CISP0203鑒別與訪問(wèn)控制_30剖析

1、鑒別與訪問(wèn)控制鑒別與訪問(wèn)控制課程內(nèi)容課程內(nèi)容2鑒別與訪問(wèn)鑒別與訪問(wèn)控制控制知識(shí)體知識(shí)域訪問(wèn)控制模型訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制技術(shù)知識(shí)子域集中訪問(wèn)控制集中訪問(wèn)控制非集中訪問(wèn)控制非集中訪問(wèn)控制強(qiáng)制訪問(wèn)控制模型強(qiáng)制訪問(wèn)控制模型訪問(wèn)訪問(wèn)控制基本控制基本概念概念自主訪問(wèn)控制模型自主訪問(wèn)控制模型鑒別鑒別鑒別的類型鑒別的類型鑒別的方法鑒別的方法基于角色的訪問(wèn)基于角色的訪問(wèn)控制模型控制模型知識(shí)域：知識(shí)域：鑒別鑒別v知識(shí)子域：鑒別的類型 理解標(biāo)識(shí)、鑒別的概念和作用 理解單向鑒別、雙向鑒別和第三方鑒別的區(qū)別v知識(shí)子域：鑒別的方法 理解基于所知、所有和生物特征的三種基本鑒別方法及其特點(diǎn) 理解每種鑒別方法及組合

2、鑒別方法的強(qiáng)度3標(biāo)識(shí)標(biāo)識(shí)v標(biāo)識(shí)是實(shí)體身份的一種計(jì)算機(jī)表達(dá)，每個(gè)實(shí)體與計(jì)算機(jī)內(nèi)部的一個(gè)身份表達(dá)綁定v標(biāo)識(shí)的主要作用：訪問(wèn)控制和審計(jì) 訪問(wèn)控制：標(biāo)識(shí)用于控制是否允許特定的操作 審計(jì)：標(biāo)識(shí)用于跟蹤所有操作的參與者，參與者的任何操作都能被明確地標(biāo)識(shí)出來(lái)4鑒別鑒別v確認(rèn)實(shí)體是它所聲明的，提供了關(guān)于某個(gè)實(shí)體身份的保證，某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體 口令、挑戰(zhàn)-應(yīng)答、生物特征鑒別v所有其它的安全服務(wù)都依賴于該服務(wù)v需求：某一成員（聲稱者）提交一個(gè)主體的身份并聲稱它是那個(gè)主體v目的：使別的成員（驗(yàn)證者）獲得對(duì)聲稱者所聲稱的事實(shí)的信任5標(biāo)識(shí)和鑒別的作用標(biāo)識(shí)和鑒別的作用v作為訪問(wèn)控制的一種必要支持

3、，訪問(wèn)控制的執(zhí)行依賴于確知的身份 訪問(wèn)控制直接對(duì)機(jī)密性、完整性、可用性及合法使用資源提供支持v作為數(shù)據(jù)源認(rèn)證的一種方法 與數(shù)據(jù)完整性機(jī)制結(jié)合起來(lái)使用v作為審計(jì)追蹤的支持 在審計(jì)追蹤記錄時(shí)，提供與某一活動(dòng)關(guān)聯(lián)的確知身份6鑒別系統(tǒng)的組成鑒別系統(tǒng)的組成v被驗(yàn)證者P（Prover）：出示身份標(biāo)識(shí)的人，又稱聲稱者（Claimant）v驗(yàn)證者V（Verifier）：檢驗(yàn)聲稱者提出的身份標(biāo)識(shí)的正確性和合法性，決定是否滿足要求v可信賴者TP（Trusted Third Party）：參與鑒別的第三方，參與調(diào)解糾紛P VTP7鑒別的類型鑒別的類型v單向鑒別和雙向鑒別 單向鑒別：通信雙方中只有一方向另一方進(jìn)行鑒別

4、 雙向鑒別：通信雙方相互進(jìn)行鑒別 第三方鑒別：由可信第三方來(lái)確認(rèn)身份v本地鑒別和遠(yuǎn)程鑒別 本地鑒別：實(shí)體在本地環(huán)境的初始化鑒別 遠(yuǎn)程鑒別：連接遠(yuǎn)程設(shè)備的實(shí)體鑒別8鑒別的鑒別的方法方法v基于你所知道的（What you know ） 知識(shí)、口令、密碼v基于你所擁有的（What you have ） 身份證、信用卡、鑰匙、智能卡、令牌等v基于你的個(gè)人特征（What you are） 指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜v雙因素、多因素認(rèn)證9常見(jiàn)的鑒別技術(shù)常見(jiàn)的鑒別技術(shù)v基于口令的身份認(rèn)證v基于生物特征的身份認(rèn)證v基于個(gè)人令牌的身份認(rèn)證10基于口令的身份認(rèn)證基于口令的身份認(rèn)證v口令是使用最廣泛

