認(rèn)證授權(quán)與訪問控制

認(rèn)證、授權(quán)與訪問控制四道防線第一道防線：網(wǎng)絡(luò)與系統(tǒng)接入控制防止

第二道防線：用戶管理與資源訪問（數(shù)據(jù)存?。┛刂谱柚?/p>

第三道防線：病毒防范與動(dòng)態(tài)安全管理。檢測

第四道防線：災(zāi)難預(yù)防與系統(tǒng)恢復(fù)（備份）。糾正

第二道防線內(nèi)容1.信息認(rèn)證技術(shù)2.訪問控制技術(shù)3.數(shù)據(jù)庫安全技術(shù)一、信息認(rèn)證技術(shù)認(rèn)證和保密是信息安全的兩個(gè)重要方面，是兩個(gè)獨(dú)立的問題。保密：防止明文信息的泄露。認(rèn)證：防止第三方的主動(dòng)攻擊，是密碼學(xué)的一個(gè)重要分支。認(rèn)證的目的：?信源認(rèn)證：防冒充

?檢驗(yàn)發(fā)送信息的完整性認(rèn)證認(rèn)證：向一個(gè)實(shí)體確認(rèn)另一個(gè)實(shí)體確實(shí)是他自己。鑒別：實(shí)體鑒別數(shù)據(jù)完整性鑒別

