本系列是陈春华教授所讲授的信息系统安全课程的个人笔记

大纲

身份认证与访问控制

• 基于凭证对比的身份认证
  • 口令
• 访问控制
  • 访问控制策略
  • 基于所有权的访问控制

身份认证与访问控制

身份认证：对主体(用户)合法性的认证
访问控制：对主体的访问行为进行授权

基于凭证对比的身份认证

用户提交能代表身份的凭证与系统中存储的凭证进行对比
身份凭证的种类

• 密码：口令，个人识别码PIN，秘钥等
• 信物：信用卡，IC卡，USB KEY
• 生物特征：指纹，虹膜
  认证方式：单因素，双因素(多种凭证，如口令+信用卡)

口令

静态口令：账户公开，口令保密，简单易用，安全性低
动态口令：一次性口令，如令牌，短信密码，硬件令牌
动态口令生成技术：

• 时间同步口令：基于令牌与服务器时间，一般60S产生一个新口令
• 事件同步：某一特定事件出现次序和相同种子值的哈希算法
• 异步口令：挑战应答，服务器给客户发送挑战(随机数R)，客户将R+pwd(服务器和客户共享的长期密码)作哈希返回给服务器，服务器作同样计算进行验证

访问控制

对于认证通过的合法用户，也要对其访问行为进行控制

访问控制策略

主体的访问控制可用二元组表示，即控制对象和访问类型
二元组描述形式：

• 访问控制矩阵：Own所有权；R读；W写
  
• 访问控制列表(Access Contro List,ACL)：从资源(客体)出发描述控制信息
  

基于资源所有权的访问控制

自主访问控制：资源所有者可以对资源的访问进行控制，规定谁可以访问其资源，权限传递灵活，应用于操作系统中
强制访问控制：系统管理员确定用户的访问权限，用户不能改变自身或任何客体的安全属性，安全性高，应用于军事系统中
基于角色的访问控制：将主题分配给其对应角色，获得角色的访问权限