信息安全原理与技术ch06-身份认证与访问控制

《信息安全原理与技术ch06-身份认证与访问控制》由会员分享，可在线阅读，更多相关《信息安全原理与技术ch06-身份认证与访问控制（72页珍藏版）》请在装配图网上搜索。

1、信息安全原理与技术信息安全原理与技术第2版郭亚军 宋建华 李莉 董慧慧清华大学出版社2022-11-21第6章 身份认证与访问控制 主要知识点主要知识点：-身份认证 -访问控制概述 -自主访问控制 -强制访问控制 -基于角色的访问控制 2022-11-226.1身份认证 认证一般可以分为两种:消息认证消息认证:用于保证信息的完整性和抗否认性。在很多情况下，用户要确认网上信息是不是假的，信息是否被第三方修改或伪造，这就需要消息认证。身份认证身份认证:用于鉴别用户身份。包括识别和验证，识别是指明确并区分访问者的身份；验证是指对访问者声称的身份进行确认。2022-11-23 授权数据库 资源数据库

2、访问监控器 安全管理员 用户 身份认证 访问控制 图6.1身份认证是安全系统中的第一道关卡2022-11-24 单向认证单向认证和双向认证和双向认证 软件认证和硬件认证软件认证和硬件认证 单因子认证和双因子认证单因子认证和双因子认证 静态认证和动态认证静态认证和动态认证 认证手段认证手段:基于用户所知道的(what you know)基于用户所拥有的(what you have)基于用户本身的（生物特征如：语音特征、笔迹特征或指纹）相关概念相关概念 2022-11-256.1.1身份认证的基本方法身份认证的基本方法 用户名用户名/密码方式密码方式 ICIC卡认证方式卡认证方式 动态口令方式动态

3、口令方式 生物特征认证方式生物特征认证方式 USB KeyUSB Key认证方式认证方式 2022-11-26用户名用户名/密码方式密码方式 是一种基于是一种基于“用户所知道用户所知道”的验证手段的验证手段 每一个合法用户都有系统给的一个用户名/口令对，当用户要求访问提供服务的系统时，系统就要求输入用户名、口令，在收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。如果正确，则该用户的身份得到了验证。优点优点：由于一般的操作系统都提供了对口令认证的支持，对于封闭的小型系统来说是一种简单可行的方法。缺点缺点：是一种单因素的认证，它的安全性依赖于密码。由于许多用户为了

4、防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，因此极易造成密码泄露。密码一旦泄露，用户即可被冒充。2022-11-27ICIC卡认证方式卡认证方式 是一种基于是一种基于“用户所拥有用户所拥有”的认证手段的认证手段 IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器中读取其中的信息，以验证用户的身份。优点优点：通过IC卡硬件的不可复制性可保证用户身份不会被仿冒。缺点缺点：由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此，静态验证的方式还是存在着根本的安全隐患。2022-11-28动态口令方式动态口令方式 是

5、一种让用户的密码按照时间或使用次数不断动态是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术变化，每个密码只使用一次的技术 采用动态密码卡(专用硬件)，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。用户将动态令牌上显示的当前密码输入，由这个信息的正确与否可识别使用者的身份。优点优点：采用一次一密的方法，不能由产生的内容去预测出下一次的内容。而且输入方法普遍(一般计算机键盘即可)，能符合网络行为双方的需要。缺点缺点：如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使得用户的使用非常不方便。2022-11

6、-29生物特征认证方式生物特征认证方式以人体惟一的、可靠的、稳定的生物特征以人体惟一的、可靠的、稳定的生物特征(如如指纹、虹膜、脸部、掌纹等指纹、虹膜、脸部、掌纹等)为依据，采用计为依据，采用计算机的强大功能和网络技术进行图像处理和模算机的强大功能和网络技术进行图像处理和模式识别。式识别。优点：优点：使用者几乎不可能被仿冒。缺点：缺点：较昂贵。不够稳定(辩识失败率高)。2022-11-210USB KeyUSB Key认证方式认证方式 采用软硬件相结合、一次一密的强双因子认证模式。采用软硬件相结合、一次一密的强双因子认证模式。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，

