信息安全(身份認(rèn)證與授權(quán)控制)

信息平安

----身份認(rèn)證與授權(quán)控制1概述JamesP.Anderson在1972年提出了一個(gè)經(jīng)典平安模型的最初雛形。在這里，參考監(jiān)視器是個(gè)抽象的概念，可以說(shuō)是平安機(jī)制的代名詞。為了實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)平安所采取的根本平安措施有身份認(rèn)證、訪問(wèn)控制和審計(jì)。授權(quán)數(shù)據(jù)庫(kù)2身份認(rèn)證系統(tǒng)識(shí)別主體身份，然后訪問(wèn)監(jiān)控器。

訪問(wèn)控制是在主體身份得到認(rèn)證后，根據(jù)用戶身份和授權(quán)數(shù)據(jù)庫(kù)決定用戶能否訪問(wèn)客體。審計(jì)系統(tǒng)貫穿于整個(gè)過(guò)程，記錄用戶的請(qǐng)求和行為。3身份認(rèn)證身份認(rèn)證是指用戶必須提供他是誰(shuí)的證明。認(rèn)證的目的就是弄清楚他是誰(shuí)，具有什么特征。

單機(jī)下的身份認(rèn)證明網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證訪問(wèn)控制和審計(jì)都依賴于身份認(rèn)證提供的信息——用戶身份。身份認(rèn)證是最根本的平安效勞，黑客攻擊的目標(biāo)往往是身份認(rèn)證系統(tǒng)一旦攻破，所有平安措施形同虛設(shè)。4單機(jī)狀態(tài)下的身份認(rèn)證形式：用戶所知道的東西，如用戶號(hào)，密碼。用戶所擁有的東西：如智能卡、身份證、護(hù)照、密鑰盤用戶所具有的生物特征，如指紋、聲音、視網(wǎng)膜掃描、NDA等。5基于口令的認(rèn)證方式口令的存儲(chǔ)：直接明文存儲(chǔ)Hash散列存儲(chǔ)〔MD5加密，存儲(chǔ)口令的散列值，而不是明文〕基于口令認(rèn)證方式存在的平安問(wèn)題：?jiǎn)我蛩卣J(rèn)證，平安性完全依賴于口令。密碼泄漏基于口令的認(rèn)證方式是最常用的一種技術(shù)，用戶輸入口令，計(jì)算機(jī)驗(yàn)證并給予用戶相應(yīng)的權(quán)限。這種方式最重要的問(wèn)題是口令存儲(chǔ)：6基于智能卡的認(rèn)證方式智能卡〔SmartCard〕又稱集成電路卡，即IC卡雙因素認(rèn)證：智能卡+PIN(個(gè)人身份識(shí)別碼)基于智能卡認(rèn)證方式存在的平安問(wèn)題：智能卡與接口設(shè)備之間的信息流通被截取偽造智能卡在交易中偷換智能卡雇員作弊7基于生物特征的認(rèn)證方式指紋識(shí)別指紋識(shí)別技術(shù)主要涉及四個(gè)功能：讀取指紋圖像、提取特征、保存數(shù)據(jù)和比對(duì)。

指紋根本點(diǎn)8虹膜識(shí)別技術(shù)手形識(shí)別簽名識(shí)別聲紋識(shí)別基于生物特征的認(rèn)證方式9網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證較為復(fù)雜，因?yàn)轵?yàn)證雙方一般都通過(guò)網(wǎng)絡(luò)而非直接接觸，容易遭受黑客攻擊，所以目前一般采用高強(qiáng)度的密碼認(rèn)證協(xié)議技術(shù)進(jìn)行身份認(rèn)證。10一次性口令〔OTP，One-TimePassword〕技術(shù)動(dòng)態(tài)口令克服了靜態(tài)口令的缺陷。20世紀(jì)80年代初由美國(guó)科學(xué)家LeslieLamport提出了一次性口令的概念。之后貝爾通信研究中心于1991年研制出了第一個(gè)動(dòng)態(tài)口令認(rèn)證系統(tǒng)S/KEY。隨后美國(guó)著名加密算法研究室RAS研制成功了基于時(shí)間同步的動(dòng)態(tài)口令認(rèn)證系統(tǒng)RSASecureID。自此身份認(rèn)證步入了動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)的時(shí)代。靜態(tài)口令的缺點(diǎn)：易被嗅探劫持，受到字典攻擊。11根據(jù)動(dòng)態(tài)因子的不同，動(dòng)態(tài)口令認(rèn)證技術(shù)主要分為兩種，即同步認(rèn)證技術(shù)和異步認(rèn)證技術(shù)。其中同步認(rèn)證技術(shù)又分為基于時(shí)間同步認(rèn)證技術(shù)〔TimeSynchronous〕和基于事件同步認(rèn)證技術(shù)〔EventSynchronous〕；異步認(rèn)證技術(shù)即為挑戰(zhàn)/應(yīng)答認(rèn)證技術(shù)〔Challenge/Response〕。動(dòng)態(tài)口令〔一次性口令〕是變化的密碼，其變化來(lái)源于產(chǎn)生密碼的運(yùn)算因子是變化的。動(dòng)態(tài)口令的生成算法一般都采用雙運(yùn)算因子，用戶身份的識(shí)別碼:固定不變的，如用戶的私有密鑰；變動(dòng)因子:如時(shí)間、隨機(jī)數(shù)、計(jì)數(shù)器值等。根據(jù)動(dòng)態(tài)因子的不同，產(chǎn)生了不同的動(dòng)態(tài)口令。12基于時(shí)間同步〔TimeSynchronous〕認(rèn)證技術(shù)：以流逝的時(shí)間作變動(dòng)因子。所謂同步指用戶和認(rèn)證效勞器產(chǎn)生的密碼在時(shí)間上必須同步。