基本的認(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證、數(shù)字摘要（雜湊函數(shù)）和簡單的身份認(rèn)證等。這些能夠提供信息完整性、防止抵賴和防止篡改等功能。信息認(rèn)證技術(shù)1雜湊函數(shù)與消息完整性2消息認(rèn)證碼3數(shù)字簽名4身份識(shí)別技術(shù)5口令管理1.雜湊函數(shù)與消息完整性雜湊函數(shù)H是一公開函數(shù)，用于將任意長的消息M映射為較短的、固定長度(128位）的一個(gè)值H(M)，作為認(rèn)證符，稱函數(shù)值H(M)為雜湊值、雜湊碼或消息摘要。雜湊碼是消息中所有比特的函數(shù)，因此提供了一種錯(cuò)誤檢測能力，即改變消息中任何一個(gè)比特或幾個(gè)比特都會(huì)使雜湊碼發(fā)生改變。Hash函數(shù)（單向散列函數(shù)）Hash：數(shù)字指紋、消息摘要、壓縮函數(shù)、雜湊函數(shù)、散列函數(shù)等Hash：雜燴菜：肉末、土豆和蔬菜等作成的通常呈褐色的菜。Hash函數(shù)：是一種能夠?qū)⑷我忾L度的消息映射到某一固定長度的消息摘要的函數(shù)。壓縮性、易計(jì)算雜湊函數(shù)用來提供消息認(rèn)證的6種方式消息與雜湊碼鏈接后用單鑰加密算法加密。由于所用密鑰僅為收發(fā)雙方A、B共享，因此可保證消息的確來自A并且未被篡改（完整性）。同時(shí)還由于消息和雜湊碼都被加密，這種方式還提供了保密性雜湊函數(shù)用來提供消息認(rèn)證的6種方式2.用單鑰加密算法僅對(duì)雜湊碼加密。這種方式用于不要求保密性的情況下，可減少處理負(fù)擔(dān)。保障數(shù)據(jù)的完整性3.只用發(fā)送方的公鑰加密雜湊碼。和②一樣，這種方式提供認(rèn)證性，又由于只有發(fā)送方能產(chǎn)生加密的雜湊碼，因此這種方式還對(duì)發(fā)送方發(fā)送的消息提供了數(shù)字簽名（不可否認(rèn)性），事實(shí)上這種方式就是數(shù)字簽名。PRaPUa4.消息的雜湊值用公鑰加密算法和發(fā)送方的秘密鑰加密后與消息鏈接，再對(duì)鏈接后的結(jié)果用單鑰加密算法加密，這種方式提供了保密性、完整性和不可否認(rèn)性PRaPUa使用這種方式時(shí)要求通信雙方共享一個(gè)秘密值S，A計(jì)算消息M和秘密值S鏈接在一起的雜湊值，并將此雜湊值附加到M后發(fā)往B。因B也有S，所以可重新計(jì)算雜湊值以對(duì)消息進(jìn)行認(rèn)證。由于秘密值S本身未被發(fā)送，敵手無法對(duì)截獲的消息加以篡改，也無法產(chǎn)生假消息。這種方式僅提供認(rèn)證和完整性。6.這種方式是在⑤中消息與雜湊值鏈接以后再增加單鑰加密運(yùn)算，從而又可提供保密性由于加密運(yùn)算的速度較慢，代價(jià)較高，而且很多加密算法還受到專利保護(hù)，因此在不要求保密性的情況下，方式②和③將比其他方式更具優(yōu)勢?！祀s湊函數(shù)應(yīng)滿足的條件雜湊函數(shù)的目的是為需認(rèn)證的數(shù)據(jù)產(chǎn)生一個(gè)“指紋”。為了能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)的認(rèn)證，雜湊函數(shù)應(yīng)滿足以下條件：函數(shù)的輸入可以是任意長。函數(shù)的輸出是固定長。已知x，求H(x)較為容易，可用硬件或軟件實(shí)現(xiàn)。已知h，求使得H(x)=h的x在計(jì)算上是不可行的，這一性質(zhì)稱為函數(shù)的單向性，稱H(x)為單向雜湊函數(shù)。已知x，找出y(y≠x)使得H(y)=H(x)在計(jì)算上是不可行的。如果單向雜湊函數(shù)滿足這一性質(zhì)，則稱其為弱單向雜湊函數(shù)。找出任意兩個(gè)不同的輸入x、y，使得H(y)=H(x)在計(jì)算上是不可行的。如果單向雜湊函數(shù)滿足這一性質(zhì)，則稱其為強(qiáng)單向雜湊函數(shù)。第⑤和第⑥個(gè)條件給出了雜湊函數(shù)無碰撞性的概念，如果雜湊函數(shù)對(duì)不同的輸入可產(chǎn)生相同的輸出，則稱該函數(shù)具有碰撞性。以上6個(gè)條件中，前3個(gè)是雜湊函數(shù)能用于消息認(rèn)證的基本要求。第4個(gè)條件（即單向性）則對(duì)使用秘密值的認(rèn)證技術(shù)(見圖(e))極為重要。假如雜湊函數(shù)不具有單向性，則攻擊者截獲M和C=H(S‖M)后，求C的逆S‖M，就可求出秘密值S。第5個(gè)條件使得敵手無法在已知某個(gè)消息時(shí)，找到與該消息具有相同雜湊值的另一消息。這一性質(zhì)用于雜湊值被加密情況時(shí)(見圖6.3(b)和圖6.3(c))防止敵手的偽造，由于在這種情況下，敵手可讀取傳送的明文消息M，因此能產(chǎn)生該消息的雜湊值H(M)。但由于敵手不知道用于加密雜湊值的密鑰，他就不可能既偽造一個(gè)消息M，又偽造這個(gè)消息的雜湊值加密后的密文EK[H(M)]。然而，如果第5個(gè)條件不成立，敵手在截獲明文消息及其加密的雜湊值后，就可按以下方式偽造消息：首先求出截獲的消息的雜湊值，然后產(chǎn)生一個(gè)具有相同雜湊值的偽造消息，最后再將偽造的消息和截獲的加密的雜湊值發(fā)往通信的接收方。第6個(gè)條件用于抵抗生日攻擊。常見的Hash函數(shù)

