第4章-物联网接入安全第6次课

4.6、物联网系统的访问控制访问控制的目的是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么！允许使用哪些资源，在什么地方适合阻止未授权访问的过程。防止对信息系统资源的非授权访问和非授权使用。访问控制包含三个方面的含义（）合法性完整性时效性机密性ABCD提交多选题10分一、访问控制的基本概念访问控制是针对越权使用资源的防御措施。

基本任务是防止非法用户（即未授权用户）进入系统和合法用户（即授权用户）对系统资源的非法使用。形式化地说——

访问控制是一个函数f(s,o,p)1、访问控制的功能（1）认证认证就是证实⽤户的⾝份。认证必须和标识符共同起作⽤。认证过程⾸先需要⽤户输⼊账户名、⽤户标志或者注册标志以表明⾝份。账户名应该是秘密的，任何其他⽤户不得拥有。但为了防⽌账户名或⽤户标志泄露⽽出现⾮法⽤户访问，还需要进⼀步⽤认证技术证实⽤户的合法⾝份。⼝令是⼀种简单易⾏的认证⼿段，但是因为容易被猜测⽽⽐较脆弱，所以易被⾮法⽤户利⽤。⽣物技术是⼀种严格且有前途的认证⽅法，如指纹识别、视⽹膜识别、虹膜识别等，但因技术复杂，⽬前还没有被⼴泛采⽤（2）授权

系统正确认证⽤户后，根据不同的⽤户标志分配给其不同的使⽤资源，这项任务称为授权。授权的实现是靠访问控制完成的。访问控制是⼀项特殊的任务，它将标志符ID作为关键字来控制⽤户访问的程序和数据。访问控制主要⽤在关键节点、主机和服务器，⼀般节点使⽤较少。但如果要在⼀般节点上增加访问控制功能，则系统应该安装相应的授权软件。在实际应⽤中，通常需要从⽤户类型、应⽤资源以及访问规则3个⽅⾯来明确⽤户的访问权限。

①⽤户类型。对于⼀个已经被系统识别和认证了的⽤户，系统还要对他的访问操作实施⼀定的限制。对于⼀个通⽤计算机系统来讲，⽤户范围⼴，层次与权限也不同。

⽤户类型⼀般有系统管理员、⼀般⽤户、审计⽤户和⾮法⽤户。系统管理员权限最⾼，可以对系统中的任何资源进⾏访问，并具有所有类型的访问操作权利。⼀般⽤户的访问操作要受到⼀定的限制，系统管理员会根据需要给这类⽤户分配不同的访问操作权利。审计⽤户负责对整个系统的安全控制与资源使⽤情况进⾏审计。⾮法⽤户则是被取消访问权利或者被拒绝访问系统的⽤户。

②应⽤资源。

应⽤资源是指系统中的每个⽤户可共同分享的系统资源。系统内需要保护的是系统资源，因此需要对保护的资源定义⼀个访问控制包（AccessControlPacket，ACP），访问控制包会给每⼀个资源或资源组勾画出⼀个访问控制列表（AccessControlList，ACL），列表中会描述哪个⽤户可以使⽤哪个资源以及如何使⽤。

