应用密码学 7 身份认证与访问控制.pptVIP

* 角色可以看作是一组操作的集合，不同的角色具有不同的操作集，这些操作集由系统管理员分配给角色。比如： 我们假设Tch1，Tch2，Tch3……Tchi是对应的教师，Stud1，Stud 2，Stud3 …Studj是相应的学生，Mng1，Mng 2，Mng 3…Mngk是教务处管理人员 老师的权限为TchMN={查询成绩、上传所教课程的成绩}；学生的权限为Stud MN={查询成绩、反映意见}；教务管理人员的权限为MngMN={查询、修改成绩、打印成绩清单} 依据角色的不同，每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色，其所执行的操作与其所扮演的角色的职能相匹配 * 系统管理员负责授予用户各种角色的成员资格或撤消某用户具有的某个角色，RBAC提供了一种描述用户和权限之间的多对多关系。例如 学校新进一名教师Tchx，那么系统管理员只需将Tchx添加到教师这一角色的成员中即可，而无需对访问控制列表做改动。 同一个用户可以是多个角色的成员，即同一个用户可以扮演多种角色，比如一个用户可以是老师，同时也可以作为进修的学生。 同样，一个角色可以拥有多个用户成员，这与现实是一致的，一个人可以在同一部门中担任多种职务，而且担任相同职务的可能不止一人。 角色可以划分成不同的等级，通过角色等级关系来反映一个组织的职权和责任关系，这种关系具有反身性、传递性和非对称性特点，通过继承行为形成了一个偏序关系，比如MngMNTchMNStud MN。 * 基于角色的访问控制的实例 在银行环境中，用户角色可以定义为出纳员、分行管理者、顾客、系统管理者和审计员 访问控制策略的一个例子如下： （1）允许一个出纳员修改顾客的帐号记录（包括存款和取款、转帐等），并允许查询所有帐号的注册项 （2）允许一个分行管理者修改顾客的帐号记录（包括存款和取款，但不包括规定的资金数目的范围）并允许查询所有帐号的注册项，也允许创建和终止帐号 （3）允许一个顾客只询问他自己的帐号的注册项 （4）允许系统的管理者询问系统的注册项和开关系统，但不允许读或修改用户的帐号信息 （5）允许一个审计员读系统中的任何数据，但不允许修改任何事情 * 一般步骤： （所有者、管理员和用户三方参与，体现职责分离） 所有者决定给角色分配特权，给用户分配角色 管理员代表所有者统一创建角色和功能 管理员创建用户ID并赋予权限 * RBAC与传统访问控制的差别 增加一层间接性带来了灵活性 * RBAC的优势 便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，从而保证了安全性。 便于根据工作需要分级，如企业财务部门与非财力部门的员工对企业财务的访问权就可由财务人员这个角色来区分。 便于赋于最小特权，如即使用户被赋于高级身份时也未必一定要使用，以便减少损失。只有必要时方能拥有特权。 便于任务分担，不同的角色完成不同的任务。 便于文件分级管理，文件本身也可分为不同的角色，如信件、账单等，由不同角色的用户拥有。 7.5.7其它访问控制 基于任务的访问控制（Task-based Access Control，TBAC） 对象的访问权限控制并不是静止不变的，而是随着执 行任务的上下文环境发生变化。 TBAC模型由工作流、授权结构体、受托人集、许可集 四部分组成，一般用五元组（S，O，P，L，AS）来表 示，其中S表示主体，O表示客体，P表示许可，L表示生命期（Lifecycle），AS表示授权步。 TBAC从工作流中的任务角度建模，可以依据任务和任 务状态的不同，对权限进行动态管理。因此，TBAC非 常适合分布式计算和多点访问控制的信息处理控制以 及在工作流、分布式处理和事务管理系统中的决策制 定。 94 其它访问控制 基于对象的访问控制（Object-based Access Control，OBAC ） 将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合 允许对策略和规则进行重用、继承和派生操作。派生对象可以继承父对象的访问控制设置 可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。 95 谢 谢 ！ * 7.4.1身份认证协议 挑战握手认证协议(Challenge Handshake Authentication Protocol,CHAP)是简单口令协议(PAP)的改进型，它采用“挑战/应答”的方式，通过三次握手对被认证对象的身份进行周期性的认证。 CHAP的认证过程为： (1)当被认证对象要求访问提供服务的系统时，认证方向被认证对象发送递增改变的标识符和一个挑战消息，即一段随机的数据； (2)被认证对象向认证方发回一个响应，该响应数据由单向散列函数计算得出，