7、可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。两种应用模式两种应用模式：基于挑战/应答的认证模式 基于PKI体系的认证模式 优点优点：便于携带、使用方便、成本低廉、安全可靠性很高，被认为将会成为身份认证的主要发展方向。缺点缺点：安全性不如生物特征认证。2022-11-2116.1.2 常用身份认证机制常用身份认证机制 简单认证机制简单认证机制 基于基于DCE/KerberosDCE/Kerberos的认证机制的认证机制 基于公共密钥的认证机制基于公共密钥的认证机制 基于挑战基于挑战/应答的认证机制应答的认证机制 2022-11-212简单认证机制简单认证

8、机制 口令认证口令认证 一次性口令一次性口令(One-Time Password)One-Time Password)2022-11-213 口令认证过程口令认证过程：用户将口令传送给计算机；计算机完成口令单向函数值的计算；计算机把单向函数值和机器存储的值比较。不足之处不足之处：以明文方式输入口令容易泄密；口令在传输过程中可能被截获；口令以文件形式存储在认证方，易于被攻击者获取；用户为了记忆的方便，访问多个不同安全级别的系统时往往采用相同的口令，使得攻击者也能对高安全级别系统进行攻击。只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。口令认证口令认证2022-11-214一次性口

9、令一次性口令(One-Time Password)One-Time Password)一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。确定口令的方法确定口令的方法 两端共同拥有一串随机口令，在该串的某一位置保持同步；两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；使用时戳，两端维持同步的时钟。2022-11-215基于基于DCE/KerberosDCE/Kerberos的认证机制的认证机制 图6.2 认证双方与Kerberos的关系 DCE/Kerberos是一种被证明为非常安全的双向身份认证技术。Kerberos既不依赖用户登录的终端，也不依赖用户所请求的服务的

10、安全机制，它本身提供了认证服务器来完成用户的认证工作。DCE/Kerberos的身份认证强调了客户机对服务器的认证；而其它产品，只解决了服务器对客户机的认证。2022-11-216基于公共密钥的认证机制基于公共密钥的认证机制 使用符合使用符合X.509X.509的身份证明的身份证明 使用这种方法必须有一个第三方的授权证明（Certificates of Authority,CA）中心为客户签发身份证明。客户和服务器各自从CA获取证明，并且信任该授权证明中心。在会话和通讯时首先交换身份证明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接

11、受对方的身份证明时，还需检查有关服务器，以确认该证明是否有效。优点优点:是非常安全的用户认证形式。缺点缺点：实现起来比较复杂，要求通信的次数多，而且计算量较大。2022-11-217基于挑战基于挑战/应答的认证机制应答的认证机制 每次认证时认证服务器端都给客户端发送一个每次认证时认证服务器端都给客户端发送一个不同的不同的 挑战挑战 字串，客户端程序收到这个字串，客户端程序收到这个 挑战挑战 字串后，做出相应的字串后，做出相应的 应答应答。典型的认证过程为典型的认证过程为：（1)客户向认证服务器发出请求，要求进行身份认证；（2)认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一

12、步处理；2022-11-218基于挑战基于挑战/应答的认证机制应答的认证机制（3)认证服务器内部产生一个随机数，作为提问，发送给客户；（4)客户将用户名字和随机数合并，使用单向Hash函数（例如MD5算法）生成一个字节串作为应答；（5)认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败；（6)认证服务器通知客户认证成功或失败。2022-11-219提问-握手认证协议CHAP CHAP（Challenge Handshake Authentication Protocol）采用的是挑战/应答方法，它通过三次握手三次握手（3-way handshake）方式对被认证

13、方的身份进行周期性的认证。认证过程：认证过程：（1）在通信双方链路建立阶段完成后，认证方（authenticator）向被认证方（peer）发送一个提问（challenge）消息；2022-11-220（2）被认证方向认证方发回一个响应（response），该响应由单向散列函数计算得出，单向散列函数的输入参数由本次认证的标识符、秘诀（secret）和提问构成；（3）认证方将收到的响应与它自己根据认证标识符、秘诀和提问计算出的散列函数值进行比较，若相符则认证通过，向被认证方发送“成功”消息，否则，发送“失败”消息，断开连接。在双方通信过程中系统将以随机的时间间隔重复上述三步认证过程。2022-1

