信息安全原理與技術(shù)ch身份認(rèn)證與訪問控制

信息安全原理與技術(shù)第2版郭亞軍宋建華李莉董慧慧清華大學(xué)出版社2023/1/121第6章身份認(rèn)證與訪問控制主要知識點：

--身份認(rèn)證

--訪問控制概述

--自主訪問控制

--強制訪問控制

--基于角色的訪問控制2023/1/1226.1身份認(rèn)證認(rèn)證一般可以分為兩種:消息認(rèn)證:用于保證信息的完整性和抗否認(rèn)性。在很多情況下，用戶要確認(rèn)網(wǎng)上信息是不是假的，信息是否被第三方修改或偽造，這就需要消息認(rèn)證。身份認(rèn)證:用于鑒別用戶身份。包括識別和驗證，識別是指明確并區(qū)分訪問者的身份；驗證是指對訪問者聲稱的身份進(jìn)行確認(rèn)。2023/1/123圖6.1身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡2023/1/124單向認(rèn)證和雙向認(rèn)證軟件認(rèn)證和硬件認(rèn)證單因子認(rèn)證和雙因子認(rèn)證靜態(tài)認(rèn)證和動態(tài)認(rèn)證

認(rèn)證手段:基于用戶所知道的(whatyouknow)基于用戶所擁有的(whatyouhave)基于用戶本身的（生物特征如：語音特征、筆跡特征或指紋）相關(guān)概念

2023/1/125身份認(rèn)證的基本方法

用戶名/密碼方式

IC卡認(rèn)證方式動態(tài)口令方式生物特征認(rèn)證方式USBKey認(rèn)證方式2023/1/126用戶名/密碼方式是一種基于“用戶所知道”的驗證手段每一個合法用戶都有系統(tǒng)給的一個用戶名/口令對，當(dāng)用戶要求訪問提供服務(wù)的系統(tǒng)時，系統(tǒng)就要求輸入用戶名、口令，在收到口令后，將其與系統(tǒng)中存儲的用戶口令進(jìn)行比較，以確認(rèn)被認(rèn)證對象是否為合法訪問者。如果正確，則該用戶的身份得到了驗證。

優(yōu)點：由于一般的操作系統(tǒng)都提供了對口令認(rèn)證的支持，對于封閉的小型系統(tǒng)來說是一種簡單可行的方法。缺點：是一種單因素的認(rèn)證，它的安全性依賴于密碼。由于許多用戶為了防止忘記密碼，經(jīng)常會采用容易被他人猜到的有意義的字符串作為密碼，因此極易造成密碼泄露。密碼一旦泄露，用戶即可被冒充。

2023/1/127IC卡認(rèn)證方式是一種基于“用戶所擁有”的認(rèn)證手段

IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器中讀取其中的信息，以驗證用戶的身份。優(yōu)點：

通過IC卡硬件的不可復(fù)制性可保證用戶身份不會被仿冒。缺點：由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易能截取到用戶的身份驗證信息。因此，靜態(tài)驗證的方式還是存在著根本的安全隱患。2023/1/128動態(tài)口令方式是一種讓用戶的密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次的技術(shù)

采用動態(tài)密碼卡(專用硬件)，密碼生成芯片運行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼。用戶將動態(tài)令牌上顯示的當(dāng)前密碼輸入，由這個信息的正確與否可識別使用者的身份。

優(yōu)點：采用一次一密的方法，不能由產(chǎn)生的內(nèi)容去預(yù)測出下一次的內(nèi)容。而且輸入方法普遍(一般計算機(jī)鍵盤即可)，能符合網(wǎng)絡(luò)行為雙方的需要。

缺點：如果客戶端硬件與服務(wù)器端程序的時間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題，這使得用戶的使用非常不方便。2023/1/129生物特征認(rèn)證方式以人體惟一的、可靠的、穩(wěn)定的生物特征(如指紋、虹膜、臉部、掌紋等)為依據(jù)，采用計算機(jī)的強大功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖像處理和模式識別。優(yōu)點：使用者幾乎不可能被仿冒。缺點：

