CIS培训鉴别与访问控制培训课件

鉴别与访问控制版本：3.0发布日期：2014-12-1生效日期：2015-1-1讲师姓名：课程内容2鉴别与访问控制知识体知识域访问控制模型访问控制技术知识子域集中访问控制非集中访问控制强制访问控制模型访问控制基本概念自主访问控制模型鉴别鉴别的类型鉴别的方法基于角色的访问控制模型知识域：鉴别知识子域：鉴别的类型理解标识、鉴别的概念和作用理解单向鉴别、双向鉴别和第三方鉴别的区别知识子域：鉴别的方法理解基于所知、所有和生物特征的三种基本鉴别方法及其特点理解每种鉴别方法及组合鉴别方法的强度3标识标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定标识的主要作用：访问控制和审计访问控制：标识用于控制是否允许特定的操作审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来4鉴别确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体口令、挑战-应答、生物特征鉴别所有其它的安全服务都依赖于该服务需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体目的：使别的成员（验证者）获得对声称者所声称的事实的信任5标识和鉴别的作用作为访问控制的一种必要支持，访问控制的执行依赖于确知的身份访问控制直接对机密性、完整性、可用性及合法使用资源提供支持作为数据源认证的一种方法与数据完整性机制结合起来使用作为审计追踪的支持在审计追踪记录时，提供与某一活动关联的确知身份6鉴别系统的组成被验证者P（Prover）：出示身份标识的人，又称声称者（Claimant）验证者V（Verifier）：检验声称者提出的身份标识的正确性和合法性，决定是否满足要求可信赖者TP（TrustedThirdParty）：参与鉴别的第三方，参与调解纠纷PVTP7鉴别的类型单向鉴别和双向鉴别单向鉴别：通信双方中只有一方向另一方进行鉴别双向鉴别：通信双方相互进行鉴别第三方鉴别：由可信第三方来确认身份本地鉴别和远程鉴别本地鉴别：实体在本地环境的初始化鉴别远程鉴别：连接远程设备的实体鉴别8鉴别的方法基于你所知道的（Whatyouknow）知识、口令、密码基于你所拥有的（Whatyouhave）身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征（Whatyouare）指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素、多因素认证9常见的鉴别技术基于口令的身份认证基于生物特征的身份认证基于个人令牌的身份认证10基于口令令的身份份认证口令是使使用最广广泛的身身份鉴别别方法选择原则则：易记记、难猜猜测、抗抗分析能能力强口令提供供弱鉴别别，面临临的威胁胁：口令猜测测线路窃听听重放攻击击……11防止线路路窃听使用保护护口令机机制：单单向函数数攻击者很很容易构构造一张张q与p对应的表表，表中中的p尽可能包包含所期期望的值值解决办法法：在口口令后使使用随机机数12一次性口口令机制制确保在每每次鉴别别中所使使用的口口令不同同，以对对付重放放攻击口令的确确定方法法：两端共同同拥有一一串随机机口令，，在该串串的某一一位置保保持同步步两端共同同使用一一个随机机序列生生成器，，在该序序列生成成器的初初态保持持同步使用时间间戳，两两端维持持同步的的时钟13基于个人人令牌的的身份认认证集成电路路卡（IntegratedCircuitCard）简称IC卡，其中中镶嵌集集成电路路芯片IC卡的分类类IC卡接口类类型接触式IC卡非接触式式IC卡双界面卡卡嵌入集成成电路芯芯片的形形式和类类型非加密存存储卡逻辑加密密卡（EEPROM存储单元元阵列+密码控制制逻辑单单元)CPU卡（又称称智能卡卡）14智能卡的的安全特特性硬件与外界通通信前，，先完成成智能卡卡与终端端间的认认证加入安全全传感器器，防止止在数据据被读出出或写入入时被修修改发生异常常，智能能卡复位位，或者者置标志志位，使使智能卡卡操作系系统做出出相应反反应存储器加加密，不不保存任任何明文文软件使用需要要通过双双因素认认证，进进入操作作智能卡卡的安全全状态信息采用用文件系系统进行行保存，，依据类类型或密密钥的不不同，提提供不同同的访问问操作支持DES、3DES和RSA等密码算算法15基于生物物特征的的身份认认证（一一）每个人所所具有的的唯一生生理特征征指纹，视视网膜，，声音，，虹膜、、语音、、面部、、