第4章-物聯(lián)網(wǎng)接入安全第6次課

4.6、物聯(lián)網(wǎng)系統(tǒng)的訪問(wèn)控制訪問(wèn)控制的目的是為了限制訪問(wèn)主體（用戶、進(jìn)程、服務(wù)等）對(duì)訪問(wèn)客體（文件、系統(tǒng)等）的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么！允許使用哪些資源，在什么地方適合阻止未授權(quán)訪問(wèn)的過(guò)程。防止對(duì)信息系統(tǒng)資源的非授權(quán)訪問(wèn)和非授權(quán)使用。訪問(wèn)控制包含三個(gè)方面的含義（）合法性完整性時(shí)效性機(jī)密性ABCD提交多選題10分一、訪問(wèn)控制的基本概念訪問(wèn)控制是針對(duì)越權(quán)使用資源的防御措施。

基本任務(wù)是防止非法用戶（即未授權(quán)用戶）進(jìn)入系統(tǒng)和合法用戶（即授權(quán)用戶）對(duì)系統(tǒng)資源的非法使用。形式化地說(shuō)——

訪問(wèn)控制是一個(gè)函數(shù)f(s,o,p)1、訪問(wèn)控制的功能（1）認(rèn)證認(rèn)證就是證實(shí)?戶的?份。認(rèn)證必須和標(biāo)識(shí)符共同起作?。認(rèn)證過(guò)程?先需要?戶輸?賬戶名、?戶標(biāo)志或者注冊(cè)標(biāo)志以表明?份。賬戶名應(yīng)該是秘密的，任何其他?戶不得擁有。但為了防?賬戶名或?戶標(biāo)志泄露?出現(xiàn)?法?戶訪問(wèn)，還需要進(jìn)?步?認(rèn)證技術(shù)證實(shí)?戶的合法?份。?令是?種簡(jiǎn)單易?的認(rèn)證?段，但是因?yàn)槿菀妆徊聹y(cè)??較脆弱，所以易被?法?戶利?。?物技術(shù)是?種嚴(yán)格且有前途的認(rèn)證?法，如指紋識(shí)別、視?膜識(shí)別、虹膜識(shí)別等，但因技術(shù)復(fù)雜，?前還沒(méi)有被?泛采?（2）授權(quán)

系統(tǒng)正確認(rèn)證?戶后，根據(jù)不同的?戶標(biāo)志分配給其不同的使?資源，這項(xiàng)任務(wù)稱(chēng)為授權(quán)。授權(quán)的實(shí)現(xiàn)是靠訪問(wèn)控制完成的。訪問(wèn)控制是?項(xiàng)特殊的任務(wù)，它將標(biāo)志符ID作為關(guān)鍵字來(lái)控制?戶訪問(wèn)的程序和數(shù)據(jù)。訪問(wèn)控制主要?在關(guān)鍵節(jié)點(diǎn)、主機(jī)和服務(wù)器，?般節(jié)點(diǎn)使?較少。但如果要在?般節(jié)點(diǎn)上增加訪問(wèn)控制功能，則系統(tǒng)應(yīng)該安裝相應(yīng)的授權(quán)軟件。在實(shí)際應(yīng)?中，通常需要從?戶類(lèi)型、應(yīng)?資源以及訪問(wèn)規(guī)則3個(gè)??來(lái)明確?戶的訪問(wèn)權(quán)限。

①?戶類(lèi)型。對(duì)于?個(gè)已經(jīng)被系統(tǒng)識(shí)別和認(rèn)證了的?戶，系統(tǒng)還要對(duì)他的訪問(wèn)操作實(shí)施?定的限制。對(duì)于?個(gè)通?計(jì)算機(jī)系統(tǒng)來(lái)講，?戶范圍?，層次與權(quán)限也不同。

