身份與訪問安全本章知識結(jié)構(gòu)案例與思考案例與思考4：國內(nèi)著名網(wǎng)站用戶密碼泄露事件4.1數(shù)據(jù)資源訪問中的安全問題一位用戶對計(jì)算機(jī)信息資源的訪問活動(dòng)中，用戶首先必須擁有身份標(biāo)識，通過該標(biāo)識鑒別該用戶的身份，進(jìn)一步地，用戶還應(yīng)當(dāng)具有執(zhí)行所請求動(dòng)作的必要權(quán)限，系統(tǒng)會驗(yàn)證并控制其能否執(zhí)行對資源試圖完成的操作，還有，用戶在整個(gè)訪問過程中的活動(dòng)還應(yīng)當(dāng)被記錄以確?？蓪彶椤?.2身份認(rèn)證和訪問控制的概念4.2.1身份認(rèn)證的概念身份認(rèn)證（Authentication）是證實(shí)實(shí)體（Entity）對象的數(shù)字身份與物理身份是否一致的過程。身份認(rèn)證分為兩個(gè)過程：標(biāo)識（Identification）就是系統(tǒng)要標(biāo)識實(shí)體的身份，并為每個(gè)實(shí)體取一個(gè)系統(tǒng)可以識別的內(nèi)部名稱——標(biāo)識符ID。識別主體真實(shí)身份的過程稱為鑒別（Authentication），也有稱作認(rèn)證或驗(yàn)證。4.2身份認(rèn)證和訪問控制的概念4.2.2訪問控制的概念1．訪問控制的三要素1）主體（Subject）。主體是訪問操作的主動(dòng)發(fā)起者，它請求對客體進(jìn)行訪問。2）客體（Object）?？腕w通常是指包含被訪問信息或所需功能的實(shí)體。3）安全訪問規(guī)則。用以確定一個(gè)主體是否對某個(gè)客體擁有某種訪問權(quán)力。4.2身份認(rèn)證和訪問控制的概念4.2.2訪問控制的概念2．引用監(jiān)視器和安全內(nèi)核訪問控制機(jī)制的理論基礎(chǔ)是引用監(jiān)視器(ReferenceMonitor)，由J.P.Anderson于1972年首次提出。在引用監(jiān)視器思想的基礎(chǔ)上，J.P.Anderson定義了安全內(nèi)核的概念。安全內(nèi)核是實(shí)現(xiàn)引用監(jiān)視器概念的一種技術(shù)。安全內(nèi)核可以由硬件和介于硬件與操作系統(tǒng)之間的一層軟件組成。4.2身份認(rèn)證和訪問控制的概念4.2.2訪問控制的概念3．訪問控制模型和訪問控制方案訪問控制模型是規(guī)定主體如何訪問客體的一種架構(gòu)，它使用訪問控制技術(shù)和安全機(jī)制來實(shí)現(xiàn)模型的規(guī)則和目標(biāo)。訪問控制模型主要包括：自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制。訪問控制模型內(nèi)置在不同操作系統(tǒng)的內(nèi)核中，也內(nèi)置于一些應(yīng)用系統(tǒng)中。訪問控制模型的應(yīng)用范圍很廣，它涵蓋了對計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和信息資源的訪問控制。4.3身份憑證信息1）用戶所知道的（Whatyouknow）。如要求輸入用戶的口令、密鑰或記憶的某些動(dòng)作等。2）用戶所擁有的（Whatyouhave）。如USBKey、智能卡等物理識別設(shè)備。3）用戶本身的特征（Whatyouare）。如用戶的人臉、指紋、聲音、視網(wǎng)膜等生理特征以及擊鍵等行為特征。4.3身份憑證信息創(chuàng)建的身份信息必須具有3個(gè)特性：1）唯一性。用戶身份信息必須是唯一的且不能被偽造，防止一個(gè)實(shí)體冒充另一個(gè)實(shí)體。2）非描述性。