物聯(lián)網(wǎng)信息安全之訪問控制課件

1、1物聯(lián)網(wǎng)信息安全之訪問控制2基本概念訪問控制實(shí)現(xiàn)方法訪問控制策略PMIAAA主要內(nèi)容3訪問控制安全服務(wù)ISO7498-2定義了五大安全服務(wù)對(duì)象認(rèn)證訪問控制數(shù)據(jù)保密性數(shù)據(jù)完整性防抵賴性4訪問控制的基本概念一般定義是針對(duì)越權(quán)使用資源的防御措施訪問控制的基本任務(wù)是防止非法用戶即未授權(quán)用戶進(jìn)入系統(tǒng)和合法用戶即授權(quán)用戶對(duì)系統(tǒng)資源的非法使用 用戶身份的識(shí)別和認(rèn)證 對(duì)訪問的控制 審計(jì)跟蹤 訪問控制的兩個(gè)過(guò)程：認(rèn)證（authentication，主要是實(shí)體認(rèn)證，也稱鑒別）授權(quán)（authorization，主要是操作權(quán)限，如讀、寫、運(yùn)行、發(fā)起網(wǎng)絡(luò)連接等）5訪問控制授權(quán)數(shù)據(jù)庫(kù)訪問監(jiān)視器審計(jì)身份認(rèn)證訪問控制6訪問控

2、制系統(tǒng)的實(shí)體主體（subject）發(fā)出訪問操作、存取請(qǐng)求的主動(dòng)方，通?？梢允怯脩艋蛴脩舻哪硞€(gè)進(jìn)程等 客體（object） 被訪問的對(duì)象，通?？梢允潜徽{(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪問的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源 安全訪問策略 一套規(guī)則，用以確定一個(gè)主體是否對(duì)客體擁有訪問權(quán)限。7訪問控制的目的限制主體對(duì)訪問客體的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么8基本概念訪問控制實(shí)現(xiàn)方法訪問控制策略PMIAAA主要內(nèi)容9訪問控制的實(shí)現(xiàn)方法A. 訪問控制矩陣B. 訪問能力表C. 訪問控制表D. 授權(quán)關(guān)系表10A.訪問控制矩陣訪問控

3、制表示為一個(gè)矩陣的形式列表示客體（各種資源）行表示主體（通常為用戶）行和列的交叉點(diǎn)表示某個(gè)主體對(duì)某個(gè)客體的訪問權(quán)限（比如讀、寫、執(zhí)行、修改、刪除等）File1File2File3File4Account1Account2JohnOwnRWOwnRWInquiryCreditAliceROwnRWWInquiryDebitInquiryCreditBobRWROwnRWInquiryDebitOwn的確切含義可能因系統(tǒng)不同而異，通常一個(gè)文件的Own權(quán)限表示授予（authorize）或撤銷（revoke）其他用戶對(duì)該文件的訪問控制權(quán)限。12缺點(diǎn): 訪問控制矩陣中很多單元是空白項(xiàng)為了減輕系統(tǒng)開銷與浪

4、費(fèi)從主體（行）出發(fā)，表示矩陣的某一行的信息訪問能力表（Access Capabilities List）從客體（列）出發(fā)，表示矩陣某一列的信息訪問控制表（Access Control List）13B.訪問能力表能力（Capability）是受一定機(jī)制保護(hù)的客體標(biāo)志，標(biāo)記了客體以及主體（訪問者）對(duì)客體的訪問權(quán)限。只有當(dāng)一個(gè)主體對(duì)某個(gè)客體擁有訪問的能力時(shí)，它才能訪問這個(gè)客體。能力關(guān)系表與ACL相反，是以用戶為中心建立訪問權(quán)限表，表中規(guī)定了該用戶可訪問的文件名及訪問權(quán)限。File1OwnRWFile3OwnRWFile1RWFile2RFile4OwnRWJohnBob15訪問能力表的優(yōu)點(diǎn)：訪問能

5、力表著眼于某一主體的訪問權(quán)限，以主體的出發(fā)點(diǎn)描述控制信息，因此很容易獲得一個(gè)主體所被授權(quán)可以訪問的客體及其權(quán)限。訪問能力表的缺點(diǎn)：如果要求獲得對(duì)某一特定客體有特定權(quán)限的所有主體比較困難。訪問控制服務(wù)應(yīng)該能夠控制可訪問某一個(gè)客體的主體集合，能夠授予或取消主體的訪問權(quán)限。于是出現(xiàn)了以客體為出發(fā)點(diǎn)的實(shí)現(xiàn)方式訪問控制表。16C.訪問控制表訪問控制表（ACL）對(duì)某個(gè)指定的資源指定任意一個(gè)用戶的權(quán)限，還可以將具有相同權(quán)限的用戶分組，并授予組的訪問權(quán)限JohnOwnRWBobRFile1AliceRW17訪問控制表的優(yōu)點(diǎn)：訪問控制表（ACL）表述直觀、易于理解，比較容易查出對(duì)某一特定資源擁有訪問權(quán)限的所有用

6、戶，有效地實(shí)施授權(quán)管理。在一些實(shí)際應(yīng)用中，還對(duì)ACL進(jìn)行了擴(kuò)展，以進(jìn)一步控制用戶的合法訪問時(shí)間，是否需要審計(jì)等訪問控制表的局限：應(yīng)用到網(wǎng)絡(luò)規(guī)模較大、需求復(fù)雜的企業(yè)的內(nèi)部網(wǎng)絡(luò)時(shí)當(dāng)網(wǎng)絡(luò)中資源很多時(shí)，需要在ACL中設(shè)定大量的表項(xiàng)。而且為了實(shí)現(xiàn)整個(gè)組織范圍內(nèi)的一致的控制策略，需要各管理部門的密切合作。單純使用ACL，不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策18D.授權(quán)關(guān)系表使用一張表描述主體和客體之間的關(guān)系，可以對(duì)表進(jìn)行排序主體訪問權(quán)限客體JohnOwnFile1JohnRFile1JohnWFile1JohnOwnFile3JohnRFile3JohnWFile3AliceRFile119基本概念訪問控