签名等等指纹一些曲线线和分叉叉以及一一些非常常微小的的特征提取指纹纹中的一一些特征征并且存存储这些些特征信信息：节节省资源源，快速速查询手掌、手手型手掌有折折痕，起起皱，还还有凹槽槽还包括每每个手指指的指纹纹人手的形形状（手手的长度度，宽度度和手指指）表示示了手的的几何特特征16基于生物物特征的的身份认认证（二二）视网膜扫扫描扫描眼球球后方的的视网膜膜上面的的血管的的图案；；虹膜扫描描虹膜是眼眼睛中位位于瞳孔孔周围的的一圈彩彩色的部部分虹膜有其其独有的的图案，，分叉，，颜色，，环状，，光环以以及皱褶褶语音识别别记录时说说几个不不同的单单词，然然后识别别系统将将这些单单词混杂杂在一起起，让他他再次读读出给出出的一系系列单词词面部扫描描人都有不不同的骨骨骼结构构，鼻梁梁，眼眶眶，额头头和下颚颚形状17指纹识别别的实现现原理通过特殊殊的光电电扫描和和计算机机图像处处理技术术，对指指纹进行行采集、、分析和和比对，，自动、、迅速、、准确地地认证出出个人身身份。指纹识别别的过程程按照用户户和姓名名等信息息将其存存在指纹纹数据库库中的模模板指纹纹调出来来，然后后再用用用户输入入的指纹纹与该模模板的指指纹相匹匹配，以以确定这这两幅指指纹是否否出于同同一幅指指纹。指纹图象采集仪图象输入通道指纹细节匹配认证结果18虹膜识别的的实现原理理（一）虹膜是环绕绕在瞳孔四四周有色彩彩的部分每一个虹膜膜都包含一一个独一无无二的基于于像冠、水水晶体、细细丝、斑点点、结构、、凹点、射射线、皱纹纹和条纹等等特征的结结构每一个人的的虹膜各不不相同，一一个人的左左眼和右眼眼就可能不不一样，即即使是双胞胞胎的虹膜膜也可能不不一样人的虹膜在在出生后6-18个月成型后后终生不再再发生变化化19虹膜识别的的实现原理理（二）20知识域：访访问控制模模型知识子域：：访问控制制基本概念念理解访问控控制的作用用理解主体、、客体、访访问权限等等基本概念念理解访问控控制模型的的一般构成成知识子域：：自主访问问控制理解自主访访问控制（（DAC）的含义理解DAC的常用描述述方式访问问控制矩阵阵模型，及及其两种常常见实现方方法：访问问控制表、、能力表，，了解其他他实现方法法如前缀表表、保护位位理解DAC的特点21知识域：访访问控制模模型知识子域：：强制访问问控制理解强制访访问控制（（MAC）的分类和和含义理解典型MAC模型：Bell-Lapudula模型、Biba模型了解ChineseWall模型和Clark-Wilson模型理解MAC的特点知识子域：：基于角色色的访问控控制理解基于角角色的访问问控制（RBAC）模型的基基本组成理解RBAC的特点22访问控制的的概念和目目标访问控制：：针对越权权使用资源源的防御措措施目标：防止止对任何资资源（如计计算资源、、通信资源源或信息资资源）进行行未授权的的访问，从从而使资源源在授权范范围内使用用，决定用用户能做什什么，也决决定代表一一定用户利利益的程序序能做什么么。23访问控制的的作用未授权访问问：包括未未经授权的的使用、泄泄露、修改改、销毁信信息以及颁颁发指令等等。非法用户对对系统资源源的使用合法用户对对系统资源源的非法使使用作用：机密密性、完整整性和可用用性24主体与客体体主体发起者，是是一个主动动的实体，，可以操作作被动实体体的相关信信息或数据据用户、程序序、进程等等客体一种被动实实体，被操操作的对象象，规定需需要保护的的资源文件、存储储介质、程程序、进程程等25主体与客体体之间的关关系主体：接收客体相关信信息和数据据，也可能能改变客体相关信信息一个主体为为了完成任任务，可以以创建另外的的主体，这些子主主体可以在在网络上不不同的计算算机上运行行，并由父父主体控制制它们客体：始终是提供、驻留留信息或数据据的实体主体和客体体的关系是是相对的，角色可以以互换26授权规定主体可可以对客体体执行的操操作：读写执行拒绝访问…27主体标识的的实例主体的标识识在UNIX中，主体（（用户）的的身份标识识为0-65535之间的一个个整数，称称为用户身身份号（UID）常见的主体体标识还包包括用户名名、卡、令令牌等，也也可以是指指纹、虹膜膜等生物特特征28客体标识的的实例客体的标识识文件名文件描述符符或句柄文件分配表表的条目UNIX中提供了四四种不同的的文件标识识：inode文件描述符符绝对路径文文件名相对路径文文件名29访问控制的的两个重要要过程第一步：鉴鉴别检验主体的的合法身份份第二步：授授权限制用户对对资源的访访问权限30访问控制模模型主体客体访问控制实施访问控制决策提交访问

请求请求决策决策提出访问

