身份认证与访问控制技术

第5章 身份认证与访问控制技术

5.2.2 数字签名的原理及过程

1．数字签名算法的组成

数字签名算法主要有两部分组成：签名算法和验证算法。签名者可使用一个秘密的签名算法签署一个数据文件，所得的签名可通过一个公开的验证算法进行验证。

常用数字签名主要是公钥加密（非对称加密）算法的典型应用。

2．数字签名基本原理及过程

在网络环境中，数字签名可以代替现实中的“亲笔签字”。

整个数字签名的基本原理采用的是双加密方式，先将原文件用对称密钥加密后传输，并将其密钥用接收方公钥加密发给对方。一套完整的数字签名通常定义签名和验证两种互补的运算。单独的数字签名只是一加密过程，签名验证则是一个解密的过程。基本原理及过程，如图5-5所示。

图5-5 数字签名原理及过程

课堂讨论

1．数字签名和现实中的签名有哪些区别和联系？ 2．数字签名的基本原理及过程怎样？

5.3 访问控制技术概述

5.3.1 访问控制的概念及原理

1.访问控制的概念及要素

访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

5

网络安全实用技术

访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。

访问控制包括三个要素： （1）主体S（Subject）。是指提出访问资源具体请求。 （2）客体O（Object）。是指被访问资源的实体。 （3）控制策略A（Attribution）。

2.访问控制的功能及原理

访问控制的主要功能包括：保证合法用户访问受权保护的网络资源，防止非法的主体进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制的内容包括认证、控制策略实现和安全审计，如图5-6所示。

请求访问用户访问控制 执行功能（AEF）客体主体访问控制信息访问控制 决策功能（ADF）客体访问控制信息访问控制策略规则上下文信息（如时间、地点等）

图5-6 访问控制功能及原理

5.3.2 访问控制的类型及机制

访问控制可以分为两个层次：物理访问控制和逻辑访问控制。 1. 访问控制的类型

访问控制类型有3种模式： 1）自主访问控制

自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件，文件夹和共享资源中设置许可。

【案例5-3】在Linux系统中，访问控制采用了DAC模式，如图5-7中所示。高优先级主体可将客体的访问权限授予其他主体。 6 第5章 身份认证与访问控制技术

图5-7 Linux系统中的自主访问控制

2）强制访问控制

强制访问控制（MAC）是系统强制主体服从访问控制策略。是由系统对用户所创建的对象，按照规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。

MAC的安全级别常用的为4级：绝密级、秘密级、机密级和无级别级，其中T>S>C>U。系统中的主体（用户，进程）和客体（文件，数据）都分配安全标签，以标识安全等级。 3）基于角色的访问控制

角色（Role）是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层，表示为权限和用户的关系，所有的授权应该给予角色而不是直接给用户或用户组。

基于角色的访问控制（RBAC）是通过对角色的访问所进行的控制。使权限与角色相关联，用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。

RBAC模型的授权管理方法，主要有3种： ① 根据任务需要定义具体不同的角色。 ② 为不同角色分配资源和操作权限。

③ 给一个用户组（Group，权限分配的单位与载体）指定一个角色。

RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则。

2.访问控制机制

访问控制机制是检测和防止系统未授权访问，并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法，一般是在操作系统的控制下，按照事先确定的规则决定是否允许主体访问客体，贯穿于系统全过程。

访问控制矩阵（Access Contro1 Matrix）是最初实现访问控制机制的概念模型，以二维矩阵规定主体和客体间的访问权限。

主要采用以下2种方法。 1）访问控制列表

访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。

7

网络安全实用技术

2）能力关系表

能力关系表（Capabilities List）是以用户为中心建立访问权限表。与ACL相反，表中规定了该用户可访问的文件名及权限，利用此表可方便地查询一个主体的所有授权。相反，检索具有授权访问特定客体的所有主体，则需查遍所有主体的能力关系表。

3. 单点登入的访问管理

根据登入的应用类型不同，可将SSO分为3种类型。 1）对桌面资源的统一访问管理

对桌面资源的访问管理，包括两个方面：

①登入Windows后统一访问Microsoft应用资源。 ②登入Windows后访问其他应用资源。 2）Web单点登入

由于Web技术体系架构便捷，对Web资源的统一访问管理易于实现，如图5-8所示。

客户端-Web应用SSO浏览器Web应用门户-后台SSO后台应用浏览器Web访问管理浏览器企业信息门户后台应用浏览器Web应用后台应用 图5-8 Web单点登入访问管理系统

3）传统C/S 结构应用的统一访问管理

在传统C/S 结构应用上，实现管理前台的统一或统一入口是关键。采用Web客户端作为前台是企业最为常见的一种解决方案。

5.3.3 访问控制的安全策略

访问控制的安全策略是指在某个自治区域内（属于某个组织的一系列处理和通信资源范畴），用于所有与安全相关活动的一套访问控制规则。其安全策略有三种类型：基于身份的安全策略、基于规则的安全策略和综合访问控制方式。

1. 安全策略实施原则

访问控制安全策略原则集中在主体、客体和安全控制规则集三者之间的关系。 （1）最小特权原则。 （2）最小泄露原则。

（3）多级安全策略。

8