14、1-221CHAPCHAP的优点的优点 通过不断地改变认证标识符和提问消息的值来防止回放(playback)攻击。利用周期性的提问防止通信双方在长期会话过程中被攻击。虽然CHAP进行的是单向认证，但在两个方向上进行CHAP协商，也能实现通信双方的相互认证。CHAP可用于认证多个不同的系统。2022-11-222CHAPCHAP的不足的不足 CHAP认证的关键是秘诀，CHAP的秘诀以明文形式存放和使用，不能利用通常的不可逆加密口令数据库。并且CHAP的秘诀是通信双方共享的，因此给秘诀的分发和更新带来了麻烦，要求每个通信对都有一个共享的秘诀，这不适合大规模的系统。2022-11-2236.1.3

15、OpenIDOpenID和和OAuthOAuth认证协议认证协议OpenID协议的角色和标识协议的角色和标识OpenID的工作流程的工作流程 OAuth协议协议OAuth2.0的工作流程的工作流程2022-11-224OpenID与与OAuth OpenID（Open Identity）是一个开放的、基于URI/URL的、去中心化的身份认证协议，也是一个开放的标准。通过OpenID，任何人都能够使用一个URL在互联网上用统一的方式来认证自己。一次注册，可以在多个网站上登录，从而实现了跨域的单点登录的功能，用户再无须进行重复的注册和登录。OAuth（Open Authorization）协议是一

16、个开放的授权协议，其目标是为了授权第三方在可控范围下访问用户资源。OAuth与OpenID互补，一般支持OpenID的服务都会使用到OAuth。2022-11-225OAuth和OpenID的区别 OAuth和OpenID的区别在于应用场景的区别，OAuth用于为用户授权，是一套授权协议；OpenID是用来认证的，是一套认证协议。两者是互补的。一般支持OpenID的服务都会使用到OAuth。2022-11-226OpenID协议的角色和标识协议的角色和标识 OpenID定义了如下3个角色和一个标识：终端用户终端用户(End User)利用OpenID进行身份认证的互联网用户，也可以指代用户所使

17、用的浏览器。身份提供者身份提供者IDP(Identity Provider)提供OpenID帐号的网站，提供OpenID注册、存储、验证等服务。如AOL、Yahoo!、Veristgn等 2022-11-227 服务提供者服务提供者RP(Relying Party)支持使用OpenID登录的服务商，也就是用户要登录的网站。如LiveJournal、WikiSpaces等 身份标识页身份标识页(Identity Page)用户所拥有OpenID的URL地址以及其上所存放的文件 例如：在360网站上注册用户名为zhansan的用户希望登录美团网进行购物，则用户为用户为zhangsan，360网站为

18、身份提供者网站为身份提供者，而美团网是服务提供者美团网是服务提供者。2022-11-228OpenID的工作流程的工作流程(1)用户(End User)需要使用服务提供者(Relying Party)的服务时，要向其提供自己的标识OpenID URL。(2)服务提供者根据用户的OpenID URL与身份提供者(Identity Provider)进行通信。(3)服务提供者将用户引导到身份提供者的身份认证页面。(4)用户向身份提供者表明身份，并完成认证。2022-11-229(5)认证结束后，身份提供者将用户引导回服务提供者，同时返回的信息包含认证用户的结果判断，以及服务提供者需要的一些其它信息

19、。(6)服务提供者判断返回信息的有效性，认证成功，用户即可使用相应的功能 OpenID的工作流程如图6.3所示2022-11-230图 6.3 OpenID的工作流程 2022-11-231（1）终端用户请求登录RP网站，用户选择了以OpenID方式来登录。（2）RP将OpenID的登录界面返回给终端用户。（3）终端用户以OpenID登陆RP网站。（4）RP网站对用户的OpenID进行标准化。OpenID以xri:/、xri:/$ip或者xri:/$dns开头，先去掉这些符号；然后对如下的字符串进行判断，如果第一个字符是=、+、$、!，则视为标准的XRI，否则视为HTTP URL（若没有htt