5、的身份鑒別方法v選擇原則：易記、難猜測(cè)、抗分析能力強(qiáng)v口令提供弱鑒別，面臨的威脅： 口令猜測(cè) 線路竊聽(tīng) 重放攻擊 11防止線路竊聽(tīng)防止線路竊聽(tīng)v使用保護(hù)口令機(jī)制：?jiǎn)蜗蚝瘮?shù)v攻擊者很容易構(gòu)造一張q與p對(duì)應(yīng)的表，表中的p盡可能包含所期望的值 解決辦法：在口令后使用隨機(jī)數(shù)12一次性口令機(jī)制一次性口令機(jī)制v確保在每次鑒別中所使用的口令不同，以對(duì)付重放攻擊v口令的確定方法： 兩端共同擁有一串隨機(jī)口令，在該串的某一位置保持同步 兩端共同使用一個(gè)隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步 使用時(shí)間戳，兩端維持同步的時(shí)鐘13基于個(gè)人令牌的身份認(rèn)證基于個(gè)人令牌的身份認(rèn)證v集成電路卡（Integrated Ci

6、rcuit Card）簡(jiǎn)稱IC卡，其中鑲嵌集成電路芯片vIC卡的分類 IC卡接口類型 接觸式IC卡 非接觸式IC卡 雙界面卡 嵌入集成電路芯片的形式和類型 非加密存儲(chǔ)卡 邏輯加密卡 （EEPROMEEPROM存儲(chǔ)單元陣列存儲(chǔ)單元陣列 + + 密碼控制邏輯單元密碼控制邏輯單元) ) CPU卡（又稱智能卡）14智能卡的安全特性智能卡的安全特性v硬件 與外界通信前，先完成智能卡與終端間的認(rèn)證 加入安全傳感器，防止在數(shù)據(jù)被讀出或?qū)懭霑r(shí)被修改 發(fā)生異常，智能卡復(fù)位，或者置標(biāo)志位，使智能卡操作系統(tǒng)做出相應(yīng)反應(yīng) 存儲(chǔ)器加密，不保存任何明文v軟件 使用需要通過(guò)雙因素認(rèn)證，進(jìn)入操作智能卡的安全狀態(tài) 信息采用文件

7、系統(tǒng)進(jìn)行保存，依據(jù)類型或密鑰的不同，提供不同的訪問(wèn)操作 支持DES、3DES和RSA等密碼算法15基于生物特征的身份認(rèn)證（一）基于生物特征的身份認(rèn)證（一）v每個(gè)人所具有的唯一生理特征 指紋，視網(wǎng)膜，聲音，虹膜、語(yǔ)音、面部、簽名等v指紋 一些曲線和分叉以及一些非常微小的特征 提取指紋中的一些特征并且存儲(chǔ)這些特征信息：節(jié)省資源，快速查詢v手掌、手型 手掌有折痕，起皺，還有凹槽 還包括每個(gè)手指的指紋 人手的形狀（手的長(zhǎng)度，寬度和手指）表示了手的幾何特征 16基于生物特征的身份認(rèn)證（二）基于生物特征的身份認(rèn)證（二）v視網(wǎng)膜掃描 掃描眼球后方的視網(wǎng)膜上面的血管的圖案；v虹膜掃描 虹膜是眼睛中位于瞳孔周圍

8、的一圈彩色的部分 虹膜有其獨(dú)有的圖案，分叉，顏色，環(huán)狀，光環(huán)以及皺褶v語(yǔ)音識(shí)別 記錄時(shí)說(shuō)幾個(gè)不同的單詞，然后識(shí)別系統(tǒng)將這些單詞混雜在一起，讓他再次讀出給出的一系列單詞v面部掃描 人都有不同的骨骼結(jié)構(gòu)，鼻梁，眼眶，額頭和下顎形狀17指紋識(shí)別的實(shí)現(xiàn)原理指紋識(shí)別的實(shí)現(xiàn)原理v通過(guò)特殊的光電掃描和計(jì)算機(jī)圖像處理技術(shù)，對(duì)指紋進(jìn)行采集、分析和比對(duì)，自動(dòng)、迅速、準(zhǔn)確地認(rèn)證出個(gè)人身份。v指紋識(shí)別的過(guò)程 按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫(kù)中的模板指紋調(diào)出來(lái)，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出于同一幅指紋。指紋圖象采集儀圖象輸入通道指紋細(xì)節(jié)匹配認(rèn)證結(jié)果18虹膜識(shí)別的實(shí)現(xiàn)原理（一）