基于事件同步〔EventSynchronous〕認(rèn)證技術(shù)：以變動(dòng)的數(shù)字序列〔事件序列〕作變動(dòng)因子，與用戶的私鑰共同產(chǎn)生動(dòng)態(tài)密碼。所謂同步指用戶和認(rèn)證效勞器保持相同的事件序列。挑戰(zhàn)/應(yīng)答方式：由認(rèn)證效勞器產(chǎn)生的隨機(jī)數(shù)字序列〔Challenge〕作為變動(dòng)因子，由于每一個(gè)Challenge都是唯一的、不會(huì)重復(fù)使用，并且Challenge是在同一個(gè)地方產(chǎn)生，所以不存在同步問(wèn)題。13基于挑戰(zhàn)/應(yīng)答〔Challenge/Response〕方式的身份認(rèn)證機(jī)制就是每次認(rèn)證時(shí)認(rèn)證效勞器端都給客戶端發(fā)送一個(gè)不同的"挑戰(zhàn)"字串，客戶端程序收到這個(gè)"挑戰(zhàn)"字串后，做出相應(yīng)的"應(yīng)答"。14

1)客戶向認(rèn)證效勞器發(fā)出請(qǐng)求，要求進(jìn)行身份認(rèn)證；

2)認(rèn)證效勞器從用戶數(shù)據(jù)庫(kù)中查詢用戶是否是合法的用戶，假設(shè)不是，那么不做進(jìn)一

步處理；

3)認(rèn)證效勞器內(nèi)部產(chǎn)生一個(gè)隨機(jī)數(shù)，作為“提問(wèn)〞，發(fā)送給客戶；

4)客戶將用戶名字和隨機(jī)數(shù)合并，使用單向Hash函數(shù)〔例如MD5算法〕生成一個(gè)

字節(jié)串作為應(yīng)答；

5)認(rèn)證效勞器將應(yīng)答串與自己的計(jì)算結(jié)果比較，假設(shè)二者相同，那么通過(guò)一次認(rèn)證；

否那么，認(rèn)證失??；

6)認(rèn)證效勞器通知客戶認(rèn)證成功或失敗。認(rèn)證過(guò)程為：15一次性口令產(chǎn)生和驗(yàn)證過(guò)程①用戶輸入登錄名和相關(guān)身份信息ID。②如果系統(tǒng)接受用戶的訪問(wèn)，那么給用戶傳送隨機(jī)數(shù)seed,一次性密碼k和序列號(hào)n。③用戶合并seed和密碼k為x，用Hash函數(shù)計(jì)算z=fn〔x〕,第一次向系統(tǒng)傳送數(shù)據(jù)〔k，z〕。④系統(tǒng)核對(duì)〔k，z〕，假設(shè)正確，那么將〔ID，fn〔x〕〕保存。⑤當(dāng)用戶第二次訪問(wèn)系統(tǒng)時(shí)，將〔ID，fn-1〔x〕〕送系統(tǒng)。系統(tǒng)計(jì)算f〔fn-1〔x〕〕，將其與存儲(chǔ)的數(shù)據(jù)對(duì)照，如果一致，那么接受用戶的訪問(wèn)，并將〔ID，fn-1〔x〕〕保存。⑥當(dāng)用戶第三次訪問(wèn)系統(tǒng)時(shí)，將〔ID，fn-2〔x〕〕送系統(tǒng)。系統(tǒng)計(jì)算f〔fn-2〔x〕〕，將其與存儲(chǔ)的數(shù)據(jù)對(duì)照，如果一致，那么接受用戶的訪問(wèn)，并保存新計(jì)算的數(shù)據(jù)。⑦當(dāng)用戶每一次想要登錄時(shí)，函數(shù)作用的次數(shù)減1。S/KEY協(xié)議認(rèn)證過(guò)程基于一次性口令思想開(kāi)發(fā)的身份認(rèn)證系統(tǒng)是S/KEY,現(xiàn)已成為標(biāo)準(zhǔn)協(xié)議。16S/KEY認(rèn)證過(guò)程的優(yōu)點(diǎn)用戶口令本身未在網(wǎng)上傳播，黑客得到的是用戶口令經(jīng)hash散列算法〔MD4,MD5〕生成的秘文。而hash函數(shù)是不可逆的。