7、制實(shí)現(xiàn)方法訪問控制策略PMIAAA主要內(nèi)容20訪問控制策略A. 自主訪問控制（DAC）B. 強(qiáng)制訪問控制（MAC）C. 基于角色的訪問控制（RBAC） D.基于屬性的訪問控制（ABAC）DAC MACRBAC訪問控制21A.自主訪問控制自主訪問控制（DAC）最早出現(xiàn)在七十年代初期的分時(shí)系統(tǒng)中，它是多用戶環(huán)境下最常用的一種訪問控制手段。 用戶可以按自己的意愿對(duì)系統(tǒng)參數(shù)做適當(dāng)?shù)男薷?，可以決定哪個(gè)用戶可以訪問系統(tǒng)資源。DAC有時(shí)又被稱為為基于主人的訪問控制 22自主訪問控制優(yōu)點(diǎn)根據(jù)主體的身份及允許訪問的權(quán)限進(jìn)行決策 自主是指具有某種訪問能力的主體能夠自主地將訪問權(quán)的某個(gè)子集授予其它主體。靈活性高，被

8、大量采用，Windows、UNIX系統(tǒng)采用。缺點(diǎn)過(guò)于靈活、限制較弱、可能存在安全隱患如用戶A把目標(biāo)X的訪問權(quán)賦予了用戶B，用戶B可能會(huì)把X訪問權(quán)轉(zhuǎn)賦予用戶C，而A可能并不愿意讓C訪問X用戶A把目標(biāo)X的訪問權(quán)賦予了用戶B，而根據(jù)系統(tǒng)基本安全規(guī)則，B并不能訪問X。23自主訪問控制基于個(gè)人的策略根據(jù)哪些用戶可對(duì)一個(gè)目標(biāo)實(shí)施哪一種行為的列表來(lái)表示。等價(jià)于用一個(gè)目標(biāo)的訪問矩陣列來(lái)描述基礎(chǔ)(前提)：一個(gè)隱含的、或者顯式的缺省策略例如，全部權(quán)限否決最小特權(quán)原則：要求最大限度地限制每個(gè)用戶為實(shí)施授權(quán)任務(wù)所需要的許可集合在不同的環(huán)境下，缺省策略不盡相同，例如，在公開的布告板環(huán)境中，所有用戶都可以得到所有公開的信

9、息對(duì)于特定的用戶，有時(shí)候需要提供顯式的否定許可例如，對(duì)于違紀(jì)的內(nèi)部員工，禁止訪問內(nèi)部一些信息24自主訪問控制基于組的策略一組用戶對(duì)于一個(gè)目標(biāo)具有同樣的訪問許可。是基于身份的策略的另一種情形相當(dāng)于，把訪問矩陣中多個(gè)行壓縮為一個(gè)行。實(shí)際使用時(shí)先定義組的成員對(duì)用戶組授權(quán)同一個(gè)組可以被重復(fù)使用組的成員可以改變25自主訪問控制Lampson模型Lampson模型的結(jié)構(gòu)被抽象為狀態(tài)機(jī)，定義三元組( S, O, M )，S為訪問主體集，O為訪問客體集（可包含S的子集），M為訪問矩陣，矩陣單元記為Ms,o，表示主體s對(duì)客體o的訪問權(quán)限。所有的訪問權(quán)限構(gòu)成一有限集A。狀態(tài)變遷通過(guò)改變?cè)L問矩陣M實(shí)現(xiàn)。該安全模型盡

10、管簡(jiǎn)單，但在計(jì)算機(jī)安全研究史上具有較大和較長(zhǎng)的影響，Harrison、Ruzzo和Ullman提出HRU模型以及Bell和LaPadula提出BLP模型均基于此。26自主訪問控制例：工資單文件訪問控制 27自主訪問控制例：某操作系統(tǒng)的訪問控制矩陣的一部分內(nèi)容28自主訪問控制基于行的訪問控制矩陣：基于列的訪問控制矩陣：29B.強(qiáng)制訪問控制強(qiáng)制訪問控制（MAC） 與DAC的本質(zhì)區(qū)別在于：MAC有整個(gè)系統(tǒng)統(tǒng)一而強(qiáng)制定義訪問控制方法，而DAC是系統(tǒng)中的用戶和資源自行定義訪問控制方法。基于規(guī)則的訪問控制，主體和客體分別定義安全等級(jí)標(biāo)記，在自主訪問控制的基礎(chǔ)上還必須受到安全標(biāo)記的約束。安全標(biāo)記是限制在目標(biāo)