9、虹膜識(shí)別的實(shí)現(xiàn)原理（一）v虹膜是環(huán)繞在瞳孔四周有色彩的部分 每一個(gè)虹膜都包含一個(gè)獨(dú)一無(wú)二的基于像冠、水晶體、細(xì)絲、斑點(diǎn)、結(jié)構(gòu)、凹點(diǎn)、射線、皺紋和條紋等特征的結(jié)構(gòu) 每一個(gè)人的虹膜各不相同，一個(gè)人的左眼和右眼就可能不一樣，即使是雙胞胎的虹膜也可能不一樣 人的虹膜在出生后6-18個(gè)月成型后終生不再發(fā)生變化19虹膜識(shí)別的實(shí)現(xiàn)原理（二）虹膜識(shí)別的實(shí)現(xiàn)原理（二）20知識(shí)域：訪問(wèn)控制模型知識(shí)域：訪問(wèn)控制模型v知識(shí)子域：訪問(wèn)控制基本概念 理解訪問(wèn)控制的作用 理解主體、客體、訪問(wèn)權(quán)限等基本概念 理解訪問(wèn)控制模型的一般構(gòu)成v知識(shí)子域：自主訪問(wèn)控制 理解自主訪問(wèn)控制（DAC）的含義 理解DAC的常用描述方式訪問(wèn)控制

10、矩陣模型，及其兩種常見(jiàn)實(shí)現(xiàn)方法：訪問(wèn)控制表、能力表，了解其他實(shí)現(xiàn)方法如前綴表、保護(hù)位 理解DAC的特點(diǎn)21知識(shí)域：訪問(wèn)控制模型知識(shí)域：訪問(wèn)控制模型v知識(shí)子域：強(qiáng)制訪問(wèn)控制 理解強(qiáng)制訪問(wèn)控制（MAC）的分類和含義 理解典型MAC模型：Bell-Lapudula模型、Biba模型 了解Chinese Wall模型和Clark-Wilson模型 理解MAC的特點(diǎn)v知識(shí)子域：基于角色的訪問(wèn)控制 理解基于角色的訪問(wèn)控制（RBAC）模型的基本組成 理解RBAC的特點(diǎn)22訪問(wèn)控制的概念和目標(biāo)訪問(wèn)控制的概念和目標(biāo)v訪問(wèn)控制：針對(duì)越權(quán)使用資源的防御措施v目標(biāo)：防止對(duì)任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行

11、未授權(quán)的訪問(wèn)，從而使資源在授權(quán)范圍內(nèi)使用，決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。23訪問(wèn)控制的作用訪問(wèn)控制的作用v未授權(quán)訪問(wèn)：包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。 非法用戶對(duì)系統(tǒng)資源的使用 合法用戶對(duì)系統(tǒng)資源的非法使用v作用：機(jī)密性、完整性和可用性24主體與客體主體與客體v主體 發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，可以操作被動(dòng)實(shí)體的相關(guān)信息或數(shù)據(jù) 用戶、程序、進(jìn)程等v客體 一種被動(dòng)實(shí)體，被操作的對(duì)象，規(guī)定需要保護(hù)的資源 文件、存儲(chǔ)介質(zhì)、程序、進(jìn)程等25主體與客體之間的關(guān)系主體與客體之間的關(guān)系v主體：接收客體相關(guān)信息和數(shù)據(jù)，也可能改變客體相關(guān)信息v一個(gè)主體為了完成任務(wù)

12、，可以創(chuàng)建另外的主體，這些子主體可以在網(wǎng)絡(luò)上不同的計(jì)算機(jī)上運(yùn)行，并由父主體控制它們v客體：始終是提供、駐留信息或數(shù)據(jù)的實(shí)體v主體和客體的關(guān)系是相對(duì)的，角色可以互換26 授權(quán)授權(quán) v規(guī)定主體可以對(duì)客體執(zhí)行的操作： 讀 寫 執(zhí)行 拒絕訪問(wèn) 27主體標(biāo)識(shí)的實(shí)例主體標(biāo)識(shí)的實(shí)例v主體的標(biāo)識(shí) 在UNIX中，主體（用戶）的身份標(biāo)識(shí)為0-65535之間的一個(gè)整數(shù)，稱為用戶身份號(hào)（UID） 常見(jiàn)的主體標(biāo)識(shí)還包括用戶名、卡、令牌等，也可以是指紋、虹膜等生物特征28客體標(biāo)識(shí)的實(shí)例客體標(biāo)識(shí)的實(shí)例v客體的標(biāo)識(shí) 文件名 文件描述符或句柄 文件分配表的條目 UNIX中提供了四種不同的文件標(biāo)識(shí)： inode 文件描述符 絕對(duì)

