信息系統(tǒng)安全第3章

第3章

身份認(rèn)證與訪問控制認(rèn)證也是建立在現(xiàn)代密碼學(xué)上的。從認(rèn)證的對象看，可以分為消息認(rèn)證（報文認(rèn)證）和身份認(rèn)證。報文認(rèn)證主要包括了報文鑒別（主要用于完整性保護(hù)）和數(shù)字簽名（主要用于抗抵賴保護(hù)），身份認(rèn)證用于真實(shí)性保護(hù)。信息的真實(shí)性保護(hù)認(rèn)證形式：單向身份認(rèn)證雙向身份認(rèn)證實(shí)現(xiàn)方法：單鑰加密體制方法公鑰加密體制方法實(shí)時性保護(hù)的實(shí)現(xiàn)序列號時間戳詢問-應(yīng)答3.1基于憑證比對的身份認(rèn)證口令；代表身份的生物特征信息；智能卡和電子鑰匙；證書。3.1.1生物特征身份認(rèn)證1.指紋2.虹膜3.面像（1）面像檢測·基于規(guī)則的面像檢測：總結(jié)了特定條件下可用于檢測面像的知識（如臉型、膚色等），并把這些知識歸納成指導(dǎo)面像檢測的規(guī)則?！せ谀０迤ヅ涞拿嫦駲z測：首先構(gòu)造具有代表性的面像模板，通過相關(guān)匹配或其他相似性度量檢測面像?！せ诮y(tǒng)計學(xué)習(xí)的面像檢測：主要利用面部特征點(diǎn)結(jié)構(gòu)灰度分布的共同性。（2）面像識別·面像樣本訓(xùn)練：提取面像特征，形成面像特征庫?！ぷR別：用訓(xùn)練好的分類器將待識別面像的特征同特征庫中的特征進(jìn)行匹配，輸出識別結(jié)果。3.1.2靜態(tài)口令

1.口令失密及其對策

口令通常是作為用戶賬號補(bǔ)充部分向系統(tǒng)提交的身份憑證?？诹钍禽^弱的安全機(jī)制，攻擊者可以從下面途徑進(jìn)行口令攻擊：（1）猜測和發(fā)現(xiàn)口令·常用數(shù)據(jù)猜測，如家庭成員或朋友的名字、生日、球隊名稱、城市名、身份證號碼、電話號碼、郵政編碼等。·字典攻擊：按照字典序進(jìn)行窮舉攻擊?！て渌缤h(yuǎn)鏡窺視等。（2）電子監(jiān)控：在網(wǎng)絡(luò)或電子系統(tǒng)中，被電子嗅探器、監(jiān)控竊取。（3）訪問口令文件·在口令文件沒有強(qiáng)有力保護(hù)的情形下，下載口令文件?！ぴ诳诹钗募斜Ｗo(hù)的情況下，進(jìn)行蠻力攻擊。（4）通過社交工程：如通過親情、收買或引誘，獲取別人的口令。（5）垃圾搜索：收集被攻擊者的遺棄物，從中搜索被疏忽丟掉的寫有口令的紙片或保存有口令的盤片。2.口令的安全保護(hù)（1）選取口令的原則·擴(kuò)大口令的字符空間。口令字符空間越大，窮舉攻擊的難度就越大。一般，不要僅限于使用26個大寫字母，可以擴(kuò)大到小寫字母、數(shù)字等計算機(jī)可以接受的字符空間?！みx擇長口令?？诹钤介L，破解需要的時間就越長，一般應(yīng)使位樹大于6位?！な褂秒S機(jī)產(chǎn)生的口令，避免使用弱口令（有規(guī)律的口令。參見弱密碼）和容易被猜測的口令，如如家庭成員或朋友的名字、生日、球隊名稱、城市名等?！な褂枚鄠€口令，在不同的地方不要使用相同的口令。（2）正確地使用口令·縮短口令的有效期。口令要經(jīng)常更換。最好使用動態(tài)的一次性口令?！は拗瓶诹畹氖褂么螖?shù)?！は拗频卿洉r間，如屬于工作關(guān)系的登錄，把登錄時間限制在上班時間內(nèi)。（3）安全地保存指令?？诹畹拇鎯Σ粌H是為了備忘，更重要的是系統(tǒng)要在檢測用戶口令時進(jìn)行比對。直接明文存儲口令（寫在紙上或直接明文存儲在文件或數(shù)據(jù)庫中）最容易泄密。較好的方法是將每一個用戶的系統(tǒng)存儲賬號和雜湊值存儲在一個口令文件中。當(dāng)用戶登錄時，輸入口令后，系統(tǒng)計算口令的雜湊碼，并與口令文件中的雜湊值比對：成功，則允許登錄；否則，拒絕。（4）系統(tǒng)管理員除對用戶賬戶要按照資費(fèi)等加以控制外，還要對口令的使用在以下幾個方面進(jìn)行審計：·最小口令長度；·強(qiáng)制修改口令的時間間隔·口令的唯一性·口令過期失效后允許入網(wǎng)的寬限次數(shù)；如果在規(guī)定的次數(shù)內(nèi)輸入不了正確口令，則認(rèn)為是非法用戶的入侵，應(yīng)給出報警信息。（5）增加口令認(rèn)證的信息量。例如在認(rèn)證過程中，隨機(jī)地提問一些與該用戶有關(guān)，并且只有該用戶才能回答的問題。（6）使用軟鍵盤鍵入口令。因軟鍵盤上的鍵的布局是隨機(jī)的。3.批量登錄攻擊與驗證碼