11、上的一組安全屬性信息項(xiàng)。在訪問控制中，一個(gè)安全標(biāo)記隸屬于一個(gè)用戶、一個(gè)目標(biāo)、一個(gè)訪問請(qǐng)求。系統(tǒng)強(qiáng)制主體服從訪問控制策略。主要用于多層次安全級(jí)別的軍事應(yīng)用中。30強(qiáng)制訪問控制將主體和客體分級(jí)定義用戶的可信任級(jí)別及信息的敏感程度，如，絕密級(jí)，機(jī)密級(jí)，秘密級(jí)，無(wú)密級(jí)。根據(jù)主體和客體的級(jí)別關(guān)系決定訪問模式強(qiáng)制訪問控制不允許進(jìn)程生成共享文件，從而訪止信息從一個(gè)進(jìn)程傳到另一進(jìn)程。訪問控制關(guān)系分為上讀/下寫（完整性）下讀/上寫（保密性）通過(guò)梯度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。31強(qiáng)制訪問控制安全標(biāo)簽是限制在目標(biāo)上的一組安全屬性信息項(xiàng)。在訪問控制中，一個(gè)安全標(biāo)簽隸屬于一個(gè)用戶、一個(gè)目標(biāo)、一個(gè)訪問請(qǐng)求或傳輸中的一

12、個(gè)訪問控制信息。最通常的用途是支持多級(jí)訪問控制策略。 在處理一個(gè)訪問請(qǐng)求時(shí)，目標(biāo)環(huán)境比較請(qǐng)求上的標(biāo)簽和目標(biāo)上的標(biāo)簽，應(yīng)用策略規(guī)則（如Bell Lapadula規(guī)則）決定是允許還是拒絕訪問。32強(qiáng)制訪問控制強(qiáng)制訪問控制(MAC)中，系統(tǒng)包含主體集S和客體集O，每個(gè)S中的主體s及客體集中的客體o，都屬于一固定的安全類SC，安全類SC=包括兩個(gè)部分：有層次的安全級(jí)別和無(wú)層次的安全范疇。構(gòu)成一偏序關(guān)系Biba：保證完整性，適用于向下發(fā)送命令的情形Bell-LaPadula：保證保密性，適用于向上匯報(bào)情報(bào)的情形33強(qiáng)制訪問控制Bell-LaPadula模型（BLP模型）安全屬性用二元組表示（密級(jí)，類別集

13、合）密級(jí)集合為絕密，機(jī)密，秘密，無(wú)密，且絕密機(jī)密秘密無(wú)密類別集合是系統(tǒng)中非分層元素集合中的一個(gè)子集，具體的元素依賴于所考慮的環(huán)境和應(yīng)用領(lǐng)域安全屬性的集合滿足偏序關(guān)系為每個(gè)用戶分配一個(gè)安全屬性，為每個(gè)客體也分配一個(gè)安全屬性34強(qiáng)制訪問控制Bell-LaPadula模型中主體對(duì)客體訪問的兩個(gè)規(guī)則簡(jiǎn)單安全原則：僅當(dāng)主體的敏感級(jí)不低于客體敏感級(jí)且主體的類別集合包含客體時(shí)，才允許該主體讀該客體。即主體只能讀密級(jí)等于或低于它的客體星規(guī)則：僅當(dāng)主體的敏感級(jí)不高于客體敏感級(jí)且客體的類別集合包含主體的類別集合時(shí)，才允許該主體寫該客體。即主體只能寫等于或高于它的客體。35強(qiáng)制訪問控制下讀：低信任級(jí)別的用戶不能讀高

14、敏感度的信息，只能讀比它信任級(jí)別更低的低敏感信息上寫：不允許高敏感度的信息寫入低敏感度區(qū)域，只能寫入更高敏感度區(qū)域?qū)崿F(xiàn)數(shù)據(jù)的保密性R/WWWWTSRR/WWWSRRR/WWCRRRR/WUTSSCU主體客體TS（絕密）、S（機(jī)密）、C（秘密）、U（無(wú)密）信息流36強(qiáng)制訪問控制Bell-LaPadula模型中：“讀安全”禁止低級(jí)別的用戶獲得高級(jí)別文件的讀權(quán)限。（不上讀）“寫安全”防止高級(jí)別的特洛伊木馬程序把高級(jí)別文件內(nèi)容拷貝到低級(jí)別用戶有讀訪問權(quán)限的文件。（不下寫）BLP模型中的信息流：37例如，某單位部分行政機(jī)構(gòu)如下圖：假設(shè)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)的密級(jí)為： 一般秘密機(jī)密絕密定義校長(zhǎng)的安全級(jí) C校長(zhǎng)

15、（絕密，人事處,教務(wù)處,財(cái)務(wù)處,設(shè)備處），（即校長(zhǎng)的密級(jí)為絕密，部門屬性為所有的部門）教務(wù)處長(zhǎng)的安全級(jí) C教=(機(jī)密,教務(wù)處)財(cái)務(wù)處長(zhǎng)的安全級(jí) C財(cái)=(機(jī)密,財(cái)務(wù)處)財(cái)務(wù)一科長(zhǎng)的安全級(jí) C一財(cái)=(秘密,財(cái)務(wù)處)財(cái)務(wù)處工作人員的安全級(jí) C工=(一般,財(cái)務(wù)處)假設(shè)財(cái)務(wù)一科長(zhǎng)產(chǎn)生了一份工作文件A，文件A的安全級(jí)定義為與一科長(zhǎng)的安全級(jí)相同，即CA=(秘密,財(cái)務(wù)處)，那么，對(duì)于文件A，只有校長(zhǎng)和財(cái)務(wù)處長(zhǎng)能看到，而教務(wù)處長(zhǎng)不能看，盡管教務(wù)處長(zhǎng)的密級(jí)是機(jī)密級(jí)，可以看秘密級(jí)的文件，但教務(wù)處長(zhǎng)的部門屬性僅是教務(wù)處,他無(wú)權(quán)看財(cái)務(wù)處的信息。 39強(qiáng)制訪問控制BLP模型的不足應(yīng)用領(lǐng)域較窄，使用不靈活，一般只用于軍方等