1).MD52).SHA-13).RIPEMD-1604).HMACMD5雜湊算法MD4是MD5雜湊算法的前身，由RonRivest于1990年10月作為RFC提出，1992年4月公布的MD4的改進(jìn)（RFC1320，1321）稱為MD5。算法描述MD5算法采用迭代型雜湊函數(shù)的一般結(jié)構(gòu)算法的輸入為任意長的消息（圖中為K比特），分為512比特長的分組，輸出為128比特的消息摘要。圖6.5MD5的算法框圖安全雜湊算法安全雜湊算法SHA(SecureHashAlgorithm)由美國NIST設(shè)計(jì)，于1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPSPUB180）公布。SHA-0是SHA的早期版本，SHA-0被公布后，NIST很快就發(fā)現(xiàn)了它的缺陷，修改后的版本稱為SHA-1，簡稱為SHA。SHA是基于MD4算法，其結(jié)構(gòu)與MD4非常類似。算法描述算法的輸入為小于264比特長的任意消息，分為512比特長的分組，輸出為160比特長的消息摘要。單向雜湊函數(shù)保護(hù)數(shù)據(jù)完整定長的雜湊值H(M)：是報(bào)文所有比特的函數(shù)值，并有差錯(cuò)檢測能力。報(bào)文中任意一比特或若干比特發(fā)生改變都將導(dǎo)致雜湊值（散列碼）發(fā)生改變。2.