驗證碼也稱CAPTCHA（全自動區(qū)分計算機(jī)和人類的圖靈測試）是一種區(qū)分用戶是計算機(jī)還是人的公共全自動技術(shù)，目的是有效防止某一個特定注冊用戶用特定程序暴力破解方式進(jìn)行不斷的登錄嘗試。方法是人必須現(xiàn)場進(jìn)行一次操作。強(qiáng)制人工干預(yù)的另一種方法是手機(jī)傳送驗證碼。3.1.3動態(tài)口令1.概念：它也稱一次性口令（OPT），依據(jù)專門的算法生成一個不可預(yù)測的隨機(jī)數(shù)字組合，僅用一次，廣泛用在網(wǎng)銀、網(wǎng)游、電信運(yùn)營商、電子商務(wù)、企業(yè)等。2.類型：它不是在網(wǎng)絡(luò)上直接生成，也非由系統(tǒng)直接從網(wǎng)上傳送給用戶，而是通過其它渠道或生成器提供給用戶。用于生成動態(tài)口令的終端稱為令牌。主流有：⑴短信密碼：以手機(jī)短信請求，身份認(rèn)證系統(tǒng)以短信（隨機(jī)的6/8位密碼）發(fā)送到手機(jī)，用戶在登錄或交易認(rèn)證時輸入。⑵手機(jī)令牌：一種手機(jī)客戶端軟件，每隔30S產(chǎn)生一個隨機(jī)6位動態(tài)密碼，用于登錄或交易。⑶硬件令牌：是一個鑰匙扣大小、有顯示隨機(jī)密碼（60S）屏幕的器具⑷軟件令牌：是通過軟件生成隨機(jī)密碼。3.技術(shù)分類：分同步（時間和事件）和

