【正文】 RBAC的基本原理 ? RBAC的核心思想就是把 訪問權(quán)限 和 角色 相聯(lián)系 ? 通過給用戶分配合適的角色，讓用戶和訪問權(quán)限相關(guān)聯(lián)。 常用 通行字 字典 驗證者采用 的變換函數(shù) 驗證者 存儲的 經(jīng)過變換 的口令表 計算結(jié)果 尋找匹配 字典攻擊（撞庫） ? 字典攻擊 （ dictionary attack） 是將大批可能的通行字經(jīng)目標(biāo)系統(tǒng)采用的單向函數(shù)變換后與竊取的目標(biāo)系統(tǒng)中的加密通行字表比較，以尋找匹配者。 對數(shù)字簽名的要求 ? 簽名必須依賴于要簽名報文的比特模式 ? 簽名必須使用對發(fā)送者來說是唯一的信息 ? 以防止偽造和抵賴 ? 偽造一個數(shù)字簽名在計算上是不可行的 ? 包括“根據(jù)已有的數(shù)字簽名來構(gòu)造新報文”，以及“對給定的報文構(gòu)造一個虛假的數(shù)字簽名”。 ? 一般建議最小的報文散列的長度為 128 bit， 實際中常采用 160bit。 ? 接收端 采用 相同的算法和密鑰，對收到的報文進(jìn)行同樣的計算，產(chǎn)生新的 MAC, 如果新的 MAC 和收到的 MAC相同，則收端可以確信： ? 1）報文沒有被更改 過（包括 外界的干擾和人為 篡改）； ? 2）報文來自意定的發(fā)送者。 實現(xiàn)身份證明的途徑 ? 實現(xiàn)身份證明的途徑 ? 所知 ：密鑰、口令等； ? 所有 ： 身份證、護(hù)照、信用卡、鑰匙等； ? 個人特征 ：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、 DNA等（生物識別） ； ? 你做的事情 ：如手寫 簽名和步態(tài)識別等。 訪問控制的基本概念 ? 訪問控制是 實現(xiàn)既定安全策略的系統(tǒng)安全技術(shù)，目標(biāo)是防止對任何資源進(jìn)行非授權(quán)訪問 ? 所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄漏、修改、銷毀和頒發(fā)指令等。 ? （ 2）已知 Bob 的私鑰 d 為 7，寫出 Bob 對 Alice在上一步中發(fā)來的密文進(jìn)行解密的過程。 ? 訪問控制（ Access Control） 是國際標(biāo)準(zhǔn)化組織定義的 5 項標(biāo)準(zhǔn)安全服務(wù)之一，是實現(xiàn)信息系統(tǒng)安全的重要機(jī)制。 DSS的處理流程 簽名者 驗證 者 四、身份證明 ? 概述 ? 通行字 (口令 )身份證明 ? 一次性 口令 概述 ? 身份證明是指在兩方或多方參與的信息交互中，參與者中的 一方對其余 各方（ 自稱 的或未說明 的）身份 的判斷與確認(rèn) 。 ? 報文的內(nèi)部結(jié)構(gòu) ? 為了增強鑒別能力，最好能使原始的報文 (明文 )具有某種結(jié)構(gòu)，這樣在接收端可以通過驗證這種結(jié)構(gòu)，來確定報文是否被篡改。 ? SHA1 算法 ? SHA（ 安全散列算法） 由 NIST在 1993年公布（ FIPS PUB 180）， 并在 1995年進(jìn)行了修訂，稱為 SHA1（ FIPS PUB 1801）； ? 算法 產(chǎn)生 160比特的散列碼； ? SHA1是目前首選的散列 算法。 ()( , )()tru e y sig xv e r x yfa lse y sig x???? ??　　 若 　　若 RSA簽名方案 ? 密鑰產(chǎn)生 設(shè) n = p * q， p 和 q 是素數(shù)， P=A=Zn，定義 K={(n, p, q, a, b) : a*b≡1 (mod φ(n)) }， 其中 n 和 b 公開 (公鑰 )， p、 q 、 a 保密 (私鑰 )。 一次性口令 ? 一次性口令（ Onetime Password， OTP）方案可以抵御重放攻擊，其實現(xiàn)形式包括： ? 1）共享的一次性口令表： 驗證者和示證者共享一張秘密口令表，每個口令只用一次。 ? 用戶可以在角色間進(jìn)行轉(zhuǎn)換，系統(tǒng)可以添加、刪除角色，也可以對角色的權(quán)限進(jìn)行添加和刪除等操作。 ? 在這種情況下，基于角色的訪問控制（ RBAC）逐漸獲得重視并得到廣泛應(yīng)用。 基于散列函數(shù)的口令方案 ? 在該方案中，驗證者 V 存儲口令的散列值而不是原始口令 ? 例如 ：如采用 MD5，則口令 ?123456?在 驗證者處存儲 為MD5(?123456?)， 即 E10ADC3949BA59ABBE56E057F20F883E ? 用下述協(xié)議完成鑒別： ? 1）示證者 P 將他的口令傳送給驗證者 V； ? 2）驗證者 V 完成口