请求31什么是访问问控制模型型对一系列访访问控制规规则集合的的描述，可可以是非形形式化的，，也可以是是形式化的的。组成访问控制模模型的分类类访问控制模模型强制访问控控制模型（MAC）自主访问控控制模型（DAC）访问矩阵模模型访问控制列列表（ACL）权能列表（CapacityList）Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型保密性模型完整性模型基于角色访访问控制模模型（RBAC）混合策略模型32知识域：访访问控制模模型知识子域：：自主访问问控制模型型理解自主访访问控制的的含义理解访问控控制矩阵模模型，及其其实现方法法：访问控控制列表、、权能列表表理解自主访访问控制模模型的特点点33自主访问控控制的含义义允许客体的的属主（创创建者）决决定主体对对该客体的的访问权限限灵活地调整整安全策略略具有较好的的易用性和和可扩展性性常用于商业业系统安全性不高高34自主访问控控制的实现现机制和方方法实现机制访问控制表表/矩阵实现方法访问控制表表（AccessControlLists）访问能力表表（CapacityList）35目标xR、W、OwnR、W、Own目标y目标z用户a用户b用户c用户dRRR、W、OwnR、WR、W

目标用户

访问许可与与访问模式式访问许可(AccessPermission)：描述主体对对客体所具具有的控制权定义了改变访问模式的的能力或向向其它主体体传送这种种能力的能能力访问模式：描述主体对对客体所具具有的访问权指明主体对对客体可进行何种种形式的特特定访问操操作：读/写/运行36访问许可的的类型等级型（Hierarchical）有主型（Owner）每个客体设设置一个拥拥有者（一一般是客体体的生成者者），拥有有者是唯一一有权修改改客体访问问控制表的的主体，拥拥有者对其其客体具有有全部控制制权自由型（Laissez-faire）37访问模式的的类型对文件的访访问模式设设置如下：：读-拷贝写-删除/更改运行无效38访问控制矩矩阵行：主体（（用户）列：客体（（文件）矩阵元素：：规定了相相应用户对对应于相应应的文件被被准予的访访问许可、、访问权限限客体x客体y客体z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W39访问控制表表访问控制矩矩阵按列：：访问控制制表访问控制表表：每个客客体可以被被访问的主主体及权限限客体y主体b主体dRWOwnRW40访问能力表表访问控制矩矩阵按行：：访问能力力表访问能力表表：每个主主体可访问问的客体及及权限主体b客体x客体yRRWOwn41访问控制表表与访问能能力表的比比较ACLCL保存位置客体主体浏览访问权限容易困难访问权限传递困难容易访问权限回收容易困难使用集中式系统分布式系统42自主访问控控制的特点点优点：根据主体的的身份和访访问权限进进行决策具有某种访访问能力的的主体能够够自主地将将访问权的的某个子集集授予其它它主体灵活性高，，被大量采采用缺点：信息在传递递过程中其其访问权限限关系会被被改变43强制访问控控制的含义义主体对客体体的所有访访问请求按按照强制访访问控制策策略进行控控制，客体体的属主无无权控制客客体的访问问权限，以以防止对信信息的非法法和越权访访问主体和和客体体分配配有一一个安安全属属性应用于于军事事等安安全要要求较较高的的系统统可与自自主访访问控控制结结合使使用44常见强强制访访问控控制模模型BLP模型1973年提出出的多多级安安全模模型，，影响响了许许多其其他模模型的的发展展，甚甚至很很大程程度上上影响响了计计算机机安全全技术术的发发展Biba模型1977年，Biba提出的的一种种在数数学上上与BLP模型对对偶的的完整整性保保护模模型Clark-Wilson模型1987年，DavidClark和DavidWilson开发的的以事事务处处理为为基本本操作作的完完整性性模型型，该该模型型应用用于多多种商商业系系统ChineseWall模型1989年，D.Brewer和M.Nash提出的的同等等考虑虑保密密性与与完整整性的的安全全策略略模型型，主主要用用于解解决商商业中中的利利益冲冲突45BLP模型的的组成成主体集集：S客体集集：O安全级级：密密级和和范畴畴密级：：绝密密、机机密、、秘密密、公公开范畴：：NUC、EUR、US偏序关关系：：支配配≤≤安全级级L=(C,S)高于安安全级级L’=(C’,S’’)，当且且仅当当满足足以下下关系系：C≥≥C’，SS’’46BLP模型规规则（（一））简单安安全特特性：：S可以读读O，当且且仅当当S的安全全级可可以支支配O的安全全级，，且S对O具有自自主型型读权权