③访问规则。

访问规则定义了若⼲条件，在这些条件下可准许访问⼀个资源。⼀般来讲，规则可使⽤户与资源配对，然后指定该⽤户可以在该资源上执⾏哪些操作，如只读、不允许执⾏或不允许访问等。这些规则是由负责实施安全政策的系统管理⼈员根据最⼩特权原则来确定的，即在授予⽤户访问某种资源的权限时，只给予该资源的最⼩权限。例如，⽤户需要读权限时，不应该授予读写权限。（3）⽂件保护⽂件保护是指对⽂件提供的附加保护，其可使⾮授权⽤户不可读取⽂件。⼀般采⽤对⽂件加密的附加保护。（4）审计审计是记录⽤户系统所进⾏的所有活动的过程，即记录⽤户违反安全规定使⽤系统的时间、⽇期以及⽤户活动。因为可能收集的数据量⾮常⼤，所以，良好的审计系统应具有进⾏数据筛选并报告审计记录的⼯具，此外，还应容许⼯具对审计记录做进⼀步的分析和处理。2、访问控制的关键要素主体（subject）发出访问操作、存取请求的主动方，通常可以是用户或用户的某个进程等客体（object）被访问的对象，通常可以是被调用的程序、进程，要存取的数据、信息，要访问的文件、系统或各种网络设备、设施等资源安全访问策略一套规则，用以确定一个主体是否对客体拥有访问权限。3、访问控制策略的实施（1）基本原则访问控制策略：说明允许使用公司设备进行何种类型访问的策略。访问控制策略规定网络不同部分允许的数据流向，还会指定哪些类型的传输是允许的，其他传输都将被阻塞。访问控制策略有助于保证正确选择防火墙产品。访问控制策略的基本原则（）最小泄露最小权限多级安全ABC提交多选题10分（2）实现方式基于身份的安全策略：安全策略的基础是用户或用户群的身份或属性，或者是代表用户进行活动的实体以及被访问的资源或客体的身份和属性。基于身份的访问控制策略包括基于个人的策略和基于组的策略。基于规则的安全策略：安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群或代表用户活动的实体的相应属性进行比较。二、访问控制的分类A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）自主访问控制强制访问控制基于角色访问控制访问控制1、自主访问控制（DAC）最早出现在七十年代初期的分时系统中，它是多用户环境下最常用的一种访问控制手段。用户可以按自己的意愿对系统参数做适当修改的，可以决定哪个用户可以访问系统资源。DAC有时又被称为为基于主人的访问控制优点根据主体的身份及允许访问的权限进行决策自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。灵活性高，被大量采用，Windows、UNIX系统采用。缺点过于灵活、限制较弱、可能存在安全隐患如用户A把目标X的访问权赋予了用户B，用户B可能会把X访问权转赋予用户C，而A可能并不愿意让C访问X用户A把目标X的访问权赋予了用户B，而根据系统基本安全规则，B并不能访问X。例：工资单文件访问控制例：某操作系统的访问控制矩阵的一部分内容基于行的访问控制矩阵：基于列的访问控制矩阵：File1RWOFile2