每一次生成的口令都是不一樣的，n’=n-1。

實(shí)現(xiàn)原理簡(jiǎn)單，hash函數(shù)可以用硬件實(shí)現(xiàn)。17S/KEY認(rèn)證過(guò)程的缺點(diǎn)口令使用一定時(shí)間后要重新初始化，有一點(diǎn)麻煩。

S/KEY依賴于MD4/MD5的不可逆性，當(dāng)可逆計(jì)算研究有所突破時(shí)，系統(tǒng)將被迫更換算法。

維護(hù)很大的一次性密鑰列表很麻煩：紙/硬件密鑰復(fù)用問(wèn)題18Kerberos認(rèn)證效勞MIT針對(duì)分布式網(wǎng)絡(luò)環(huán)境開(kāi)發(fā)的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)

GreekKerberos是古希臘神話中的有三個(gè)頭的狗，是地獄之門的守衛(wèi)。ModernKerberos是指有三個(gè)組成局部的網(wǎng)絡(luò)之門保護(hù)者：認(rèn)證〔Authentication〕計(jì)費(fèi)〔Accounting〕審計(jì)〔Audit〕概述19Kerberos認(rèn)證主要用于解決密鑰管理與分發(fā)問(wèn)題中的

身份認(rèn)證問(wèn)題

涉及KDC(keyDistributionCenter)

Kerberos使用DES加密Kerberos認(rèn)證系統(tǒng)概述20Kerberos4認(rèn)證過(guò)程認(rèn)證服務(wù)器AS票據(jù)服務(wù)器TGS數(shù)據(jù)庫(kù)(1)(2)(3)(4)(5)(6)服務(wù)器VClient第一階段,用戶從AS獲?。浩睋?jù)許可票據(jù)第二階段,用戶從TGS獲?。盒谠S可票據(jù)第三階段,用戶從效勞器獲?。盒?2)TGT+sessionkey1(1)RequestTGT(3)RequestTGS(4)Ticket+sessionkey2(5)RequestService(6)ServerAuthenticatorTGT：ticketgrantingticketK〔ticket〕DC21Kerberos認(rèn)證過(guò)程第一階段,用戶從AS獲?。浩睋?jù)許可票據(jù)(1)C->AS:IDc||IDtgs||TS1(2)AS->C:EKc[Kc,tgs||IDtgs||TS2||lifetime2||Tickettgs]其中:Tickettgs=EKtgs[Kc,tgs||IDc||ADc||IDtgs||TS2||lifetime2]

第二階段,用戶從TGS獲?。盒谠S可票據(jù)(3)C->TGS:IDv||Tickettgs||Authenticatorc(4)TGS->C:EKc,tgs[Kc,v||IDv||TS4||Ticketv]其中:Authenticatorc=EKc,tgs[IDc||ADc||TS3]Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||lifetime4]C的網(wǎng)絡(luò)地址，防止票據(jù)不是由初始請(qǐng)求票據(jù)的工作站使用IDV告訴TGS用戶要訪問(wèn)的效勞器EKC:C和AS共享的加密密鑰EKV:C和server共享的加密密鑰EKgs:C和TGS共享的加密密鑰22Kerberos認(rèn)證過(guò)程(續(xù)…)第三階段,用戶從效勞器獲取效勞(5)C->V:Ticketv||Authenticatorv(6)V->C:EKc,v[TS5+1]其中：Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||lifetime4]Authenticatorv=EKc,v[IDc||ADc||TS5]23RADIUS協(xié)議RemoteAuthenticationDial-inUserService是一個(gè)在撥號(hào)網(wǎng)絡(luò)中提供注冊(cè)、驗(yàn)證和計(jì)費(fèi)功能的工業(yè)標(biāo)準(zhǔn).RADIUS是由郎訊公司提出的，現(xiàn)已成為一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議標(biāo)準(zhǔn)〔RFC2138，2139，2200〕RADIUS認(rèn)證要用到基于挑戰(zhàn)/應(yīng)答〔Challenge/Response〕的認(rèn)證方式。