消息認(rèn)證碼

消息認(rèn)證碼的定義及使用方式

消息認(rèn)證碼是指消息被一密鑰控制的公開函數(shù)作用后產(chǎn)生的、用作認(rèn)證符的、固定長度的數(shù)值，也稱為密碼校驗(yàn)和。此時(shí)需要通信雙方A和B共享一密鑰K。設(shè)A欲發(fā)送給B的消息是M，A首先計(jì)算MAC=CK(M)，其中CK(·)是密鑰控制的公開函數(shù)，然后向B發(fā)送M‖MAC，B收到后做與A相同的計(jì)算，求得一新MAC，并與收到的MAC做比較圖6.1MAC的基本使用方式如果僅收發(fā)雙方知道K，且B計(jì)算得到的MAC與接收到的MAC一致，則這一系統(tǒng)就實(shí)現(xiàn)了以下功能：接收方相信發(fā)送方發(fā)來的消息未被篡改，這是因?yàn)楣粽卟恢烂荑€，所以不能夠在篡改消息后相應(yīng)地篡改MAC，而如果僅篡改消息，則接收方計(jì)算的新MAC將與收到的MAC不同。接收方相信發(fā)送方不是冒充的，這是因?yàn)槌瞻l(fā)雙方外再無其他人知道密鑰，因此其他人不可能對(duì)自己發(fā)送的消息計(jì)算出正確的MAC。MAC函數(shù)與加密算法類似，不同之處為MAC函數(shù)不必是可逆的，因此與加密算法相比更不易被攻破。上述過程中，由于消息本身在發(fā)送過程中是明文形式，所以這一過程只提供認(rèn)證性而未提供保密性。為提供保密性可在MAC函數(shù)以后或以前進(jìn)行一次加密，而且加密密鑰也需被收發(fā)雙方共享?！?.1.2產(chǎn)生MAC的函數(shù)應(yīng)滿足的要求使用加密算法（單鑰算法或公鑰算法）加密消息時(shí)，其安全性一般取決于密鑰的長度。如果加密算法沒有弱點(diǎn)，則敵手只能使用窮搜索攻擊以測試所有可能的密鑰。如果密鑰長為k比特，則窮搜索攻擊平均將進(jìn)行2k-1個(gè)測試。特別地，對(duì)惟密文攻擊來說，敵手如果知道密文C，則將對(duì)所有可能的密鑰值Ki執(zhí)行解密運(yùn)算Pi=DKi(C)，直到得到有意義的明文。對(duì)MAC來說，由于產(chǎn)生MAC的函數(shù)一般都為多到一映射，如果產(chǎn)生n比特長的MAC，則函數(shù)的取值范圍即為2n個(gè)可能的MAC，函數(shù)輸入的可能的消息個(gè)數(shù)N>>2n，而且如果函數(shù)所用的密鑰為k比特，則可能的密鑰個(gè)數(shù)為2k。如果系統(tǒng)不考慮保密性，即敵手能獲取明文消息和相應(yīng)的MAC，那么在這種情況下要考慮敵手使用窮搜索攻擊來獲取產(chǎn)生MAC的函數(shù)所使用的密鑰。假定k>n，且敵手已得到M1和MAC1，其中MAC1=CK1（M1），敵手對(duì)所有可能的密鑰值Ki求MACi=CKi(M1)，直到找到某個(gè)Ki使得MACi=MAC1。由于不同的密鑰個(gè)數(shù)為2k，因此將產(chǎn)生2k個(gè)MAC，但其中僅有2n個(gè)不同，由于2k>2n，所以有很多密鑰（平均有2k/2n=2k-n個(gè)）都可產(chǎn)生出正確的MAC1，而敵手無法知道進(jìn)行通信的兩個(gè)用戶用的是哪一個(gè)密鑰，還必須按以下方式重復(fù)上述攻擊：第1輪 已知M1、MAC1，其中MAC1=CK(M1)。對(duì)所有2k個(gè)可能的密鑰計(jì)算MACi=CKi(M1)，得2k-n個(gè)可能的密鑰。第2輪 已知M2、MAC2，其中MAC2=CK(M2)。對(duì)上一輪得到的2k-n個(gè)可能的密鑰計(jì)算MACi=CKi(M2)，得2k-2×n個(gè)可能的密鑰。如此下去，如果k=αn，則上述攻擊方式平均需要α輪。例如，密鑰長為80比特，MAC長為32比特，則第1輪將產(chǎn)生大約248個(gè)可能密鑰，第2輪將產(chǎn)生216個(gè)可能的密鑰，第3輪即可找出正確的密鑰。如果密鑰長度小于MAC的長度，則第1輪就有可能找出正確的密鑰，也有可能找出多個(gè)可能的密鑰，如果是后者，則仍需執(zhí)行第2輪搜索。所以對(duì)消息認(rèn)證碼的窮搜索攻擊比對(duì)使用相同長度密鑰的加密算法的窮搜索攻擊的代價(jià)還要大。有些攻擊法卻不需要尋找產(chǎn)生MAC所使用的密鑰。例如，設(shè)M=(X1‖X2‖…‖Xm)是由64比特長的分組Xi(i=1,…,m)鏈接得到的，其消息認(rèn)證碼由以下方式得到：其中表示異或運(yùn)算，加密算法是電碼本模式的DES。因此，密鑰長為56比特，MAC長為64比特，如果敵手得到M‖CK(M)，那么敵手使用窮搜索攻擊尋找K將需做256次加密。然而敵手還可用以下方式攻擊系統(tǒng)：將X1到Xm-1分別用自己選取的Y1到Y(jié)m-1替換，求出Ym=Y1Y2…Ym-1Δ(M)，并用Ym替換Xm。因此敵手可成功偽造一新消息M′=Y1…Ym，且M′的MAC與原消息M的MAC相同?？紤]到MAC所存在的以上攻擊類型，可知它應(yīng)滿足以下要求，其中假定敵手知道函數(shù)C，但不知道密鑰K：如果敵手得到M和CK(M)，則構(gòu)造一滿足CK(M′)=CK(M)的新消息M′在計(jì)算上是不可行的。CK(M)在以下意義下是均勻分布的：隨機(jī)選取兩個(gè)消息M、M′，Pr[CK(M)=CK(M′)]=2-n，其中n為MAC的長。若M′是M的某個(gè)變換，即M′=f(M)，例如f為插入一個(gè)或多個(gè)比特，那么Pr[CK(M)=CK(M′)]=2-n。第1個(gè)要求是針對(duì)上例中的攻擊類型的，此要求是說敵手不需要找出密鑰K而偽造一個(gè)與截獲的MAC相匹配的新消息在計(jì)算上是不可行的。第2個(gè)要求是說敵手如果截獲一個(gè)MAC，則偽造一個(gè)相匹配的消息的概率為最小。最后一個(gè)要求是說函數(shù)C不應(yīng)在消息的某個(gè)部分或某些比特弱于其他部分或其他比特，否則敵手獲得M和MAC后就有可能修改M中弱的部分，從而偽造出一個(gè)與原MAC相匹配的新消息。3.數(shù)字簽名需求簽名報(bào)文鑒別與數(shù)字簽名報(bào)文鑒別用來防護(hù)通信雙方免受任何第三方的主動(dòng)攻擊，數(shù)字簽名防止通信雙方的爭執(zhí)與互相攻擊。它是一種包括防止源點(diǎn)或終點(diǎn)抵賴的鑒別技術(shù)。因?yàn)榘l(fā)方和收方之間存在欺騙或抵賴。計(jì)算機(jī)通信網(wǎng)上從事貿(mào)易和有關(guān)事務(wù)的環(huán)境下提出和需要研究的問題。

