CISP培训鉴别与访问控制培训课件

路漫漫其悠远路漫漫其悠远少壮不努力，老大徒悲伤少壮不努力，老大徒悲伤少壮不努力，老大徒悲伤少壮不努力，老大徒悲伤2024/5/4CISP培训鉴别与访问控培训鉴别与访问控制培训课件制培训课件路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂课程内容课程内容鉴别与访问鉴别与访问控制控制知识体知识域访问控制模型访问控制模型访问控制技术访问控制技术知识子域集中访问控制集中访问控制非集中访问控制非集中访问控制强制访问控制模型强制访问控制模型访问控制基本概念访问控制基本概念自主访问控制模型自主访问控制模型鉴别鉴别鉴别的类型鉴别的类型鉴别的方法鉴别的方法基于角色的访问控制模型基于角色的访问控制模型路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂知识域：鉴别知识域：鉴别v知识子域：鉴别的类型理解标识、鉴别的概念和作用理解单向鉴别、双向鉴别和第三方鉴别的区别v知识子域：鉴别的方法理解基于所知、所有和生物特征的三种基本鉴别方法及其特点理解每种鉴别方法及组合鉴别方法的强度路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂标识标识v标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定v标识的主要作用：访问控制和审计访问控制：标识用于控制是否允许特定的操作审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂鉴别鉴别v确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体口令、挑战-应答、生物特征鉴别v所有其它的安全服务都依赖于该服务v需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体v目的：使别的成员（验证者）获得对声称者所声称的事实的信任路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂标识和鉴别的作用标识和鉴别的作用v作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份访问控制直接对机密性、完整性、可用性及合法使用资源提供支持v作为数据源认证的一种方法与数据完整性机制结合起来使用v作为审计追踪的支持在审计追踪记录时，提供与某一活动关联的确知身份路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂鉴别系统的组成鉴别系统的组成v被验证者P（Prover）：出示身份标识的人，又称声称者（Claimant）v验证者V（Verifier）：检验声称者提出的身份标识的正确性和合法性，决定是否满足要求v可信赖者TP（Trusted Third Party）：参与鉴别的第三方，参与调解纠纷PVTP路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂鉴别的类型鉴别的类型v单向鉴别和双向鉴别单向鉴别：通信双方中只有一方向另一方进行鉴别双向鉴别：通信双方相互进行鉴别第三方鉴别：由可信第三方来确认身份v本地鉴别和远程鉴别本地鉴别：实体在本地环境的初始化鉴别远程鉴别：连接远程设备的实体鉴别路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂鉴别的方法鉴别的方法v基于你所知道的（What you know）知识、口令、密码v基于你所拥有的（What you have）身份证、信用卡、钥匙、智能卡、令牌等v基于你的个人特征（What you are）指纹，笔迹，声音，手型，脸型，视网膜，虹膜v双因素、多因素认证路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂常见的鉴别技术常见的鉴别技术v基于口令的身份认证v基于生物特征的身份认证v基于个人令牌的身份认证路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂基于口令的身份认证基于口令的身份认证v口令是使用最广泛的身份鉴别方法v选择原则：易记、难猜测、抗分析能力强v口令提供弱鉴别，面临的威胁：口令猜测线路窃听重放攻击路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂防止线路窃听防止线路窃听v使用保护口令机制：单向函数v攻击者很容易构造一张q与p对应的表，表中的p尽可能包含所期望的值解决办法：在口令后使用随机数路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂一次性口令机制一次性口令机制v确保在每次鉴别中所使用的口令不同，以对付重放攻击v口令的确定方法：两端共同拥有一串随机口令，在该串的某一位置保持同步两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步使用时间戳，两端维持同步的时钟路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂基于个人令牌的身份认证基于个人令牌的身份认证v集成电路卡（Integrated Circuit