任何身份的標(biāo)識都不能表明賬戶的目的。3）權(quán)威簽發(fā)。身份憑證，如虎符、腰牌應(yīng)當(dāng)由權(quán)威機(jī)構(gòu)頒發(fā)，以便對標(biāo)識進(jìn)行驗(yàn)真，或在出現(xiàn)爭執(zhí)時(shí)提供仲裁。4.3身份憑證信息4.3.1用戶所知道的1.口令口令是一種最古老、容易實(shí)現(xiàn)、也是比較有效的身份憑證。在計(jì)算機(jī)操作系統(tǒng)或是應(yīng)用系統(tǒng)中，用戶首先必須作為系統(tǒng)管理員或是通過系統(tǒng)管理員，在系統(tǒng)中建立一個(gè)用戶賬號及設(shè)置一個(gè)口令。用戶每次使用系統(tǒng)必須輸入用戶名和口令，只有與存放在系統(tǒng)中的賬戶/口令文件中的相關(guān)信息一致才能進(jìn)入系統(tǒng)。4.3身份憑證信息4.3.1用戶所知道的2.手勢隨著手機(jī)、Pad等移動(dòng)終端設(shè)備的廣泛應(yīng)用，手勢這種憑證信息得到了用戶的青睞，用戶只需在屏幕上劃出一定的動(dòng)作即可完成身份認(rèn)證。4.3身份憑證信息4.3.2用戶所擁有的1.U盾U盾是銀行推出的存放客戶證書的安全工具，服務(wù)于網(wǎng)上銀行的數(shù)字認(rèn)證和電子簽名。4.3身份憑證信息4.3.2用戶所擁有的2.智能卡智能卡（SmartCard）是一種更為復(fù)雜的憑證。它是一種將具有加密、存儲、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲器等部件構(gòu)成。4.3身份憑證信息4.3.2用戶所擁有的3.手機(jī)手機(jī)也是一種很好的憑證工具。我們在使用手機(jī)支付時(shí)，看似沒有輸入任何賬戶信息，包括密碼，實(shí)際上我們的手機(jī)金融賬戶已經(jīng)與用戶的手機(jī)這個(gè)硬件捆綁了。4.3身份憑證信息4.3.3用戶本身的特征1.生理特征認(rèn)證（1）指紋識別（2）虹膜識別（3）人臉識別2.生物行為認(rèn)證（1）基于擊鍵特征（2）基于操作鼠標(biāo)行為特征（3）基于步態(tài)（4）基于情境感知的身份認(rèn)證4.3身份憑證信息4.3.4多因子信息基于生物特征的認(rèn)證技術(shù)顯示出一種發(fā)展趨勢：將不同特點(diǎn)的生物特征組合起來，根據(jù)應(yīng)用場景、用戶條件、安全等級自動(dòng)切換，即生物識別的多模態(tài)技術(shù)。在高安全等級需求的應(yīng)用中，最好將基于生物特征的身份認(rèn)證機(jī)制和其他用戶認(rèn)證機(jī)制結(jié)合起來使用，形成多因子認(rèn)證機(jī)制。4.4身份認(rèn)證機(jī)制4.4.1一次性口令認(rèn)證機(jī)制1.一次性口令原理在登錄過程中加入不確定因子，使用戶在每次登錄時(shí)產(chǎn)生的口令信息都不相同。認(rèn)證系統(tǒng)得到口令信息后通過相應(yīng)的算法驗(yàn)證用戶的身份。一次性口令認(rèn)證機(jī)制的一種常見實(shí)現(xiàn)是挑戰(zhàn)/響應(yīng)（Challenge/Response）方案。4.4身份認(rèn)證機(jī)制4.4.1一次性口令認(rèn)證機(jī)制1.一次性口令（OTP）原理在登錄過程中加入不確定因子，使用戶在每次登錄時(shí)產(chǎn)生的口令信息都不相同。認(rèn)證系統(tǒng)得到口令信息后通過相應(yīng)的算法驗(yàn)證用戶的身份。一次性口令認(rèn)證機(jī)制的一種常見實(shí)現(xiàn)是挑戰(zhàn)/響應(yīng)（Challenge/Response）方案。