較昂貴。不夠穩(wěn)定(辯識失敗率高)。2023/1/1210USBKey認(rèn)證方方式采用軟軟硬件件相結(jié)結(jié)合、、一次次一密密的強強雙因因子認(rèn)認(rèn)證模模式。。USBKey是一種種USB接口的的硬件件設(shè)備備，它它內(nèi)置置單片片機(jī)或或智能能卡芯芯片，，可以以存儲儲用戶戶的密密鑰或或數(shù)字字證書書，利利用USBKey內(nèi)置的的密碼碼學(xué)算算法實實現(xiàn)對對用戶戶身份份的認(rèn)認(rèn)證。。兩種應(yīng)應(yīng)用模模式：基于挑挑戰(zhàn)/應(yīng)答答的認(rèn)認(rèn)證模模式基于PKI體系的的認(rèn)證證模式式優(yōu)點：便于攜攜帶、、使用用方便便、成成本低低廉、、安全全可靠靠性很很高，，被被認(rèn)為為將會會成為為身份份認(rèn)證證的主主要發(fā)發(fā)展方方向。。缺點：安全性性不如如生物物特征征認(rèn)證證。2022/12/3111常用身份認(rèn)認(rèn)證機(jī)制簡單認(rèn)證機(jī)機(jī)制基于DCE/Kerberos的認(rèn)證機(jī)制制基于公共密密鑰的認(rèn)證證機(jī)制基于挑戰(zhàn)/應(yīng)答的認(rèn)認(rèn)證機(jī)制2022/12/3112簡單認(rèn)證機(jī)機(jī)制口令認(rèn)證一次性口令令(One-TimePassword)2022/12/3113口令認(rèn)證過過程：①用戶將口口令傳送給給計算機(jī)；；②計算機(jī)完完成口令單單向函數(shù)值值的計算；；③計算機(jī)把把單向函數(shù)數(shù)值和機(jī)器器存儲的值值比較。不足之處：以明文方式式輸入口令令容易泄密密；口令在傳輸輸過程中可可能被截獲獲；口令以文件件形式存儲儲在認(rèn)證方方，易于被被攻擊者獲獲??；用戶為了記記憶的方便便，訪問多多個不同安安全級別的的系統(tǒng)時往往往采用相相同的口令令，使得攻攻擊者也能能對高安全全級別系統(tǒng)統(tǒng)進(jìn)行攻擊擊。只能進(jìn)行單單向認(rèn)證，，即系統(tǒng)可可以認(rèn)證用用戶，而用用戶無法對對系統(tǒng)進(jìn)行行認(rèn)證?？诹钫J(rèn)證2022/12/3114一次性口口令(One-TimePassword)一次性口口令機(jī)制制確保在在每次認(rèn)認(rèn)證中所所使用的的口令不不同，以以對付重重放攻擊擊。確定口令令的方法法兩端共同同擁有一一串隨機(jī)機(jī)口令，，在該串串的某一一位置保保持同步步；兩端共同同使用一一個隨機(jī)機(jī)序列生生成器，，在該序序列生成成器的初初態(tài)保持持同步；；使用時戳戳，兩端端維持同同步的時時鐘。2022/12/3115基于DCE/Kerberos的認(rèn)證機(jī)機(jī)制圖6.2認(rèn)證雙方方與Kerberos的關(guān)系DCE/Kerberos是一種被被證明為為非常安安全的雙雙向身份份認(rèn)證技技術(shù)。Kerberos既不依賴賴用戶登登錄的終終端，也也不依賴賴用戶所所請求的的服務(wù)的的安全機(jī)機(jī)制，它它本身提提供了認(rèn)認(rèn)證服務(wù)務(wù)器來完完成用戶戶的認(rèn)證證工作。。DCE/Kerberos的身份認(rèn)認(rèn)證強調(diào)調(diào)了客戶戶機(jī)對服服務(wù)器的的認(rèn)證；；而其它它產(chǎn)品，，只解決決了服務(wù)務(wù)器對客客戶機(jī)的的認(rèn)證。。2022/12/3116基于公共密鑰鑰的認(rèn)證機(jī)制制使用符合X.509的身份證明使用這種方法法必須有一個個第三方的授授權(quán)證明（CertificatesofAuthority,CA）中心為客戶簽簽發(fā)身份證明明。客戶和服服務(wù)器各自從從CA獲取證明，并并且信任該授授權(quán)證明中心心。在會話和和通訊時首先先交換身份證證明，其中包包含了將各自自的公鑰交給給對方，然后后才使用對方方的公鑰驗證證對方的數(shù)字字簽名、交換換通訊的加密密密鑰等。在在確定是否接接受對方的身身份證明時，，還需檢查有有關(guān)服務(wù)器，，以確認(rèn)該證證明是否有效效。優(yōu)點:是非常安全全的用戶認(rèn)證證形式。缺點：實現(xiàn)起來比比較復(fù)雜，要要求通信的次次數(shù)多，而且且計算量較大大。2022/12/3117基于挑戰(zhàn)/應(yīng)應(yīng)答的認(rèn)證機(jī)機(jī)制每次認(rèn)證時認(rèn)認(rèn)證服務(wù)器端端都給客戶端端發(fā)送一個不不同的"挑戰(zhàn)戰(zhàn)"字串，客客戶端程序收收到這個"挑挑戰(zhàn)"字串后后，做出相應(yīng)應(yīng)的"應(yīng)答"。典型的認(rèn)證過過程為：（1)客戶戶向認(rèn)證服務(wù)務(wù)器發(fā)出請求求，要求進(jìn)行行身份認(rèn)證；；（2)認(rèn)證證服務(wù)器從用用戶數(shù)據(jù)庫中中查詢用戶是是否是合法的的用戶，若不不是，則不做做進(jìn)一步處理理；2022/12/3118基于挑戰(zhàn)/應(yīng)應(yīng)答的認(rèn)證機(jī)機(jī)制（3)認(rèn)證證服務(wù)器內(nèi)部部產(chǎn)生一個隨隨機(jī)數(shù)，作為為"提問"，，發(fā)送給客戶戶；（4)客戶戶將用戶名字字和隨機(jī)數(shù)合合并，使用單單向Hash函數(shù)（例如MD5算法）生成一一個字節(jié)串作作為應(yīng)答；（5)認(rèn)證證服務(wù)器將應(yīng)應(yīng)答串與自己己的計算結(jié)果果比較，若二二者相同，則則通過一次認(rèn)認(rèn)證；否則，，認(rèn)證失敗；；（6)認(rèn)證證服務(wù)器通知知客戶認(rèn)證成成功或失敗。。