異步兩類。

⑴時間同步口令：基于令牌和服務(wù)器的時間（國際標(biāo)準(zhǔn)）同步。

⑵事件同步口令：通過某一特定事件次序及相同的種子值作為輸入，通過哈希算法運(yùn)算出一致的密碼。有預(yù)知風(fēng)險，要保護(hù)好PIN。

⑶異步口令：采用挑戰(zhàn)/應(yīng)答方式。其過程如下：

①客戶向認(rèn)證服務(wù)器必請求；

②認(rèn)證服務(wù)器從庫中查是否合法用戶，是往下；

③認(rèn)證服務(wù)器產(chǎn)生隨機(jī)數(shù)作為“提問”發(fā)送給客戶；

④客戶將用戶名和隨機(jī)數(shù)合并，用哈希函數(shù)生成千百萬一個6/8位的隨機(jī)字串作為應(yīng)答；

⑤認(rèn)證服務(wù)器將應(yīng)答與自己計算結(jié)果比較，一致通過認(rèn)證。

⑥認(rèn)證服務(wù)器告知客戶認(rèn)證成功與否。4.智能卡智能卡（SmartCard）是如名片大小的手持隨機(jī)動態(tài)密碼產(chǎn)生器，也稱集成電路卡或IC卡（IntegratedCard）。對于智能卡的安全保護(hù)，一般采取如下一些措施：（1）對持卡人、卡和接口設(shè)備的合法性進(jìn)行相互校驗；（2）重要數(shù)據(jù)要加密后傳輸；（3）卡和接口設(shè)備中設(shè)置安全區(qū)，在安全區(qū)內(nèi)包含有邏輯電路或外部不可讀的存儲區(qū)。任何有害的不規(guī)范的操作，將會被自動禁止進(jìn)一步進(jìn)行。（4）應(yīng)設(shè)置止付名單（黑名單）。（5）有關(guān)人員要明確責(zé)任，嚴(yán)格遵守。5.電子鑰匙（雙因子USBKey）電子鑰匙（ePass）是一種通過USB直接與計算機(jī)相連、具有密碼驗證功能、可靠高速的小型存儲設(shè)備，用于存儲一些個人信息或證書，它內(nèi)部的密碼算法可以為數(shù)據(jù)傳輸提供安全的管道，是適合單機(jī)或網(wǎng)絡(luò)應(yīng)用的安全防護(hù)產(chǎn)品。其安全保護(hù)措施與智能卡相似。3.2基于密鑰分發(fā)的身份認(rèn)證密鑰的私密性使其具有憑證的特性。網(wǎng)絡(luò)環(huán)境中，密鑰的分發(fā)，通過握手實(shí)現(xiàn)。過程中必須遵守的規(guī)則被稱為認(rèn)證協(xié)議或算法。實(shí)現(xiàn)的最終目的即為身份認(rèn)證。注意“身份”不僅包含真實(shí)性還包含時效性。3.2.1公鑰加密認(rèn)證協(xié)議1.相互認(rèn)證協(xié)議（1）一個通過認(rèn)證服務(wù)器AS的認(rèn)證協(xié)議①A→AS：IDA||IDB。②AS→A：ESKAS[IDA||PKA

||T]||ESKAS[IDB||PKB

||T]。③A→B：ESKAS[IDA||PKA

||T]||ESKAS[IDB||PKB

||T||EPKB[ESKA[KS||T]。這個協(xié)議需要各方時鐘同步。（2）一個通過KDC的認(rèn)證協(xié)議①A→KDC：IDA||IDB。②KDC→A：ESKAU[IDB||PKB]（SKAU是KDC的私鑰）。③A→B：EPKB[NA||IDA]（NA是A選擇的一次性隨機(jī)數(shù)）。④B→KDC：IDB||IDA||EPKAU[NA]（PKAU是KDC的公鑰）。⑤KDC→B：ESKAU[IDA||PKA]||EPKB[ESKAU[NA||KS||IDB]]（KS是KDC為A、B分配的一次性會話密鑰）。⑥B→A：EPKA[ESKAU[NA||KS||IDB]||NB]。⑦A→B：EKS[NB]。2.單向認(rèn)證協(xié)議（1）發(fā)送方知道接收方的公鑰，才有可能機(jī)密性保護(hù)。例如下面的協(xié)議僅提供機(jī)密性：

A→B：EPKB[KS]||EKS[M]。（2）接收方知道發(fā)送方的公鑰，才有可能認(rèn)證性保護(hù)。例如下面的協(xié)議僅提供認(rèn)證性：

A→B：M||ESKA[H(M)]。這時，為了使B確信A的公鑰的真實(shí)性，A還要向B發(fā)送的公鑰證書：

A→B：M||ESKA[H(M)]||ESKAS[T||IDA||PKA]（SKAS為認(rèn)證服務(wù)器的公鑰，ESKAS[T||IDA||PKA]是AS給A簽署的公鑰證書）。（3）發(fā)送方和接收方互相知道對方的公鑰，即可提供機(jī)密性又可提供認(rèn)證性，例如：