4.4身份認(rèn)證機(jī)制4.4.1一次性口令認(rèn)證機(jī)制2.OTP應(yīng)用實(shí)例【例4-1】使用“驗(yàn)證碼”實(shí)現(xiàn)一次性口令認(rèn)證?！纠?-2】綁定手機(jī)的動(dòng)態(tài)口令實(shí)現(xiàn)一次性口令認(rèn)證。4.4身份認(rèn)證機(jī)制4.4.1一次性口令認(rèn)證機(jī)制3.OTP的安全性分析與傳統(tǒng)的靜態(tài)口令認(rèn)證方法相比，OTP認(rèn)證機(jī)制的安全性有很大的提高。1）通過哈希計(jì)算可以抵御嗅探攻擊。2）通過加入不確定因子可以抵御字典攻擊和重放攻擊。OTP認(rèn)證方案仍存在一些安全問題：1）沒有實(shí)現(xiàn)雙向認(rèn)證。2）難以防范小數(shù)攻擊。3）難以抵御中間人攻擊。4.4身份認(rèn)證機(jī)制4.4.2FIDO認(rèn)證機(jī)制1.FIDO的產(chǎn)生致力于不依賴“共享秘密”解決傳統(tǒng)身份認(rèn)證弊端的FIDO（FastIdentityOnline，線上快速身份驗(yàn)證）聯(lián)盟（）于2012年7月成立了。聯(lián)盟成員包括Google、Intel、Lenovo和阿里巴巴等。4.4身份認(rèn)證機(jī)制4.4.2FIDO認(rèn)證機(jī)制2.FIDO機(jī)制（1）FIDO1.0FIDO聯(lián)盟在2014年12月發(fā)布了包含UAF（UniversalAuthenticationFramework，通用認(rèn)證框架）和U2F（UniversalSecondFactor，通用雙因子）兩個(gè)協(xié)議的FIDO1.0版。應(yīng)用中FIDO協(xié)議涉及的兩個(gè)主要步驟：注冊階段、登錄認(rèn)證階段。4.4身份認(rèn)證機(jī)制4.4.2FIDO認(rèn)證機(jī)制2.FIDO機(jī)制（2）FIDO2.0FIDO2.0包括WebAuthn（WebAuthentication，Web認(rèn)證）和CTAP（Client-to-AuthenticatorProtocol，客戶端到認(rèn)證器協(xié)議）兩部分。1）WebAuthn。2019年3月WebAuthn被確定為官方網(wǎng)絡(luò)標(biāo)準(zhǔn)。平臺認(rèn)證器（內(nèi)置在PC上）或漫游認(rèn)證器（如手機(jī)，平板，智能手表等），通過標(biāo)準(zhǔn)WebAPI——WebAuthn調(diào)用FIDO服務(wù)，完成Web應(yīng)用的強(qiáng)身份認(rèn)證。2）CTAP（客戶端到認(rèn)證器）協(xié)議。CTAP本質(zhì)上是U2F的延伸。它使外部設(shè)備（如手機(jī)或FIDO安全密鑰）能夠與支持WebAuthn的瀏覽器協(xié)同工作，還可以充當(dāng)桌面應(yīng)用程序和Web服務(wù)的身份驗(yàn)證程序。4.4身份認(rèn)證機(jī)制4.4.3Kerberos認(rèn)證機(jī)制1.Kerberos的產(chǎn)生在一個(gè)局域網(wǎng)中通常設(shè)有多種應(yīng)用服務(wù)器，若采用傳統(tǒng)的基于用戶名/口令的認(rèn)證管理，用戶在進(jìn)入不同系統(tǒng)時(shí)都必須輸入登錄密碼進(jìn)行認(rèn)證。人們希望設(shè)計(jì)一種在網(wǎng)絡(luò)應(yīng)用過程中更為高效、安全并且簡便的認(rèn)證機(jī)制，單點(diǎn)登錄（SingleSignOn，SSO）技術(shù)由此產(chǎn)生。