13、路徑文件名 相對(duì)路徑文件名29訪問(wèn)控制的兩個(gè)重要過(guò)程訪問(wèn)控制的兩個(gè)重要過(guò)程v第一步：鑒別 檢驗(yàn)主體的合法身份v第二步：授權(quán) 限制用戶對(duì)資源的訪問(wèn)權(quán)限30訪問(wèn)控制模型訪問(wèn)控制模型主 體客 體訪問(wèn)控制實(shí)施訪問(wèn)控制決策提交訪問(wèn) 請(qǐng)求請(qǐng)求決策決 策提出訪問(wèn) 請(qǐng)求31v什么是訪問(wèn)控制模型 對(duì)一系列訪問(wèn)控制規(guī)則集合的描述，可以是非形式化的，也可以是形式化的。v組成訪問(wèn)控制模型的分類訪問(wèn)控制模型的分類訪問(wèn)控制模型強(qiáng)制訪問(wèn)控制模型（MAC）自主訪問(wèn)控制模型（DAC）訪問(wèn)矩陣模型訪問(wèn)控制列表（ACL）權(quán)能列表（Capacity List）Bell-Lapudula 模型Biba 模型Clark-Wilson 模

14、型Chinese Wall 模型保密性 模型完整性 模型基于角色訪問(wèn)控制模型（RBAC）混合策略模型32知識(shí)域：訪問(wèn)控制模型知識(shí)域：訪問(wèn)控制模型v知識(shí)子域：自主訪問(wèn)控制模型 理解自主訪問(wèn)控制的含義 理解訪問(wèn)控制矩陣模型，及其實(shí)現(xiàn)方法：訪問(wèn)控制列表、權(quán)能列表 理解自主訪問(wèn)控制模型的特點(diǎn)33自主訪問(wèn)控制的含義自主訪問(wèn)控制的含義v允許客體的屬主（創(chuàng)建者）決定主體對(duì)該客體的訪問(wèn)權(quán)限 靈活地調(diào)整安全策略 具有較好的易用性和可擴(kuò)展性 常用于商業(yè)系統(tǒng) 安全性不高34自主訪問(wèn)控制的實(shí)現(xiàn)機(jī)制和方法自主訪問(wèn)控制的實(shí)現(xiàn)機(jī)制和方法v實(shí)現(xiàn)機(jī)制 訪問(wèn)控制表/矩陣v實(shí)現(xiàn)方法 訪問(wèn)控制表（Access Control Lis

15、ts） 訪問(wèn)能力表（Capacity List） 35目標(biāo)xR、W、OwnR、W、Own目標(biāo)y目標(biāo)z用戶a用戶b用戶c用戶dRRR、W、OwnR、WR、W 目標(biāo)用戶 訪問(wèn)許可與訪問(wèn)模式訪問(wèn)許可與訪問(wèn)模式v訪問(wèn)許可訪問(wèn)許可(Access Permission)(Access Permission)： 描述主體對(duì)客體所具有的控制權(quán) 定義了改變?cè)L問(wèn)模式的能力或向其它主體傳送這種能力的能力v訪問(wèn)模式訪問(wèn)模式： 描述主體對(duì)客體所具有的訪問(wèn)權(quán) 指明主體對(duì)客體可進(jìn)行何種形式的特定訪問(wèn)操作：讀/寫/運(yùn)行 36訪問(wèn)許可的類型訪問(wèn)許可的類型v等級(jí)型（Hierarchical）v有主型（Owner） 每個(gè)客體設(shè)置一

16、個(gè)擁有者（一般是客體的生成者），擁有者是唯一有權(quán)修改客體訪問(wèn)控制表的主體，擁有者對(duì)其客體具有全部控制權(quán)v自由型（Laissez-faire）37訪問(wèn)模式的類型訪問(wèn)模式的類型v對(duì)文件的訪問(wèn)模式設(shè)置如下： 讀-拷貝 寫-刪除/更改 運(yùn)行 無(wú)效38訪問(wèn)控制矩陣訪問(wèn)控制矩陣v行：主體（用戶）v列：客體（文件）v矩陣元素：規(guī)定了相應(yīng)用戶對(duì)應(yīng)于相應(yīng)的文件被準(zhǔn)予的訪問(wèn)許可、訪問(wèn)權(quán)限客體客體x x客體客體y y客體客體z z主體aR、W、OwnR、W主體bRR、W、Own主體cR主體dR、WR、W39訪問(wèn)控制表訪問(wèn)控制表v訪問(wèn)控制矩陣按列：訪問(wèn)控制表v訪問(wèn)控制表：每個(gè)客體可以被訪問(wèn)的主體及權(quán)限客體y主體b主體