消息認(rèn)證就是驗(yàn)證所收到的消息確實(shí)是來自真正的發(fā)送方且未被篡改的過程，它也可驗(yàn)證消息的順序和及時(shí)性。數(shù)字簽名是一種包括防止源點(diǎn)或終點(diǎn)抵賴的認(rèn)證技術(shù)。DigitalSignatures

數(shù)字簽名與不可否認(rèn)性數(shù)字簽名：附加在數(shù)據(jù)單元上的一些數(shù)據(jù)或是對(duì)數(shù)據(jù)單元所做的密碼交換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并且保護(hù)數(shù)據(jù)，防止被人偽造?？沟仲囆裕悍乐拱l(fā)送者否認(rèn)發(fā)送過數(shù)據(jù)或其數(shù)據(jù)內(nèi)容以及接收者否認(rèn)收到過的特性。

數(shù)字簽名的功能：通信雙方發(fā)生爭執(zhí)時(shí)：否認(rèn)、偽造、冒充、篡改作用：認(rèn)證、核準(zhǔn)、生效

數(shù)字簽名種類：1）對(duì)整體消息的簽字2）對(duì)壓縮消息的簽字?jǐn)?shù)字簽名過程1）系統(tǒng)初始化過程2）簽名產(chǎn)生過程3）簽名驗(yàn)證過程

數(shù)字簽名方案（實(shí)現(xiàn)方法）：一般基于數(shù)學(xué)難題離散對(duì)數(shù)問題：ElGamal、DSA

因子分解問題：RSA

二次剩余問題：Rabin

數(shù)字簽名體制：(P,A,K,S,V)----簽字體制明文空間P簽名集合A密鑰空間K簽名算法S證實(shí)算法V

數(shù)字簽名有以下特點(diǎn)：簽名是可信的簽名不可偽造簽名不可重用簽名的文件是不可改變的簽名是不可抵賴的4.身份識(shí)別技術(shù)身份認(rèn)證：證實(shí)實(shí)體的身份消息認(rèn)證：證實(shí)報(bào)文的合法性和完整性傳統(tǒng)上：生理面貌聲音筆跡習(xí)慣動(dòng)作等身份認(rèn)證1單機(jī)狀態(tài)下的身份認(rèn)證2網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證身份識(shí)別技術(shù)分類：基于密碼技術(shù)的各種電子ID身份識(shí)別技術(shù)：使用通行字（口令）使用持證的方式加密、數(shù)字簽名、基于口令的用戶認(rèn)證是實(shí)現(xiàn)安全通信的一些最基本的密碼技術(shù)。基于生物特征識(shí)別的識(shí)別技術(shù)身份驗(yàn)證(單機(jī))所知：口令、密碼、PIN所有：證件、IC卡所做：簽名生物特征：指紋、視網(wǎng)膜、DNA等可靠第三方鑒別：網(wǎng)絡(luò)環(huán)境身份認(rèn)證S/KeyPPPRADIUSKerberosSSOX.5095.口令管理入侵者面對(duì)的第一條防線是口令系統(tǒng)。

ID&口令保護(hù)口令文件的兩種常用方法：1單向加密：口令從不以明文存儲(chǔ)2訪問控制：口令保護(hù)口令選擇原則：用戶容易記憶而又不容易被猜測的口令。容易記憶難以猜測誤區(qū)：生日、姓、名、單詞、電話號(hào)碼、身份證號(hào)、門牌號(hào)、只用小寫字母、所有系統(tǒng)一個(gè)口令等。

避免猜測口令的技術(shù)：用戶教育計(jì)算機(jī)生成口令口令自檢查口令預(yù)檢查器

良好密碼策略構(gòu)成：至少8字符長至少有一個(gè)數(shù)字既有大寫字母又有小寫字母至少有一個(gè)非標(biāo)準(zhǔn)字符口令的長度根據(jù)訪問等級(jí)和信息系統(tǒng)處理國家秘密信息的密級(jí)規(guī)定。