Kerberos協(xié)議是美國麻省理工學(xué)院Athena計(jì)劃的一部分，它是一種基于對稱密碼算法的網(wǎng)絡(luò)認(rèn)證協(xié)議，它能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單點(diǎn)登錄服務(wù)。4.4身份認(rèn)證機(jī)制4.4.3Kerberos認(rèn)證機(jī)制2.Kerberos的主要組件Kerberos的運(yùn)行環(huán)境由密鑰分發(fā)中心（KDC）、應(yīng)用服務(wù)器和用戶客戶端3個(gè)部分組成。KDC包括認(rèn)證服務(wù)器AS和通行證授予服務(wù)器TGS兩部分。Kerberos協(xié)議中使用通行證（Ticket，也有譯作票據(jù)）來實(shí)現(xiàn)用戶和應(yīng)用或服務(wù)之間的認(rèn)證。4.4身份認(rèn)證機(jī)制4.4.3Kerberos認(rèn)證機(jī)制3.Kerberos認(rèn)證機(jī)制的安全性分析Kerberos協(xié)議在通信的過程中，用戶在通行證的有效期內(nèi)，只需要第一次登錄，可以訪問多個(gè)資源和服務(wù)。同時(shí)，通信過程中的信息都加入了時(shí)間戳，通行證也包含有效期，可以通過比對時(shí)間戳以及檢驗(yàn)有效期，阻止攻擊者的重放攻擊。4.4身份認(rèn)證機(jī)制4.4.3Kerberos認(rèn)證機(jī)制3.Kerberos認(rèn)證機(jī)制的安全性分析不足：1）協(xié)議認(rèn)證的基礎(chǔ)是通信雙方均無條件信任KDC，一旦其安全受到影響，將會威脅整個(gè)認(rèn)證系統(tǒng)的安全。2）協(xié)議中的認(rèn)證依賴于時(shí)間戳來實(shí)現(xiàn)抗重放攻擊，這要求所有客戶端和服務(wù)器時(shí)間同步。3）Kerberos協(xié)議防止口令猜測攻擊的能力較弱。4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證1.PKI的產(chǎn)生PKI的產(chǎn)生就是為了驗(yàn)證公鑰所有者的身份是否真實(shí)有效。公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure）的本質(zhì)是實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題，建立大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。在PKI環(huán)境中，通信的各方需要申請一個(gè)數(shù)字證書。4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證2.PKI的組成PKI的重要組成部分包括注冊授權(quán)中心RA（RegistrationAuthority）、認(rèn)證授權(quán)中心CA（CertificateAuthority，也稱為證書頒發(fā)機(jī)構(gòu)）和數(shù)字證書庫。1）數(shù)字證書（也稱作公鑰證書）。是由權(quán)威的第三方認(rèn)證授權(quán)中心CA頒發(fā)的，用于標(biāo)識用戶身份的文件。2）注冊授權(quán)中心RA是負(fù)責(zé)證書注冊任務(wù)的可信機(jī)構(gòu)（或服務(wù)器）。3）認(rèn)證授權(quán)中心CA是PKI中存儲、管理、發(fā)布數(shù)字證書的可信機(jī)構(gòu)（或服務(wù)器）。4）數(shù)字證書庫是存儲數(shù)字證書的部分。4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證3.基于PKI的身份認(rèn)證機(jī)制主要步驟如圖4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證3.