?戶類(lèi)型?般有系統(tǒng)管理員、?般?戶、審計(jì)?戶和?法?戶。系統(tǒng)管理員權(quán)限最?，可以對(duì)系統(tǒng)中的任何資源進(jìn)?訪問(wèn)，并具有所有類(lèi)型的訪問(wèn)操作權(quán)利。?般?戶的訪問(wèn)操作要受到?定的限制，系統(tǒng)管理員會(huì)根據(jù)需要給這類(lèi)?戶分配不同的訪問(wèn)操作權(quán)利。審計(jì)?戶負(fù)責(zé)對(duì)整個(gè)系統(tǒng)的安全控制與資源使?情況進(jìn)?審計(jì)。?法?戶則是被取消訪問(wèn)權(quán)利或者被拒絕訪問(wèn)系統(tǒng)的?戶。

②應(yīng)?資源。

應(yīng)?資源是指系統(tǒng)中的每個(gè)?戶可共同分享的系統(tǒng)資源。系統(tǒng)內(nèi)需要保護(hù)的是系統(tǒng)資源，因此需要對(duì)保護(hù)的資源定義?個(gè)訪問(wèn)控制包（AccessControlPacket，ACP），訪問(wèn)控制包會(huì)給每?個(gè)資源或資源組勾畫(huà)出?個(gè)訪問(wèn)控制列表（AccessControlList，ACL），列表中會(huì)描述哪個(gè)?戶可以使?哪個(gè)資源以及如何使?。

③訪問(wèn)規(guī)則。

訪問(wèn)規(guī)則定義了若?條件，在這些條件下可準(zhǔn)許訪問(wèn)?個(gè)資源。?般來(lái)講，規(guī)則可使?戶與資源配對(duì)，然后指定該?戶可以在該資源上執(zhí)?哪些操作，如只讀、不允許執(zhí)?或不允許訪問(wèn)等。這些規(guī)則是由負(fù)責(zé)實(shí)施安全政策的系統(tǒng)管理?員根據(jù)最?特權(quán)原則來(lái)確定的，即在授予?戶訪問(wèn)某種資源的權(quán)限時(shí)，只給予該資源的最?權(quán)限。例如，?戶需要讀權(quán)限時(shí)，不應(yīng)該授予讀寫(xiě)權(quán)限。（3）?件保護(hù)?件保護(hù)是指對(duì)?件提供的附加保護(hù)，其可使?授權(quán)?戶不可讀取?件。?般采?對(duì)?件加密的附加保護(hù)。（4）審計(jì)審計(jì)是記錄?戶系統(tǒng)所進(jìn)?的所有活動(dòng)的過(guò)程，即記錄?戶違反安全規(guī)定使?系統(tǒng)的時(shí)間、?期以及?戶活動(dòng)。因?yàn)榭赡苁占臄?shù)據(jù)量?常?，所以，良好的審計(jì)系統(tǒng)應(yīng)具有進(jìn)?數(shù)據(jù)篩選并報(bào)告審計(jì)記錄的?具，此外，還應(yīng)容許?具對(duì)審計(jì)記錄做進(jìn)?步的分析和處理。2、訪問(wèn)控制的關(guān)鍵要素主體（subject）發(fā)出訪問(wèn)操作、存取請(qǐng)求的主動(dòng)方，通?？梢允怯脩艋蛴脩舻哪硞€(gè)進(jìn)程等客體（object）被訪問(wèn)的對(duì)象，通?？