17、dRWOwnRW40訪問(wèn)能力表訪問(wèn)能力表v訪問(wèn)控制矩陣按行：訪問(wèn)能力表v訪問(wèn)能力表：每個(gè)主體可訪問(wèn)的客體及權(quán)限主體b客體x客體yRRWOwn41訪問(wèn)控制表與訪問(wèn)能力表的比較訪問(wèn)控制表與訪問(wèn)能力表的比較ACLACLCLCL保存位置客體主體瀏覽訪問(wèn)權(quán)限容易困難訪問(wèn)權(quán)限傳遞困難容易訪問(wèn)權(quán)限回收容易困難使用集中式系統(tǒng)分布式系統(tǒng)42自主訪問(wèn)控制的特點(diǎn)自主訪問(wèn)控制的特點(diǎn) v優(yōu)點(diǎn)： 根據(jù)主體的身份和訪問(wèn)權(quán)限進(jìn)行決策 具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體 靈活性高，被大量采用v缺點(diǎn)： 信息在傳遞過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變43強(qiáng)制訪問(wèn)控制的含義強(qiáng)制訪問(wèn)控制的含義v主體對(duì)客體的所有訪問(wèn)

18、請(qǐng)求按照強(qiáng)制訪問(wèn)控制策略進(jìn)行控制，客體的屬主無(wú)權(quán)控制客體的訪問(wèn)權(quán)限，以防止對(duì)信息的非法和越權(quán)訪問(wèn) 主體和客體分配有一個(gè)安全屬性 應(yīng)用于軍事等安全要求較高的系統(tǒng) 可與自主訪問(wèn)控制結(jié)合使用44常見(jiàn)強(qiáng)制訪問(wèn)控制模型常見(jiàn)強(qiáng)制訪問(wèn)控制模型vBLP模型 1973年提出的多級(jí)安全模型，影響了許多其他模型的發(fā)展，甚至很大程度上影響了計(jì)算機(jī)安全技術(shù)的發(fā)展vBiba模型 1977年，Biba提出的一種在數(shù)學(xué)上與BLP模型對(duì)偶的完整性保護(hù)模型vClark-Wilson模型 1987年，David Clark和David Wilson開發(fā)的以事務(wù)處理為基本操作的完整性模型，該模型應(yīng)用于多種商業(yè)系統(tǒng)vChinese W

19、all模型 1989年，D. Brewer和M. Nash提出的同等考慮保密性與完整性的安全策略模型，主要用于解決商業(yè)中的利益沖突45BLPBLP模型的組成模型的組成v主體集：Sv客體集：Ov安全級(jí)：密級(jí)和范疇 密級(jí)：絕密、機(jī)密、秘密、公開 范疇：NUC、EUR、USv偏序關(guān)系：支配 安全級(jí)L=(C,S)高于安全級(jí)L=(C,S)，當(dāng)且僅當(dāng)滿足以下關(guān)系：C C，S S46BLPBLP模型規(guī)則（一）模型規(guī)則（一）v簡(jiǎn)單安全特性： S可以讀O，當(dāng)且僅當(dāng)S的安全級(jí)可以支配O的安全級(jí)，且S對(duì)O具有自主型讀權(quán)限 向下讀v*特性： S可以寫O，當(dāng)且僅當(dāng)O的安全級(jí)可以支配S的安全級(jí)，且S對(duì)O具有自主型寫權(quán)限

20、向上寫47BLPBLP模型規(guī)則（二）模型規(guī)則（二）v當(dāng)一個(gè)高等級(jí)的主體必須與另一個(gè)低等級(jí)的主體通信，即高等級(jí)的主體寫信息到低等級(jí)的客體，以便低等級(jí)的主體可以讀 主體有一個(gè)最高安全等級(jí)和一個(gè)當(dāng)前安全等級(jí)，最高安全等級(jí)必須支配當(dāng)前等級(jí) 主體可以從最高安全等級(jí)降低下來(lái)，以便與低安全等級(jí)的實(shí)體通信48BLPBLP模型實(shí)例模型實(shí)例49BibaBiba模型的組成模型的組成v主體集：Sv客體集：Ov安全級(jí)：完整級(jí)和范疇 完整等級(jí)：Crucial，Very Important，Important 范疇：NUC、EUR、USv偏序關(guān)系：支配 完整級(jí)L=(C,S)高于完整級(jí)L=(C,S)，當(dāng)且僅當(dāng)滿足以下關(guān)系：C