基于PKI的身份認(rèn)證機(jī)制信任模型產(chǎn)生的目的就是為了對不同的CA和不同的環(huán)境之間的相互關(guān)系進(jìn)行描述。目前主要有以下4種信任模型：1）層次模型（Hierarchical）。2）交叉模型（Bridge）。3）網(wǎng)狀模型（Mesh）。4）混合模型（Bybrid）。4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證4.基于PKI的認(rèn)證機(jī)制安全性分析PKI提供的安全服務(wù)具體包括：1）可認(rèn)證性。2）不可抵賴性。3）機(jī)密性。4）數(shù)據(jù)完整性。4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證4.基于PKI的認(rèn)證機(jī)制安全性分析PKI的機(jī)制非常成熟，符合網(wǎng)絡(luò)服務(wù)和用戶的需求：1）PKI中的數(shù)字證書可以由用戶自主驗(yàn)證，這種管理方式突破了過去安全驗(yàn)證服務(wù)必須在線的限制，這也使得PKI的服務(wù)范圍不斷擴(kuò)張，使得PKI成為服務(wù)廣大網(wǎng)絡(luò)用戶的基礎(chǔ)設(shè)施。2）PKI提供了證書的撤銷機(jī)制，有了這種意外情況下的補(bǔ)救措施，用戶不用擔(dān)心被竊后身份或角色被永遠(yuǎn)作廢或被他人惡意盜用。3）PKI具有極強(qiáng)的互聯(lián)能力。4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證4.基于PKI的認(rèn)證機(jī)制安全性分析PKI機(jī)制的不足：1）資源代價(jià)高。PKI的機(jī)制非常成熟，但作為基礎(chǔ)設(shè)施，它需要可信任的第三方認(rèn)證機(jī)構(gòu)參與，并且認(rèn)證的過程和數(shù)字證書的管理都比較復(fù)雜，消耗的資源代價(jià)高。2）私鑰的安全性。PKI中，用戶需要保存好自己的私鑰，它是證明用戶身份的重要信息。如果用戶對私鑰的保存不夠安全，則可能被木馬盜竊，PKI中并沒有對用戶的私鑰存儲提出明確、安全的措施。4.4身份認(rèn)證機(jī)制4.4.4基于PKI的認(rèn)證5.PKI應(yīng)用實(shí)例【例4-3】為什么需要可信第三方CA？【例4-4】誰能成為認(rèn)證授權(quán)中心CA？【例4-5】如何查看網(wǎng)站的數(shù)字證書？【例4-6】用戶客戶端如何驗(yàn)證證書？4.5訪問控制模型4.5.1訪問控制基本模型1.訪問控制矩陣（AccessControlMatrix，ACM）訪問控制矩陣模型的基本思想就是將所有的訪問控制信息存儲在一個(gè)矩陣中集中管理。當(dāng)前的訪問控制模型都是在它的基礎(chǔ)上建立起來的。4.5訪問控制模型4.5.1訪問控制基本模型2.訪問控制表訪問控制表機(jī)制實(shí)際上是按訪問控制矩陣的列實(shí)施對系統(tǒng)中客體的訪問控制。每個(gè)客體都有一張ACL，用于說明可以訪問該客體的主體及其訪問權(quán)限。對某個(gè)共享客體，系統(tǒng)只要維護(hù)一張ACL即可。3.能力表能力表保護(hù)機(jī)制實(shí)際上是按訪問控制矩陣的行實(shí)施對系統(tǒng)中客體的訪問控制。每個(gè)主體都有一張能力表，用于說明可以訪問的客體及其訪問權(quán)限。4.5訪問控制模型4.5.2自主訪問控制模型1.自主訪問控制的概念由客體的屬主對自己的客體進(jìn)行管理，由屬主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的，稱之為自主訪問控制（DAC，DiscretionaryAccessControl）。