梢允潜徽{(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪問(wèn)的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源安全訪問(wèn)策略一套規(guī)則，用以確定一個(gè)主體是否對(duì)客體擁有訪問(wèn)權(quán)限。3、訪問(wèn)控制策略的實(shí)施（1）基本原則訪問(wèn)控制策略：說(shuō)明允許使用公司設(shè)備進(jìn)行何種類(lèi)型訪問(wèn)的策略。訪問(wèn)控制策略規(guī)定網(wǎng)絡(luò)不同部分允許的數(shù)據(jù)流向，還會(huì)指定哪些類(lèi)型的傳輸是允許的，其他傳輸都將被阻塞。訪問(wèn)控制策略有助于保證正確選擇防火墻產(chǎn)品。訪問(wèn)控制策略的基本原則（）最小泄露最小權(quán)限多級(jí)安全ABC提交多選題10分（2）實(shí)現(xiàn)方式基于身份的安全策略：安全策略的基礎(chǔ)是用戶或用戶群的身份或?qū)傩裕蛘呤谴碛脩暨M(jìn)行活動(dòng)的實(shí)體以及被訪問(wèn)的資源或客體的身份和屬性?；谏矸莸脑L問(wèn)控制策略包括基于個(gè)人的策略和基于組的策略。基于規(guī)則的安全策略：安全策略的基礎(chǔ)是強(qiáng)加于全體用戶的總體規(guī)則。這些規(guī)則往往依賴(lài)于把被訪問(wèn)資源的敏感性與用戶、用戶群或代表用戶活動(dòng)的實(shí)體的相應(yīng)屬性進(jìn)行比較。二、訪問(wèn)控制的分類(lèi)A.自主訪問(wèn)控制（DAC）B.強(qiáng)制訪問(wèn)控制（MAC）C.基于角色的訪問(wèn)控制（RBAC）D.基于屬性的訪問(wèn)控制（ABAC）自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制基于角色訪問(wèn)控制訪問(wèn)控制1、自主訪問(wèn)控制（DAC）最早出現(xiàn)在七十年代初期的分時(shí)系統(tǒng)中，它是多用戶環(huán)境下最常用的一種訪問(wèn)控制手段。用戶可以按自己的意愿對(duì)系統(tǒng)參數(shù)做適當(dāng)修改的，可以決定哪個(gè)用戶可以訪問(wèn)系統(tǒng)資源。DAC有時(shí)又被稱(chēng)為為基于主人的訪問(wèn)控制優(yōu)點(diǎn)根據(jù)主體的身份及允許訪問(wèn)的權(quán)限進(jìn)行決策自主是指具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體。靈活性高，被大量采用，Windows、UNIX系統(tǒng)采用。缺點(diǎn)過(guò)于靈活、限制較弱、可能存在安全隱患如用戶A把目標(biāo)X的訪問(wèn)權(quán)賦予了用戶B，用戶B可能會(huì)把X訪問(wèn)權(quán)轉(zhuǎn)賦予用戶C，而A可能并不愿意讓C訪問(wèn)X用戶A把目標(biāo)X的訪問(wèn)權(quán)賦予了用戶B，而根據(jù)系統(tǒng)基本安全規(guī)則，B并不能訪問(wèn)X。例：工資單文件訪問(wèn)控制例：某操作系統(tǒng)的訪問(wèn)控制矩陣的一部分內(nèi)容基于行的訪問(wèn)控制矩陣：基于列的訪問(wèn)控制矩陣：File1RWOFile2