Card）简称IC卡，其中镶嵌集成电路芯片vIC卡的分类IC卡接口类型接触式IC卡非接触式IC卡双界面卡嵌入集成电路芯片的形式和类型非加密存储卡逻辑加密卡（EEPROMEEPROM存储单元阵列存储单元阵列+密码控制逻辑单元密码控制逻辑单元)CPU卡（又称智能卡）路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂智能卡的安全特性智能卡的安全特性v硬件与外界通信前，先完成智能卡与终端间的认证加入安全传感器，防止在数据被读出或写入时被修改发生异常，智能卡复位，或者置标志位，使智能卡操作系统做出相应反应存储器加密，不保存任何明文v软件使用需要通过双因素认证，进入操作智能卡的安全状态信息采用文件系统进行保存，依据类型或密钥的不同，提供不同的访问操作支持DES、3DES和RSA等密码算法路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂基于生物特征的身份认证（一）基于生物特征的身份认证（一）v每个人所具有的唯一生理特征指纹，视网膜，声音，虹膜、语音、面部、签名等v指纹一些曲线和分叉以及一些非常微小的特征提取指纹中的一些特征并且存储这些特征信息：节省资源，快速查询v手掌、手型 手掌有折痕，起皱，还有凹槽还包括每个手指的指纹 人手的形状（手的长度，宽度和手指）表示了手的几何特征 路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂基于生物特征的身份认证（二）基于生物特征的身份认证（二）v视网膜扫描 扫描眼球后方的视网膜上面的血管的图案；v虹膜扫描 虹膜是眼睛中位于瞳孔周围的一圈彩色的部分虹膜有其独有的图案，分叉，颜色，环状，光环以及皱褶v语音识别 记录时说几个不同的单词，然后识别系统将这些单词混杂在一起，让他再次读出给出的一系列单词v面部扫描 人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形状路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂指纹识别的实现原理指纹识别的实现原理v通过特殊的光电扫描和计算机图像处理技术，对指纹进行采集、分析和比对，自动、迅速、准确地认证出个人身份。v指纹识别的过程按照用户和姓名等信息将其存在指纹数据库中的模板指纹调出来，然后再用用户输入的指纹与该模板的指纹相匹配，以确定这两幅指纹是否出于同一幅指纹。指纹图象采集仪图象输入通道指纹细节匹配认证结果路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂虹膜识别的实现原理（一）虹膜识别的实现原理（一）v虹膜是环绕在瞳孔四周有色彩的部分每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构每一个人的虹膜各不相同，一个人的左眼和右眼就可能不一样，即使是双胞胎的虹膜也可能不一样人的虹膜在出生后6-18个月成型后终生不再发生变化路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂虹膜识别的实现原理（二）虹膜识别的实现原理（二）路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂知识域：访问控制模型知识域：访问控制模型v知识子域：访问控制基本概念理解访问控制的作用理解主体、客体、访问权限等基本概念理解访问控制模型的一般构成v知识子域：自主访问控制理解自主访问控制（DAC）的含义理解DAC的常用描述方式访问控制矩阵模型，及其两种常见实现方法：访问控制表、能力表，了解其他实现方法如前缀表、保护位理解DAC的特点路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂知识域：访问控制模型知识域：访问控制模型v知识子域：强制访问控制理解强制访问控制（MAC）的分类和含义理解典型MAC模型：Bell-Lapudula模型、Biba模型了解Chinese Wall模型和Clark-Wilson模型理解MAC的特点v知识子域：基于角色的访问控制理解基于角色的访问控制（RBAC）模型的基本组成理解RBAC的特点路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制的概念和目标访问控制的概念和目标v访问控制：针对越权使用资源的防御措施v目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制的作用访问控制的作用v未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用v作用：机密性、完整性和可用性路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂主体与客体主体与客体v主体发起者，是一个主动的实体，可以操作被动实体的相关信息或数据用户、程序、进程等v客体一种被动实体，被操作的对象，规定需要保护的资源文件、存储介质、程序、进程等路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂主体与客体之间的关系主体与客体之间的关系v主体：接收客体相关信息和数据，也可能改变客体相关信息v一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们v客体：始终是提供、驻留信息或数据的实体v主体和客体的关系是相对的，角色可以互换路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂 授权授权 v规定主体可以对客体执行的操作：读写执行拒绝访问路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂主体标识的实例主体标识的实例v主体的标识在UNIX中，主体（用户）的身份标识为0-65535之间的一个整数，称为用户身份号（UID）常见的主体标识还包括用户名、卡、令牌等，也可以是指纹、虹膜等生物特征路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂客体标识的实例客体标识的实例v客体的标识文件名文件描述符或句柄文件分配表的条目UNIX中提供了四种不同的文件标识：inode文件描述符绝对路径文件名相对路径文件名路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制的两个重要过程访问控制的两个重要过程v第一步：鉴别检验主体的合法身份v第二步：授权限制用户对资源的访问权限路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制模型访问控制模型主体客体访问控制实施访问控制决策提交访问请求请求决策决策提出访问请求v什么是访问控制模型对一系列访问控制规则集合的描述，可以是非形式化的，也可以是形式化的。