在自主訪問控制下，一個(gè)用戶可以自主選擇哪些用戶可以共享他的文件。4.5訪問控制模型4.5.2自主訪問控制模型2.自主訪問控制模型的安全性分析DAC機(jī)制雖然使得系統(tǒng)中對客體的訪問受到了必要的控制，提高了系統(tǒng)的安全性。缺點(diǎn)：權(quán)利的多次轉(zhuǎn)授后，一旦轉(zhuǎn)授給不可信主體，那么該客體的信息就會泄漏。無法抵御特洛伊木馬的攻擊。還沒有一般的方法能夠防止木馬程序利用共享客體或隱通道把信息從一個(gè)進(jìn)程傳送給另一個(gè)進(jìn)程。4.5訪問控制模型4.5.3強(qiáng)制訪問控制模型1.強(qiáng)制訪問控制的概念強(qiáng)制訪問控制最早出現(xiàn)在20世紀(jì)70年代，是美國政府和軍方源于對信息保密性的要求以及防止特洛伊木馬之類的攻擊而研發(fā)的。MAC是一種基于安全級標(biāo)簽的訪問控制方法，通過分級的安全標(biāo)簽實(shí)現(xiàn)信息從下向上的單向流動(dòng)，從而防止高密級信息的泄露。在MAC中，對于主體和客體，系統(tǒng)為每個(gè)實(shí)體指派一個(gè)安全級，安全級由兩部分組成：1）保密級別（Classification，或叫做敏感級別或級別）。2）范疇集（Categories）。

4.5訪問控制模型4.5.3強(qiáng)制訪問控制模型1.強(qiáng)制訪問控制的概念在一個(gè)系統(tǒng)中實(shí)現(xiàn)MAC機(jī)制，最主要的是要做到兩條：1）對系統(tǒng)中的每一個(gè)主體與客體，都要根據(jù)總體安全策略與需求分配一個(gè)特殊的安全級別。2）當(dāng)一個(gè)主體訪問一個(gè)客體時(shí)，調(diào)用強(qiáng)制訪問控制機(jī)制，比較主體和客體的安全級別，從而確定是否允許主體訪問客體。4.5訪問控制模型4.5.3強(qiáng)制訪問控制模型2.加強(qiáng)保密性的強(qiáng)制訪問控制模型MAC模型分為以加強(qiáng)數(shù)據(jù)保密性為目的和以加強(qiáng)數(shù)據(jù)完整性為目的兩類。Bell-LaPudula模型（BLP模型）是第一個(gè)典型的加強(qiáng)保密性的強(qiáng)制控制模型，由DavidBell和LeonardLaPadula于1973年創(chuàng)立，已實(shí)際應(yīng)用于許多安全操作系統(tǒng)的開發(fā)中。BLP模型有兩條基本的規(guī)則：規(guī)則1：不能向上讀（No-Read-Up），也稱為簡單安全特性。規(guī)則2：不能向下寫（No-Write-Down），也稱為*特性。4.5訪問控制模型4.5.3強(qiáng)制訪問控制模型3.加強(qiáng)完整性的強(qiáng)制訪問控制模型（1）Biba模型Biba模型的設(shè)計(jì)目的主要是為了保證信息的完整性。Biba模型設(shè)計(jì)類似于BLP模型，不過使用完整性級別而非信息安全級別來進(jìn)行劃分。Biba模型規(guī)定，信息只能從高完整性的安全等級向低完整性的安全等級流動(dòng)，就是要防止低完整性的信息“污染”高完整性的信息。4.5訪問控制模型4.5.3強(qiáng)制訪問控制模型3.加強(qiáng)完整性的強(qiáng)制訪問控制模型（2）Clark-Wilson模型Clark-Wilson模型相對于BLP模型和Biba模型差異較大。Clark-Wilson模型的特點(diǎn)有以下幾個(gè)方面：采用主體（Subject）/事務(wù)（Program）/客體（Object）三元素的組成方式，主體要訪問客體只能通過事務(wù)進(jìn)行。權(quán)限分離原則。