限向下读读*—特性：：S可以写写O，当且且仅当当O的安全全级可可以支支配S的安全全级，，且S对O具有自自主型型写权权限向上写写47BLP模型规规则（（二））当一个个高等等级的的主体体必须须与另另一个个低等等级的的主体体通信信，即即高等等级的的主体体写信信息到到低等等级的的客体体，以以便低低等级级的主主体可可以读读主体有有一个个最高高安全全等级级和一一个当当前安安全等等级，，最高高安全全等级级必须须支配配当前前等级级主体可可以从从最高高安全全等级级降低低下来来，以以便与与低安安全等等级的的实体体通信信48BLP模型实实例49Biba模型的的组成成主体集集：S客体集集：O安全级级：完完整级级和范范畴完整等等级：：Crucial，VeryImportant，Important范畴：：NUC、EUR、US偏序关关系：：支配配≤≤完整级级L=(C,S)高于完完整级级L’=(C’,S’’)，当且且仅当当满足足以下下关系系：C≥≥C’，SS’’50Biba模型规规则与与实例例S可以读读O，当且且仅当当O的安全全级支支配S的安全级S可以写写O，当且且仅当当S的安全全级支支配O的安全全级51Clark-Wilson模型的的目标标解决商商业系系统最最关心心的问问题：：系统统数据据的完完整性性以及及对这这些操操作的的完整整性一致性性状态态：数数据满满足给给定属属性，，就称称数据据处于于一个个一致致性状状态实例：：今天到到目前前为止止存入入金额额的总总数：：D今天到到目前前为止止提取取金额额的总总数：：W昨天为为止所所有账账户的的金额额总数数：YB今天到到目前前为止止所有有账户户的金金额总总数：：TB一致性性属性性：D+YB-W=TB52Clark-Wilson模型自由数数据条条目UnconstrainedDataItem(UDI)受限数数据条条目ConstrainedDataItem(CDI)转换程程序TransformationProcedure(TP)完整性性检查查程序序IntegrityVerificationProcedure(IVP)数据库库服务务器应用程程序服服务器器用户TP转换UD1为CDI1TP基于CDI1更新CDI2(订单)和CDI3(账单)IVP检查所所有订单和和账单单(CDI2/CDI3)ChineseWall模型的的组成成（一一）主体集集：S客体集集：O无害客客体：：可以以公开开的数数据有害客客体：：会产产生利利益冲冲突，，需要要限制制的数数据PR(S)表示S曾经读读取过过的客客体集集合54ChineseWall模型的的组成成（二二）公司数数据集集CD：与某某家公公司相相关的的若干干客体体利益冲冲突(COI)类：若若干相相互竞竞争的的公司司的数数据集集银行COI类银行a银行b银行c石油公司COI类公司w公司u公司v公司x55ChineseWall模型规则CW-简单安全特性性：S能读取O，当且仅当以以下任一条件件满足：（1）存在一个O’，它是S曾经访问过的的客体，并且且CD（O’）=CD（O）（2）对于所有的的客体O’，O’∈PR（S），则COI（O’）≠COI（O）（3）O是无害客体CW-*-特性：S能写O，当且仅当以以下两个条件件同时满足：：（1）CW-简单安全特性性允许S读O（2）在其它COI类上不存在该该主体可以读读取的客体56ChineseWall模型实例57自主访问控制制与强制访问问控制的比较较自主访问控制制细粒度灵活性高配置效率低强制访问控制制控制粒度大灵活性不高安全性强58基于角色的访访问控制由NIST的Ferraiolo等人在90年代提出NIST成立专门机构构进行研究1996年提出一个较较完善的基于于角色的访问问控制参考模模型RBAC9659RBAC模型的基本思思想RBAC的基本思想是是根据用户所所担任的角色色来决定用户户在系统中的的访问权限。。一个用户必须须扮演某种角角色，而且还还必须激活这这一角色，才才能对一个对对象进行访问问或执行某种种操作。安全管理员用户角色/权限指定访问或操作激活60RBAC96的组成RBAC0:含有RBAC核心部分RBAC1:包含RBAC0，另含角色继继承关系(RH)RBAC2:包含RBAC0，另含限制(Constraints)RBAC3:包含所有层次次内容，是一一个完整模型型61RBAC模型的组成（（一）用户（User）：访问计算算机资源的主主体，用户集集合为U角色（role）：一种岗位位，代表一种种资格、权利利和责任，角角色集合为R权限（permission）：对客体的的操作权力，，权限集合为为P用户分配（UserAssignment）将用户与角色色关联。