2022/12/3119提問-握手認(rèn)認(rèn)證協(xié)議CHAPCHAP（ChallengeHandshakeAuthenticationProtocol）采用的是挑戰(zhàn)戰(zhàn)/應(yīng)答方法法，它通過三次握手（3-wayhandshake）方式對被認(rèn)證證方的身份進(jìn)進(jìn)行周期性的的認(rèn)證。認(rèn)證過程：（1）在通信信雙方鏈路建建立階段完成成后，認(rèn)證方方（authenticator）向被認(rèn)證方（peer）發(fā)送一個提問問（challenge）消息；2022/12/3120（2））被認(rèn)認(rèn)證方方向認(rèn)認(rèn)證方方發(fā)回回一個個響應(yīng)應(yīng)（response）），該響應(yīng)應(yīng)由單單向散散列函函數(shù)計計算得得出，，單向向散列列函數(shù)數(shù)的輸輸入?yún)?shù)由由本次次認(rèn)證證的標(biāo)標(biāo)識符符、秘秘訣（secret））和提問問構(gòu)成成；（3））認(rèn)證證方將將收到到的響響應(yīng)與與它自自己根根據(jù)認(rèn)認(rèn)證標(biāo)標(biāo)識符符、秘秘訣和和提問問計算算出的的散列列函數(shù)數(shù)值進(jìn)進(jìn)行比比較，，若相相符則則認(rèn)證證通過過，向向被認(rèn)認(rèn)證方方發(fā)送送“成成功””消息息，否否則，，發(fā)送送“失失敗””消息息，斷斷開連連接。。在雙雙方通通信過過程中中系統(tǒng)統(tǒng)將以以隨機(jī)機(jī)的時時間間間隔重重復(fù)上上述三三步認(rèn)認(rèn)證過過程。。2022/12/3121CHAP的優(yōu)點點通過不不斷地地改變變認(rèn)證證標(biāo)識識符和和提問問消息息的值值來防防止回回放(playback)攻擊。。利用周周期性性的提提問防防止通通信雙雙方在在長期期會話話過程程中被被攻擊擊。雖然CHAP進(jìn)行的的是單單向認(rèn)認(rèn)證，，但在在兩個個方向向上進(jìn)進(jìn)行CHAP協(xié)商，，也能能實現(xiàn)現(xiàn)通信信雙方方的相相互認(rèn)認(rèn)證。。CHAP可用于于認(rèn)證證多個個不同同的系系統(tǒng)。。2022/12/3122CHAP的不足足CHAP認(rèn)證證的的關(guān)關(guān)鍵鍵是是秘秘訣訣，，CHAP的秘秘訣訣以以明明文文形形式式存存放放和和使使用用，，不不能能利利用用通通常常的的不不可可逆逆加加密密口口令令數(shù)數(shù)據(jù)據(jù)庫庫。。并并且且CHAP的秘秘訣訣是是通通信信雙雙方方共共享享的的，，因因此此給給秘秘訣訣的的分分發(fā)發(fā)和和更更新新帶帶來來了了麻麻煩煩，，要要求求每每個個通通信信對對都都有有一一個個共共享享的的秘秘訣訣，，這這不不適適合合大大規(guī)規(guī)模模的的系系統(tǒng)統(tǒng)。。2022/12/31236.1.3OpenID和OAuth認(rèn)證證協(xié)協(xié)議議OpenID協(xié)議議的的角角色色和和標(biāo)標(biāo)識識OpenID的工工作作流流程程OAuth協(xié)議議OAuth2.0的工工作作流流程程2022/12/3124OpenID與OAuthOpenID（OpenIdentity）是是一一個個開開放放的的、、基基于于URI/URL的、、去去中中心心化化的的身身份份認(rèn)認(rèn)證證協(xié)協(xié)議議，，也也是是一一個個開開放放的的標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。通過過OpenID，任任何何人人都都能能夠夠使使用用一一個個URL在互互聯(lián)聯(lián)網(wǎng)網(wǎng)上上用用統(tǒng)統(tǒng)一一的的方方式式來來認(rèn)認(rèn)證證自自己己。。一一次次注注冊冊，，可可以以在在多多個個網(wǎng)網(wǎng)站站上上登登錄錄，，從從而而實實現(xiàn)現(xiàn)了了跨跨域域的的單單點點登登錄錄的的功功能能，，用用戶戶再再無無須須進(jìn)進(jìn)行行重重復(fù)復(fù)的的注注冊冊和和登登錄錄。。OAuth（OpenAuthorization）協(xié)協(xié)議議是是一一個個開開放放的的授授權(quán)權(quán)協(xié)協(xié)議議，，其其目目標(biāo)標(biāo)是是為為了了授授權(quán)權(quán)第第三三方方在在可可控控范范圍圍下下訪訪問問用用戶戶資資源源。。OAuth與OpenID互補補，，一一般般支支持持OpenID的服服務(wù)務(wù)都都會會使使用用到到OAuth。