16、具有明顯等級(jí)觀念的領(lǐng)域完整性方面控制的不夠好，強(qiáng)調(diào)信息向高安全級(jí)的方向流動(dòng)，對(duì)高安全級(jí)信息的完整性保護(hù)不夠40強(qiáng)制訪問控制Biba模型Biba等人于70年代提出的，它主要是針對(duì)信息完整性保護(hù)方面的。與BLP模型類似，Biba模型用完整性等級(jí)取代了BLP模型中的敏感等級(jí)，而訪問控制的限制正好與BLP模型相反：41強(qiáng)制訪問控制Biba模型的規(guī)則簡(jiǎn)單完整規(guī)則。僅當(dāng)主體的完整級(jí)大于等于客體的完整級(jí)且主體的類別集合包含客體的類別集時(shí)，才允許該主體寫該客體。即主體只能向下寫，而不能向上寫，也就是說(shuō)主體只能寫（修改）完整性級(jí)別等于或低于它的客體。完整性制約規(guī)則（星規(guī)則）。僅當(dāng)主體的完整級(jí)不高于客體完整級(jí)且客

17、體的類別集合包含主體的類別集合時(shí)，才允許該主體讀客體。即主體只能從上讀，而不能從下讀。42強(qiáng)制訪問控制缺陷實(shí)現(xiàn)工作量大管理不便不夠靈活在系統(tǒng)連續(xù)工作能力、授權(quán)的可管理性等方面考慮不足43C.基于角色的訪問控制20世紀(jì)90年代出現(xiàn)，可以有效地克服傳統(tǒng)訪問控制技術(shù)中存在的不足之處，減少授權(quán)管理的復(fù)雜性，降低管理開銷。起源于UNIX系統(tǒng)等操作系統(tǒng)中組的概念基于角色的訪問控制是一個(gè)復(fù)合的規(guī)則，可以被認(rèn)為是DAC和MAC的變體。一個(gè)身份被分配給一個(gè)被授權(quán)的組。基本思路：管理員創(chuàng)建角色，給角色分配權(quán)限，給角色分配用戶，角色所屬的用戶可以執(zhí)行相應(yīng)的權(quán)限44基于角色的訪問控制所謂角色，就是一個(gè)或一組用戶在組織

18、內(nèi)可執(zhí)行的操作的集合角色由系統(tǒng)管理員定義，角色成員的增減只能由系統(tǒng)管理員執(zhí)行，而且授權(quán)規(guī)定是強(qiáng)加給用戶的，用戶只能被動(dòng)接受，用戶也不能自主的將訪問權(quán)限傳給他人，這是一種非自主型訪問控制45基于角色的訪問控制每個(gè)角色與一組用戶和有關(guān)的動(dòng)作相互關(guān)聯(lián)，角色中所屬的用戶可以有權(quán)執(zhí)行這些操作角色與組的區(qū)別組：一組用戶的集合角色：一組用戶的集合 + 一組操作權(quán)限的集合客體1客體2客體3用戶1用戶2用戶3角色1角色2權(quán)限a權(quán)限b權(quán)限c權(quán)限d46基于角色的訪問控制傳統(tǒng)的訪問控制機(jī)制直接將訪問主體（發(fā)出訪問操作、存取要求的主動(dòng)方）和客體（被調(diào)用的程序或欲存取的數(shù)據(jù)訪問）相聯(lián)系RBAC在主體和客體中間加入了角色，

19、通過(guò)角色溝通主體和客體RBAC中，用戶的標(biāo)識(shí)對(duì)于身份認(rèn)證以及審計(jì)記錄非常有用，但真正決定訪問權(quán)限的是用戶對(duì)應(yīng)的角色標(biāo)識(shí)47基于角色的訪問控制與DAC的區(qū)別用戶與客體沒有直接聯(lián)系，只要通過(guò)角色才享有該角色所對(duì)于的權(quán)限，從而訪問相應(yīng)的客體，因此用戶不能自主地將訪問權(quán)限授給別的用戶與MAC的區(qū)別MAC是基于多級(jí)安全需求的，但RBAC不是在軍事系統(tǒng)中關(guān)心的是防止信息從高安全級(jí)流向低安全級(jí)，即限制“誰(shuí)可以讀/寫什么信息”基于角色控制的系統(tǒng)關(guān)心保護(hù)系統(tǒng)的完整性，即“誰(shuí)可以對(duì)什么信息執(zhí)行何種動(dòng)作”角色控制比較靈活，根據(jù)配置可以使某些角色接近DAC，而某些角色更接近于MAC48三條安全原則:最小權(quán)限：用戶所擁

20、有的權(quán)利不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限責(zé)任分離：多個(gè)互斥的角色合作完成重要工作數(shù)據(jù)抽象：可以定義抽象的權(quán)限，而不僅僅是操作系統(tǒng)中的讀、寫、執(zhí)行等基于角色的訪問控制49RBAC96模型，由George Mason大學(xué)提出RBAC0：基本模型，規(guī)定了任何RBAC系統(tǒng)必須的最小需求RBAC1：分級(jí)模型，在RBAC0的基礎(chǔ)上增加了角色等級(jí)（Role Hierachies）的概念RBAC2：限制模型，在RBAC0的基礎(chǔ)上增加了限制（Constraints）的概念RBAC3：統(tǒng)一模型，包含了RBAC1和RBAC2，由于傳遞性也間接地包含了RBAC0基于角色的訪問控制50RBAC96模型基于角色的訪問控制R