A→B：EPKB[M||ESKA[H(M)]]

這時，為了使B確信A的公鑰的真實(shí)性，A還要向B發(fā)送的公鑰證書：

A→B：EPKB[M||ESKA[H(M)]]||ESKAS[TS||IDA||PKA]。3.2.2單鑰加密認(rèn)證協(xié)議

1.相互認(rèn)證協(xié)議Needham-Schroeder1A→KDC：IDA||IDB||N1（A請求與B加密通信）。2KDC→A：EKA[Ks||IDB||N1||EKB[Ks||IDA]]（A獲得Ks）。3A→B：EKB[Ks||IDA]（B安全地獲得Ks）。4B→A：EKs[N2]（B知道A已掌握Ks，用加密N2向A示意自己也獲得Ks）。5A→B：EKs[f（N2）]。KDCA（發(fā)起方）B（響應(yīng)方）21345特點(diǎn)：4、5為一個握手過程，以證明在3中獲得的Ks是新鮮的可能出現(xiàn)欺騙攻擊改進(jìn)的Needham-Schroeder改進(jìn)方法：在2、3步中增加一個時間戳：2KDC→A：EKA[Ks||IDB||T||EKS[Ks||IDA||T]3A→B：EKB[Ks||IDA||T]問題：系統(tǒng)故障或存在時間差時會失靈進(jìn)一步改進(jìn)方法：1A→B：IDA||NA2B→KDC：IDB||NB||EKB[IDA||NA||TB]3KDC→A：EKA[IDB||NA||Ks||IDA||TB]||EKB[IDA||Ks||TB]||NB4A→B：EKB[IDA||Ks||TB]||EKS[NB]KDCAB3142

2.單向認(rèn)證協(xié)議

在Needham-Schroeder協(xié)議中去掉第4步和第5步，就成為能滿足單向通信兩個基本要求的單向認(rèn)證協(xié)議：1A→KDC：IDA||IDB||N12KDC→A：EKA[Ks||IDB||N1||EKB[Ks||IDA]]3A→B：EKB[Ks||IDA]||EKs[M]問答：1、從功能上講，SET是屬于哪層次的消息認(rèn)證系統(tǒng)？它的目標(biāo)是什么？有幾種角色？其關(guān)鍵技術(shù)有哪些？試簡述BtoC交易過程。從雙重簽名列舉的兩個方案中能得出其作用是什么？2、身份認(rèn)證與報文認(rèn)證有何異同？基于憑證對比的依據(jù)有哪三種？你認(rèn)為最可靠最方便的是那種？靜態(tài)口令輸入中要增添驗證碼的輸入，這起何作用？3.2.3Kerberos認(rèn)證系統(tǒng)

MIT（麻省理工學(xué)院）開發(fā)。采用Needham-Schroeder協(xié)議。為分布式計算環(huán)境提供的一種對用戶雙方進(jìn)行驗證：在開放的分布式環(huán)境中，用戶希望訪問網(wǎng)絡(luò)中的服務(wù)器，而服務(wù)器則要求能夠認(rèn)證用戶的訪問請求并只允許通過了認(rèn)證的用戶訪問服務(wù)器，以防止未授權(quán)用戶得到服務(wù)和數(shù)據(jù)。三頭守護(hù)狗安全（認(rèn)證）服務(wù)器（authenticationserver，AS）·認(rèn)證（Authentication）?！び嬞M(fèi)（Accounting）?！徲嫞ˋudit）。1.Kerberos的計算環(huán)境

由大量的匿名工作站（交互、計算）和相對較少的獨(dú)立服務(wù)器（文件存儲、打印和郵件等）組成。有三種威脅。

①用戶可訪問特定的工作站并偽裝成該工作站用戶；②用戶可改動工作站網(wǎng)址，偽裝成其它工作站；③用戶可根據(jù)交換竊取消息，并使用重放攻擊進(jìn)入服務(wù)器。

