4.6、物聯網系統的訪問控制訪問控制的目的是為了限制訪問主體（用戶、進程、服務等）對訪問客體（文件、系統等）的訪問權限，從而使計算機系統在合法范圍內使用；決定用戶能做什么，也決定代表一定用戶利益的程序能做什么！允許使用哪些資源，在什么地方適合阻止未授權訪問的過程。防止對信息系統資源的非授權訪問和非授權使用。訪問控制包含三個方面的含義（）合法性完整性時效性機密性ABCD提交多選題10分一、訪問控制的基本概念訪問控制是針對越權使用資源的防御措施。

基本任務是防止非法用戶（即未授權用戶）進入系統和合法用戶（即授權用戶）對系統資源的非法使用。形式化地說——

訪問控制是一個函數f(s,o,p)1、訪問控制的功能（1）認證認證就是證實?戶的?份。認證必須和標識符共同起作?。認證過程?先需要?戶輸?賬戶名、?戶標志或者注冊標志以表明?份。賬戶名應該是秘密的，任何其他?戶不得擁有。但為了防?賬戶名或?戶標志泄露?出現?法?戶訪問，還需要進?步?認證技術證實?戶的合法?份。?令是?種簡單易?的認證?段，但是因為容易被猜測??較脆弱，所以易被?法?戶利?。?物技術是?種嚴格且有前途的認證?法，如指紋識別、視?膜識別、虹膜識別等，但因技術復雜，?前還沒有被?泛采?（2）授權

系統正確認證?戶后，根據不同的?戶標志分配給其不同的使?資源，這項任務稱為授權。授權的實現是靠訪問控制完成的。訪問控制是?項特殊的任務，它將標志符ID作為關鍵字來控制?戶訪問的程序和數據。訪問控制主要?在關鍵節點、主機和服務器，?般節點使?較少。但如果要在?般節點上增加訪問控制功能，則系統應該安裝相應的授權軟件。在實際應?中，通常需要從?戶類型、應?資源以及訪問規則3個??來明確?戶的訪問權限。

①?戶類型。對于?個已經被系統識別和認證了的?戶，系統還要對他的訪問操作實施?定的限制。對于?個通?計算機系統來講，?戶范圍?，層次與權限也不同。

?戶類型?般有系統管理員、?般?戶、審計?戶和?法?戶。系統管理員權限最?，可以對系統中的任何資源進?訪問，并具有所有類型的訪問操作權利。?般?戶的訪問操作要受到?定的限制，系統管理員會根據需要給這類?戶分配不同的訪問操作權利。審計?戶負責對整個系統的安全控制與資源使?情況進?審計。?法?戶則是被取消訪問權利或者被拒絕訪問系統的?戶。

②應?資源。

應?資源是指系統中的每個?戶可共同分享的系統資源。系統內需要保護的是系統資源，因此需要對保護的資源定義?個訪問控制包（AccessControlPacket，ACP），訪問控制包會給每?個資源或資源組勾畫出?個訪問控制列表（AccessControlList，ACL），列表中會描述哪個?戶可以使?哪個資源以及如何使?。