21、BAC3RBAC1RBAC2RBAC051優(yōu)勢(shì)便于授權(quán)管理便于角色劃分便于賦予最小權(quán)限原則便于職責(zé)分離便于客體分類基于角色的訪問控制52基于任務(wù)的訪問控制（Task-Based Access Control）1997年，P.K.Thomas 等人提出，他們認(rèn)為傳統(tǒng)的面向主體和客體的訪問控制過(guò)于抽象和底層，不便于描述應(yīng)用領(lǐng)域的安全需求；從面向任務(wù)的觀點(diǎn)出發(fā)提出了基于任務(wù)的授權(quán)控制模型，但這種模型的最大不足在于比任何其他模型都要復(fù)雜?；诮M機(jī)制的訪問控制1988年，R.S.Sandhu等人該模型的基礎(chǔ)是偏序的維數(shù)理論，組的層次關(guān)系由維數(shù)為2的偏序關(guān)系（即Ntree樹）表示，通過(guò)比較組節(jié)點(diǎn)在Ntre

22、e中的屬性決定資源共享和權(quán)限隔離。該模型的創(chuàng)新在于提出了簡(jiǎn)單的組層次表示方法和自頂向下的組逐步細(xì)化模型。其他訪問控制53基本概念訪問控制實(shí)現(xiàn)方法訪問控制策略PMIAAA主要內(nèi)容54PMI（Privilege Management Infrastructure）又稱為屬性特權(quán)機(jī)構(gòu)，在ANSI，ITU X.509和IETE PKIX中有定義。PMI依賴于公共密鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），提供訪問控制和特權(quán)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)和管理無(wú)關(guān)的訪問控制機(jī)制，并簡(jiǎn)化應(yīng)用中訪問控制和權(quán)限管理系統(tǒng)的開發(fā)

23、與維護(hù)。 國(guó)際電聯(lián)電信委員會(huì)（ITU-T）2001年發(fā)表的X.509的第四版首次將權(quán)限管理基礎(chǔ)設(shè)施（PMI）的證書完全標(biāo)準(zhǔn)化。X.509的早期版本側(cè)重于公鑰基礎(chǔ)設(shè)施（PKI）的證書標(biāo)準(zhǔn)化。對(duì)于身份鑒定和認(rèn)證服務(wù)來(lái)說(shuō)，并沒有嚴(yán)格要求使用PKI的相關(guān)設(shè)施，其它手段諸如:Kerberos、生物特征鑒定甚至用戶/口令機(jī)制都可以用來(lái)進(jìn)行身份認(rèn)證。但是在構(gòu)建一個(gè)PMI系統(tǒng)時(shí)，一般將PKI作為身份管理的首選。PMI55PMI以資源管理為核心，將對(duì)資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)去管理，即由資源的所有者來(lái)進(jìn)行訪問控制管理。與PKI的區(qū)別：PKI證明用戶是誰(shuí)，并將用戶的身份信息保存在用戶的公鑰證書中；而PMI則

24、證明這個(gè)用戶有什么權(quán)限，什么屬性，能干什么，并將用戶的屬性信息保存在屬性證書（又稱管理證書）中。 PMI系統(tǒng)主要分為 兩部分 ：授權(quán)管理中心（又稱AA中心） ：授權(quán)服務(wù)平臺(tái)是授權(quán)管理中心的主要設(shè)備，是實(shí)現(xiàn)PMI授權(quán)技術(shù)的核心部件，主要為用戶頒發(fā)AC授權(quán)證書。資源管理中心（又稱RM中心）。PMI56PKI與PMI基本元素對(duì)比57PMI使用了屬性證書（Attribute Certificate）,屬性證書是一種輕量級(jí)的數(shù)字證書。在PKI中將一個(gè)用戶身份和一個(gè)公鑰綁定起來(lái)的數(shù)據(jù)結(jié)構(gòu)叫公鑰證書。類似的，將PMI中的實(shí)體和相關(guān)特權(quán)綁定起來(lái)的數(shù)據(jù)結(jié)構(gòu)叫做屬性證書。屬性證書不包含公鑰信息，只包含證書所有人I

25、D、發(fā)行證書ID、簽名算法、有效期、屬性等信息。公鑰證書可以看做是一個(gè)護(hù)照，屬性證書好比入境簽證。一般的屬性證書的有效期均比較短，這樣可以避免公鑰證書在處理CRL時(shí)的問題。如果屬性證書的有效期很短，到了有效期的日期，證書將會(huì)自動(dòng)失效，從而避免了公鑰證書在撤消時(shí)的種種弊端。屬性一般由屬性類別和屬性值組成，也可以是多個(gè)屬性類別和屬性值的組合。這種證書利用屬性來(lái)定義每個(gè)證書持有者的權(quán)限、角色等信息。PMI58PMI屬性證書結(jié)構(gòu)59PMI授權(quán)模型在授權(quán)模型中，SOA 指定一些權(quán)限擁有者作為 AA。AA 可以繼續(xù)對(duì)最終實(shí)體或其他 AA 進(jìn)行授權(quán)，但是授予的權(quán)限不能超出它自己擁有的權(quán)限范圍。PMI60PM

26、I授權(quán)路徑PMI61PMI 中，角色是一種間接授權(quán)的方式，權(quán)限被授予某個(gè)角色，實(shí)體被授予某個(gè)角色。這種機(jī)制的優(yōu)點(diǎn)是，我們不需要改變被授予某個(gè)角色的實(shí)體，而只需要改變授予某個(gè)角色的權(quán)限集合。PMI定義兩種類型的屬性證書角色說(shuō)明證書角色名是屬性證書所有者被指定的角色的標(biāo)示符。角色管理機(jī)構(gòu)是頒發(fā)相應(yīng)角色說(shuō)明證書的 AA 的名稱。角色說(shuō)明證書是在屬性字段中包含制定權(quán)限集合的屬性證書(AC)。角色分配證書聲明權(quán)限的最終實(shí)體提供角色分配證書。權(quán)限驗(yàn)證者識(shí)別角色名并且可以獲得與該角色名相對(duì)應(yīng)的權(quán)限集合。角色分配證書由特定的權(quán)限屬性類型標(biāo)示，其屬性字段中包括角色屬性。角色屬性中包括兩種信息：角色名和角色管理機(jī)