20、p,为其增加http:/）。OpenID的交互过程：的交互过程：2022-11-232（5）RP发现IDP，如果OpenID是XRI，就采用XRI解析，如果是URL，则用YADIS协议解析，若YADIS解析失败，则用HTTP发现。（6）RP跟IDP建立一个关联。两者之间可以建立一个安全通道，用于传输信息并降低交互次数。（7）IDP处理RP的关联请求。（8）RP请求IDP对用户身份进行验证。（9）IDP对用户认证，如请求用户进行登录认证。（10）用户登录IDP。2022-11-233（11）IDP将认证结果返回给RP。（12）RP对IDP的结果进行分析。（13）RP分析后，如用户合法，则返回用户

21、认证成功，可以使用RP服务。2022-11-234OpenID的交互流程如图6.4所示 终端用户(End User)支持OpenID服务提供者RP（Relying Provider）OpenID身份提供者IDP（Identity Provider）1:请求登陆3:用OpenID身份登陆4:OpenID标准化5:发现OpenID6:关联请求7:处理关联8:请求对用户进行身份验证9:用户认证，请求用户登陆10:用户登陆11:返回认证结果12:对认证结果分析验证13:用户合法，可以使用PR提供的服务2:OpenID的登陆界面2022-11-235OAuth协议协议 OAuth是一个开放的授权协议，允

22、许用户在不泄露用户名/密码的情况下，和其他网站共享存储在另一个网站上的个人资源(照片、视频、通信录等)。OAuth是一种授权服务，不同于OpenID，但与OpenID相辅相成。OAuth是为了让用户授权一个应用程序去访问用户的信息。IETF目前正在起草OAuth2.0协议。OAuth2.0定义了如下4个角色：资源所有者、客户端、资源服务器、授权服务器 。2022-11-236(1)资源所有者（Resource Owner）：一个实体，能授权一个应用（即客户端）访问受保护的资源。(2)客户端（Client）：代表受保护资源的应用程序，能获得授权并请求访问受保护的资源。(3)资源服务器（Resou

23、rce Server）：一个服务器，托管受保护资源的服务器，通过存取令牌（token）接收受保护资源的访问请求，并能应答对受保护的资源的请求。(4)授权服务器（Authorization Server）：一个服务器，能成功认证资源所有者及获得资源所有者的授权，认证成功及获得授权后能发布访问令牌（token）。它可能与资源服务器合设，也可能是一个独立的网络设备。2022-11-237OAuth2.0的工作流程的工作流程 OAuth2.0的工作流程如图6.5所示：2022-11-238(1)客户端想要访问受资源所有者控制的网络资源，但客户端并不知道资源所有者的认证凭证。客户端需要在授权服务器注册，

24、以便获取客户端的认证凭据(如client_id，client_secret)。客户端请求资源所有者授权，访问用户的网络资源。(2)资源所有者在授权客户端访问前，资源所有者需要通过授权服务器的认证。(3)资源所有者认证成功后，客户端接收到一个访问资源授权凭证，授权凭证代表资源所有者允许客户端访问网络资源。(4)客户端向授权服务器请求访问令牌，请求消息包含用于认证客户端的认证凭证和访问资源的授权凭证。2022-11-239(5)授权服务器根据客户端的认证凭证认证客户端，并验证资源访问授权凭证的有效性，如果都成功，则向客户端发布一个访问令牌。(6)客户端向资源服务器请求访问受保护的资源，请求包含一个

25、访问令牌。资源服务器验证访问令牌的有效性，如果有效，则客户端能访问资源服务器上受保护的资源。OAuth是一个令牌的协议。能用于Web2.0中授权第三方安全访问网络资源。一些电信运营商已认可OAuth能确保第三方应用安全访问电信网络资源，而且GSMA 的RCS计划已经明确要求使用OAuth2.0来保证网络资源的授权访问。2022-11-240 OpenID和OAuth的作用就是为开放平台提供规范、简洁、安全的通信、授权和管理机制。这两种协议已经得到了很多大型厂商的支持，如Yahoo，Facebook，Twitter，Microsoft，Google等，国内的新浪，豆瓣，腾讯等都已开始应用这两项技