2022/12/3125OAuth和OpenID的區(qū)別OAuth和OpenID的區(qū)別在在于應(yīng)用用場景的的區(qū)別，，OAuth用于為用用戶授權(quán)權(quán)，是一一套授權(quán)權(quán)協(xié)議；；OpenID是用來認(rèn)認(rèn)證的，，是一套套認(rèn)證協(xié)協(xié)議。兩兩者是互互補的。。一般支支持OpenID的服務(wù)都都會使用用到OAuth。2022/12/3126OpenID協(xié)議的角角色和標(biāo)標(biāo)識OpenID定義了如如下3個角色和和一個標(biāo)標(biāo)識：終端用戶戶(EndUser)利用OpenID進(jìn)行身份份認(rèn)證的的互聯(lián)網(wǎng)網(wǎng)用戶，，也可以以指代用用戶所使使用的瀏瀏覽器。。身份提供供者IDP(IdentityProvider)提供OpenID帳號的網(wǎng)網(wǎng)站，提提供OpenID注冊、存存儲、驗驗證等服服務(wù)。如如AOL、Yahoo!、Veristgn等2022/12/3127服務(wù)提供供者RP(RelyingParty)支持使用用OpenID登錄的服服務(wù)商，，也就是是用戶要要登錄的的網(wǎng)站。。如LiveJournal、WikiSpaces等身份標(biāo)識識頁(IdentityPage)用戶所擁擁有OpenID的URL地址以及及其上所所存放的的文件例如：在在360網(wǎng)站上注注冊用戶戶名為zhansan的用戶希希望登錄錄美團(tuán)網(wǎng)網(wǎng)進(jìn)行購購物，則則用戶為zhangsan，360網(wǎng)站為身身份提供供者，而美團(tuán)網(wǎng)是是服務(wù)提提供者。2022/12/3128OpenID的工作流流程(1)用戶(EndUser)需要使用用服務(wù)提提供者(RelyingParty)的服務(wù)時時，要向向其提供供自己的的標(biāo)識OpenIDURL。(2)服務(wù)提供供者根據(jù)據(jù)用戶的的OpenIDURL與身份提提供者(IdentityProvider)進(jìn)行通信信。(3)服務(wù)提供供者將用用戶引導(dǎo)導(dǎo)到身份份提供者者的身份份認(rèn)證頁頁面。(4)用戶向身身份提供供者表明明身份，，并完成成認(rèn)證。。2022/12/3129(5)認(rèn)證結(jié)結(jié)束后后，身身份提提供者者將用用戶引引導(dǎo)回回服務(wù)務(wù)提供供者，，同時時返回回的信信息包包含認(rèn)認(rèn)證用用戶的的結(jié)果果判斷斷，以以及服服務(wù)提提供者者需要要的一一些其其它信信息。。(6)服務(wù)提提供者者判斷斷返回回信息息的有有效性性，認(rèn)認(rèn)證成成功，，用戶戶即可可使用用相應(yīng)應(yīng)的功功能OpenID的工作作流程程如圖圖6.3所示2022/12/3130圖6.3OpenID的工作作流程程2022/12/3131（1）終端端用戶戶請求求登錄錄RP網(wǎng)站，，用戶戶選擇擇了以以O(shè)penID方式來來登錄錄。（2）RP將OpenID的登錄錄界面面返回回給終終端用用戶。。（3）終端端用戶戶以O(shè)penID登陸RP網(wǎng)站。。（4）RP網(wǎng)站對對用戶戶的OpenID進(jìn)行標(biāo)標(biāo)準(zhǔn)化化。OpenID以xri://、xri://$ip或者xri://$dns開頭，，先去去掉這這些符符號；；然后后對如如下的的字符符串進(jìn)進(jìn)行判判斷，，如果果第一一個字字符是是=、@、+、$、!，則視視為標(biāo)標(biāo)準(zhǔn)的的XRI，否則則視為為HTTPURL（若沒沒有http,為其增增加http://）。OpenID的交互互過程程：2022/12/3132（5）RP發(fā)現(xiàn)IDP，如果OpenID是XRI，就采用XRI解析，如果果是URL，則用YADIS協(xié)議解析，，若YADIS解析失敗，，則用HTTP發(fā)現(xiàn)。（6）RP跟IDP建立一個關(guān)關(guān)聯(lián)。兩者者之間可以以建立一個個安全通道道，用于傳傳輸信息并并降低交互互次數(shù)。（7）IDP處理RP的關(guān)聯(lián)請求求。（8）RP請求IDP對用戶身份份進(jìn)行驗證證。（9）IDP對用戶認(rèn)證證，如請求求用戶進(jìn)行行登錄認(rèn)證證。（10）用戶登錄錄IDP。2022/12/3133（11）IDP將認(rèn)證結(jié)果果返回給RP。（12）RP對IDP的結(jié)果進(jìn)行行分析。（13）RP分析后，如如用戶合法法，則返回回用戶認(rèn)證證成功，可可以使用RP服務(wù)。2022/12/3134OpenID的交互流程程如圖6.4所示2022/12/3135OAuth協(xié)議OAuth是一個開放放的授權(quán)協(xié)協(xié)議，允許許用戶在不不泄露用戶戶名/密碼的情況況下，和其其他網(wǎng)站共共享存儲在在另一個網(wǎng)網(wǎng)站上的個個人資源(照片、視頻頻、通信錄錄等)。OAuth是一種授權(quán)權(quán)服務(wù)，不不同于OpenID，但與OpenID相輔相成。。OAuth是為了讓用用戶授權(quán)一一個應(yīng)用程程序去訪問問用戶的信信息。IETF目前正在起起草OAuth2.0協(xié)議。OAuth2.0定義了如下下4個角色：資資源所有者者、客戶端端、資源服服務(wù)器、授授權(quán)服務(wù)器器。