21、 C，S S50BibaBiba模型規(guī)則與實(shí)例模型規(guī)則與實(shí)例vS可以讀O，當(dāng)且僅當(dāng)O的安全級(jí)支配S的安全級(jí)vS可以寫O，當(dāng)且僅當(dāng)S的安全級(jí)支配O的安全級(jí)51Clark-WilsonClark-Wilson模型的目標(biāo)模型的目標(biāo)v解決商業(yè)系統(tǒng)最關(guān)心的問(wèn)題：系統(tǒng)數(shù)據(jù)的完整性以及對(duì)這些操作的完整性v一致性狀態(tài)：數(shù)據(jù)滿足給定屬性，就稱數(shù)據(jù)處于一個(gè)一致性狀態(tài)n實(shí)例：今天到目前為止存入金額的總數(shù)：D今天到目前為止提取金額的總數(shù)：W昨天為止所有賬戶的金額總數(shù)：YB今天到目前為止所有賬戶的金額總數(shù)：TB一致性屬性：D+YB-W=TB52Clark-WilsonClark-Wilson模型模型 自由數(shù)據(jù)條目 Un

22、constrained Data Item (UDI) 受限數(shù)據(jù)條目 Constrained Data Item (CDI) 轉(zhuǎn)換程序 Transformation Procedure (TP) 完整性檢查程序 Integrity Verification Procedure (IVP) 數(shù)據(jù)庫(kù)服務(wù)器應(yīng)用程序服務(wù)器用戶TP轉(zhuǎn)換UD1為CDI1TP基于CDI1更新CDI2(訂單)和CDI3(賬單)IVP檢查所有訂單和賬單(CDI2/CDI3)Chinese WallChinese Wall模型的組成（一）模型的組成（一）v主體集：Sv客體集：O 無(wú)害客體：可以公開的數(shù)據(jù) 有害客體：會(huì)產(chǎn)生利益沖突

23、，需要限制的數(shù)據(jù)vPR(S)表示S曾經(jīng)讀取過(guò)的客體集合54Chinese WallChinese Wall模型的組成（二）模型的組成（二）v公司數(shù)據(jù)集CD：與某家公司相關(guān)的若干客體v利益沖突(COI)類：若干相互競(jìng)爭(zhēng)的公司的數(shù)據(jù)集銀行COI類銀行a銀行b銀行c石油公司COI類公司w公司u公司v公司x55Chinese WallChinese Wall模型規(guī)則模型規(guī)則v CW-簡(jiǎn)單安全特性：S能讀取O，當(dāng)且僅當(dāng)以下任一條件滿足： （1）存在一個(gè)O，它是S曾經(jīng)訪問(wèn)過(guò)的客體，并且 CD（O）= CD（O）（2）對(duì)于所有的客體O， O PR（S），則 COI（O） COI（O）（3）O是無(wú)害客體v C

24、W-*-特性： S能寫O，當(dāng)且僅當(dāng)以下兩個(gè)條件同時(shí)滿足： （1）CW-簡(jiǎn)單安全特性允許S讀O （2）在其它COI類上不存在該主體可以讀取的客體56Chinese WallChinese Wall模型實(shí)例模型實(shí)例57自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制的比較自主訪問(wèn)控制與強(qiáng)制訪問(wèn)控制的比較v自主訪問(wèn)控制n細(xì)粒度n靈活性高n配置效率低v強(qiáng)制訪問(wèn)控制n控制粒度大n靈活性不高n安全性強(qiáng)58基于角色的訪問(wèn)控制基于角色的訪問(wèn)控制v由NIST的Ferraiolo等人在90年代提出vNIST成立專門機(jī)構(gòu)進(jìn)行研究v1996年提出一個(gè)較完善的基于角色的訪問(wèn)控制參考模型RBAC9659RBAC RBAC 模型的基本思想模型的