用户u与角色r关联后，将拥拥有r的权限62RBAC模型的组成（（二）权限分配（PermissionAssignment）将角色与权限限关联权限p与角色r关联后，角色色r将拥有权限p激活角色（ActiveRole）角色只有激活活才能起作用用，否则不起起作用通过会话激活活角色会话（Session）用户要访问系系统资源时，，必须先建立立一个会话一次会话仅对对应一个用户户，一次会话话可激活几个个角色63RBAC模型的基本机机制64RBAC模型实例65RBAC模型的特点便于授权管理理（角色的变变动远远低于于个体的变动动）便于处理工作作分级，如文文件等资源分分级管理利用安全约束束，容易实现现各种安全策策略，如最小小特权、职责责分离等便于任务分担担，不同角色色完成不同的的任务66知识域：访问问控制技术知识子域：集集中访问控制制理解集中访问问控制的基本本概念理解实现集中中访问控制的的常用协议：：Kerberos协议、AAA协议了解三个常见的的AAA协议：RADIUS、TACACS+和Diameter，以及每个协协议的优缺点点知识子域：非非集中访问控控制理解非集中访访问控制的基基本概念理解域等非集集中访问控制制的实现方式式67单点登录技术术单点登录（SSO，SingleSign-on）用户只需在登登录时进行一一次注册，就就可以访问多多个系统，不不必重复输入入用户名和密密码来确定身身份实质是安全上上下文（SecurityContext）或凭证（Credential）在多个应用用系统之间的的传递或共享享单点登录的优优点方便用户方便管理员简化应用系统统开发68Kerberos认证协议美国麻省理工工学院（MIT）为Athena项目开发的一一种身份鉴别别协议“Kerberos”的本意是希腊腊神话中守护护地狱之门的的守护者Kerberos提供了一个网网络环境下的的身份认证框框架结构实现采用对称称密钥加密技技术公开发布的Kerberos版本包括版本本4和版本5安全性、可靠靠性、可伸缩缩性、透明性性69Kerberos认证协议使用用条件有一个时钟基基本同步的环环境客户机与KDC（KeyDistributionCenter），KDC与服务器在协协议工作前已已经有了各自自的共享密钥钥组成密钥分发中心心（KDC）：由两个独独立的逻辑部部分组成认证服务器AS（AuthenticationServer）票据授权服务务器TGS（TicketGrantingServer）票据许可票据据TGT70获得票据许可可票据71第一步：获得得票据许可票票据用户登录客户户机请求主机机服务认证服务器（（AS）在数据库中中验证用户的的访问权限，，生成票据许许可票据和会会话密钥，它它们用由用户户口令导出的的密钥进行加加密AS客户机请求票据许可可票据(TGT)票据+会话密钥TGT+（kc,tgs）获得服务许可可票据72第二步：获得得服务许可票票据客户机提示用用户输入口令令来对收到的的报文进行解解密，然后将将票据许可票票据以及包含含用户名称、、网络地址和和时间的鉴别别符发往票据据授权服务器器TGS票据授权服务务器TGS对票据和鉴别别符进行解密密，验证请求求，然后生成成服务许可票票据TGS客户机请求服务许可可票据(SGT)票据+会话密钥SGT+（kc,s）获得服务73第三步：获得得服务客户机将票据据和鉴别符发发给服务器服务器验证票票据和鉴别符符是否匹配，，然后许可访访问服务。如如果需要双向向鉴别，服务务器返回一个个鉴别符服务器客户机请求服务提供服务器鉴鉴别符Kerberos认证协议的特特点优点单点登录，只只要用户拿到到了TGT并且该TGT没有过期，就就可以使用该该TGT通过TGS完成到任一个个服务器的认认证而不必重重新输入密码码与授权机制相相结合支持双向的身身份认证通过交换“跨跨域密钥”实实现分布式网网络环境下的的认证缺点AS和TGS是集中式管理理，容易形成成瓶颈，系统统的性能和安安全也严重依依赖于AS和TGS的性能和安全全时钟同步问题题身份认证采用用的是对称加加密机制，随随用户数量增增加，密钥管管理较复杂74集中访问控制制的基本概念念及实现RADIUS协议TACACS协议TACACS+协议Diameter协议75RADIUS协议远程用户拨号号认证系统（（RemoteAuthenticationDialInUserService）最初由Livingston公司提出，为为拨号用户进进行认证和计计费，经多次次改进，形成成了一项通用用的认证计费费协议RADIUS是一种C/S结构的协议，，它的客户端端最初就是NAS（NetAccessServer）服务器，现现在任何运行行RADIUS客户端软件的的计算机都可可以成为