③訪問規則。

訪問規則定義了若?條件，在這些條件下可準許訪問?個資源。?般來講，規則可使?戶與資源配對，然后指定該?戶可以在該資源上執?哪些操作，如只讀、不允許執?或不允許訪問等。這些規則是由負責實施安全政策的系統管理?員根據最?特權原則來確定的，即在授予?戶訪問某種資源的權限時，只給予該資源的最?權限。例如，?戶需要讀權限時，不應該授予讀寫權限。（3）?件保護?件保護是指對?件提供的附加保護，其可使?授權?戶不可讀取?件。?般采?對?件加密的附加保護。（4）審計審計是記錄?戶系統所進?的所有活動的過程，即記錄?戶違反安全規定使?系統的時間、?期以及?戶活動。因為可能收集的數據量?常?，所以，良好的審計系統應具有進?數據篩選并報告審計記錄的?具，此外，還應容許?具對審計記錄做進?步的分析和處理。2、訪問控制的關鍵要素主體（subject）發出訪問操作、存取請求的主動方，通?？梢允怯脩艋蛴脩舻哪硞€進程等客體（object）被訪問的對象，通?？梢允潜徽{用的程序、進程，要存取的數據、信息，要訪問的文件、系統或各種網絡設備、設施等資源安全訪問策略一套規則，用以確定一個主體是否對客體擁有訪問權限。3、訪問控制策略的實施（1）基本原則訪問控制策略：說明允許使用公司設備進行何種類型訪問的策略。訪問控制策略規定網絡不同部分允許的數據流向，還會指定哪些類型的傳輸是允許的，其他傳輸都將被阻塞。訪問控制策略有助于保證正確選擇防火墻產品。訪問控制策略的基本原則（）最小泄露最小權限多級安全ABC提交多選題10分（2）實現方式基于身份的安全策略：安全策略的基礎是用戶或用戶群的身份或屬性，或者是代表用戶進行活動的實體以及被訪問的資源或客體的身份和屬性。基于身份的訪問控制策略包括基于個人的策略和基于組的策略?；谝巹t的安全策略：安全策略的基礎是強加于全體用戶的總體規則。這些規則往往依賴于把被訪問資源的敏感性與用戶、用戶群或代表用戶活動的實體的相應屬性進行比較。二、訪問控制的分類A.自主訪問控制（DAC）B.強制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）自主訪問控制強制訪問控制基于角色訪問控制訪問控制1、自主訪問控制（DAC）最早出現在七十年代初期的分時系統中，它是多用戶環境下最常用的一種訪問控制手段。用戶可以按自己的意愿對系統參數做適當修改的，可以決定哪個用戶可以訪問系統資源。DAC有時又被稱為為基于主人的訪問控制優點根據主體的身份及允許訪問的權限進行決策自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體。靈活性高，被大量采用，Windows、UNIX系統采用。缺點過于靈活、限制較弱、可能存在安全隱患如用戶A把目標X的訪問權賦予了用戶B，用戶B可能會把X訪問權轉賦予用戶C，而A可能并不愿意讓C訪問X用戶A把目標X的訪問權賦予了用戶B，而根據系統基本安全規則，B并不能訪問X。例：工資單文件訪問控制例：某操作系統的訪問控制矩陣的一部分內容基于行的訪問控制矩陣：基于列的訪問控制矩陣：File1RWOFile2

ROFile3

LOUser2PrinterWOUser1

ROUser2

ROUser3RWOFile22、強制訪問控制（MAC）與DAC的本質區別在于：MAC有整個系統統一而強制定義訪問控制方法，而DAC是系統中的用戶和資源自行定義訪問控制方法?；谝巹t的訪問控制，主體和客體分別定義安全等級標記，在自主訪問控制的基礎上還必須受到安全標記的約束。安全標記是限制在目標上的一組安全屬性信息項。在訪問控制中，一個安全標記隸屬于一個用戶、一個目標、一個訪問請求。系統強制主體服從訪問控制策略。主要用于多層次安全級別的軍事應用中。將主體和客體分級定義用戶的可信任級別及信息的敏感程度，如，絕密級，機密級，秘密級，無密級。根據主體和客體的級別關系決定訪問模式強制訪問控制不允許進程生成共享文件，從而訪止信息從一個進程傳到另一進程。訪問控制關系分為上讀/下寫（完整性）級別低的用戶寫，級別高的用戶讀，比如下屬向上級呈送內參下讀/上寫（保密性）級別高的用戶寫，級別低的用戶讀，比如中央下發文件通過梯度安全標簽實現單向信息流通模式。鄭州工程技術學院行政機構如下圖：假設計算機系統中的數據的密級為：一般＜秘密＜機密＜絕密定義校長的安全級C校長＝（絕密，{人事處,教務處,財務處,設備處}），（即校長的密級為絕密，部門屬性為所有的部門）教務處長的安全級C教=(機密,{教務處})財務處長的安全級C財=(機密,{財務處})財務一科長的安全級C一財=(秘密,{財務處})財務處工作人員的安全級C工=(一般,{財務處})假設財務一科長產生了一份工作文件A，文件A的安全級定義為與一科長的安全級相同，即CA=(秘密,{財務處})，那么，對于文件A，只有校長和財務處長能看到，而教務處長不能看，盡管教務處長的密級是機密級，可以看秘密級的文件，但教務處長的部門屬性僅是{教務處},他無權看財務處的信息。BLP模型的不足應用領域較窄，使用不靈活，一般只用于軍方等具有明顯等級觀念的領域完整性方面控制的不夠好，強調信息向高安全級的方向流動，對高安全級信息的完整性保護不夠.關于BLP安全模型說法正確的是（）采用嚴格的形式化描述控制信息只能由低向高流動上級對下級發文受到限制缺乏靈活、安全的授權機制ABCD提交多選題10分3、基于角色的訪問控制20世紀90年代出現，可以有效地克服傳統訪問控制技術中存在的不足之處，減少授權管理的復雜性，降低管理開銷。起源于UNIX系統等操作系統中組的概念基于角色的訪問控制是一個復合的規則，可以被認為是DAC和MAC的變體。一個身份被分配給一個被授權的組?；舅悸罚汗芾韱T創建角色，給角色分配權限，給角色分配用戶，角色所屬的用戶可以執行相應的權限所謂角色，就是一個或一組用戶在組織內可執行的操作的集合角色由系統管理員定義，角色成員的增減只能由系統管理員執行，而且授權規定是強加給用戶的，用戶只能被動接受，用戶也不能自主的將訪問權限傳給他人，這是一種非自主型訪問控制每個角色與一組用戶和有關的動作相互關聯，角色中所屬的用戶可以有權執行這些操作角色與組的區別組：一組用戶的集合角色：一組用戶的集合+一組操作權限的集合客體1客體2客體3用戶1用戶2用戶3角色1角色2權限a權限b權限c權限d三條安全原則:最小權限：用戶所擁有的權利不能超過他執行工作時所需的權限責任分離：多個互斥的角色合作完成重要工作數據抽象：可以定義抽象的權限，而不僅僅是操作系統中的讀、寫、執行等優勢：便于授權管理、便于角色劃分、便于賦予最小權限原則、便于職責分離便于客體分類4、基于任務的訪問控制（Task-BasedAccessControl）1997年，P.K.Thomas