除Kerberos服務(wù)器外，其他區(qū)域都是危險區(qū)。認(rèn)證的實(shí)現(xiàn)不依賴主機(jī)操作系統(tǒng)、主機(jī)地址、網(wǎng)絡(luò)上傳送中的數(shù)據(jù)包。2.Kerberos系統(tǒng)組成：⑴兩個服務(wù)對象：①客戶；②服務(wù)器。⑵兩類憑證：①票證：用來安全地在認(rèn)證服務(wù)器和用戶請求的服務(wù)之間傳遞信息（內(nèi)容：用戶身份、會話密鑰、時間標(biāo)記，用戶可多次使用）；②鑒別碼：用來作為認(rèn)證憑證的一段加密文字，用其與票證中的信息進(jìn)行比較發(fā)出票證的用戶就是票證中指定的用戶，以防攻擊者再次使用同一憑證（內(nèi)容：校驗和、子密鑰、序列號和身份認(rèn)證數(shù)據(jù)）。都使用私鑰加密，但密鑰不同。⑶兩個庫：①Kerberos數(shù)據(jù)庫（中心數(shù)據(jù)庫（用戶的名字、口令私有密鑰和截止信息等））；②Kerberos應(yīng)用程序庫（應(yīng)用程序接口）。⑷兩個服務(wù)器：①安全（認(rèn)證）服務(wù)（AS：生成會話密鑰，驗證用戶身份）：②票據(jù)分配服務(wù)器（憑證許可服務(wù)器TGS：發(fā)放身份證明票據(jù)）。

3.Kerberos系統(tǒng)認(rèn)證使用的信息（1）在認(rèn)證過程中，要使用的如下身份識別碼：

IDC：客戶身份；IDTGS：TGS身份；IDV：服務(wù)器身份。（3）在認(rèn)證過程中，要使用的如下一些數(shù)據(jù)：PC：C上的用戶口令；ADC：C的網(wǎng)絡(luò)地址；TSi：第i個時間戳；Lifetimei：第i個有效期間。（4）在認(rèn)證過程中獲取如下憑證：Tickets、Tickettgs、Authenticators。（2）在認(rèn)證過程中，要使用的如下密鑰：KC,TGS：C與TGS共享；KTGS：AS與TGS共享；KC：C與AS共享，由C上的用戶口令導(dǎo)出的；KV：TGS與V共享；KC,V：C與V共享。4.Kerberos系統(tǒng)的認(rèn)證過程（1）認(rèn)證服務(wù)交換，用戶從AS取得入場劵①客戶向AS發(fā)出訪問TGS請求（用TS1表示是新請求）：

C→S：IDC||IDTGS||TS1。②AS向C發(fā)出應(yīng)答：

AS→C：EKC[KC,TGS||IDTGS||TS2||lifetime2||TicketTGS]。其中

TicketTGS=EKTGS[KC,TGS||IDC||ADC||IDTGS||TS2||lifetime2]ASTGS中心數(shù)據(jù)庫Kerberos系統(tǒng)⑤①②③④⑥服務(wù)器V用戶C（2）入場劵許可服務(wù)交換，用戶從TGS獲取服務(wù)許可憑證③C向TGS發(fā)出請求，內(nèi)容包括服務(wù)器識別碼、入場劵和一個認(rèn)證符：

C→TGS：IDV||TicketTGS||AuthenticatorV。其中

TicketTGS=EKTGS[KC,TGS||IDC||ADC||IDTGS||TS2||lifetime2]AuthenticatorV=EKC,TGS[IDC||ADC||TS3]④TGS經(jīng)驗證，向C發(fā)出服務(wù)許可憑證：

TGS→C：EKC,TGS[KC,TGS||IDC||ADC||IDTGS||TS2||lifetime2]。其中

TicketV=EKV[KC,V||IDC||ADC||IDV||TS4||lifetime4]（3）客戶-服務(wù)器相互認(rèn)證交換，用戶從服務(wù)器獲取服務(wù)⑤C向服務(wù)器證明自己身份（用TicketV和AuthenticatorV）