25、基本思想vRBAC的基本思想是根據(jù)用戶所擔(dān)任的角色來(lái)決定用戶在系統(tǒng)中的訪問(wèn)權(quán)限。v一個(gè)用戶必須扮演某種角色，而且還必須激活這一角色，才能對(duì)一個(gè)對(duì)象進(jìn)行訪問(wèn)或執(zhí)行某種操作。安全管理員用戶角色/權(quán)限指定訪問(wèn)或操作激活60RBAC 96RBAC 96的組成的組成vRBAC0: 含有RBAC核心部分vRBAC1: 包含RBAC0，另含角色繼承關(guān)系(RH)vRBAC2: 包含RBAC0，另含限制(Constraints)vRBAC3: 包含所有層次內(nèi)容，是一個(gè)完整模型61RBAC RBAC 模型的組成（一）模型的組成（一）v用戶（User）：訪問(wèn)計(jì)算機(jī)資源的主體，用戶集合為 Uv角色（role）：一種崗

26、位，代表一種資格、權(quán)利和責(zé)任，角色集合為 Rv權(quán)限（permission）：對(duì)客體的操作權(quán)力，權(quán)限集合為 Pv用戶分配（User Assignment）n將用戶與角色關(guān)聯(lián)。n用戶 u與角色 r關(guān)聯(lián)后，將擁有 r的權(quán)限62RBAC RBAC 模型的組成（二）模型的組成（二）v權(quán)限分配（Permission Assignment）n將角色與權(quán)限關(guān)聯(lián)n權(quán)限 p與角色 r關(guān)聯(lián)后，角色 r將擁有權(quán)限 pv激活角色（Active Role）n角色只有激活才能起作用，否則不起作用n通過(guò)會(huì)話激活角色v會(huì)話（Session）n用戶要訪問(wèn)系統(tǒng)資源時(shí)，必須先建立一個(gè)會(huì)話n一次會(huì)話僅對(duì)應(yīng)一個(gè)用戶，一次會(huì)話可激活幾個(gè)角

27、色63RBAC RBAC 模型的基本機(jī)制模型的基本機(jī)制64RBACRBAC模型實(shí)例模型實(shí)例65RBACRBAC模型的特點(diǎn)模型的特點(diǎn)v便于授權(quán)管理（角色的變動(dòng)遠(yuǎn)遠(yuǎn)低于個(gè)體的變動(dòng)）v便于處理工作分級(jí)，如文件等資源分級(jí)管理v利用安全約束，容易實(shí)現(xiàn)各種安全策略，如最小特權(quán)、職責(zé)分離等v便于任務(wù)分擔(dān)，不同角色完成不同的任務(wù)66知識(shí)域：訪問(wèn)控制技術(shù)知識(shí)域：訪問(wèn)控制技術(shù)v知識(shí)子域：集中訪問(wèn)控制 理解集中訪問(wèn)控制的基本概念 理解實(shí)現(xiàn)集中訪問(wèn)控制的常用協(xié)議：Kerberos協(xié)議、AAA協(xié)議 了解三個(gè)常見(jiàn)的AAA協(xié)議：RADIUS、TACACS+和Diameter，以及每個(gè)協(xié)議的優(yōu)缺點(diǎn)v知識(shí)子域：非集中訪問(wèn)控制

28、理解非集中訪問(wèn)控制的基本概念 理解域等非集中訪問(wèn)控制的實(shí)現(xiàn)方式67單點(diǎn)登錄技術(shù)單點(diǎn)登錄技術(shù)v單點(diǎn)登錄（SSO，Single Sign-on） 用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以訪問(wèn)多個(gè)系統(tǒng)，不必重復(fù)輸入用戶名和密碼來(lái)確定身份 實(shí)質(zhì)是安全上下文（Security Context）或憑證（Credential）在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享v單點(diǎn)登錄的優(yōu)點(diǎn) 方便用戶 方便管理員 簡(jiǎn)化應(yīng)用系統(tǒng)開發(fā)68KerberosKerberos認(rèn)證協(xié)議認(rèn)證協(xié)議v美國(guó)麻省理工學(xué)院（MIT）為Athena項(xiàng)目開發(fā)的一種身份鑒別協(xié)議v“Kerberos”的本意是希臘神話中守護(hù)地獄之門的守護(hù)者 vKerberos提供

29、了一個(gè)網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證框架結(jié)構(gòu) 實(shí)現(xiàn)采用對(duì)稱密鑰加密技術(shù) 公開發(fā)布的Kerberos版本包括版本4和版本5 安全性、可靠性、可伸縮性、透明性69KerberosKerberos認(rèn)證協(xié)議使用條件認(rèn)證協(xié)議使用條件v有一個(gè)時(shí)鐘基本同步的環(huán)境v客戶機(jī)與KDC（ Key Distribution Center ）， KDC與服務(wù)器在協(xié)議工作前已經(jīng)有了各自的共享密鑰v組成 密鑰分發(fā)中心（KDC）：由兩個(gè)獨(dú)立的邏輯部分組成 認(rèn)證服務(wù)器AS（Authentication Server） 票據(jù)授權(quán)服務(wù)器TGS（Ticket Granting Server） 票據(jù)許可票據(jù)TGT70獲得票據(jù)許可票據(jù)獲得票據(jù)許可

