判為錯(cuò)(誤殺)，稱指紋、掌紋有相當(dāng)高的準(zhǔn)確性，屬於應(yīng)用最廣的生物特徵。手掌結(jié)構(gòu)電腦量測(cè)手掌的長(zhǎng)、寬、厚度，相當(dāng)準(zhǔn)確且快速。視網(wǎng)膜(retina)掃描以低度光源來(lái)分析眼球後端視網(wǎng)膜上的血管分布模式。虹膜(iris)掃描記錄眼球虹膜的獨(dú)特模式，準(zhǔn)確、快速、且接受度較高。靜態(tài)生物特徵指紋、掌紋有相當(dāng)高的準(zhǔn)確性，屬於應(yīng)用最廣的生物特徵。手掌結(jié)構(gòu)聲音模式不太準(zhǔn)確且辨識(shí)時(shí)間較長(zhǎng)，但使用者接受度高。臉部辨識(shí)準(zhǔn)確度尚佳，但因隱私問(wèn)題不願(yuàn)意臉部資料被建檔。敲鍵盤律動(dòng)可以自然的與通關(guān)密碼形成雙重要素認(rèn)證，接受度高。簽字律動(dòng)在電子筆中加入感應(yīng)器以辨識(shí)簽字律動(dòng)，使用者接受度高。動(dòng)態(tài)生物特徵聲音模式不太準(zhǔn)確且辨識(shí)時(shí)間較長(zhǎng)，但使用者接受度高。臉部辨識(shí)準(zhǔn)強(qiáng)制存取控制(mandatoryaccesscontrol,MAC)任意存取控制(discretionaryaccesscontrol,DAC)存取控制目錄(accesscontrollist,ACL)規(guī)則基準(zhǔn)存取控制(rule-basedaccesscontrol)角色基準(zhǔn)存取控制(role-basedaccesscontrol)資料存取控制強(qiáng)制存取控制(mandatoryaccesscontr強(qiáng)制存取控制是最嚴(yán)格的資料存取控制手段，它對(duì)主體(subject)及物件(object)都清楚的劃分安全等級(jí)，符合等級(jí)者方得存取?！钢黧w」是指使用者或客戶端主機(jī)等，能發(fā)出存取需求者；「物件」是指伺服器、資料庫(kù)、檔案等被存取者。機(jī)密等級(jí)標(biāo)籤(sensitivitylabels)常被用來(lái)標(biāo)示主體與物件的安全等級(jí)。例如我國(guó)國(guó)家機(jī)密區(qū)分為「絕對(duì)機(jī)密」、「極機(jī)密」、「機(jī)密」三個(gè)等級(jí)，一般公務(wù)機(jī)密則列為「密」等級(jí)。強(qiáng)制存取控制的系統(tǒng)會(huì)比對(duì)主體與物件之間的安全等級(jí)，來(lái)決定是否同意資料存取之要求。除此之外，該物件的「所有人(owner)」也可以依照「知的必要性(need-to-know)」來(lái)否決一些安全等級(jí)符合者之存取要求。並非所有等級(jí)符合者都有存取該項(xiàng)機(jī)密物件的必要。強(qiáng)制存取控制強(qiáng)制存取控制是最嚴(yán)格的資料存取控制手段，它對(duì)主體(subj「任意」是指相對(duì)於強(qiáng)制存取控制較不嚴(yán)格，但仍有一定之資料存取控制的方式。任意存取控制必須具備一些一致的規(guī)定，以控制或限制主體對(duì)物件的存取。這種存取權(quán)力是基於「知的必要性(need-to-know)」。在實(shí)作上，會(huì)由該物件的「所有人(owner)」或他所指定的代理人來(lái)決定那些主體有權(quán)存取該物件。這種存取控制較不嚴(yán)格：如果一個(gè)主體有某些權(quán)利，他可以把這種權(quán)利轉(zhuǎn)給另外的主體。例如在任意存取控制的環(huán)境下，總經(jīng)理可以讓他的秘書代讀電子郵件；但在強(qiáng)制存取控制的環(huán)境下，這是不被允許的。任意存取控制「任意」是指相對(duì)於強(qiáng)制存取控制較不嚴(yán)格，但仍有一定之資料存取存取控制目錄(ACL)是最常見(jiàn)的任意存取控制的一種建置方式。ACL將使用者是否被允許存取每個(gè)物件以條列方式展開(kāi)，並對(duì)權(quán)限作限制。存取控制目錄使用者目錄或資源名稱權(quán)限AliceAlice’sdirectory完全控制Bob’sdirectory唯讀C