ROFile3

LOUser2PrinterWOUser1

ROUser2

ROUser3RWOFile22、強(qiáng)制訪問(wèn)控制（MAC）與DAC的本質(zhì)區(qū)別在于：MAC有整個(gè)系統(tǒng)統(tǒng)一而強(qiáng)制定義訪問(wèn)控制方法，而DAC是系統(tǒng)中的用戶和資源自行定義訪問(wèn)控制方法?；谝?guī)則的訪問(wèn)控制，主體和客體分別定義安全等級(jí)標(biāo)記，在自主訪問(wèn)控制的基礎(chǔ)上還必須受到安全標(biāo)記的約束。安全標(biāo)記是限制在目標(biāo)上的一組安全屬性信息項(xiàng)。在訪問(wèn)控制中，一個(gè)安全標(biāo)記隸屬于一個(gè)用戶、一個(gè)目標(biāo)、一個(gè)訪問(wèn)請(qǐng)求。系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制策略。主要用于多層次安全級(jí)別的軍事應(yīng)用中。將主體和客體分級(jí)定義用戶的可信任級(jí)別及信息的敏感程度，如，絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無(wú)密級(jí)。根據(jù)主體和客體的級(jí)別關(guān)系決定訪問(wèn)模式強(qiáng)制訪問(wèn)控制不允許進(jìn)程生成共享文件，從而訪止信息從一個(gè)進(jìn)程傳到另一進(jìn)程。訪問(wèn)控制關(guān)系分為上讀/下寫(xiě)（完整性）級(jí)別低的用戶寫(xiě)，級(jí)別高的用戶讀，比如下屬向上級(jí)呈送內(nèi)參下讀/上寫(xiě)（保密性）級(jí)別高的用戶寫(xiě)，級(jí)別低的用戶讀，比如中央下發(fā)文件通過(guò)梯度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。鄭州工程技術(shù)學(xué)院行政機(jī)構(gòu)如下圖：假設(shè)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)的密級(jí)為：一般＜秘密＜機(jī)密＜絕密定義校長(zhǎng)的安全級(jí)C校長(zhǎng)＝（絕密，{人事處,教務(wù)處,財(cái)務(wù)處,設(shè)備處}），（即校長(zhǎng)的密級(jí)為絕密，部門(mén)屬性為所有的部門(mén)）教務(wù)處長(zhǎng)的安全級(jí)C教=(機(jī)密,{教務(wù)處})財(cái)務(wù)處長(zhǎng)的安全級(jí)C財(cái)=(機(jī)密,{財(cái)務(wù)處})財(cái)務(wù)一科長(zhǎng)的安全級(jí)C一財(cái)=(秘密,{財(cái)務(wù)處})財(cái)務(wù)處工作人員的安全級(jí)C工=(一般,{財(cái)務(wù)處})假設(shè)財(cái)務(wù)一科長(zhǎng)產(chǎn)生了一份工作文件A，文件A的安全級(jí)定義為與一科長(zhǎng)的安全級(jí)相同，即CA=(秘密,{財(cái)務(wù)處})，那么，對(duì)于文件A，只有校長(zhǎng)和財(cái)務(wù)處長(zhǎng)能看到，而教務(wù)處長(zhǎng)不能看，盡管教務(wù)處長(zhǎng)的密級(jí)是機(jī)密級(jí)，可以看秘密級(jí)的文件，但教務(wù)處長(zhǎng)的部門(mén)屬性?xún)H是{教務(wù)處},他無(wú)權(quán)看財(cái)務(wù)處的信息。BLP模型的不足應(yīng)用領(lǐng)域較窄，使用不靈活，一般只用于軍方等具有明顯等級(jí)觀念的領(lǐng)域完整性方面控制的不夠好，強(qiáng)調(diào)信息向高安全級(jí)的方向流動(dòng)，對(duì)高安全級(jí)信息的完整性保護(hù)不夠.關(guān)于BLP安全模型說(shuō)法正確的是（）采用嚴(yán)格的形式化描述控制信息只能由低向高流動(dòng)上級(jí)對(duì)下級(jí)發(fā)文受到限制缺乏靈活、安全的授權(quán)機(jī)制ABCD提交多選題10分3、基于角色的訪問(wèn)控制20世紀(jì)90年代出現(xiàn)，可以有效地克服傳統(tǒng)訪問(wèn)控制技術(shù)中存在的不足之處，減少授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷(xiāo)。起源于UNIX系統(tǒng)等操作系統(tǒng)中組的概念基于角色的訪問(wèn)控制是一個(gè)復(fù)合的規(guī)則，可以被認(rèn)為是DAC和MAC的變體。一個(gè)身份被分配給一個(gè)被授權(quán)的組?；舅悸罚汗芾韱T創(chuàng)建角色，給角色分配權(quán)限，給角色分配用戶，角色所屬的用戶可以執(zhí)行相應(yīng)的權(quán)限所謂角色，就是一個(gè)或一組用戶在組織內(nèi)可執(zhí)行的操作的集合角色由系統(tǒng)管理員定義，角色成員的增減只能由系統(tǒng)管理員執(zhí)行，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，用戶只能被動(dòng)接受，用戶也不能自主的將訪問(wèn)權(quán)限傳給他人，這是一種非自主型訪問(wèn)控制每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合+一組操作權(quán)限的集合客體1客體2客體3用戶1用戶2用戶3角色1角色2權(quán)限a權(quán)限b權(quán)限c權(quán)限d三條安全原則:最小權(quán)限：用戶所擁有的權(quán)利不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限責(zé)任分離：多個(gè)互斥的角色合作完成重要工作數(shù)據(jù)抽象：可以定義抽象的權(quán)限，而不僅僅是操作系統(tǒng)中的讀、寫(xiě)、執(zhí)行等優(yōu)勢(shì)：便于授權(quán)管理、便于角色劃分、便于賦予最小權(quán)限原則、便于職責(zé)分離便于客體分類(lèi)4、基于任務(wù)的訪問(wèn)控制（Task-BasedAccessControl）1997年，P.K.Thomas