27、構(gòu)。角色說(shuō)明證書和角色分配證書可以由不同的 AA 簽發(fā)。PMI角色模型62基本概念訪問控制實(shí)現(xiàn)方法訪問控制策略PMIAAA主要內(nèi)容63認(rèn)證、授權(quán)和計(jì)費(fèi)體制（AAA）是網(wǎng)絡(luò)運(yùn)營(yíng)的基礎(chǔ)。網(wǎng)絡(luò)中各類資源的使用，需要由認(rèn)證、授權(quán)、審計(jì)和計(jì)費(fèi)進(jìn)行管理。鑒別是至關(guān)重要的，只有確認(rèn)了用戶的身份，才能知道所提供的服務(wù)應(yīng)該向誰(shuí)收費(fèi)，同時(shí)也能防止非法用戶（黑客）對(duì)網(wǎng)絡(luò)進(jìn)行破壞。在確認(rèn)用戶身份后，根據(jù)用戶開戶時(shí)所申請(qǐng)的服務(wù)類別，系統(tǒng)可以授予客戶相應(yīng)的權(quán)限。最后，在用戶使用系統(tǒng)資源時(shí)，需要有相應(yīng)的設(shè)備來(lái)統(tǒng)計(jì)用戶所對(duì)資源的占用情況，據(jù)此向客戶收取相應(yīng)的費(fèi)用。后來(lái)又加入了審計(jì)的需求，擴(kuò)展為AAAA。AAAA指的是Auth

28、entication（鑒別），Authorization（授權(quán)），審計(jì)（Audit）和計(jì)費(fèi)Accounting（計(jì)費(fèi)）。AAA64鑒別（Authentication）指用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶身份的確認(rèn)。這一過(guò)程，通過(guò)與用戶的交互獲得身份信息（諸如用戶名口令組合、生物特征獲得等），然后提交給認(rèn)證服務(wù)器；后者對(duì)身份信息與存儲(chǔ)在數(shù)據(jù)庫(kù)里的用戶信息進(jìn)行核對(duì)處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。例如，GSM移動(dòng)通信系統(tǒng)能夠識(shí)別其網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)終端設(shè)備的標(biāo)志和用戶標(biāo)志。授權(quán)（Authorization）網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的方式使用其資源，這一過(guò)程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)

29、務(wù)和擁有的權(quán)限，如授予的IP地址等。GSM認(rèn)證通過(guò)的合法用戶，業(yè)務(wù)權(quán)限（是否開通國(guó)際電話主叫業(yè)務(wù)等）是用戶和運(yùn)營(yíng)商在事前已經(jīng)協(xié)議確立的。計(jì)費(fèi)（Accounting）網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用，以便向用戶收取資源使用費(fèi)用，或者用于審計(jì)等目的。以互聯(lián)網(wǎng)接入業(yè)務(wù)供應(yīng)商ISP為例，用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時(shí)間被準(zhǔn)確記錄下來(lái)。AAA65在移動(dòng)通信系統(tǒng)中，用戶要訪問網(wǎng)絡(luò)資源，首先要進(jìn)行用戶的入網(wǎng)認(rèn)證。一般來(lái)講，鑒別過(guò)程由三個(gè)實(shí)體來(lái)完成的。用戶（Client）、認(rèn)證器（Authenticator）、AAA服務(wù)器（Authentication 、Authorization and Ac

30、counting Server）。在第三代移動(dòng)通信系統(tǒng)的早期版本中，用戶也稱為MN（移動(dòng)節(jié)點(diǎn)），認(rèn)證器在NAS（Network Access Server）中實(shí)現(xiàn)，它們之間采用PPP協(xié)議，認(rèn)證器和AAA服務(wù)器之間采用AAA協(xié)議。AAA66RADIUS（Remote Authentication Dial in User Service）是遠(yuǎn)程用戶號(hào)認(rèn)證服務(wù)的簡(jiǎn)稱。最初提出與設(shè)計(jì)RADIUS的人是利文斯敦（livingston）公司的Stewillens，是為他們的網(wǎng)絡(luò)接入服務(wù)器（PortMaster系列）而設(shè)計(jì)的。主要用于對(duì)通過(guò)串口或撥號(hào)接入的遠(yuǎn)程用戶進(jìn)行認(rèn)證、授權(quán)、記帳和管理，這些用戶所處地

31、域分散，數(shù)量大，上網(wǎng)的設(shè)備條件炯異，難以統(tǒng)一處理與管理。RADIUS協(xié)議描述了網(wǎng)絡(luò)訪問服務(wù)器與一個(gè)共享的認(rèn)證服務(wù)器之間通信規(guī)范。網(wǎng)絡(luò)服務(wù)器（NAS）通過(guò)共享認(rèn)證服務(wù)器對(duì)訪問它的用戶實(shí)現(xiàn)認(rèn)證。NAS和服務(wù)器依據(jù)規(guī)范交互它們的認(rèn)證信息、授權(quán)信息和配置信息。Radius協(xié)議67RADIUS給出了認(rèn)證服務(wù)器和認(rèn)證客戶端（即NAS）的信息處理規(guī)范。認(rèn)證服務(wù)器通過(guò)這些規(guī)范完成對(duì)訪問NAS的客戶的認(rèn)證、授權(quán)和配置。RFC2865和RFC2866定義了RADIUS協(xié)議標(biāo)準(zhǔn)，為RADIUS協(xié)議和RADIUS記帳協(xié)議正式分配的端口號(hào)分別是1812和1513。RFC(Request For Comments)-意即