2022/12/3136(1)資源所有者（（ResourceOwner）：一個實體體，能授權(quán)一一個應(yīng)用（即即客戶端）訪訪問受保護(hù)的的資源。(2)客戶端（Client）：代表受保保護(hù)資源的應(yīng)應(yīng)用程序，能能獲得授權(quán)并并請求訪問受受保護(hù)的資源源。(3)資源服務(wù)器（（ResourceServer）：一個服務(wù)務(wù)器，托管受受保護(hù)資源的的服務(wù)器，通通過存取令牌牌（token）接收受保護(hù)護(hù)資源的訪問問請求，并能能應(yīng)答對受保保護(hù)的資源的的請求。(4)授權(quán)服務(wù)器（（AuthorizationServer）：一個服務(wù)務(wù)器，能成功功認(rèn)證資源所所有者及獲得得資源所有者者的授權(quán)，認(rèn)認(rèn)證成功及獲獲得授權(quán)后能能發(fā)布訪問令令牌（token）。它可能與與資源服務(wù)器器合設(shè)，也可可能是一個獨獨立的網(wǎng)絡(luò)設(shè)設(shè)備。2022/12/3137OAuth2.0的工作流程OAuth2.0的工作流程如如圖6.5所示：2022/12/3138(1)客戶端想要訪訪問受資源所所有者控制的的網(wǎng)絡(luò)資源，，但客戶端并并不知道資源源所有者的認(rèn)認(rèn)證憑證?？涂蛻舳诵枰谠谑跈?quán)服務(wù)器器注冊，以便便獲取客戶端端的認(rèn)證憑據(jù)據(jù)(如client_id，client_secret)?？蛻舳苏埱笄筚Y源所有者者授權(quán)，訪問問用戶的網(wǎng)絡(luò)絡(luò)資源。(2)資源所有者在在授權(quán)客戶端端訪問前，資資源所有者需需要通過授權(quán)權(quán)服務(wù)器的認(rèn)認(rèn)證。(3)資源所有者認(rèn)認(rèn)證成功后，，客戶端接收收到一個訪問問資源授權(quán)憑憑證，授權(quán)憑憑證代表資源源所有者允許許客戶端訪問問網(wǎng)絡(luò)資源。。(4)客戶端向授權(quán)權(quán)服務(wù)器請求求訪問令牌，，請求消息包包含用于認(rèn)證證客戶端的認(rèn)認(rèn)證憑證和訪訪問資源的授授權(quán)憑證。2022/12/3139(5)授權(quán)服務(wù)器根根據(jù)客戶端的的認(rèn)證憑證認(rèn)認(rèn)證客戶端，，并驗證資源源訪問授權(quán)憑憑證的有效性性，如果都成成功，則向客客戶端發(fā)布一一個訪問令牌牌。(6)客戶端向資源源服務(wù)器請求求訪問受保護(hù)護(hù)的資源，請請求包含一個個訪問令牌。。資源服務(wù)器器驗證訪問令令牌的有效性性，如果有效效，則客戶端端能訪問資源源服務(wù)器上受受保護(hù)的資源源。OAuth是一個令牌的的協(xié)議。能用用于Web2.0中授權(quán)第三方方安全訪問網(wǎng)網(wǎng)絡(luò)資源。一一些電信運營營商已認(rèn)可OAuth能確保第三方方應(yīng)用安全訪訪問電信網(wǎng)絡(luò)絡(luò)資源，而且且GSMA的RCS計劃已經(jīng)明確確要求使用OAuth2.0來保證網(wǎng)絡(luò)資資源的授權(quán)訪訪問。2022/12/3140OpenID和OAuth的作用就是為為開放平臺提提供規(guī)范、簡簡潔、安全的的通信、授權(quán)權(quán)和管理機(jī)制制。這兩種協(xié)協(xié)議已經(jīng)得到到了很多大型型廠商的支持持，如Yahoo，F(xiàn)acebook，Twitter，Microsoft，Google等，國內(nèi)的新新浪，豆瓣，，騰訊等都已已開始應(yīng)用這這兩項技術(shù)。。2022/12/31416.2訪問控控制概述一個經(jīng)過計算算機(jī)系統(tǒng)識別別和驗證后的的用戶（合法法用戶）進(jìn)入入系統(tǒng)后，并并非意味著他他具有對系統(tǒng)統(tǒng)所有資源的的訪問權(quán)限。。訪問控制的任任務(wù)就是要根據(jù)一一定的原則對對合法用戶的的訪問權(quán)限進(jìn)進(jìn)行控制，以以決定他可以以訪問哪些資資源以及以什什么樣的方式式訪問這些資資源。2022/12/3142訪問問控控制制的的基基本本概概念念主體體（Subject））：主體體是是指指主主動動的的實實體體，，是是訪訪問問的的發(fā)發(fā)起起者者，，它它造造成成了了信信息息的的流流動動和和系系統(tǒng)統(tǒng)狀狀態(tài)態(tài)的的改改變變，，主主體體通通常常包包括括人人、、進(jìn)進(jìn)程程和和設(shè)設(shè)備備。?？腕w體（Object））：客體體是是指指包包含含或或接接受受信信息息的的被被動動實實體體，，客客體體在在信信息息流流動動中中的的地地位位是是被被動動的的，，是是處處于于主主體體的的作作用用之之下下，，對對客客體體的的訪訪問問意意味味著著對對其其中中所所包包含含信信息息的的訪訪問問。?？涂腕w體通通常常包包括括文文件件、、設(shè)設(shè)備備、、信信號號量量和和網(wǎng)網(wǎng)絡(luò)絡(luò)節(jié)節(jié)點點等等。。訪問問（Access））：是使使信信息息在在主主體體和和客客體體之之間間流流動動的的一一種種交交互互方方式式。。