將關(guān)鍵功能分為由兩個(gè)或多個(gè)主體完成，防止已授權(quán)用戶進(jìn)行未授權(quán)的修改。要求具有審計(jì)能力（Auditing）。4.5訪問控制模型4.5.3強(qiáng)制訪問控制模型4.其它強(qiáng)制訪問控制模型（1）Dion模型（2）ChinaWall模型）4.5訪問控制模型4.5.4基于角色的訪問控制模型1.RBAC的產(chǎn)生20世紀(jì)90年代以來，隨著對在線的多用戶、多系統(tǒng)的研究不斷深入，角色的概念逐漸形成，并逐步產(chǎn)生了基于角色的訪問控制RBAC（Role-BasedAccessControl）模型，這一訪問控制模型已被廣為應(yīng)用。4.5訪問控制模型4.5.4基于角色的訪問控制模型2.RBAC的概念在RBAC模型中，系統(tǒng)定義各種角色，每種角色可以完成一定的職能，不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個(gè)用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。RBAC與DAC的根本區(qū)別在于：用戶不能自主地將訪問權(quán)限授給別的用戶。RBAC與MAC的區(qū)別在于：MAC是基于多級安全需求的，而RBAC不是。4.5訪問控制模型4.5.4基于角色的訪問控制模型3.RBAC核心模型在RBAC核心模型中包含了5個(gè)基本靜態(tài)集合：用戶集（Users）、角色集（Roles）、對象集（Objects）、操作集（Operators）和權(quán)限集（Perms），以及一個(gè)運(yùn)行過程中動(dòng)態(tài)維護(hù)的集合——會話集（Sessions）。4.5訪問控制模型4.5.4基于角色的訪問控制模型4.RBAC的特點(diǎn)基于角色的訪問控制機(jī)制有幾個(gè)優(yōu)點(diǎn)：便于授權(quán)管理、便于根據(jù)工作需要分級、便于賦予最小權(quán)限、便于任務(wù)分擔(dān)、便于文件分級管理、便于大規(guī)模實(shí)現(xiàn)。4.5訪問控制模型4.5.5基于PMI的授權(quán)與訪問控制模型1.PMI的產(chǎn)生僅僅能確定“他是誰”已經(jīng)不能滿足需要，安全系統(tǒng)要求提供一種手段能夠進(jìn)一步確定“他能做什么”。解決上述問題的一種思路是，利用X.509公鑰證書中的擴(kuò)展項(xiàng)來保存用戶的屬性信息，由CA完成權(quán)限的集中管理。4.5訪問控制模型4.5.5基于PMI的授權(quán)與訪問控制模型2.PMI的概念PMI指能夠支持全面授權(quán)服務(wù)、進(jìn)行權(quán)限管理的基礎(chǔ)設(shè)施，它建立在PKI提供的可信身份認(rèn)證服務(wù)的基礎(chǔ)上，以屬性證書（AttributeCertificates，AC）的形式實(shí)現(xiàn)授權(quán)的管理。PMI授權(quán)技術(shù)的核心思想是，將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理，即由資源的所有者來進(jìn)行訪問控制管理。PMI的核心內(nèi)容是實(shí)現(xiàn)屬性證書的有效管理，包括屬性證書的產(chǎn)生、使用、作廢、失效等。4.5訪問控制模型4.5.5基于PMI的授權(quán)與訪問控制模型3.基于PMI的授權(quán)與訪問控制模型PMI主要圍繞權(quán)限的分配使用和驗(yàn)證來進(jìn)行。PMI基本模型中包含3類實(shí)體：授權(quán)機(jī)構(gòu)（屬性管理中心SOA或?qū)傩哉J(rèn)證機(jī)構(gòu)AA）、權(quán)限持有者和權(quán)限驗(yàn)證者?