26、术。2022-11-2416.2访问控制概述访问控制概述 一个经过计算机系统识别和验证后的用户（合法用户）进入系统后，并非意味着他具有对系统所有资源的访问权限。访问控制的任务访问控制的任务 就是要根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的方式访问这些资源。2022-11-2426.2.1访问控制的基本概念访问控制的基本概念 主体主体（Subject）：主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。客体客体（Object）：客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作

27、用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。访问访问（Access）：是使信息在主体和客体之间流动的一种交互方式。访问包括读取数据、更改数据、运行程序、发起连接等。2022-11-2436.2.1访问控制的基本概念访问控制的基本概念 访问控制访问控制（Access Control）：访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。访问控制所要控制的行为主要有读取数据、运行可执行文件、发起网络连接等。2022-11-2446.2

28、.26.2.2访问控制技术访问控制技术 入网访问控制入网访问控制 网络权限控制网络权限控制 目录级控制目录级控制 属性控制属性控制 网络服务器的安全控制网络服务器的安全控制2022-11-245入网访问控制入网访问控制 入网访问控制为网络访问提供了第一层访问控制，通过控制机制来明确能够登录到服务器并获取网络资源的合法用户、用户入网的时间和准许入网的工作站等。基于用户名和口令的用户入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证和用户账号的缺省限制检查。如果有任何一个步骤未通过检验，该用户便不能进入该网络。2022-11-246网络权限控制网络权限控制 网络权限控制是针对网络

29、非法操作所提出的一种安全保护措施。能够访问网络的合法用户被划分为不同的用户组，不同的用户组被赋予不同的权限。访问控制机制明确了不同用户组可以访问哪些目录、子目录、文件和其他资源等，指明不同用户对这些文件、目录、设备能够执行哪些操作等。2022-11-247网络权限控制网络权限控制 实现方式：实现方式：受托者指派。受托者指派。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽（继承权限屏蔽（IRMIRM）。）。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际

30、需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。2022-11-248目录级控制目录级控制 目录级安全控制是针对用户设置的访问控制，控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可以进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。2022-11-249属性控制属性控制 属性安全控制在权限安全的基础上提供更进一步的安全性。当用户访问文件、目录和网络设备时，网络系统管理

31、员应该给出文件、目录的访问属性，网络上的资源都应预先标出安全属性，用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性能够控制以下几个方面的权限:向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等，避免发生非法访问的现象。2022-11-250网络服务器的安全控制网络服务器的安全控制 网络服务器的安全控制是由网络操作系统负责。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据。此外，还可以设定服务器登录时间限制、非法访问者

32、检测和关闭的时间间隔等。2022-11-2516.2.3 6.2.3 访问控制原理访问控制原理 访问控制包括两个重要过程：通过“鉴别（鉴别（authenticationauthentication）”来验证主体的合法身份；通过“授权（授权（authorizationauthorization）”来限制用户可以对某一类型的资源进行何种类型的访问。2022-11-252 例如，当用户试图访问您的 Web 服务器时，服务器执行几个访问控制进程来识别用户并确定允许的访问级别。其访问控制过程：其访问控制过程：（1）客户请求服务器上的资源。（2）将依据 IIS 中 IP 地址限制检查客户机的 IP 地址。

33、如果 IP 地址是禁止访问的，则请求就会失败并且给用户返回“403 禁止访问”消息。2022-11-253（3）如果服务器要求身份验证，则服务器从客户端请求身份验证信息。浏览器既提示用户输入用户名和密码，也可以自动提供这些信息。（在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程就称为“身份验证”。可以在网站或 FTP 站点、目录或文件级别设置身份验证。可以使用 Internet 信息服务（IIS 提供的）身份验证方法来控制对网站和 FTP 站点的访问。）（4)IIS 检查用户是否拥有有效的 Windows 用户帐户。如