30、票據(jù)71v 第一步：獲得票據(jù)許可票據(jù) 用戶登錄客戶機(jī)請(qǐng)求主機(jī)服務(wù) 認(rèn)證服務(wù)器（AS）在數(shù)據(jù)庫(kù)中驗(yàn)證用戶的訪問(wèn)權(quán)限，生成票據(jù)許可票據(jù)和會(huì)話密鑰，它們用由用戶口令導(dǎo)出的密鑰進(jìn)行加密AS客戶機(jī)請(qǐng)求票據(jù)許可票據(jù)(TGT)票據(jù)+會(huì)話密鑰TGT +（kc,tgs）獲得服務(wù)許可票據(jù)獲得服務(wù)許可票據(jù)72v 第二步：獲得服務(wù)許可票據(jù) 客戶機(jī)提示用戶輸入口令來(lái)對(duì)收到的報(bào)文進(jìn)行解密，然后將票據(jù)許可票據(jù)以及包含用戶名稱、網(wǎng)絡(luò)地址和時(shí)間的鑒別符發(fā)往票據(jù)授權(quán)服務(wù)器TGS 票據(jù)授權(quán)服務(wù)器TGS對(duì)票據(jù)和鑒別符進(jìn)行解密，驗(yàn)證請(qǐng)求，然后生成服務(wù)許可票據(jù)TGS客戶機(jī)請(qǐng)求服務(wù)許可票據(jù)(SGT)票據(jù)+會(huì)話密鑰SGT +（kc,s）獲得

31、服務(wù)獲得服務(wù)73v第三步：獲得服務(wù) 客戶機(jī)將票據(jù)和鑒別符發(fā)給服務(wù)器 服務(wù)器驗(yàn)證票據(jù)和鑒別符是否匹配，然后許可訪問(wèn)服務(wù)。如果需要雙向鑒別，服務(wù)器返回一個(gè)鑒別符服務(wù)器客戶機(jī)請(qǐng)求服務(wù)提供服務(wù)器鑒別符KerberosKerberos認(rèn)證協(xié)議的特點(diǎn)認(rèn)證協(xié)議的特點(diǎn)v優(yōu)點(diǎn) 單點(diǎn)登錄，只要用戶拿到了TGT并且該TGT沒(méi)有過(guò)期，就可以使用該TGT通過(guò)TGS完成到任一個(gè)服務(wù)器的認(rèn)證而不必重新輸入密碼 與授權(quán)機(jī)制相結(jié)合 支持雙向的身份認(rèn)證 通過(guò)交換“跨域密鑰”實(shí)現(xiàn)分布式網(wǎng)絡(luò)環(huán)境下的認(rèn)證v缺點(diǎn) AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS的性能和安全 時(shí)鐘同步問(wèn)題 身份認(rèn)證采用的是

32、對(duì)稱加密機(jī)制，隨用戶數(shù)量增加，密鑰管理較復(fù)雜74集中訪問(wèn)控制的基本概念及實(shí)現(xiàn)集中訪問(wèn)控制的基本概念及實(shí)現(xiàn)vRADIUS協(xié)議vTACACS協(xié)議vTACACS+協(xié)議vDiameter協(xié)議75RADIUSRADIUS協(xié)議協(xié)議v遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)（Remote Authentication Dial In User Service） 最初由Livingston公司提出，為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)，經(jīng)多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議 RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS （Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RAD

33、IUS的客戶端 基本設(shè)計(jì)組件有認(rèn)證、授權(quán)和記賬(AAA)(AAA)76RADIUSRADIUS協(xié)議的基本消息交互流程協(xié)議的基本消息交互流程應(yīng)用服務(wù)器遠(yuǎn)程訪問(wèn)服務(wù)器（RAS）/RADIUS客戶端RADIUS服務(wù)器1234RADIUSRADIUS協(xié)議的特點(diǎn)協(xié)議的特點(diǎn)v簡(jiǎn)單明確，可擴(kuò)充v使用UDP端口1812，1813；v不足： 口令傳輸一般為明文；可使用MD5進(jìn)行加密； 缺少丟包重傳機(jī)制RADIUSServerPSTN/ISDNCorporateNetwork78RADIUSClientTACACS+TACACS+協(xié)議協(xié)議v終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（ Terminal Access Controller