絕密級(jí)口令不應(yīng)少于12個(gè)字符（6個(gè)漢字）機(jī)密級(jí)口令不應(yīng)少于10個(gè)字符（5個(gè)漢字）秘密級(jí)口令不應(yīng)少于8個(gè)字符（4個(gè)漢字）例：句子的第一個(gè)字母組合：Fourscoreandsevenyearsago，F(xiàn)s&7yA,PasswordManagementfront-linedefenseagainstintrudersuserssupplyboth:login–determinesprivilegesofthatuserpassword–toidentifythempasswordsoftenstoredencryptedUnixusesmultipleDES(variantwithsalt)morerecentsystemsusecryptohashfunctionManagingPasswordsneedpoliciesandgoodusereducationensureeveryaccounthasadefaultpasswordensureuserschangethedefaultpasswordstosomethingtheycanrememberprotectpasswordfilefromgeneralaccesssettechnicalpoliciestoenforcegoodpasswordsminimumlength(>6)requireamixofupper&lowercaseletters,numbers,punctuationblockknowdictionarywordsManagingPasswordsmayreactivelyrunpasswordguessingtoolsnotethatgooddictionariesexistforalmostanylanguage/interestgroupmayenforceperiodicchangingofpasswordshavesystemmonitorfailedloginattempts,&lockoutaccountifseetoomanyinashortperioddoneedtoeducateusersandgetsupportbalancerequirementswithuseracceptancebeawareofsocialengineeringattacksProactivePasswordCheckingmostpromisingapproachtoimprovingpasswordsecurityallowuserstoselectownpasswordbuthavesystemverifyitisacceptablesimpleruleenforcement(seepreviousslide)compareagainstdictionaryofbadpasswordsusealgorithmic(markovmodelorbloomfilter)todetectpoorchoices

身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡。訪問控制和審計(jì)系統(tǒng)都要依賴于身份認(rèn)證系統(tǒng)提供的信息——用戶的身份。黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)。字典式攻擊（窮舉攻擊）社交工程口令攻擊者獲取口令的技術(shù)使用系統(tǒng)提供的標(biāo)準(zhǔn)賬戶和默認(rèn)口令。窮盡所有的短口令（1-3字符）嘗試在線詞典中的單詞或看似口令的單詞列表。收集用戶的信息。如用戶的全稱、配偶、孩子的名字、辦公室中的圖片、興趣有關(guān)圖書嘗試用戶的電話號(hào)碼、社保號(hào)碼、學(xué)號(hào)、房間號(hào)碼

本國合法牌照號(hào)碼用特洛伊木馬逃避訪問控制——難以防范竊聽遠(yuǎn)程用戶和主機(jī)系統(tǒng)之間的線路。——線路竊聽

故不知諸侯之謀者，不能豫交；不知山林、險(xiǎn)阻、沮澤之行者，不能行軍；不用鄉(xiāng)導(dǎo)者，不能得地利?！獙O子?軍爭篇二、訪問控制技術(shù)1訪問控制2安全策略3訪問控制模型4訪問控制方案5可信系統(tǒng)1.訪問控制是針對(duì)越權(quán)使用資源的防御措施。訪問控制：對(duì)進(jìn)入系統(tǒng)的用戶進(jìn)行控制。允許使用那些資源，在什么地方適合阻止未授權(quán)訪問的過程。訪問控制機(jī)制：決定和實(shí)施一個(gè)實(shí)體的訪問權(quán)。拒絕使用非授權(quán)資源或以不正當(dāng)方式使用授權(quán)資源。-授權(quán)

訪問控制是通過一組機(jī)制控制不同級(jí)別的主體對(duì)目標(biāo)資源的不同授權(quán)訪問，對(duì)主體認(rèn)證之后實(shí)施網(wǎng)絡(luò)資源安全管理使用。