24RADIUS結(jié)構(gòu)圖網(wǎng)絡(luò)接入效勞器PSDNInternet認(rèn)證效勞器用戶數(shù)據(jù)庫(kù)計(jì)費(fèi)效勞器ModemModemNASHUBRADIUS使得撥號(hào)和認(rèn)證放在兩個(gè)別離的網(wǎng)絡(luò)設(shè)備上。25RADIUS的認(rèn)證過(guò)程用戶接入NASNAS向RADIUS效勞器使用Access-Require數(shù)據(jù)提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過(guò)MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過(guò)網(wǎng)絡(luò)傳播；RADIUS效勞器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否那么返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問(wèn)；如果允許訪問(wèn)，NAS向RADIUS效勞器提出計(jì)費(fèi)請(qǐng)求Account-Require，RADIUS效勞器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開(kāi)始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。RADIUS的根本工作原理:26RADIUS效勞器和NAS效勞器通過(guò)UDP協(xié)議進(jìn)行通信，RADIUS效勞器的1812端口負(fù)責(zé)認(rèn)證，1813端口負(fù)責(zé)計(jì)費(fèi)工作。采用UDP的根本考慮是因?yàn)镹AS和RADIUS效勞器大多在同一個(gè)局域網(wǎng)中，使用UDP更加快捷方便。RADIUS協(xié)議應(yīng)用范圍很廣，包括普通上網(wǎng)業(yè)務(wù)計(jì)費(fèi)，支持VPN。RADIUS的特點(diǎn)27授權(quán)與訪問(wèn)控制28授權(quán)與訪問(wèn)控制機(jī)制在ISO標(biāo)準(zhǔn)中，訪問(wèn)控制是五大效勞的重要組成之一,在用戶身份已得到認(rèn)證的前提下，限制主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，使計(jì)算機(jī)系統(tǒng)在合法的范圍內(nèi)使用；解決的是：“你能做什么？你有什么樣的權(quán)限？〞訪問(wèn)控制是通過(guò)某種途徑顯式地準(zhǔn)許或限制訪問(wèn)能力及范圍的一種方法。——防范越權(quán)使用資源，限制對(duì)關(guān)鍵資源的訪問(wèn)；——防止非法用戶入侵，或合法用戶的不慎操作引起的破壞。定義訪問(wèn)控制技術(shù)不能取代身份認(rèn)證，建立在身份認(rèn)證根底之上。認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、防抵賴性2930主體〔Subject〕：發(fā)出訪問(wèn)操作、存取要求的主動(dòng)方，是用戶或用戶的某個(gè)進(jìn)程；

客體〔Object〕：被訪問(wèn)的對(duì)象，是被調(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息、要訪問(wèn)的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備等資源；

平安訪問(wèn)政策：一套規(guī)那么，包括策略與機(jī)制，用以確定一個(gè)主體否對(duì)客體擁有訪問(wèn)能力。訪問(wèn)控制包括31訪問(wèn)控制模型32訪問(wèn)控制矩陣訪問(wèn)控制列表〔AccessControllist〕訪問(wèn)能力表授權(quán)關(guān)系表訪問(wèn)控制方式目前最廣泛采用的方式33訪問(wèn)矩陣〔AccessMatrix〕r,w,Ownr,w,Ownrr,w,Ownwr,wrFile1File2File3JohnAliceBob對(duì)象主體訪問(wèn)權(quán)訪問(wèn)控制矩陣是一張表格，每行代表一個(gè)用戶(即主體)，每列代表一個(gè)存取目標(biāo)(即客體)，表中縱橫對(duì)應(yīng)的項(xiàng)是該用戶對(duì)該存取客體的訪問(wèn)權(quán)集合(權(quán)集)。缺點(diǎn)：存在很多空白項(xiàng)，系統(tǒng)開(kāi)銷和浪費(fèi)大。34ACL是訪問(wèn)控制矩陣的另一種表示方式。它從主體出發(fā)，表達(dá)訪問(wèn)控制矩陣的每一行，無(wú)空集出現(xiàn)。對(duì)一個(gè)特定資源指定任意一個(gè)用戶的訪問(wèn)權(quán)限訪問(wèn)控制列表〔ACL〕JohnOwnRW

AliceRBobRWAliceOwnRWBobRFile1File2JohnOwnRWAliceWFile335直觀而易理解;容易查出對(duì)某特定資源擁有訪問(wèn)權(quán)限的所有用戶;有效實(shí)施管理;優(yōu)點(diǎn)不宜用于網(wǎng)絡(luò)規(guī)模大，需求復(fù)雜的企業(yè)內(nèi)部網(wǎng)絡(luò)不易實(shí)現(xiàn)最小權(quán)限原那么缺點(diǎn)36訪問(wèn)能力表也是是訪問(wèn)控制矩陣的另一種表示方式。它將訪問(wèn)控制矩陣的每一列作為一個(gè)客體而形成一個(gè)存取表。無(wú)空集出現(xiàn)。訪問(wèn)能力表(CapabilityList)File1OwnRW

File3WFile3RWFile1RWFile2Own

RWJohnAliceFile1RWFile2RBob37授權(quán)〔Authorization〕關(guān)系列表38

每一行〔一個(gè)元組〕表示了主體和客體的一個(gè)權(quán)限關(guān)系；

John訪問(wèn)Filel的權(quán)限關(guān)系需要3行；表格按客體排序，可以擁有訪問(wèn)能力表的優(yōu)勢(shì)，按主體排序擁有訪問(wèn)控制表的優(yōu)勢(shì)；適合于關(guān)系型數(shù)據(jù)庫(kù)的訪問(wèn)能力與控制；39訪問(wèn)控制策略自主訪問(wèn)控制〔DiscretionaryAccessControl，DAC〕

強(qiáng)制訪問(wèn)控制(MandatoryAccessControl，MAC)