C→V：TicketV||AuthenticatorV。其中

TicketV=EKV[KC,V||IDC||ADC||IDV||TS4||lifetime4]AuthenticatorV=EKC,V[IDC||ADC||TS5]⑥服務(wù)器向客戶證明自己身份

V→C：EKC,V[TS5+1]。這個過程結(jié)束，客戶C與服務(wù)器V之間就建立起了共享會話密鑰，以便以后進(jìn)行加密通信或交換新密鑰。5.Kerberos異域認(rèn)證（自學(xué)）

整個Kerberos身份驗證系統(tǒng)由認(rèn)證服務(wù)器AS、票據(jù)許可服務(wù)器TGS、客戶機(jī)和應(yīng)用服務(wù)器4部分組成。Kerberos鑒別協(xié)議步驟如下：

憑證：3.3基于數(shù)字證書的身份身份認(rèn)證3.3.1數(shù)字證書1.數(shù)字證書有以下特點(diǎn)：（1）它包含了身份信息，因此可以用于證明用戶身份；（2）它包含了非對稱密鑰，不但可用于數(shù)據(jù)加密，還可用于數(shù)據(jù)簽名，保證通信過程的安全和不可抵賴；（3）由于是權(quán)威機(jī)構(gòu)頒布的，因此具有很高的公信度。2.基于數(shù)字證書的USBKey3.數(shù)字證書分類

①Web服務(wù)器證書②服務(wù)器身份證書③計算機(jī)證書④個人證書⑤安全電子郵件證書⑥企業(yè)證書⑦代碼簽名證書4.認(rèn)證中心認(rèn)證中心（CertificateAuthority，CA）是可以信賴的第三方機(jī)構(gòu)，具有如下一些功能。⑴頒發(fā)證書⑵管理證書③用戶管理④吊銷證書。⑤驗證申請者身份⑥保護(hù)證書服務(wù)器⑦保護(hù)CA私鑰和用戶私鑰⑧審計與日志檢查5.用戶證書的吊銷在下列情形下，應(yīng)當(dāng)將用戶證書吊銷：·一個用戶證書到期?！び脩裘孛苊荑€泄露?！A的證書失竊?！A不再給用戶簽發(fā)證書。3.3.2X.509證書標(biāo)準(zhǔn)·定義了X.500目錄向用戶提供認(rèn)證業(yè)務(wù)的一個框架；·證書格式；·基于公鑰證書的認(rèn)證協(xié)議。1.X.509數(shù)字證書格式（結(jié)構(gòu)）版本V3序列號1234567890簽名算法標(biāo)識RSA和MIDS簽發(fā)者c=CN，o=JAT-CA有效期（起始日期，結(jié)束日期）06/06/06-08/08/08主體c=CN,o=SXCop，cn=Wang主體公鑰信息（算法、參數(shù)、公開密鑰）、56af8dc3a785d6ff4/RSA/SHA發(fā)證者惟一Value主體惟一標(biāo)識Value類型關(guān)鍵程度Value類型關(guān)鍵程度ValueCA的數(shù)字簽名2.證書目錄在證書目錄中，不僅存儲和管理用戶證書，還存儲用戶的相關(guān)信息（如電子郵件地址、電話號碼等）。由于證書的非保密性，證書目錄也是非保密的。目前證書目錄廣泛使用X.500標(biāo)準(zhǔn)。X.500標(biāo)準(zhǔn)目錄不僅可以對證書進(jìn)行集中管理，還可以管理用戶相關(guān)信息，從而構(gòu)成一個用戶信息源。為了便于實(shí)際應(yīng)用，在Internet環(huán)境下更多使用的是X.500標(biāo)準(zhǔn)的簡化和改進(jìn)版本——LDAP（LightweightDirectoryProtocol，輕型目錄訪問協(xié)議）。3.X.509證書的層次結(jié)構(gòu)UVWYXZCABV《W》W《V》U《W》V《U》W《X》X《W》X《Z》X《A》X《C》V《Y》Y《V》Y《Z》Z《X》Z《X》Z《B》證書鏈形成一個層次結(jié)構(gòu)。X.509建議將所有的CA證書，須由CA放在目錄中，并且要采用層次結(jié)構(gòu)。其內(nèi)部節(jié)點(diǎn)表示CA，葉節(jié)點(diǎn)表示用戶。用戶可以從目錄中沿著一條證書路徑，獲得另一個節(jié)點(diǎn)的證書和公鑰。例如，A獲取B證書的證書路徑為：