訪問控制的目的是防止對(duì)信息系統(tǒng)資源的非授權(quán)訪問和非授權(quán)使用信息系統(tǒng)資源。

資源訪問控制：保護(hù)系統(tǒng)資源，防止非授權(quán)訪問和非授權(quán)使用。“進(jìn)來能干什么”。

訪問控制的作用：對(duì)想訪問系統(tǒng)和數(shù)據(jù)的人進(jìn)行識(shí)別，并檢驗(yàn)其身份。防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源。訪問控制的實(shí)質(zhì)就是控制對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)訪問的方法。即：1）

阻止非法用戶進(jìn)入系統(tǒng)。2）

允許合法用戶進(jìn)入系統(tǒng)。3）

合法人按其權(quán)限進(jìn)行各種信息的活動(dòng)。訪問控制的基本任務(wù)：防止非法用戶進(jìn)入系統(tǒng)，防止合法用戶對(duì)系統(tǒng)資源的非法使用，對(duì)用戶進(jìn)行識(shí)別和認(rèn)證，確定該用戶對(duì)某一系統(tǒng)資源的訪問權(quán)限。

2.安全策略：首先要分析自己的網(wǎng)絡(luò)，確定需要何種層次的保護(hù)水平。需要保護(hù)那些資源：1）物理資源：任何具有物理形式的計(jì)算機(jī)資源，包括工作站、服務(wù)器、終端、網(wǎng)絡(luò)集線器及其他外圍設(shè)備。2）智力資源：以電子形式存在的、屬于公司業(yè)務(wù)活動(dòng)范圍之內(nèi)的任何形式的信息，包括軟件、金融信息、數(shù)據(jù)記錄、產(chǎn)品示意圖或零件設(shè)計(jì)圖。3）時(shí)間資源：評(píng)估由于失去時(shí)間可能給公司帶來損失，引起后果。4）認(rèn)知資源：體現(xiàn)在公眾認(rèn)知方面。

安全策略應(yīng)以事件為中心設(shè)計(jì)，應(yīng)具有：1）

一致性：2）

可行性：3）

被公司接受：4）

遵守當(dāng)?shù)胤桑毫己冒踩呗缘臉?gòu)成：

訪問能力

制定安全目標(biāo)

定義每項(xiàng)問題

用戶機(jī)構(gòu)所處的地位

策略評(píng)價(jià)

何時(shí)實(shí)施策略

地位和責(zé)任

不遵守策略的后果

進(jìn)一步信息

隱私級(jí)別

沒有專門規(guī)定的問題

安全策略是安全機(jī)制（加解密、數(shù)字簽名、信息認(rèn)證）、安全連接（密鑰分配生成、身份驗(yàn)證）、安全協(xié)議的有機(jī)組合方式。含以下兩個(gè)方面：認(rèn)證流程：驗(yàn)核與傳播的方法訪問控制方案：訪問手段、訪問權(quán)限

訪問控制策略：

說明允許使用公司設(shè)備進(jìn)行何種類型訪問的策略。訪問控制策略規(guī)定網(wǎng)絡(luò)不同部分允許的數(shù)據(jù)流向，還會(huì)指定那些類型的傳輸是允許的，其他傳輸都將被阻塞。訪問控制策略有助于保證正確選擇防火墻產(chǎn)品。訪問控制策略：關(guān)鍵：表達(dá)方式（如安全標(biāo)簽）管理方式（如強(qiáng)制式）。

CCITTRec.X.800/ISO7498-2把訪問控制策略分為兩類：

1）基于規(guī)則的安全策略：被發(fā)起者施加在安全域中任何目標(biāo)上的所有訪問請(qǐng)求。根據(jù)安全標(biāo)簽含義陳述的，是一種特殊類型。訪問決策：發(fā)起者和目標(biāo)安全標(biāo)簽進(jìn)行比較。授權(quán)依賴于敏感性。2）基于身份的訪問控制策略：單個(gè)，一群或代表發(fā)起者行為的實(shí)體或扮演特定角色的原發(fā)者的規(guī)則。發(fā)起者群組或扮演特定角色發(fā)起者含義陳述的，是一種類型。對(duì)發(fā)起者，群組和角色進(jìn)行組合?；谏舷挛哪軌蛐薷幕谝?guī)則或者基于身份的訪問控制策略。上下文規(guī)則可在實(shí)際上定義整體策略，實(shí)系統(tǒng)通常使用這兩種策略類型的組合。