等人提出，他們認為傳統的面向主體和客體的訪問控制過于抽象和底層，不便于描述應用領域的安全需求；從面向任務的觀點出發提出了基于任務的授權控制模型，但這種模型的最大不足在于比任何其他模型都要復雜。5、基于組機制的訪問控制1988年，R.S.Sandhu等人該模型的基礎是偏序的維數理論，組的層次關系由維數為2的偏序關系（即Ntree樹）表示，通過比較組節點在Ntree中的屬性決定資源共享和權限隔離。該模型的創新在于提出了簡單的組層次表示方法和自頂向下的組逐步細化模型。4.7、基于VPN的可信接入VPN－－VirtualPrivateNetwork，虛擬專用網依靠ISP（因特網服務提供商）和其他NSP（網絡服務提供商），在公共的網絡中建立的僅在邏輯上存在的專線網。

一、概念與功能：1、VPN的概念2、VPN的功能數據機密性內部工作子網管理子網一般子網內部WWW重點子網下屬機構Internet密文傳輸明文傳輸密文傳輸數據完整性內部工作子網管理子網一般子網內部WWW重點子網下屬機構DDN/FRX.25專線原始數據包對原始數據包進行Hash加密后的數據包摘要Hash摘要對原始數據包進行加密加密后的數據包加密加密后的數據包摘要加密后的數據包摘要摘要解密原始數據包Hash原始數據包與原摘要進行比較，驗證數據的完整性數據源身份認證內部工作子網管理子網一般子網內部WWW重點子網下屬機構DDN/FRX.25專線原始數據包對原始數據包進行HashHash摘要加密摘要摘要取出DSS原始數據包Hash原始數據包兩摘要相比較私鑰原始數據包DSSDSS將數字簽名附在原始包后面供對方驗證簽名得到數字簽名原始數據包DSS原始數據包DSSDSS解密相等嗎？驗證通過保留負載長度認證數據（完整性校驗值ICV）變長序列號安全參數索引（SPI）下一頭部填充（0~255字節）下一頭部填充長度認證數據（變長的）負載數據（變長的）序列號安全參數索引（SPI）AH協議頭ESP協議頭SA建立之初，序列號初始化為0，使用該SA傳遞的第一個數據包序列號為1，序列號不允許重復，因此每個SA所能傳遞的最大IP報文數為232—1，當序列號達到最大時，就需要建立一個新的SA，使用新的密鑰。防重演攻擊

二、VPN安全技術1.隧道技術（新）2.加解密技術

3.密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。一般分為對稱加密與非對稱加密（專用密鑰與公用密鑰）。4.身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。1、點到點隧道協議

隧道技術是VPN的基本技術，類似于點對點連接技術。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。第二層隧道協議有L2F、PPTP、L2TP等。第三層隧道協議有VTP、IPSec等。

2、第二層隧道協議公司內部網撥號連接因特網L2TP通道用于該層的協議主要有：

L2TP：Lay2TunnelingProtocolPPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：僅對通道的終端實體進行身份認證，而不認證通道中流過的每一個數據報文，無法抵抗插入攻擊、地址