v组成路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制模型的分类访问控制模型的分类访问控制模型强制访问控制模型（MAC）自主访问控制模型（DAC）访问矩阵模型访问控制列表（ACL）权能列表（Capacity List）Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色访问控制模型（RBAC）混合策略模型路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂知识域：访问控制模型知识域：访问控制模型v知识子域：自主访问控制模型理解自主访问控制的含义理解访问控制矩阵模型，及其实现方法：访问控制列表、权能列表理解自主访问控制模型的特点路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂自主访问控制的含义自主访问控制的含义v允许客体的属主（创建者）决定主体对该客体的访问权限灵活地调整安全策略具有较好的易用性和可扩展性常用于商业系统安全性不高路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂自主访问控制的实现机制和方法自主访问控制的实现机制和方法v实现机制 访问控制表/矩阵v实现方法 访问控制表（Access Control Lists）访问能力表（Capacity List）目标xR、W、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W 目标用户 路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问许可与访问模式访问许可与访问模式v访问许可访问许可(Access Permission)(Access Permission)：描述主体对客体所具有的控制权定义了改变访问模式的能力或向其它主体传送这种能力的能力v访问模式访问模式：描述主体对客体所具有的访问权指明主体对客体可进行何种形式的特定访问操作：读/写/运行 路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问许可的类型访问许可的类型v等级型（Hierarchical）v有主型（Owner）每个客体设置一个拥有者（一般是客体的生成者），拥有者是唯一有权修改客体访问控制表的主体，拥有者对其客体具有全部控制权v自由型（Laissez-faire）路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问模式的类型访问模式的类型v对文件的访问模式设置如下：读-拷贝写-删除/更改运行无效路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制矩阵访问控制矩阵v行：主体（用户）v列：客体（文件）v矩阵元素：规定了相应用户对应于相应的文件被准予的访问许可、访问权限客体x客体y客体z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制表访问控制表v访问控制矩阵按列：访问控制表v访问控制表：每个客体可以被访问的主体及权限客体y主体b主体dRWOwnRW路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问能力表访问能力表v访问控制矩阵按行：访问能力表v访问能力表：每个主体可访问的客体及权限主体b客体x客体yRRWOwn路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂访问控制表与访问能力表的比较访问控制表与访问能力表的比较ACLCL保存位置客体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂自主访问控制的特点自主访问控制的特点 v优点：根据主体的身份和访问权限进行决策具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体灵活性高，被大量采用v缺点：信息在传递过程中其访问权限关系会被改变路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂强制访问控制的含义强制访问控制的含义v主体对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无权控制客体的访问权限，以防止对信息的非法和越权访问主体和客体分配有一个安全属性应用于军事等安全要求较高的系统可与自主访问控制结合使用路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂常见强制访问控制模型常见强制访问控制模型vBLP模型1973年提出的多级安全模型，影响了许多其他模型的发展，甚至很大程度上影响了计算机安全技术的发展vBiba模型1977年，Biba提出的一种在数学上与BLP模型对偶的完整性保护模型vClark-Wilson模型1987年，David Clark和David Wilson开发的以事务处理为基本操作的完整性模型，该模型应用于多种商业系统vChinese