RADIUS的客户端基本设计组件件有认证、授授权和记账(AAA)76RADIUS协议的基本消消息交互流程程应用服务器远程访问服务务器（RAS）/RADIUS客户端RADIUS服务器1234RADIUS协议的特点简单明确，可可扩充使用UDP端口1812，1813；不足：口令传输一般般为明文；可可使用MD5进行加密；缺少丢包重传传机制RADIUSServerPSTN/ISDNCorporateNetwork78RADIUSClientTACACS+协议终端访问控制制器访问控制制系统（TerminalAccessControllerAccess-ControlSystem）TACACS+是TACACS的最新版本基于TCP协议。79TACACS+认证过程客户机发送一一个START包给服务器。。START包的内容包括括被执行的认认证类型（（明文口令、、PPPPAP或PPPCHAP等），还可可能包括用户户名等其他认认证数据。。START包只在一个认认证会话开始始时使用一次次，序列号永永远是1。服务器收到START包以后，回送送一个REPLY包，指示认证证继续还是结结束。如果认认证继续，REPLY包还需要指出出需要哪些新新信息。如果客户机收收到认证结束束的REPLY包，则认证结结束；如果收收到认证继续续的REPLY包，则向服务务器发送CONTINUE包，其中包包括服务器要要求的信息，，如此反复，，直到认证结结束。80TACACS+协议的特点基于TCP协议，具有较较高的传输可可靠性支持数据报文文加密，保证证通信安全不足：有限的厂商支支持实时性较差TACACS+ServerTACACS+ClientAlicePSTN/ISDNCorporateNetworkDiameter协议Diameter协议作为下一一代的AAA协议标准，是是RADIUS协议的升级版版本它包括基本协协议、NAS（网络接入服服务）协议、、EAP（可扩展鉴别别协议）、MIP（移动IP协议）、CMS（密码消息语语法）协议等等82Diameter协议的基本内内容Diameter基础协议为移动IP（MobileIP）、网络接入入服务（NAS）等应用提供供最基本的服服务，如用户户会话、计费费等，具有能能力协商、差差错通知等功功能Diameter的NAS协议处理用户MN的接入请求Diameter的EAP协议供了一个支持持各种鉴别方方法的标准机机制Diameter的CMS协议实现了协议数数据的端到端端加密Diameter的MIP协议允许用户漫游游到外部域，，并在经过鉴鉴权后接受外外部域服务器器和代理提供供的服务。83DIAMETER协议的特点使用故障检测测、错误处理理等机制实现现传输可靠性性支持多种安全全机制，与RADIUS和TACACS相比具有较高高安全性支持漫游，适适应当前网络络发展非集中访问控控制域：一个信任任范围，或者者是共享共同同安全策略的的主体和客体体的集合每个域的访问问控制与其它它域保持独立立跨域访问必须须建立信任关关系，用户可可以从一个域域访问另一个个域中的资源源信任可以是单单向的，也可可以是双向的的85Kerberos协议跨域域认证86谢谢，请请提问题题！9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Tuesday,December20,202210、雨中中黄叶叶树，，灯下下白头头人。。。17:29:2517:29:2517:2912/20/20225:29:25PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2217:29:2517:29Dec-2220-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。17:29:2617:29:2617:29Tuesday,December20,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2217:29:2617:29:26December20,202214、他乡生白发发，旧国见青青山。。20十二月月20225:29:26下午17:29:2612月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月225:29下下午12月-2217:29December20,202216、行动出成成果，工作作出财富。。。2022/12/2017:29:2617:29:2620December202217、做前，能够够环视四周；；做时，你只只能或者最好