訪訪問問包包括括讀讀取取數(shù)數(shù)據(jù)據(jù)、、更更改改數(shù)數(shù)據(jù)據(jù)、、運運行行程程序序、、發(fā)發(fā)起起連連接接等等。。2022/12/3143訪問問控控制制的的基基本本概概念念訪問問控控制制（AccessControl））：訪問問控控制制規(guī)規(guī)定定了了主主體體對對客客體體訪訪問問的的限限制制，，并并在在身身份份識識別別的的基基礎(chǔ)礎(chǔ)上上，，根根據(jù)據(jù)身身份份對對提提出出資資源源訪訪問問的的請請求求加加以以控控制制。。訪訪問問控控制制決決定定了了誰誰能能夠夠訪訪問問系系統(tǒng)統(tǒng)，，能能訪訪問問系系統(tǒng)統(tǒng)的的何何種種資資源源以以及及如如何何使使用用這這些些資資源源。。訪訪問問控控制制所所要要控控制制的的行行為為主主要要有有讀讀取取數(shù)數(shù)據(jù)據(jù)、、運運行行可可執(zhí)執(zhí)行行文文件件、、發(fā)發(fā)起起網(wǎng)網(wǎng)絡(luò)絡(luò)連連接接等等。。2022/12/3144訪問問控控制制技技術(shù)術(shù)入網(wǎng)網(wǎng)訪訪問問控控制制網(wǎng)絡(luò)絡(luò)權(quán)權(quán)限限控控制制目錄錄級級控控制制屬性性控控制制網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)器器的的安安全全控控制制2022/12/3145入網(wǎng)訪問問控制入網(wǎng)訪問問控制為為網(wǎng)絡(luò)訪訪問提供供了第一一層訪問問控制，，通過控控制機(jī)制制來明確確能夠登登錄到服服務(wù)器并并獲取網(wǎng)網(wǎng)絡(luò)資源源的合法法用戶、、用戶入入網(wǎng)的時時間和準(zhǔn)準(zhǔn)許入網(wǎng)網(wǎng)的工作作站等。?；谟脩魬裘涂诳诹畹挠糜脩羧刖W(wǎng)網(wǎng)訪問控控制可分分為三個個步驟：：用戶名名的識別別與驗證證、用戶戶口令的的識別與與驗證和和用戶賬賬號的缺缺省限制制檢查。。如果有有任何一一個步驟驟未通過過檢驗，，該用戶戶便不能能進(jìn)入該該網(wǎng)絡(luò)。。2022/12/3146網(wǎng)絡(luò)權(quán)限限控制網(wǎng)絡(luò)權(quán)限限控制是是針對網(wǎng)網(wǎng)絡(luò)非法法操作所所提出的的一種安安全保護(hù)護(hù)措施。。能夠訪訪問網(wǎng)絡(luò)絡(luò)的合法法用戶被被劃分為為不同的的用戶組組，不同同的用戶戶組被賦賦予不同同的權(quán)限限。訪問問控制機(jī)機(jī)制明確確了不同同用戶組組可以訪訪問哪些些目錄、、子目錄錄、文件件和其他他資源等等，指明明不同用用戶對這這些文件件、目錄錄、設(shè)備備能夠執(zhí)執(zhí)行哪些些操作等等。2022/12/3147網(wǎng)絡(luò)權(quán)限限控制實現(xiàn)方式式：受托者指指派。受托者指指派控制制用戶和和用戶組組如何使使用網(wǎng)絡(luò)絡(luò)服務(wù)器器的目錄錄、文件件和設(shè)備備。繼承權(quán)限限屏蔽（（IRM））。繼承權(quán)限限屏蔽相相當(dāng)于一一個過濾濾器，可可以限制制子目錄錄從父目目錄那里里繼承哪哪些權(quán)限限。根據(jù)據(jù)訪問權(quán)權(quán)限將用用戶分為為以下幾幾類：特特殊用戶戶（即系系統(tǒng)管理理員）；；一般用用戶，系系統(tǒng)管理理員根據(jù)據(jù)他們的的實際需需要為他他們分配配操作權(quán)權(quán)限；審審計用戶戶，負(fù)責(zé)責(zé)網(wǎng)絡(luò)的的安全控控制與資資源使用用情況的的審計。。用戶對對網(wǎng)絡(luò)資資源的訪訪問權(quán)限限可以用用訪問控控制表來來描述。。2022/12/3148目錄級控控制目錄級安安全控制制是針對對用戶設(shè)設(shè)置的訪訪問控制制，控制制用戶對對目錄、、文件、、設(shè)備的的訪問。。用戶在在目錄一一級指定定的權(quán)限限對所有有文件和和子目錄錄有效，，用戶還還可以進(jìn)進(jìn)一步指指定對目目錄下的的子目錄錄和文件件的權(quán)限限。對目錄和和文件的的訪問權(quán)權(quán)限一般般有八種種：系統(tǒng)統(tǒng)管理員員權(quán)限、、讀權(quán)限限、寫權(quán)權(quán)限、創(chuàng)創(chuàng)建權(quán)限限、刪除除權(quán)限、、修改權(quán)權(quán)限、文文件查找找權(quán)限和和訪問控控制權(quán)限限。2022/12/3149屬性控制制屬性安全全控制在在權(quán)限安安全的基基礎(chǔ)上提提供更進(jìn)進(jìn)一步的的安全性性。當(dāng)用用戶訪問問文件、、目錄和和網(wǎng)絡(luò)設(shè)設(shè)備時，，網(wǎng)絡(luò)系系統(tǒng)管理理員應(yīng)該該給出文文件、目目錄的訪訪問屬性性，網(wǎng)絡(luò)絡(luò)上的資資源都應(yīng)應(yīng)預(yù)先標(biāo)標(biāo)出安全全屬性，，用戶對對網(wǎng)絡(luò)資資源的訪訪問權(quán)限限對應(yīng)一一張訪問問控制表表，用以以表明用用戶對網(wǎng)網(wǎng)絡(luò)資源源的訪問問能力。。屬性設(shè)設(shè)置可以以覆蓋已已經(jīng)指定定的任何何受托者者指派和和有效權(quán)權(quán)限。