Wall模型1989年，D.Brewer和M.Nash提出的同等考虑保密性与完整性的安全策略模型，主要用于解决商业中的利益冲突路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂BLPBLP模型的组成模型的组成v主体集：Sv客体集：Ov安全级：密级和范畴密级：绝密、机密、秘密、公开范畴：NUC、EUR、USv偏序关系：支配 安全级L=(C,S)高于安全级L=(C,S)，当且仅当满足以下关系：C C，S S路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂BLPBLP模型规则（一）模型规则（一）v简单安全特性：S可以读O，当且仅当S的安全级可以支配O的安全级，且S对O具有自主型读权限向下读v*特性：S可以写O，当且仅当O的安全级可以支配S的安全级，且S对O具有自主型写权限向上写路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂BLPBLP模型规则（二）模型规则（二）v当一个高等级的主体必须与另一个低等级的主体通信，即高等级的主体写信息到低等级的客体，以便低等级的主体可以读主体有一个最高安全等级和一个当前安全等级，最高安全等级必须支配当前等级主体可以从最高安全等级降低下来，以便与低安全等级的实体通信路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂BLPBLP模型实例模型实例路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂BibaBiba模型的组成模型的组成v主体集：Sv客体集：Ov安全级：完整级和范畴完整等级：Crucial，Very Important，Important范畴：NUC、EUR、USv偏序关系：支配 完整级L=(C,S)高于完整级L=(C,S)，当且仅当满足以下关系：C C，S S路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂BibaBiba模型规则与实例模型规则与实例vS可以读O，当且仅当O的安全级支配S的安全级vS可以写O，当且仅当S的安全级支配O的安全级路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂Clark-WilsonClark-Wilson模型的目标模型的目标v解决商业系统最关心的问题：系统数据的完整性以及对这些操作的完整性v一致性状态：数据满足给定属性，就称数据处于一个一致性状态n实例：今天到目前为止存入金额的总数：D今天到目前为止提取金额的总数：W昨天为止所有账户的金额总数：YB今天到目前为止所有账户的金额总数：TB一致性属性：D+YB-W=TB路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂Clark-WilsonClark-Wilson模型模型自由数据条目UnconstrainedDataItem(UDI)受限数据条目ConstrainedDataItem(CDI)转换程序TransformationProcedure(TP)完整性检查程序IntegrityVerificationProcedure(IVP)数据库服务器应用程序服务器用户TP转换UD1为CDI1TP基于CDI1更新CDI2(订单)和CDI3(账单)IVP检查所有订单和账单(CDI2/CDI3)路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂Chinese WallChinese Wall模型的组成（一）模型的组成（一）v主体集：Sv客体集：O无害客体：可以公开的数据有害客体：会产生利益冲突，需要限制的数据vPR(S)表示S曾经读取过的客体集合路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂Chinese WallChinese Wall模型的组成（二）模型的组成（二）v公司数据集CD：与某家公司相关的若干客体v利益冲突(COI)类：若干相互竞争的公司的数据集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂Chinese WallChinese Wall模型规则模型规则vCW-简单安全特性：S能读取O，当且仅当以下任一条件满足：（1）存在一个O，它是S曾经访问过的客体，并且 CD（O）=CD（O）（2）对于所有的客体O，O PR（S），则 COI（O）COI（O）（3）O是无害客体vCW-*-特性：S能写O，当且仅当以下两个条件同时满足：（1）CW-简单安全特性允许S读O （2）在其它COI类上不存在该主体可以读取的客体路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂Chinese WallChinese Wall模型实例模型实例路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂自主访问控制与强制访问控制的比较自主访问控制与强制访问控制的比较v自主访问控制n细粒度n灵活性高n配置效率低v强制访问控制n控制粒度大n灵活性不高n安全性强路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂基于角色的访问控制基于角色的访问控制v由NIST的Ferraiolo等人在90年代提出vNIST成立专门机构进行研究v1996年提出一个较完善的基于角色的访问控制参考模型RBAC96路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RBAC RBAC 模型的基本思想模型的基本思想vRBAC的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。