基于角色的訪問(wèn)(Role-basedAccessControl，RBAC)目前最新的方式Tcsec將計(jì)算機(jī)系統(tǒng)的平安劃分為4個(gè)等級(jí)、8個(gè)級(jí)別：C級(jí)：具有自主訪問(wèn)控制DACB級(jí)：以上具有強(qiáng)制訪問(wèn)控制MACRBAC出現(xiàn)于20世紀(jì)90年代，具有很大優(yōu)勢(shì)，開(kāi)展很快。40訪問(wèn)控制策略并不互相排斥，可以綜合應(yīng)用41目前使用最多在確認(rèn)主體身份及所屬組的根底上對(duì)訪問(wèn)進(jìn)行限定。根本思想：允許主體顯示地指定其他主體對(duì)主體所擁有的信息資源是否可以訪問(wèn)及可執(zhí)行的訪問(wèn)類型?！瞁indows，UNIX〕自主型：一個(gè)擁有一定權(quán)限的訪問(wèn)主體可以直接/間接的將權(quán)限傳給其他主體。自主型訪問(wèn)控制策略

概述42自主訪問(wèn)控制根據(jù)訪問(wèn)者的身份和授權(quán)來(lái)決定訪問(wèn)模式，主體訪問(wèn)者對(duì)訪問(wèn)的控制有一定權(quán)力。用戶A可以將其對(duì)客體目標(biāo)O的訪問(wèn)權(quán)限傳遞給B，使不具備對(duì)O訪問(wèn)權(quán)限的B也可以訪問(wèn)O，容易產(chǎn)生漏洞，使自主訪問(wèn)控制的平安級(jí)別很低。DAC將賦予或取消訪問(wèn)權(quán)限的局部權(quán)利留給個(gè)人，管理員難以確定哪些用戶對(duì)哪些資源有訪問(wèn)權(quán)限，不利于實(shí)現(xiàn)全局訪問(wèn)控制。組織本身是資源的擁有者，用戶并不具有授權(quán)權(quán)限，DAC與組織內(nèi)部的規(guī)章制度不一致。自主型訪問(wèn)控制策略

缺點(diǎn)DAC已不能適應(yīng)這些要求43

強(qiáng)制訪問(wèn)控制策略〔MandatoryAccessControl,MAC〕強(qiáng)制訪問(wèn)控制策略是“強(qiáng)加〞給訪問(wèn)主體的，即系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制政策。MAC預(yù)先將主、客體分級(jí)別，定義主體的可信級(jí)別和客體信息的敏感度級(jí)別；用戶可信級(jí)別：〔絕密、機(jī)密、秘密、非保密〕信息的敏感度：〔絕密-TS、機(jī)密-S、秘密-C、非保密-U，TS＞S＞C＞U〕；用戶提出訪問(wèn)時(shí)，系統(tǒng)對(duì)主、客體兩者進(jìn)行比較以確定訪問(wèn)是否合法。典型應(yīng)用時(shí)，MAC訪問(wèn)控制分兩類：用下讀/上寫來(lái)保證數(shù)據(jù)的保密性〔BLP模型〕和用上讀/下寫來(lái)保證數(shù)據(jù)的完整性。概述44

依據(jù)Bell-Lapadula安全模型（BLP）所制定的原則是利用下讀/上寫（不上讀/不下寫）來(lái)保證數(shù)據(jù)的保密性（防止敏感信息向下傳播）:主體可以讀安全級(jí)別比他低或相等的客體，可以寫安全級(jí)別比他高或相等的客體禁止信息從高級(jí)別流向低級(jí)別MAC采取下讀/上寫的意義在于可以實(shí)現(xiàn)數(shù)據(jù)的保密性45依據(jù)Biba安全模型所制定的原則是利用上讀/下寫（不下讀/不上寫）來(lái)保證數(shù)據(jù)的完整性。主體可以讀安全級(jí)別比他高或相等的客體，禁止寫安全級(jí)別比他高或相等的客體主要是為了避免應(yīng)用程序修改某些重要的系統(tǒng)程序或系統(tǒng)數(shù)據(jù)庫(kù)。MAC采取上讀/下寫的意義在于可以實(shí)現(xiàn)數(shù)據(jù)的完整性46MAC主要用于多層次平安級(jí)別的軍事應(yīng)用中。MAC可用于抵御特洛伊木馬等攻擊木馬攻擊需要同時(shí)上讀和上寫，獲取特權(quán)，修改程序MAC的主要缺陷在于實(shí)現(xiàn)工作量太大，管理不夠靈活，過(guò)于偏重保密性，對(duì)專用的或簡(jiǎn)單的系統(tǒng)是有效的，但對(duì)通用、大型系統(tǒng)并不那么有效。

47基于角色訪問(wèn)控制策略(Role-BasedAccessControl，RBAC)RBAC的核心思想就是：授權(quán)給用戶的訪問(wèn)權(quán)限通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定。所謂“角色〞，是指一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。用戶在一定部門內(nèi)具有一定的角色。RBAC是目前實(shí)施面向企業(yè)的平安策略的一種有效訪問(wèn)控制方式。48角色就充當(dāng)著主體(用戶)和客體之間的關(guān)系的橋梁。這是與傳統(tǒng)的訪問(wèn)控制策略的最大區(qū)別所在。用戶所執(zhí)行的操作與其角色相匹配。49RBAC與DAC:用戶不能自主的將訪問(wèn)權(quán)限授權(quán)給其他用戶。