；灸Ｐ兔枋隽嗽谑跈?quán)服務(wù)體系中主要三方之間的邏輯聯(lián)系，以及兩個(gè)主要過程：權(quán)限分配和驗(yàn)證。4.5訪問控制模型4.5.6云環(huán)境下的新型訪問控制模型1.基于屬性的訪問控制方案的產(chǎn)生RBAC也無法實(shí)現(xiàn)對未知用戶的訪問控制和委托授權(quán)機(jī)制，從而限制了RBAC在分布式網(wǎng)絡(luò)環(huán)境下的應(yīng)用?；赑KI、PMI的集中式訪問控制方式中，存在兩個(gè)嚴(yán)重問題：1）資源提供方必須獲取不同用戶的真實(shí)公鑰證書，才能獲得公鑰，然后再將密文分別發(fā)送給相應(yīng)的用戶，否則無法加密。2）資源提供方需要在加密前獲取用戶列表，而在分布式環(huán)境中難以一次獲取接收群體的規(guī)模與成員身份，而且分布式應(yīng)用列舉用戶身份會侵犯用戶的隱私。4.5訪問控制模型4.5.6云環(huán)境下的新型訪問控制模型2.基于屬性的訪問控制方案思想基于密文策略屬性加密方法（CiphertextPolicyAttribute-BasedEncryption，CP-ABE）算法顛覆了傳統(tǒng)公私鑰加密算法中，明文由公鑰加密后只能由唯一的私鑰才能解密的思想。算法中，由數(shù)據(jù)創(chuàng)建者利用訪問控制策略對數(shù)據(jù)進(jìn)行加密，而每個(gè)數(shù)據(jù)訪問者均有一個(gè)與自身特質(zhì)相對應(yīng)的解密密鑰，只要該數(shù)據(jù)訪問者的特質(zhì)與訪問控制策略相符，那他所擁有的密鑰就能進(jìn)行解密操作。4.5訪問控制模型4.5.6云環(huán)境下的新型訪問控制模型3.基于屬性的訪問控制方案分析基于CP-ABE的訪問控制方案解決了傳統(tǒng)訪問控制模型在云環(huán)境下無法有效使用的問題，同時(shí)避免了基于公鑰基礎(chǔ)設(shè)施PKI的集中式訪問控制方式的諸多問題，能夠確保資源在傳輸和存儲過程中的機(jī)密性、完整性和可用性，保護(hù)個(gè)人隱私、數(shù)據(jù)安全和知識產(chǎn)權(quán)，同時(shí)該方案可以免去密文訪問控制中頻繁出現(xiàn)的密鑰分發(fā)代價(jià)，保證了系統(tǒng)的效率。在基于CP-ABE的訪問控制方案中，通常選取訪問者固有的屬性來表達(dá)訪問者的特質(zhì)，如：訪問者單位、身份等等，這樣的作法使得當(dāng)訪問者屬性發(fā)生變化時(shí)，如何撤銷他的訪問權(quán)限成了一個(gè)較為難以處理的問題。4.6網(wǎng)絡(luò)接入控制方案4.6.1IEEE802.1x網(wǎng)絡(luò)接入控制方案IEEE802.1x是為了能夠接入LAN交換機(jī)和無線LAN接入點(diǎn)而對用戶進(jìn)行認(rèn)證的技術(shù)。802.1x體系結(jié)構(gòu)包括下列3部分。接入設(shè)備。接入設(shè)備和認(rèn)證服務(wù)器的中間設(shè)備。認(rèn)證服務(wù)器。4.6網(wǎng)絡(luò)接入控制方案4.6.2TNC、NAP及NAC接入控制方案當(dāng)前的3種主流接入訪問控制方案為：可信計(jì)算組織TCG的可信網(wǎng)絡(luò)連接技術(shù)（TrustedNetworkConnection，TNC）。微軟的網(wǎng)絡(luò)接入保護(hù)技術(shù)（NetworkAccessProtection，NAP）。思科的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)（NetworkAdmissionControl，NAC）。4.6網(wǎng)絡(luò)接入控制方案4.6.2TNC、NAP及NAC