v一个用户必须扮演某种角色，而且还必须激活这一角色，才能对一个对象进行访问或执行某种操作。安全管理员用户角色/权限指定访问或操作激活路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RBAC 96RBAC 96的组成的组成vRBAC0:含有RBAC核心部分vRBAC1:包含RBAC0，另含角色继承关系(RH)vRBAC2:包含RBAC0，另含限制(Constraints)vRBAC3:包含所有层次内容，是一个完整模型路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RBAC RBAC 模型的组成（一）模型的组成（一）v用户（User）：访问计算机资源的主体，用户集合为 Uv角色（role）：一种岗位，代表一种资格、权利和责任，角色集合为 Rv权限（permission）：对客体的操作权力，权限集合为 Pv用户分配（User Assignment）n将用户与角色关联。n用户 u与角色 r关联后，将拥有 r的权限路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RBAC RBAC 模型的组成（二）模型的组成（二）v权限分配（Permission Assignment）n将角色与权限关联n权限 p与角色 r关联后，角色 r将拥有权限 pv激活角色（Active Role）n角色只有激活才能起作用，否则不起作用n通过会话激活角色v会话（Session）n用户要访问系统资源时，必须先建立一个会话n一次会话仅对应一个用户，一次会话可激活几个角色路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RBAC RBAC 模型的基本机制模型的基本机制路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RBACRBAC模型实例模型实例路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RBACRBAC模型的特点模型的特点v便于授权管理（角色的变动远远低于个体的变动）v便于处理工作分级，如文件等资源分级管理v利用安全约束，容易实现各种安全策略，如最小特权、职责分离等v便于任务分担，不同角色完成不同的任务路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂知识域：访问控制技术知识域：访问控制技术v知识子域：集中访问控制理解集中访问控制的基本概念理解实现集中访问控制的常用协议：Kerberos协议、AAA协议了解三个常见的AAA协议：RADIUS、TACACS+和Diameter，以及每个协议的优缺点v知识子域：非集中访问控制理解非集中访问控制的基本概念理解域等非集中访问控制的实现方式路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂单点登录技术单点登录技术v单点登录（SSO，Single Sign-on）用户只需在登录时进行一次注册，就可以访问多个系统，不必重复输入用户名和密码来确定身份实质是安全上下文（Security Context）或凭证（Credential）在多个应用系统之间的传递或共享v单点登录的优点方便用户方便管理员简化应用系统开发路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂KerberosKerberos认证协议认证协议v美国麻省理工学院（MIT）为Athena项目开发的一种身份鉴别协议v“Kerberos”的本意是希腊神话中守护地狱之门的守护者 vKerberos提供了一个网络环境下的身份认证框架结构实现采用对称密钥加密技术公开发布的Kerberos版本包括版本4和版本5 安全性、可靠性、可伸缩性、透明性路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂KerberosKerberos认证协议使用条件认证协议使用条件v有一个时钟基本同步的环境v客户机与KDC（Key Distribution Center），KDC与服务器在协议工作前已经有了各自的共享密钥v组成密钥分发中心（KDC）：由两个独立的逻辑部分组成认证服务器AS（Authentication Server）票据授权服务器TGS（Ticket Granting Server）票据许可票据TGT路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂获得票据许可票据获得票据许可票据v第一步：获得票据许可票据用户登录客户机请求主机服务认证服务器（AS）在数据库中验证用户的访问权限，生成票据许可票据和会话密钥，它们用由用户口令导出的密钥进行加密AS客户机请求票据许可票据(TGT)票据+会话密钥TGT+（kc,tgs）路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂获得服务许可票据获得服务许可票据v第二步：获得服务许可票据客户机提示用户输入口令来对收到的报文进行解密，然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往票据授权服务器TGS票据授权服务器TGS对票据和鉴别符进行解密，验证请求，然后生成服务许可票据TGS客户机请求服务许可票据(SGT)票据+会话密钥SGT+（kc,s）路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂获得服务获得服务v第三步：获得服务客户机将票据和鉴别符发给服务器服务器验证票据和鉴别符是否匹配，然后许可访问服务。