RBAC與MAC:MAC基于多級(jí)平安需求，重點(diǎn)限制“誰(shuí)可以讀/寫信息〞。RBAC主要關(guān)注“誰(shuí)可以對(duì)什么信息執(zhí)行什么操作？〞RBAC中角色的控制靈活，可以根據(jù)配置是某些角色接近與DAC或MAC。比較50角色由系統(tǒng)管理員定義和管理，授權(quán)強(qiáng)加給用戶，用戶只能被動(dòng)接受，不能將權(quán)限授予他人。是一種非自主型訪問(wèn)控制。角色:用戶集+權(quán)限集客體1客體2客體3角色1角色2用戶1用戶2用戶3權(quán)限a權(quán)限b權(quán)限c權(quán)限d51RBAC96模型GeorgeMason大學(xué)的RBAC96模型最具有代表性。RABC96模型的根本結(jié)構(gòu)如下：RABC1RABC0RABC3RABC2RABC0：根本模型，RABC1：分級(jí)模型RABC2:限制模型，RABC3：統(tǒng)一模型52RABC0：根本模型RABC1：在RABC0的根底上引入角色等級(jí)來(lái)反映一個(gè)組織的職權(quán)和責(zé)任分布的關(guān)系。

RABC2：在RABC0的根底上引入角色限制的概念。角色之間相互限制，一個(gè)用戶只能分配到互斥角色中的一個(gè)。

RABC3:包含了限制模型和分級(jí)模型，即在RABC0根底上引入角色等級(jí)和限制概念。RABC0：根本模型，RABC1：分級(jí)模型RABC2:限制模型，RABC3：統(tǒng)一模型RBAC0定義了能構(gòu)成一個(gè)RBAC控制系統(tǒng)的最小的元素集合

53在RBAC之中，權(quán)限被賦予角色，而不是用戶，當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí)，此用戶就擁有了該角色所包含的權(quán)限。會(huì)話sessions是用戶與激活的角色集合之間的映射。RABC模型由4個(gè)主要實(shí)體組成：用戶〔U〕，角色〔R〕，權(quán)限〔P〕，一組會(huì)話〔S〕54根本模型RBAC0定義用戶〔U〕，角色〔R〕，權(quán)限〔P〕，一組會(huì)話〔S〕兩個(gè)關(guān)系兩個(gè)函數(shù)RBAC0模型指明用戶、角色、訪問(wèn)權(quán)限和會(huì)話之間的關(guān)系。55等級(jí)關(guān)系56限制條件〔constraints) 互斥角色：一個(gè)用戶不能同時(shí)擁有兩個(gè)互斥角色 基數(shù)限制：一個(gè)角色可被分配的最大用戶數(shù) 必備限制：用戶必須擁有必備角色彩能分配其他角色 會(huì)話限制：如：一個(gè)用戶不能在同一個(gè)會(huì)話中激活它所擁有

的兩個(gè)角色 等級(jí)限制：分配給低級(jí)角色的權(quán)限也應(yīng)分配給高級(jí)角色。限制模型RBAC257

UUsers

RRoles

PPermissionConstraintsSSessionusersrolesPAPermissionAssignmentUAUserAssignmentRHRoleHierarchyRBAC3RBAC1RBAC2RBAC0581)便于授權(quán)管理RBAC將對(duì)用戶的授權(quán)變?yōu)閷?duì)角色的授權(quán)。當(dāng)用戶職責(zé)

發(fā)生變化，組織功能變化時(shí)，便于管理。

2)便于角色劃分和繼承為了提高效率，防止相同權(quán)限的重復(fù)設(shè)置，RBAC采用

了“角色繼承〞的概念，定義的各類角色，它們都有自己

的屬性，但可能還繼承其它角色的屬性和權(quán)限。角色

繼承把角色組織起來(lái)，能夠很自然地反映組織內(nèi)部人

員之間的職權(quán)、責(zé)任關(guān)系?；诮巧脑L問(wèn)控制有以下五個(gè)特點(diǎn)593〕便于賦予最小特權(quán)原那么(LeastPrivilegeTheorem)最小特權(quán)原那么是指用戶所擁有的權(quán)利不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限。這是系統(tǒng)平安中最根本的原那么之一。實(shí)現(xiàn)最小權(quán)限原那么，要求分清用戶的工作內(nèi)容，確定執(zhí)行該項(xiàng)工作的最小權(quán)限集，然后將用戶限制在這些權(quán)限范圍之內(nèi)。而在RBAC中，可以根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色執(zhí)行所需要的才授權(quán)給角色。因此便于實(shí)施最小特權(quán)原那么。604)便于職責(zé)別離(主體與角色的別離)對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作。如：校內(nèi)支票本上領(lǐng)款人簽名和工程負(fù)責(zé)人簽名必須不同。靜態(tài)職責(zé)別離：只有當(dāng)一個(gè)角色與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。動(dòng)態(tài)職責(zé)別離：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活潑角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活潑角色。61END62Windows2000平安訪問(wèn)控制機(jī)制安全I(xiàn)D（SID）組SID特權(quán)默認(rèn)所有者默認(rèn)ACLWin2000的平安訪問(wèn)控制由兩個(gè)實(shí)體管理：

a.訪問(wèn)令牌：與每個(gè)進(jìn)程相關(guān)聯(lián)

b.平安描述符：與每個(gè)對(duì)象相關(guān)聯(lián)標(biāo)記所有者系統(tǒng)訪問(wèn)控制表（SACL）自由訪問(wèn)控制表（DACL）a訪問(wèn)令牌結(jié)構(gòu)b平安描述符結(jié)構(gòu)63Windows2000的平安訪問(wèn)控制過(guò)程：用戶登錄創(chuàng)建用戶進(jìn)程