32、“請(qǐng)求評(píng)議”，包含了關(guān)于Internet的幾乎所有重要的文字資料，享有網(wǎng)絡(luò)知識(shí)圣經(jīng)之美譽(yù)，由Internet Society（ISOC）所贊助發(fā)行當(dāng)某家機(jī)構(gòu)或團(tuán)體開發(fā)出了一套標(biāo)準(zhǔn)或提出對(duì)某種標(biāo)準(zhǔn)的設(shè)想，想要征詢外界的意見時(shí)，就會(huì)在Internet上發(fā)放一份RFC，對(duì)這一問題感興趣的人可以閱讀該RFC并提出自己的意見；絕大部分網(wǎng)絡(luò)標(biāo)準(zhǔn)的指定都是以RFC的形式開始。很多公司開發(fā)了遵循RFC2865和RFC2866標(biāo)準(zhǔn)的軟件產(chǎn)品，如cistron-radiusd, winradius, myradius等，并且拓展了其應(yīng)用范圍，不僅可用于撥號(hào)上網(wǎng)的用戶，而且可用于GSM, CDMA, Cable M

33、odem等用戶。Radius協(xié)議68RADIUS認(rèn)證協(xié)議的主要特征：客戶/服務(wù)器模型NAS是客戶端，它與請(qǐng)求訪問的用戶進(jìn)行交互，向服務(wù)器發(fā)送收集到的認(rèn)證信息，并對(duì)服務(wù)器發(fā)送回的認(rèn)證結(jié)果進(jìn)行應(yīng)答。RADIUS認(rèn)證服務(wù)器負(fù)責(zé)對(duì)用戶進(jìn)行認(rèn)證，它依據(jù)客戶端發(fā)送的用戶認(rèn)證請(qǐng)求數(shù)據(jù)，對(duì)用戶身份進(jìn)行鑒別，并返回認(rèn)證結(jié)果。網(wǎng)絡(luò)安全性RADIUS服務(wù)器與NAS之間共享一對(duì)秘密密鑰，提供消息鑒別保護(hù)和一定的完整性保護(hù)。服務(wù)器與NAS之間傳遞的敏感數(shù)據(jù)（如用戶口令）還受到機(jī)密性保護(hù)。RADIUS協(xié)議還提供了狀態(tài)屬性以及鑒別碼（Authenticator），以防止對(duì)客戶端或服務(wù)器端的拒絕服務(wù)攻擊、欺騙攻擊等等?？蓴U(kuò)展

34、的協(xié)議設(shè)計(jì)RADIUS數(shù)據(jù)包通過(guò)一個(gè)相對(duì)固定的消息頭和一系列屬性構(gòu)成。屬性采用三元組組成，用戶可以自定義屬性。靈活的認(rèn)證機(jī)制RADIUS服務(wù)器能夠支持很多認(rèn)證用戶的方法，提供了包括PPP、PAP、CHAP、Unix login等在內(nèi)的很多認(rèn)證機(jī)制，可以采用其中任一機(jī)制對(duì)用戶的用戶名和密碼進(jìn)行認(rèn)證。Radius協(xié)議69 Radius協(xié)議通信模型70RADIUS認(rèn)證協(xié)議的實(shí)現(xiàn)：每個(gè)RADIUS協(xié)議包被封裝在一個(gè)UDP報(bào)文中。RADIUS協(xié)議包主要由編碼、標(biāo)識(shí)符、長(zhǎng)度、鑒別碼和屬性等幾個(gè)字段組成。編碼域占一位字節(jié)，該值決定了RADIUS數(shù)據(jù)包的類型。RADIUS指定了如下編碼：1接入請(qǐng)求（Aeees

35、s一Request）2允許接入（Aeeess一Aeeept）3拒絕接入（Aeeess一Rejeet）4記帳請(qǐng)求（Aeeounting一Request）5記帳響應(yīng)（Aeeounting一Response）11接入詢問（Aeeess一Challenge）12服務(wù)器狀態(tài)（Status一Server（expeoimental）13客戶機(jī)狀態(tài)（Status一Client（experimental）Radius協(xié)議71RADIUS認(rèn)證協(xié)議的實(shí)現(xiàn)：標(biāo)識(shí)符域占1個(gè)字節(jié)，用于輔助鑒別請(qǐng)求包與響應(yīng)包。鑒別碼域?yàn)?6個(gè)字節(jié)，用來(lái)鑒別RADIUS通信的數(shù)據(jù)源和隱藏用戶密碼，分為請(qǐng)求鑒別碼和響應(yīng)鑒別碼。在請(qǐng)求接入和請(qǐng)求

