物联网安全2016(第5章)-接入安全.pptVIP

* * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 图 5-16设置证书选项 * 基于对象的访问控制 5.4.2 访问控制分类 * 基于对象的访问控制将访问控制列表与受控对象相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许策略和规则进行重用、继承和派生操作。这对信息量大、信息更新变化频繁的应用系统非常有用，可以减轻由于信息资源的派生、演化和重组带来的分配、设定角色权限等的工作量。 最小特权原则 5.4.3 访问控制的基本原则 最小特权原则是指“应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。 多人负责原则 即授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何个人具有完成任务的全部授权或信息。 职责分离原则 职责分离是保障安全的一个基本原则。职责分离是指将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执行两项不相容的工作的风险。 BLP模型的安全控制方法 5.4.4 BLP访问控制 * 强制访问控制（MAC）是通过“安全级”来进行，访问控制通过引入“安全级”、“组集”和“格”的概念，为每个主体规定了一系列的操作权限和范围。 自主访问控制（DAC）也是BLP模型中非常重要的实现控制的方法。它通过客体的属主自行决定其访问范围和方式，实现对不同客体的访问控制。 BLP模型的优缺点 5.4.4 BLP访问控制 * BLP模型的优点是： （1）是一种严格的形式化描述； （2）控制信息只能由低向高流动，能满足军事部门等一类对数据保密性要求特别高的机构的需求。 缺点是： （1）上级对下级发文受到限制； （2）部门之间信息的横向流动被禁止； （3）缺乏灵活、安全的授权机制。 BLP模型的优缺点 5.4.5 基于角色的访问控制 * 基于角色的访问控制（Role-Based Access Control）的基本思想是：在用户集合与权限集合之间建立一个角色集合，使对客体操作的各种权限与具体的用户不直接关联，而是用户与角色关联，角色与权限关联。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。 PKI结构 5.5 公钥基础设施 * 证书授证(Certificate Authority，CA)中心 PKI的核心是证书授证(Certificate Authority，CA)中心CA中心是受一个或多个用户信任，提供用户身份验证的第三方机构，承担公钥体系中公钥的合法性检验的责任。 （1）单个CA中心的结构 （2）分级（层次）结构 （3）网状结构 证书及格式 5.5 公钥基础设施 * 证书是公开密钥体制的一种密钥管理媒介。证书提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。证书包含了能够证明证书持有者身份的可靠信息，是持有者在网络上证明自己身份的凭证。 证书的格式遵循ITU-T X.509标准。该标准是为了保证使用数字证书的系统间的互操作性而制定的。证书内容包括：版本、序列号、签名算法标识、签发者、有效期、主体、主体公开密钥信息、CA的数字签名、可选项等。 证书授权中心 5.5 公钥基础设施 * 证书授证中心在PKI中扮演可信任的代理角色。只要用户相信一个CA及其发行和管理证书的商业策略，用户就能相信由该CA颁发的证书，即第三方信任。CA负责产生、分配并管理PKI结构下的所有用户的证书，把用户的公钥和其他信息捆绑在一起，在证书上的CA的签名保证了证书的内容不被篡改。 CA的功能有证书发放、证书更新、证书撤销和证书验证，它的核心功能就是发放和管理数字证书。 PKI实现案例 5.5 公钥基础设施 * 图 5?14设置账户 图 5-15设置户属性 PKI实现案例 5.5 公钥基础设施 * PKI实现案例 5.5 公钥基础设施 * PKI实现案例 5.5 公钥基础设施 * PKI实现案例 5.5 公钥基础设施 * PKI实现案例 5.5 公钥基础设施 * 基于PKI的安全案例 5.物联网接入案例 * 基于PKI的安全案例 5.物联网接入案例 * 图5-27基于改进OpenID的认证时序图 基于信任的访问控制 5.物联网接