如果需要双向鉴别，服务器返回一个鉴别符服务器客户机请求服务提供服务器鉴别符路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂KerberosKerberos认证协议的特点认证协议的特点v优点单点登录，只要用户拿到了TGT并且该TGT没有过期，就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码 与授权机制相结合支持双向的身份认证通过交换“跨域密钥”实现分布式网络环境下的认证v缺点AS和TGS是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于AS和TGS的性能和安全时钟同步问题身份认证采用的是对称加密机制，随用户数量增加，密钥管理较复杂路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂集中访问控制的基本概念及实现集中访问控制的基本概念及实现vRADIUS协议vTACACS协议vTACACS+协议vDiameter协议路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RADIUSRADIUS协议协议v远程用户拨号认证系统（Remote Authentication Dial In User Service）最初由Livingston公司提出，为拨号用户进行认证和计费，经多次改进，形成了一项通用的认证计费协议RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端基本设计组件有认证、授权和记账(AAA)(AAA)路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RADIUSRADIUS协议的基本消息交互流程协议的基本消息交互流程应用服务器远程访问服务器（RAS）/RADIUS客户端RADIUS服务器1234路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂RADIUSRADIUS协议的特点协议的特点v简单明确，可扩充v使用UDP端口1812，1813；v不足：口令传输一般为明文；可使用MD5进行加密；缺少丢包重传机制RADIUSServerPSTN/ISDNCorporateNetworkRADIUSClient路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂TACACS+TACACS+协议协议v终端访问控制器访问控制系统（Terminal Access Controller Access-Control System）TACACS+是TACACS 的最新版本基于TCP协议。路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂TACACS+TACACS+认证过程认证过程v客户机发送一个START包给服务器。START包的内容包括被执行的认证类型（明文口令、PPP PAP或PPP CHAP等），还可能包括用户名等其他认证数据。START包只在一个认证会话开始时使用一次，序列号永远是1。v服务器收到START包以后，回送一个REPLY包，指示认证继续还是结束。如果认证继续，REPLY包还需要指出需要哪些新信息。v如果客户机收到认证结束的REPLY包，则认证结束；如果收到认证继续的REPLY包，则向服务器发送CONTINUE包，其中包括服务器要求的信息，如此反复，直到认证结束。路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂TACACS+TACACS+协议的特点协议的特点v基于TCP协议，具有较高的传输可靠性v支持数据报文加密，保证通信安全v不足：有限的厂商支持实时性较差TACACS+ServerTACACS+ClientAlicePSTN/ISDNCorporateNetwork路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂DiameterDiameter协议协议vDiameter协议作为下一代的AAA协议标准，是RADIUS协议的升级版本v它包括基本协议、NAS（网络接入服务）协议、EAP（可扩展鉴别协议）、MIP（移动IP协议）、CMS（密码消息语法）协议等路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂DiameterDiameter协议的基本内容协议的基本内容vDiameter基础协议为移动IP（Mobile IP）、网络接入服务（NAS）等应用提供最基本的服务，如用户会话、计费等，具有能力协商、差错通知等功能vDiameter的NAS协议处理用户MN的接入请求vDiameter的EAP协议 供了一个支持各种鉴别方法的标准机制vDiameter的CMS协议实现了协议数据的端到端加密vDiameter的MIP协议允许用户漫游到外部域，并在经过鉴权后接受外部域服务器和代理提供的服务。路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂DIAMETERDIAMETER协议的特点协议的特点v使用故障检测、错误处理等机制实现传输可靠性v支持多种安全机制，与RADIUS和TACACS相比具有较高安全性v支持漫游，适应当前网络发展路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂非集中访问控制非集中访问控制v域：一个信任范围，或者是共享共同安全策略的主体和客体的集合每个域的访问控制与其它域保持独立跨域访问必须建立信任关系，用户可以从一个域访问另一个域中的资源信任可以是单向的，也可以是双向的路漫漫其悠远路漫漫其悠远锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂锲而不舍，金石可镂KerberosKerberos协议跨域认证协议跨域认证