一個(gè)訪問(wèn)令牌與之關(guān)聯(lián)派生額外進(jìn)程

繼承同一訪問(wèn)令牌用戶進(jìn)程訪問(wèn)對(duì)象O對(duì)象管理程序從訪問(wèn)令牌中讀SID、組SID掃描對(duì)象DACL進(jìn)程SID與對(duì)象DACL是否匹配允許拒絕yesnoID/口令64訪問(wèn)控制列表是Windows2000平安訪問(wèn)控制的核心。以下圖顯示了Windows2000的訪問(wèn)控制列表的結(jié)構(gòu)：ACL頭ACE頭訪問(wèn)掩碼SIDACE頭訪問(wèn)掩碼SID……ACL項(xiàng)ACL項(xiàng)65Linux的平安訪問(wèn)控制機(jī)制〔一〕Linux系統(tǒng)的登錄過(guò)程與Win2000一樣，Linux通過(guò)用戶ID和口令的方式來(lái)登錄系統(tǒng)。用戶帳號(hào)信息存放在文件/etc/passwd中。一個(gè)典型的passwd文件如下：Root:x:o:o:root:/root:/bin/bash

bin:x:1:1:bin:/bin:

adm:x:3:4:adm:/var/adm:

……

passwd文件中每條用戶記錄都具有以下格式：

登錄帳號(hào)：密碼域：用戶標(biāo)識(shí)符UID：組標(biāo)識(shí)符GID：用戶信息：主目錄：用戶shell66Linux的平安訪問(wèn)控制機(jī)制現(xiàn)在的Linux系統(tǒng)中使用了shadow加密技術(shù)，將加密后的口令放在/etc/shadow文件中。下面是一個(gè)典型的shadow文件的一局部：root:y9e2Gzjq/MCCc:11145:0:99999:7:::

bin:*:11145:0:99999:7:::

adm:*:11145:0:99999:7:::

……shadow文件對(duì)一般用戶是不可讀的，只有超級(jí)用戶root才可讀〔僅能看到加密后的密文〕。67Linux的平安訪問(wèn)控制機(jī)制〔二〕ACL在文件目錄中的使用以下圖顯示了Linux的文件與目錄的許可權(quán)域：-(file)

d(directory)

l(symbolic)

b(blockspecialfile)

c(characterspecialfile)

p(namedpipespecialfile)

s(localsocketspecialfile)tpyerwxrwxrwxusergroupotherr-read

w-write

x-execute68Linux的平安訪問(wèn)控制機(jī)制為了給不同的用戶或組定義不同的使用權(quán)限，Linux同樣使用訪問(wèn)控制列表〔ACL〕來(lái)配置文件域目錄。下面是Linux中經(jīng)過(guò)抽象了的ACL表：關(guān)鍵字域訪問(wèn)者域權(quán)限域關(guān)鍵字域訪問(wèn)者域權(quán)限域……ACL項(xiàng)ACL項(xiàng)69Linux的平安訪問(wèn)控制機(jī)制基于ACL在平安訪問(wèn)控制中的主要地位，我們來(lái)看看Linux中ACL的結(jié)構(gòu)是如何用程序來(lái)描述：structacl{

intacl_magic;

intacl_num;

intacl_alloc_size;

acl_entry_tacl_current;

acl_entry_tacl_first;

attribute_t*attr_data;

};

acl*acl_t;structacl_entry{

acl_t*entry;

void*head;

structacl_entry*next;

structacl_entry*pre;

intacl_magic;

intsize;

};

acl_entry*acl_entry_t;70比較結(jié)果比較項(xiàng)Windows2000Linux比較說(shuō)明帳號(hào)保存注冊(cè)表保存在文本etc/passwd中，密碼域以x代替各有特色用戶驗(yàn)證用戶ID/密碼，采用NTLM、KerverosV5

TLS認(rèn)證協(xié)議

用戶ID/密碼，采用建立新進(jìn)程，系統(tǒng)調(diào)用的方法后者簡(jiǎn)單但有效，前者存在著名的IPC$空連接漏洞，而且保留Guest帳號(hào)，易被hacker利用（進(jìn)行權(quán)限提升），造成破壞。

