【知识总结】信息安全原理与技术-第六章

博主： Fivk
发布时间：2022 年 11 月 27 日
773 次浏览
暂无评论
4564字数
分类：知识总结

> `姓名`：吴帆
>
> `学号`：20230101041
>
> `声明`：此笔记基于”信息安全原理与技术“采用Markdown编写，左侧有目录，方便观看与复习，我认为能方便的查询记忆和快速找到在书上的原文才是写笔记的意义，故此笔记标题都标有与原教程相应的页号。

# 第六章：身份认证与访问控制

## 1. 身份认证（P157）

**•消息认证:用于保证信息的完整性和抗否认性。在很多情况下，用户要确认网上信息是不是假的，信息是否被第三方修改或伪造，这就需要消息认证。**

**•身份认证:用于鉴别用户身份。包括识别和验证，识别是指明确并区分访问者的身份；验证是指对访问者声称的身份进行确认。**

### 1.1 身份认证的基本方法（P158）

> * **用户名/密码方式**
> * **IC卡认证方式 **
> * **动态口令方式 **
> * **生物特征认证方式 **
> * **USB Key 认证方式 **

**各种方法优缺点**

| **方法**             | **优点**                                                                                                                       | **缺点**                                                                                                                                                                           |
| ---------------------- | -------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **用户名/密码方式**  | **由于一般的操作系统都提供了对口令认证的支持，对于封闭的小型系统来说是一种简单可行的方法。**                                   | **是一种单因素的认证，它的安全性依赖于密码。由于许多用户为了防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，因此极易造成密码泄露。密码一旦泄露，用户即可被冒充。** |
| **IC卡认证方式**     | **通过IC卡硬件的不可复制性可保证用户身份不会被仿冒。**                                                                         | **由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此，静态验证的方式还是存在着根本的安全隐患。**                         |
| **动态口令方式**     | **采用一次一密的方法，不能由产生的内容去预测出下一次的内容。而且输入方法普遍(一般计算机键盘即可)，能符合网络行为双方的需要。** | **如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使得用户的使用非常不方便。**                                                     |
| **生物特征认证方式** | **使用者几乎不可能被仿冒。**                                                                                                   | **较昂贵。 不够稳定(辩识失败率高)。**                                                                                                                                              |
| **USB Key 认证方式** | **便于携带、使用方便、成本低廉、安全可靠性很高 ，被认为将会成为身份认证的主要发展方向。**                                      | **安全性不如生物特征认证。**                                                                                                                                                       |

### 1.2 **常用身份认证机制** （P160）

> * **简单认证机制 **
> * **基于DCE/Kerberos的认证机制 **
> * **基于公共密钥的认证机制 **
> * **基于挑战/应答的认证机制 **

### 1.3 OpenID和OAuth认证协议 (P165)

> * **OpenID协议的角色和标识**
> * **OpenID的工作流程 **
> * **OAuth协议**
> * **OAuth2.0的工作流程**

## 2. **访问控制概述** (P169)

`注意`：一个经过计算机系统识别和验证后的用户（合法用户）进入系统后，并非意味着他具有对系统所有资源的访问权限。

**访问控制的任务：根据一定的原则对合法用户的访问权限进行控制，以决定他可以访问哪些资源以及以什么样的方式访问这些资源。 **

### 2.1 **访问控制的基本概念** (P169)

* `主体（Subject）`：主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。
* `客体（Object）`：客体是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。客体通常包括文件、设备、信号量和网络节点等。
* `访问（Access）`：是使信息在主体和客体之间流动的一种交互方式。访问包括读取数据、更改数据、运行程序、发起连接等。
* `访问控制（Access Control）`：访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。访问控制所要控制的行为主要有读取数据、运行可执行文件、发起网络连接等。

### 2. 2 访问控制技术(P170)

> * **入网访问控制**
> * **网络权限控制**
> * **目录级控制**
> * **属性控制**
> * **网络服务器的安全控制**

### 2.3 **访问控制原理** (P171)

* **访问控制包括两个重要过程：**
  * **通过“鉴别（authentication）”来验证主体的合法身份；**
  * **通过“授权（authorization）”来限制用户可以对某一类型的资源进行何种类型的访问。 **
* **三种访问控制策略**
  1. **自主访问控制**
  2. **强制访问控制**
  3. **基于角色的访问控制**
* **三种访问策略的优缺点**

| **策略**           | **优点**                                                                                                                                                                 | **缺点**                                     |
| -------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------- |
| **自主访问**       | **灵活性、易用性与可扩展性**                                                                                                                                             | **这种控制是自主的，带来了严重的安全问题。** |
| **强制访问**       | **安全性比自主访问控制的安全性有了提高。**                                                                                                                               | **灵活性要差一些。**                         |
| **基于角色的访问** | **这种方法可根据用户的工作职责设置若干角色，不同的用户可以具有相同的角色，在系统中享有相同的权力，同一个用户又可以同时具有多个不同的角色，在系统中行使多个角色的权力。** | **较复杂，要动态灵活。**                     |

最后修改：2022 年 11 月 27 日