34、果用户没有提供，则请求就会失败并且给用户返回“401 拒绝访问”消息。2022-11-2541.（5)IIS 检查用户是否具有请求资源的 Web 权限。如果用户没有提供，则请求就会失败并且给用户返回“403 禁止访问”消息。2.（6)添加任何安全模块，如 Microsoft ASP.NET 模拟。3.（7)IIS 检查有关静态文件、Active Server Pages(ASP)和通用网关接口(CGI)文件上资源的 NTFS 权限。如果用户不具备资源的 NTFS 权限，则请求就会失败并且给用户返回“401 拒绝访问”消息。（8)如果用户具有 NTFS 权限，则可完成该请求。2022-11-25

35、5访问控制矩阵访问控制矩阵 通常使用访问控制矩阵来限制主体对客体的访问权限。访问控制机制可以用一个三元组（S,O,A）来表示。其中，S代表主体集合，O代表客体集合，A代表属性集合，A集合中列出了主体Si对客体Oj所允许的访问权限。这一关系可以用如下所示的一个访问控制矩阵来表示：a00a01a0nS0a10a11a1nS1A=O0O1Onam0am1amnSma00a01a0nS0a10a11a1nS1A=O0O1Onam0am1amnSm2022-11-256三种访问控制策略三种访问控制策略 自主访问控制自主访问控制 强制访问控制强制访问控制 基于角色的访问控制基于角色的访问控制2022-11

36、-2576.3 自主访问控制（自主访问控制（DAC）自主访问控制自主访问控制（Discretionary Access Control）是指对某个客体具有拥有权（或控制权）的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后的任何时刻将这些权限回收。这种控制是自主的，也就是指具有授予某种访问权力的主体（用户）能够自己决定是否将访问控制权限的某个子集授予其他的主体或从其他主体那里收回他所授予的访问权限。2022-11-258 例如，假设某所大学使用计算机系统进行学生信息的管理。教务处在系统中建立了一张表，存入了每个学生的有关信息，如姓名、年龄、年级、专业、系别、成绩、受过哪些

37、奖励和处分等。教务处不允许每个学生都能看到所有这些信息，他可能按这样一个原则来控制:每个学生可以看到自己的有关信息，但不允许看别人的；每个班的老师可以随时查看自己班的学生的有关信息，但不能查看其他班学生的信息；并且教务处可限制教务处以外的所有用户不得修改这些信息，也不能插入和删除表中的信息，这些信息的拥有者是教务处。2022-11-259 教务处可按照上述原则对系统中的用户（该大学的所有老师和学生）进行授权。于是其他用户只能根据教务处的授权来对这张表进行访问。根据教务处的授权规则，计算机中相应存放有一张表（授权表），将教务处的授权情况记录下来，以后当任何用户对教务处的数据要进行访问时，系统首先

38、查这张表，检查教务处是否对他进行了授权，如果有授权，计算机就执行其操作；若没有，则拒绝执行。2022-11-260 自主访问控制中，用户可以针对被保护自主访问控制中，用户可以针对被保护对象制定自己的保护策略。对象制定自己的保护策略。优点优点:灵活性、易用性与可扩展性 缺点缺点:这种控制是自主的，带来了严重的安全问题。2022-11-261 强制访问控制强制访问控制（Mandatory Access Control）是指计算机系统根据使用系统的机构事先确定的安全策略，对用户的访问权限进行强制性的控制。也就是说，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。强制访

39、问控制进行了很强的等级划分，所以经常用于军事用途。6.4 强制访问控制强制访问控制(MAC)图6-6 强制访问控制示例 2022-11-262例如，某单位部分行政机构如下图：校长人事处教务处职工科退休科档案科财务处设备处教学行政科教学研究科财务一科财务二科进出口科实验室管理科设备科工作人员工作人员2022-11-263 假设计算机系统中的数据的密级为：一般秘密机密绝密 定义校长的安全级 C校长（绝密，人事处,教务处,财务处,设备处），（即校长的密级为绝密，部门属性为所有的部门）教务处长的安全级C教=(机密,教务处)财务处长的安全级C财=(机密,财务处)财务一科长的安全级C一财=(秘密,财务处)