下表是對(duì)Windows2000和Linux的平安訪問(wèn)控制機(jī)制的比較分析：71比較結(jié)果比較項(xiàng)Windows2000Linux比較說(shuō)明密碼處理隱藏在系統(tǒng)文件中，用戶不可見(jiàn)采用shadow技術(shù)加密，僅有root可見(jiàn)加密后的密碼在防止口令攻擊和字典攻擊上后者比前者稍強(qiáng)用戶標(biāo)識(shí)SID和組SIDUid和gid各有特色保護(hù)機(jī)制完全ACL壓縮為9位的ACL后者效率高，嚴(yán)密性好權(quán)限傳遞繼承訪問(wèn)令牌繼承ACL各有特色從上表可以看出，在平安訪問(wèn)控制機(jī)制上，Linux系統(tǒng)要比Windows2000系統(tǒng)更加健壯有力。而且由于Linux設(shè)計(jì)上的公開(kāi)性，使的這個(gè)系統(tǒng)即使在某些方面存在著一些漏洞，也將會(huì)很快得到修補(bǔ)。72END73

PMI〔PrivilegeManagementInfrastructure〕稱特權(quán)管理根底設(shè)施l

問(wèn)題的提出—雖已有很多成熟的訪問(wèn)控制或授權(quán)效勞模型等，但缺乏全面有效的權(quán)限管理平臺(tái)。存在權(quán)限管理混亂，影響系統(tǒng)平安；—由于不同系統(tǒng)采用不同權(quán)限管理策略，增加了系統(tǒng)管理員的負(fù)擔(dān)；—應(yīng)用開(kāi)發(fā)復(fù)雜、費(fèi)用增高。l

l

PMI的定義PMI是權(quán)限管理根底設(shè)施或稱授權(quán)管理根底設(shè)施。它是屬性證書、屬性權(quán)威、屬性證書庫(kù)某部件的集合體，用來(lái)實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存貯、分發(fā)和撤消等功能。74

六、基于PMI的訪問(wèn)控制2、PMI的組成l

屬性權(quán)威AA〔Attributeauthority〕：用來(lái)生成并簽發(fā)屬性證書〔AttributeCertificate,即AC〕的機(jī)構(gòu)；它負(fù)責(zé)管理屬性證書的整個(gè)生命周期；l

屬性證書AC：對(duì)于一個(gè)褓的權(quán)限的即定是由一個(gè)被數(shù)字簽名了的數(shù)據(jù)結(jié)構(gòu)來(lái)提供的，這種數(shù)據(jù)結(jié)構(gòu)稱為屬性證書，由屬性權(quán)威簽發(fā)并管理。AC一般被稱作身份證書PKC〔PublickeyCertificate〕l

PMI能夠與PKI和目錄效勞緊密地集成；——系統(tǒng)的建立對(duì)認(rèn)可用戶的特定授權(quán)；——對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述；——提供授權(quán)的完整過(guò)程。75

3PMI目標(biāo)向用戶和應(yīng)用程序提供權(quán)限管理和授權(quán)效勞為目標(biāo)，訪問(wèn)控制與審計(jì)結(jié)合，對(duì)系統(tǒng)中所有的用戶需求和行為進(jìn)行后驗(yàn)分析，確保被授權(quán)的用戶不濫用其特權(quán)。4、PMI功能：l

負(fù)責(zé)向業(yè)務(wù)應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)效勞和理；l

提供用戶身份到應(yīng)用授權(quán)的映射功能；l

實(shí)現(xiàn)與實(shí)際應(yīng)相對(duì)應(yīng)、與具體應(yīng)用系統(tǒng)開(kāi)發(fā)和管理無(wú)關(guān)的訪問(wèn)控制機(jī)制；5、PKI與PMI的關(guān)系二者之間的主要區(qū)別：76

lPMI主要進(jìn)行授權(quán)管理，證明這個(gè)用戶有什么權(quán)限，“你能干什么？〞lPKI主要進(jìn)行身份認(rèn)證，即身份識(shí)別與鑒別，證明用戶身份，即“你是誰(shuí)？〞它們之間的關(guān)系類似于護(hù)照和簽證的關(guān)系l

相似概念：——ACPKC——AACA——根CASOA77

6、屬性證書和格式：屬性證書AC：對(duì)于一個(gè)實(shí)體的權(quán)限的綁定是由一個(gè)被數(shù)字簽名了的數(shù)據(jù)結(jié)構(gòu)來(lái)提供的，這種數(shù)據(jù)結(jié)構(gòu)稱為屬性證書,由屬性權(quán)威簽發(fā)并管理。一些應(yīng)用使用屬性證書來(lái)提供基于角色的訪問(wèn)控制。屬性證書的格式如下：版本號(hào)；屬性證書的版本號(hào)；持有者；屬性證書持有者信息。一般是持有者公鑰證書DN和公鑰證書頒發(fā)者DN的組合〕；頒發(fā)者；屬性證書的頒發(fā)者信息〔一般是頒發(fā)者公鑰證書DN〕簽名算法；78

屬性證書的格式〔續(xù)〕：屬性證書使用的簽名算法序列號(hào)屬性證書的序列號(hào)有效期屬性證書的生效和失效日期屬性屬性證書簽發(fā)者對(duì)屬性證書的簽名屬性證書持有者