ROFile3

LOUser2PrinterWOUser1

ROUser2

ROUser3RWOFile22、强制访问控制（MAC）与DAC的本质区别在于：MAC有整个系统统一而强制定义访问控制方法，而DAC是系统中的用户和资源自行定义访问控制方法。基于规则的访问控制，主体和客体分别定义安全等级标记，在自主访问控制的基础上还必须受到安全标记的约束。安全标记是限制在目标上的一组安全属性信息项。在访问控制中，一个安全标记隶属于一个用户、一个目标、一个访问请求。系统强制主体服从访问控制策略。主要用于多层次安全级别的军事应用中。将主体和客体分级定义用户的可信任级别及信息的敏感程度，如，绝密级，机密级，秘密级，无密级。根据主体和客体的级别关系决定访问模式强制访问控制不允许进程生成共享文件，从而访止信息从一个进程传到另一进程。访问控制关系分为上读/下写（完整性）级别低的用户写，级别高的用户读，比如下属向上级呈送内参下读/上写（保密性）级别高的用户写，级别低的用户读，比如中央下发文件通过梯度安全标签实现单向信息流通模式。郑州工程技术学院行政机构如下图：假设计算机系统中的数据的密级为：一般＜秘密＜机密＜绝密定义校长的安全级C校长＝（绝密，{人事处,教务处,财务处,设备处}），（即校长的密级为绝密，部门属性为所有的部门）教务处长的安全级C教=(机密,{教务处})财务处长的安全级C财=(机密,{财务处})财务一科长的安全级C一财=(秘密,{财务处})财务处工作人员的安全级C工=(一般,{财务处})假设财务一科长产生了一份工作文件A，文件A的安全级定义为与一科长的安全级相同，即CA=(秘密,{财务处})，那么，对于文件A，只有校长和财务处长能看到，而教务处长不能看，尽管教务处长的密级是机密级，可以看秘密级的文件，但教务处长的部门属性仅是{教务处},他无权看财务处的信息。BLP模型的不足应用领域较窄，使用不灵活，一般只用于军方等具有明显等级观念的领域完整性方面控制的不够好，强调信息向高安全级的方向流动，对高安全级信息的完整性保护不够.关于BLP安全模型说法正确的是（）采用严格的形式化描述控制信息只能由低向高流动上级对下级发文受到限制缺乏灵活、安全的授权机制ABCD提交多选题10分3、基于角色的访问控制20世纪90年代出现，可以有效地克服传统访问控制技术中存在的不足之处，减少授权管理的复杂性，降低管理开销。起源于UNIX系统等操作系统中组的概念基于角色的访问控制是一个复合的规则，可以被认为是DAC和MAC的变体。一个身份被分配给一个被授权的组。基本思路：管理员创建角色，给角色分配权限，给角色分配用户，角色所属的用户可以执行相应的权限所谓角色，就是一个或一组用户在组织内可执行的操作的集合角色由系统管理员定义，角色成员的增减只能由系统管理员执行，而且授权规定是强加给用户的，用户只能被动接受，用户也不能自主的将访问权限传给他人，这是一种非自主型访问控制每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操作角色与组的区别组：一组用户的集合角色：一组用户的集合+一组操作权限的集合客体1客体2客体3用户1用户2用户3角色1角色2权限a权限b权限c权限d三条安全原则:最小权限：用户所拥有的权利不能超过他执行工作时所需的权限责任分离：多个互斥的角色合作完成重要工作数据抽象：可以定义抽象的权限，而不仅仅是操作系统中的读、写、执行等优势：便于授权管理、便于角色划分、便于赋予最小权限原则、便于职责分离便于客体分类4、基于任务的访问控制（Task-BasedAccessControl）1997年，P.K.Thomas

等人提出，他们认为传统的面向主体和客体的访问控制过于抽象和底层，不便于描述应用领域的安全需求；从面向任务的观点出发提出了基于任务的授权控制模型，但这种模型的最大不足在于比任何其他模型都要复杂。5、基于组机制的访问控制1988年，R.S.Sandhu等人该模型的基础是偏序的维数理论，组的层次关系由维数为2的偏序关系（即Ntree树）表示，通过比较组节点在Ntree中的属性决定资源共享和权限隔离。该模型的创新在于提出了简单的组层次表示方法和自顶向下的组逐步细化模型。4.7、基于VPN的可信接入VPN－－VirtualPrivateNetwork，虚拟专用网依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公共的网络中建立的仅在逻辑上存在的专线网。

一、概念与功能：1、VPN的概念2、VPN的功能数据机密性内部工作子网管理子网一般子网内部WWW重点子网下属机构Internet密文传输明文传输密文传输数据完整性内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行Hash加密后的数据包摘要Hash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性数据源身份认证内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过保留负载长度认证数据（完整性校验值ICV）变长序列号安全参数索引（SPI）下一头部填充（0~255字节）下一头部填充长度认证数据（变长的）负载数据（变长的）序列号安全参数索引（SPI）AH协议头ESP协议头SA建立之初，序列号初始化为0，使用该SA传递的第一个数据包序列号为1，序列号不允许重复，因此每个SA所能传递的最大IP报文数为232—1，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。防重演攻击

二、VPN安全技术1.隧道技术（新）2.加解密技术

3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。一般分为对称加密与非对称加密（专用密钥与公用密钥）。4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。1、点到点隧道协议

隧道技术是VPN的基本技术，类似于点对点连接技术。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议有VTP、IPSec等。

2、第二层隧道协议公司内部网拨号连接因特网L2TP通道用于该层的协议主要有：

L2TP：Lay2TunnelingProtocolPPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址