40、财务处工作人员的安全级C工=(一般,财务处)假设财务一科长产生了一份工作文件A，文件A的安全级定义为与一科长的安全级相同，即CA=(秘密,财务处)，那么，对于文件A，只有校长和财务处长能看到，而教务处长不能看，尽管教务处长的密级是机密级，可以看秘密级的文件，但教务处长的部门属性仅是教务处,他无权看财务处的信息。2022-11-264 强制访问控制在自主访问控制的基础强制访问控制在自主访问控制的基础上，增加了对网络资源的属性划分，规定上，增加了对网络资源的属性划分，规定不同属性下的访问权限。不同属性下的访问权限。优点优点:安全性比自主访问控制的安全性有了提高。缺点缺点:灵活性要差一些。2022-

41、11-2656.5基于角色的访问控制基于角色的访问控制(RBAC)传统的访问控制方法中，都是由主体和访问权限直接发生关系，主要针对用户个人授予权限，主体始终是和特定的实体捆绑对应的。这样会出现一些问题：在用户注册到销户这期间，用户的权限需要变更时必须在系统管理员的授权下才能进行，因此很不方便；大型应用系统的访问用户往往种类繁多、数量巨大、并且动态变化，当用户量大量增加时，按每个用户分配一个注册账号的方式将使得系统管理变得复杂，工作量急剧增加，且容易出错；也很难实现系统的层次化分权管理，尤其是当同一用户在不同场合处在不同的权限层次时，系统管理很难实现（除非同一用户以多个用户名注册）。2022-1

42、1-266 在用户和访问权限之间引入角色的概念，将用户和角色联系起来，通过对角色的授权来控制用户对系统资源的访问。这种方法可根据用户的工作职责设置若干角色，不同的用户可以具有相同的角色，在系统中享有相同的权力，同一个用户又可以同时具有多个不同的角色，在系统中行使多个角色的权力。基于角色的访问控制基于角色的访问控制（Role Based Access Control）方法方法的基本思想的基本思想2022-11-267RBAC的基本概念的基本概念 许可许可(PrivilegePrivilege，也叫权限也叫权限)：就是允许对一个或多个客体执行操作。角色角色(role)role)：就是许可的集合。会

43、话会话（Session）：一次会话是用户的一个活跃进程，它代表用户与系统交互。标准上说，每个Session是一个映射，一个用户到多个role的映射。当一个用户激活他所有角色的一个子集的时候，建立一个session。活跃角色活跃角色(Active role)Active role)：一个会话构成一个用户到多个角色的映射，即会话激活了用户授权角色集的某个子集，这个子集称为活跃角色集。2022-11-268RBAC的基本的基本模型模型 访问控制 资 源 用 户 角 色 权 限 1.认证 6.访问 3.请求 2.分派 4.分派 5.访问请求 图6-7 RBAC模型 RBAC的关注点在于角色与用户及权限

44、之间的关系。关系的左右两边都是Many-to-Many关系，就是user可以有多个role，role可以包括多个user。2022-11-269例如在一个学校管理系统中，可以定义校长、院长、系统管理员、学生、老师、处长、会计、出纳员等角色。其中，担任系统管理员的用户具有维护系统文件的责任和权限，而不管这个用户具体是谁。系统管理员也可能是由某个老师兼任，这样他就具有两种角色。但是出于责任分离，需要对一些权利集中的角色组合进行限制，比如规定会计和出纳员不能由同一个用户担任。2022-11-270可设计如下的访问策略：可设计如下的访问策略：(1)允许系统管理员查询系统信息和开关系统，但不允许读或修改

45、学生的信息；(2)允许一个学生查询自己的信息，但不能查询其它任何信息或修改任何信息；(3)允许老师查询所有学生的信息，但只能在规定的时间和范围内的修改学生信息；2022-11-271基于角色的访问控制方法的特点基于角色的访问控制方法的特点 由于基于角色的访问控制不需要对用户一个一个的进行授权，而是通过对某个角色授权，来实现对一组用户的授权，因此简化了系统的授权机制。可以很好的描述角色层次关系，能够很自然地反映组织内部人员之间的职权、责任关系。利用基于角色的访问控制可以实现最小特权原则。RBAC机制可被系统管理员用于执行职责分离的策略。基于角色的访问控制可以灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。2022-11-272