屬性能能夠控控制以以下幾幾個方方面的的權(quán)限限:向向某個個文件件寫數(shù)數(shù)據(jù)、、拷貝貝文件件、刪刪除目目錄或或文件件、查查看目目錄和和文件件、執(zhí)執(zhí)行文文件、、隱含含文件件、共共享、、系統(tǒng)統(tǒng)屬性性等，，避免免發(fā)生生非法法訪問問的現(xiàn)現(xiàn)象。。2022/12/3150網(wǎng)絡(luò)服服務(wù)器器的安安全控控制網(wǎng)絡(luò)服服務(wù)器器的安安全控控制是是由網(wǎng)網(wǎng)絡(luò)操操作系系統(tǒng)負(fù)負(fù)責(zé)。。網(wǎng)絡(luò)服服務(wù)器器的安安全控控制包包括可可以設(shè)設(shè)置口口令鎖鎖定服服務(wù)器器控制制臺，，以防防止非非法用用戶修修改、、刪除除重要要信息息或破破壞數(shù)數(shù)據(jù)。。此外外，還還可以以設(shè)定定服務(wù)務(wù)器登登錄時時間限限制、、非法法訪問問者檢檢測和和關(guān)閉閉的時時間間間隔等等。2022/12/31516.2.3訪問控控制原理訪問控制包包括兩個重重要過程：：通過“鑒別（authentication）”來驗證主體體的合法身身份；通過“授權(quán)（authorization）”來限制用戶戶可以對某某一類型的的資源進(jìn)行行何種類型型的訪問。。2022/12/3152例如，當(dāng)用用戶試圖訪訪問您的Web服務(wù)器時，，服務(wù)器執(zhí)執(zhí)行幾個訪訪問控制進(jìn)進(jìn)程來識別別用戶并確確定允許的的訪問級別別。其訪問控制制過程：（1）客戶戶請求服務(wù)務(wù)器上的資資源。（2）將依依據(jù)IIS中IP地址限制檢檢查客戶機(jī)機(jī)的IP地址。如果果IP地址是禁止止訪問的，，則請求就就會失敗并并且給用戶戶返回“403禁禁止訪問””消息。2022/12/3153（3）如果果服務(wù)器要要求身份驗驗證，則服服務(wù)器從客客戶端請求求身份驗證證信息。瀏瀏覽器既提提示用戶輸輸入用戶名名和密碼，，也可以自自動提供這這些信息。。（在用戶戶訪問服務(wù)務(wù)器上任何何信息之前前，可以要要求用戶提提供有效的的MicrosoftWindows用戶帳戶、、用戶名和和密碼。該該標(biāo)識過程程就稱為““身份驗證證”。可以以在網(wǎng)站或或FTP站點、目錄錄或文件級級別設(shè)置身身份驗證。?？梢允褂糜肐nternet信息服務(wù)（（IIS提供的）身身份驗證方方法來控制制對網(wǎng)站和和FTP站點的訪問問。）（4)IIS檢查用戶是是否擁有有有效的Windows用戶帳戶。。如果用戶戶沒有提供供，則請求求就會失敗敗并且給用用戶返回““401拒拒絕訪問問”消息。。2022/12/3154（5)IIS檢查用戶是是否具有請請求資源的的Web權(quán)限。如果果用戶沒有有提供，則則請求就會會失敗并且且給用戶返返回“403禁止止訪問”消消息。（6)添加加任何安全全模塊，如如MicrosoftASP.NET模擬。（7)IIS檢查有關(guān)靜靜態(tài)文件、、ActiveServerPages(ASP)和通用網(wǎng)關(guān)關(guān)接口(CGI)文件上資源源的NTFS權(quán)限。如果果用戶不具具備資源的的NTFS權(quán)限，則請請求就會失失敗并且給給用戶返回回“401拒絕訪訪問”消息息。（8)如果果用戶具有有NTFS權(quán)限，則可可完成該請請求。2022/12/3155訪問控制矩矩陣通常使用訪訪問控制矩矩陣來限制制主體對客客體的訪問問權(quán)限。訪訪問控制機(jī)機(jī)制可以用用一個三元元組（S,O,A）來表示。。其中，，S代表主體體集合，，O代表客體體集合，，A代表屬性性集合，，A集合中列列出了主主體Si對客體Oj所允許的的訪問權(quán)權(quán)限。這這一關(guān)系系可以用用如下所所示的一一個訪問問控制矩矩陣來表表示：2022/12/3156三種訪問問控制策策略自主訪問問控制強制訪問問控制基于角色色的訪問問控制2022/12/31576.3自自主訪訪問控制制（DAC））自主訪問問控制（DiscretionaryAccessControl）是指對某某個客體體具有擁擁有權(quán)（（或控制制權(quán)）的的主體能能夠?qū)υ摽腕w體的一種種訪問權(quán)權(quán)或多種種訪問權(quán)權(quán)自主地地授予其其它主體體，并在在隨后的的任何時時刻將這這些權(quán)限限回收。。這種控控制是自自主的，，也就是是指具有有授予某某種訪問問權(quán)力的的主體（（用戶））能夠自自己決定定是否將將訪問控控制權(quán)限限的某個個子集授授予其他他的主體體或從其其他主體體那里收收回他所所授予的的訪問權(quán)權(quán)限。2022/12/3158例如，假假設(shè)某所所大學(xué)使使用計算算機(jī)系統(tǒng)統(tǒng)進(jìn)行學(xué)學(xué)生信息息的管理理。教務(wù)務(wù)處在系系統(tǒng)中建建立了一一張表，，存入了了每個學(xué)學(xué)生的有有關(guān)信息息，如姓姓名、年年齡、年年級、專專業(yè)、系系別、成成績、受受過哪些些獎勵和和處分等等。