X《W》W《V》V《Y》Y《Z》Z《B》4.X.509驗證過程AB1A{rA,TA,B,SgnData,EPKbKAB]}AB1A{rA,TA,B,SgnData,EPKb[KAB]}2B{TB,rB,rA,SgnData,EPKa[KBA]}AB1A{rA,TA,B,SgnData,EPKb[KAB]}3A{rB}2B{TB,rB,rA,SgnData,EPKa[KBA]}（a）一次驗證（b）二次驗證（c）三次驗證3.3.3公開密鑰基礎(chǔ)設(shè)施PKI1.PKI及其職能：制定完整的證書管理政策；建立高可信度的CA中心；負(fù)責(zé)用戶屬性管理、用戶身份隱私的保護(hù)和證書作廢列表的管理；為用戶提供證書和CRL有關(guān)服務(wù)的管理；建立安全和相應(yīng)的法規(guī)，建立責(zé)任劃分并完善責(zé)任政策。2.PKI的組成（1）政策批準(zhǔn)機(jī)構(gòu)PAA:是一個PKI系統(tǒng)方針的制定者建立整個PKI體系的安全策略批準(zhǔn)本PAA下屬的PCA的政策為下屬PCA簽發(fā)證書負(fù)有監(jiān)控各PCA行為的責(zé)任PAAPCA1PCAn……CA1CAn……CA1CAn…………EE1ORA……ORA………………EE1（4）在線注冊機(jī)構(gòu)（證書申請ORA）ORA進(jìn)行證書申請者的身份認(rèn)證，向CA提交證書申請，驗證接收CA簽發(fā)的證書，并將證書發(fā)放給申請者。有時還協(xié)助進(jìn)行證書的制作。（2）政策認(rèn)證機(jī)構(gòu)：PCA制定本PCA的具體政策（3）認(rèn)證機(jī)構(gòu)CACA具有有限政策制定權(quán)限，它在上級PCA政策范圍內(nèi)，進(jìn)行具體的用戶公鑰證書的簽發(fā)、生成和發(fā)布以及CRL的生成和發(fā)布。3.4信息系統(tǒng)訪問授權(quán)身份認(rèn)證訪問控制資源用戶訪問請求權(quán)限系統(tǒng)訪問控制授權(quán)（authorization）控制（主體：用戶、用戶組、進(jìn)程及服務(wù)；客體即資源：文件、目錄和計算機(jī)）網(wǎng)絡(luò)訪問控制：邏輯隔離物理隔離基本概念

——二元關(guān)系描述訪問控制矩陣授權(quán)關(guān)系表訪問控制策略自主強(qiáng)制訪問控制策略基于角色的訪問控制策略3.4.1訪問控制的二元關(guān)系描述訪問控制用一個二元組（控制對象，訪問類型）來表示。其中的控制對象表示系統(tǒng)中一切需要進(jìn)行訪問控制的資源，訪問類型是指對于相應(yīng)的受控對象的訪問控制，如：讀取、修改、刪除等等。幾種常用的描述形式1.訪問控制矩陣2.授權(quán)關(guān)系表3.訪問能力表4.訪問控制列表1.訪問控制矩陣訪問控制矩陣也稱訪問許可矩陣，它用行表示客體，列表示主體，在行和列的交叉點(diǎn)上設(shè)定訪問權(quán)限。表3.1一個訪問控制矩陣的例子。表中，一個文件的Own權(quán)限的含義是可以授予（Authorize）或者撤銷（Revoke）其他用戶對該文件的訪問控制權(quán)限。例如，張三對File1具有Own權(quán)限，所以張三可以授予或撤銷李四和王五對File1的讀（R）寫（W）權(quán)限。主體（subjects）客體（objects）File1File2File3File4