基于規(guī)則的安全策略：安全策略的基礎(chǔ)是強(qiáng)加于全體用戶的總體規(guī)則。這些規(guī)則往往依賴于把被訪問資源的敏感性與用戶、用戶群或代表用戶活動(dòng)的實(shí)體的相應(yīng)屬性進(jìn)行比較。

基于身份的安全策略：安全策略的基礎(chǔ)是用戶或用戶群的身份或?qū)傩?，或者是代表用戶進(jìn)行活動(dòng)的實(shí)體以及被訪問的資源或客體的身份和屬性。基于身份的訪問控制策略包括基于個(gè)人的策略和基于組的策略。3.訪問控制模型有以下幾種模型：DACMACRBACTBACOBAC訪問控制模型：1.自主訪問控制（DiscretionaryAccessControlDAC）：系統(tǒng)資源的擁有者能夠?qū)λ械馁Y源分配不同的訪問權(quán)限，辨別各用戶的基礎(chǔ)上實(shí)現(xiàn)訪問控制。2.強(qiáng)制訪問控制（MandatoryAccessControlMAC）：系統(tǒng)（管理員）來分配訪問權(quán)限和實(shí)施控制，對(duì)用戶和資源都分配一個(gè)特殊的安全屬性（訪問權(quán)限），系統(tǒng)比較用戶和資源的安全屬性來決定該用戶能否可訪問該資源。常用敏感標(biāo)記，實(shí)現(xiàn)多級(jí)安全控制。3.選擇性（基于角色的）訪問控制：基于主體或主體所在組的身份。DAC自主訪問控制DAC：

又稱任意訪問控制。

允許某個(gè)主體顯式地指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問以及可執(zhí)行的訪問類型。特點(diǎn)：授權(quán)的實(shí)施主體自主負(fù)責(zé)賦予和回收其它主體對(duì)客體資源的訪問權(quán)限。MAC強(qiáng)制訪問控制MAC：

系統(tǒng)強(qiáng)制主體服從訪問控制政策。

MAC的訪問控制關(guān)系：用上讀/下寫來保證數(shù)據(jù)完整性用下讀/上寫來保證數(shù)據(jù)保密性MAC是多級(jí)訪問控制策略，主要特點(diǎn)是系統(tǒng)對(duì)訪問主體和受控對(duì)象實(shí)行強(qiáng)制訪問控制。

多級(jí)安全信息系統(tǒng)：將敏感信息與通常資源分開隔離的系統(tǒng)。將信息資源按安全屬性分級(jí)考慮：1有層次的安全級(jí)別：TS、S、C、RS、U2無層次的安全級(jí)別MAC模型幾種主要模型：1Lattice模型：2BellLaPadula模型：主要用于軍事，維護(hù)保密性。3Biba模型：從完整性角度出發(fā)RBAC基于角色的訪問控制RBAC：“角色”：是指執(zhí)行特定任務(wù)的能力。TBAC基于任務(wù)的訪問控制模型：OBAC基于對(duì)象的訪問控制模型：4.訪問控制方案訪問控制列表（ACL）：訪問控制矩陣：權(quán)利方案基于標(biāo)簽的方案基于上下文的方案AccessControlMatrixAccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(fileorresource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilitytickets

訪問控制系統(tǒng)一般包括以下幾個(gè)實(shí)體：主體Subject：進(jìn)程客體Object：訪問權(quán)：限制主體對(duì)客體的訪問權(quán)限。數(shù)據(jù)訪問控制操作系統(tǒng)可以通過管理用戶文檔來控制用戶對(duì)數(shù)據(jù)的訪問。數(shù)據(jù)庫管理系統(tǒng)則需要對(duì)特定的記錄或者一部分記錄進(jìn)行訪問控制。

間事未發(fā)，而先聞?wù)?，間與所告者皆死。

——孫子?用間篇5.TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asub