36、記帳協(xié)議包中，鑒別碼為請(qǐng)求鑒別碼。在服務(wù)器和客戶端的共享密鑰的整個(gè)生存周期中，鑒別碼值不可預(yù)測(cè)且唯一。請(qǐng)求接入包的請(qǐng)求鑒別碼是隨機(jī)數(shù)。共享密鑰和請(qǐng)求鑒別碼通過(guò)MD5產(chǎn)生一個(gè)16位摘要后與用戶密碼進(jìn)行異或，異或值放置在請(qǐng)求接入數(shù)據(jù)包中的用戶密碼屬性域中。對(duì)于請(qǐng)求記帳包，NAS和RADIUS記帳服務(wù)器共享一個(gè)密鑰，請(qǐng)求記帳包中的鑒別碼是對(duì)（編碼+標(biāo)識(shí)符+長(zhǎng)度+16個(gè)0 x00+請(qǐng)求屬性+共享密鑰）經(jīng)MD5計(jì)算出的摘要。接入允許、拒絕接入、記帳回應(yīng)和接入盤問數(shù)據(jù)包中的鑒別碼是響應(yīng)鑒別碼。它是根據(jù)協(xié)議包的編碼域、標(biāo)識(shí)符、長(zhǎng)度、請(qǐng)求鑒別碼、數(shù)據(jù)包里的屬性序列和共享密鑰等要素計(jì)算出的MD5摘要。Radiu

37、s協(xié)議72Radius協(xié)議73背景新的接入技術(shù)的引入（如無(wú)線接入、DSL、移動(dòng)IP和以太網(wǎng)）和接入網(wǎng)絡(luò)的快速擴(kuò)容，越來(lái)越復(fù)雜的路由器和接入服務(wù)器大量投入使用。3G網(wǎng)絡(luò)逐步向全I(xiàn)P網(wǎng)絡(luò)演進(jìn)，不僅核心網(wǎng)絡(luò)使用支持IP的網(wǎng)絡(luò)實(shí)體，接入網(wǎng)絡(luò)也使用基于IP的技術(shù)，而且移動(dòng)終端也成為可激活的IP客戶端。如WCDMA的R6版本就新增以下特性：UTRAN和CN傳輸增強(qiáng)；無(wú)線接口增強(qiáng)；多媒體廣播和多播（MBMS）；數(shù)字權(quán)限管理（DRM）；WLAN-UMTS互通；優(yōu)先業(yè)務(wù)；通用用戶信息（GUP）；網(wǎng)絡(luò)共享；不同網(wǎng)絡(luò)間的互通等。Diameter協(xié)議74背景支持移動(dòng)IP的終端可以在注冊(cè)的家鄉(xiāng)網(wǎng)絡(luò)中移動(dòng)，或漫游到其他運(yùn)

38、營(yíng)商的網(wǎng)絡(luò)。當(dāng)終端要接入到網(wǎng)絡(luò)，并使用運(yùn)營(yíng)商提供的各項(xiàng)業(yè)務(wù)時(shí)，就需要嚴(yán)格的AAA過(guò)程。AAA服務(wù)器要對(duì)移動(dòng)終端進(jìn)行認(rèn)證，授權(quán)允許用戶使用的業(yè)務(wù)，并收集用戶使用資源的情況，以產(chǎn)生計(jì)費(fèi)信息。IEEE的無(wú)線局域網(wǎng)協(xié)議802.16e建議草案中的網(wǎng)絡(luò)參考模型里也包含了鑒別和授權(quán)服務(wù)器ASA Server，以支持移動(dòng)臺(tái)在不同基站之間的切換。以上新形勢(shì)催生了新一代的AAA協(xié)議Diameter。Diameter協(xié)議75Diameter（直徑，意即Diameter協(xié)議是RADIUS協(xié)議的升級(jí)版本）協(xié)議包括基本協(xié)議，NAS（網(wǎng)絡(luò)接入服務(wù)）協(xié)議，EAP（可擴(kuò)展鑒別）協(xié)議，MIP（移動(dòng)IP）協(xié)議，CMS（密碼消息語(yǔ)法

39、）協(xié)議等。Diameter支持移動(dòng)IP、NAS請(qǐng)求和移動(dòng)代理的認(rèn)證、授權(quán)和計(jì)費(fèi)工作。Diameter協(xié)議的實(shí)現(xiàn)和RADIUS類似，也采用Attribute-Length-Value三元組形式來(lái)實(shí)現(xiàn)，但是其中詳細(xì)規(guī)定了錯(cuò)誤處理、 failover機(jī)制，采用TCP協(xié)議，支持分布式計(jì)費(fèi)，克服了RADIUS的許多缺點(diǎn)，是適合移動(dòng)通信系統(tǒng)的AAA協(xié)議。Diameter與Radius相比，有如下改進(jìn)：擁有良好的失敗機(jī)制，支持失敗替代（failover）和失敗回溯（faiback）；擁有更好的包丟棄處理機(jī)制，Diameter協(xié)議要求對(duì)每個(gè)消息進(jìn)行確認(rèn)；可以保證數(shù)據(jù)體的完整性和機(jī)密性；支持端到端安全，支持TLS和IPSec； 引入了“能力協(xié)商”能力。Diameter協(xié)議76Diameter協(xié)議是IETF為下一代AAA服務(wù)器提供的一套協(xié)議體系，由基礎(chǔ)協(xié)議、傳輸協(xié)議和一系列應(yīng)用擴(kuò)展組成，協(xié)議框架結(jié)構(gòu)如圖所示。Diameter協(xié)議77（1）Diameter的基礎(chǔ)協(xié)議Diameter基礎(chǔ)協(xié)議為移動(dòng)IP（Mobile IP）、網(wǎng)絡(luò)接入服務(wù)（NAS）等應(yīng)用提供最基本的服務(wù)，例如用戶會(huì)話、計(jì)費(fèi)等。具有能力協(xié)商、差錯(cuò)通知等功能。協(xié)議元素由眾多命令和AVP（屬性值對(duì)）構(gòu)成，可以在客戶機(jī)、代理、服務(wù)器之間傳遞鑒別、授