教務(wù)務(wù)處不允允許每個個學(xué)生都都能看到到所有這這些信息息，他可可能按這這樣一個個原則來來控制:每個學(xué)生生可以看看到自己己的有關(guān)關(guān)信息，，但不允允許看別別人的；；每個班的的老師可可以隨時時查看自自己班的的學(xué)生的的有關(guān)信信息，但但不能查查看其他他班學(xué)生生的信息息；并且教務(wù)處可可限制教務(wù)處處以外的所有有用戶不得修修改這些信息息，也不能插插入和刪除表表中的信息，，這些信息的的擁有者是教教務(wù)處。2022/12/3159教務(wù)處可按照照上述原則對對系統(tǒng)中的用用戶（該大學(xué)學(xué)的所有老師師和學(xué)生）進(jìn)進(jìn)行授權(quán)。于于是其他用戶戶只能根據(jù)教教務(wù)處的授權(quán)權(quán)來對這張表表進(jìn)行訪問。。根據(jù)教務(wù)處的的授權(quán)規(guī)則，，計算機(jī)中相相應(yīng)存放有一一張表（授權(quán)權(quán)表），將教教務(wù)處的授權(quán)權(quán)情況記錄下下來，以后當(dāng)當(dāng)任何用戶對對教務(wù)處的數(shù)數(shù)據(jù)要進(jìn)行訪訪問時，系統(tǒng)統(tǒng)首先查這張張表，檢查教教務(wù)處是否對對他進(jìn)行了授授權(quán)，如果有有授權(quán)，計算算機(jī)就執(zhí)行其其操作；若沒沒有，則拒絕絕執(zhí)行。2022/12/3160自主訪問控制制中，用戶可可以針對被保保護(hù)對象制定定自己的保護(hù)護(hù)策略。優(yōu)點:靈活性、易用用性與可擴(kuò)展展性缺點:這種控制是自自主的，帶來來了嚴(yán)重的安安全問題。2022/12/3161強制訪問控制制（MandatoryAccessControl）是指計算機(jī)系系統(tǒng)根據(jù)使用用系統(tǒng)的機(jī)構(gòu)構(gòu)事先確定的的安全策略，，對用戶的訪訪問權(quán)限進(jìn)行行強制性的控控制。也就是是說，系統(tǒng)獨獨立于用戶行行為強制執(zhí)行行訪問控制，，用戶不能改改變他們的安安全級別或?qū)ο蟮陌踩珜賹傩?。強制訪訪問控制進(jìn)行行了很強的等等級劃分，所所以經(jīng)常用于于軍事用途。。6.4強制制訪問控制(MAC)圖6-6強制訪問控制制示例2022/12/3162例如，，某單單位部部分行行政機(jī)機(jī)構(gòu)如如下圖圖：2022/12/3163假設(shè)計計算機(jī)機(jī)系統(tǒng)統(tǒng)中的的數(shù)據(jù)據(jù)的密密級為為：一般＜＜秘密密＜機(jī)機(jī)密＜＜絕密密定義校校長的的安全全級C校長＝（絕絕密，，{人人事處處,教教務(wù)處處,財財務(wù)處處,設(shè)設(shè)備處處}）），（即校校長的的密級級為絕絕密，，部門門屬性性為所所有的的部門門）教務(wù)處處長的的安全全級C教=(機(jī)機(jī)密,{教教務(wù)處處})財務(wù)處處長的的安全全級C財=(機(jī)機(jī)密,{財財務(wù)處處})財務(wù)一一科長長的安安全級級C一財=(秘秘密,{財財務(wù)處處})財務(wù)處處工作作人員員的安安全級級C工=(一一般,{財財務(wù)處處})假設(shè)財財務(wù)一一科長長產(chǎn)生生了一一份工工作文文件A，文件A的安全全級定定義為為與一一科長長的安安全級級相同同，即即CA=(秘密,{財財務(wù)處處})，那那么，，對于于文件件A，只有校校長和和財務(wù)務(wù)處長長能看看到，，而教教務(wù)處處長不不能看看，盡盡管教教務(wù)處處長的的密級級是機(jī)機(jī)密級級，可可以看看秘密密級的的文件件，但但教務(wù)務(wù)處長長的部部門屬屬性僅僅是{教務(wù)務(wù)處},他他無權(quán)權(quán)看財財務(wù)處處的信信息。。2022/12/3164強制訪訪問控控制在在自主主訪問問控制制的基基礎(chǔ)上上，增增加了了對網(wǎng)網(wǎng)絡(luò)資資源的的屬性性劃分分，規(guī)規(guī)定不不同屬屬性下下的訪訪問權(quán)權(quán)限。。優(yōu)點:安全性性比自自主訪訪問控控制的的安全全性有有了提提高。。缺點:靈活性性要差差一些些。2022/12/31656.5基基于于角角色色的的訪訪問問控控制制(RBAC)傳統(tǒng)統(tǒng)的的訪訪問問控控制制方方法法中中，，都都是是由由主主體體和和訪訪問問權(quán)權(quán)限限直直接接發(fā)發(fā)生生關(guān)關(guān)系系，，主主要要針針對對用用戶戶個個人人授授予予權(quán)權(quán)限限，，主主體體始始終終是是和和特特定定的的實實體體捆捆綁綁對對應(yīng)應(yīng)的的。。這這樣樣會會出出現(xiàn)現(xiàn)一一些些問問題題：：在用用戶戶注注冊冊到到銷銷戶戶這這期期間間，，用用戶戶的的權(quán)權(quán)限限需需要要變變更更時時必必須須在在系系統(tǒng)統(tǒng)管管理理員員的的授授權(quán)權(quán)下下才才能能進(jìn)進(jìn)行行，，因因此此很很不不方方便便；；大型型應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)的的訪訪問問用用戶戶往往往往種種類類繁繁多多、、數(shù)數(shù)量量巨巨大大、、并并且且動動態(tài)態(tài)變變化化，，當(dāng)當(dāng)用用戶戶量量大大量量增增加加時時，，按按每每個個用用戶戶分分配配一一個個注注冊冊賬賬號號的的方方