等人提出，他們認(rèn)為傳統(tǒng)的面向主體和客體的訪問(wèn)控制過(guò)于抽象和底層，不便于描述應(yīng)用領(lǐng)域的安全需求；從面向任務(wù)的觀點(diǎn)出發(fā)提出了基于任務(wù)的授權(quán)控制模型，但這種模型的最大不足在于比任何其他模型都要復(fù)雜。5、基于組機(jī)制的訪問(wèn)控制1988年，R.S.Sandhu等人該模型的基礎(chǔ)是偏序的維數(shù)理論，組的層次關(guān)系由維數(shù)為2的偏序關(guān)系（即Ntree樹(shù)）表示，通過(guò)比較組節(jié)點(diǎn)在Ntree中的屬性決定資源共享和權(quán)限隔離。該模型的創(chuàng)新在于提出了簡(jiǎn)單的組層次表示方法和自頂向下的組逐步細(xì)化模型。4.7、基于VPN的可信接入VPN－－VirtualPrivateNetwork，虛擬專(zhuān)用網(wǎng)依靠ISP（因特網(wǎng)服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公共的網(wǎng)絡(luò)中建立的僅在邏輯上存在的專(zhuān)線網(wǎng)。

一、概念與功能：1、VPN的概念2、VPN的功能數(shù)據(jù)機(jī)密性?xún)?nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)Internet密文傳輸明文傳輸密文傳輸數(shù)據(jù)完整性?xún)?nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專(zhuān)線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對(duì)原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性數(shù)據(jù)源身份認(rèn)證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專(zhuān)線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過(guò)保留負(fù)載長(zhǎng)度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長(zhǎng)序列號(hào)安全參數(shù)索引（SPI）下一頭部填充（0~255字節(jié)）下一頭部填充長(zhǎng)度認(rèn)證數(shù)據(jù)（變長(zhǎng)的）負(fù)載數(shù)據(jù)（變長(zhǎng)的）序列號(hào)安全參數(shù)索引（SPI）AH協(xié)議頭ESP協(xié)議頭SA建立之初，序列號(hào)初始化為0，使用該SA傳遞的第一個(gè)數(shù)據(jù)包序列號(hào)為1，序列號(hào)不允許重復(fù)，因此每個(gè)SA所能傳遞的最大IP報(bào)文數(shù)為232—1，當(dāng)序列號(hào)達(dá)到最大時(shí)，就需要建立一個(gè)新的SA，使用新的密鑰。防重演攻擊

二、VPN安全技術(shù)1.隧道技術(shù)（新）2.加解密技術(shù)

3.密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。一般分為對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密（專(zhuān)用密鑰與公用密鑰）。4.身份認(rèn)證技術(shù)最常用的是使用者名稱(chēng)與密碼或卡片式認(rèn)證等方式。1、點(diǎn)到點(diǎn)隧道協(xié)議

隧道技術(shù)是VPN的基本技術(shù)，類(lèi)似于點(diǎn)對(duì)點(diǎn)連接技術(shù)。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。第二層隧道協(xié)議有L2F、PPTP、L2TP等。第三層隧道協(xié)議有VTP、IPSec等。

2、第二層隧道協(xié)議公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2TP通道用于該層的協(xié)議主要有：

L2TP：Lay2TunnelingProtocolPPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：僅對(duì)通道的終端實(shí)體進(jìn)行身份認(rèn)證，而不認(rèn)證通道中流過(guò)的每一個(gè)數(shù)據(jù)報(bào)文，無(wú)法抵抗插入攻擊、地址