【正文】 站的網(wǎng)絡(luò)地址設(shè)為被攻擊的工作站的網(wǎng)絡(luò)地址。這樣，對(duì)手就能重用截獲的票據(jù)向TGS證明。有了時(shí)間戳和生存期，就能說(shuō)明票據(jù)的有效時(shí)間長(zhǎng)度。 (3) 客戶代表用戶請(qǐng)求一張服務(wù)許可票據(jù)。(4) TGS對(duì)收到的票據(jù)進(jìn)行解密，通過(guò)檢查T(mén)GS的1D是否存在來(lái)驗(yàn)證解密是否成功。然后檢查生存期，確保票據(jù)沒(méi)有過(guò)期。然后比較用戶的ID和網(wǎng)絡(luò)地址與收到鑒別用戶的信息是否一致。如果允許用戶訪問(wèn)V，TGS就返回一張?jiān)L問(wèn)請(qǐng)求服務(wù)的許可票據(jù)。(5) 客戶代表用戶請(qǐng)求獲得某項(xiàng)服務(wù)?？蛻粝蚍?wù)器傳送一個(gè)包含用戶ID和服務(wù)許可票據(jù)的報(bào)文，服務(wù)器通過(guò)票據(jù)的內(nèi)容進(jìn)行鑒別。15. 闡述Kerberos提供的在不同轄區(qū)間進(jìn)行鑒別的機(jī)制。一個(gè)完整的Kerberos環(huán)境包括一個(gè)Kerberos服務(wù)器，一組工作站和一組應(yīng)用服務(wù)器，滿足下列要求：(1) Kerberos服務(wù)器必須在其數(shù)據(jù)庫(kù)中擁有所有參與用戶的ID(UID)和口令散列表，所有用戶均在Kerberos服務(wù)器上注冊(cè)。(2) Kerberos服務(wù)器必須與每一個(gè)服務(wù)器之間共享一個(gè)保密密鑰，所有服務(wù)器均在Kerberos服務(wù)器上注冊(cè)。 這樣的環(huán)境被視為一個(gè)轄區(qū)(Realm)。 Kerberos提供了一種支持不同轄區(qū)間鑒別的機(jī)制：每一個(gè)轄區(qū)的Kerberos服務(wù)器與其他轄區(qū)內(nèi)的Kerberos服務(wù)器之間共享一個(gè)保密密鑰，兩個(gè)Kerberos服務(wù)器互相注冊(cè)。 這個(gè)方法存在的—個(gè)問(wèn)題是對(duì)于大量轄區(qū)之間的認(rèn)證，可擴(kuò)縮性不好。如果有N個(gè)轄區(qū)，那么需要N(N一1)／2個(gè)安全密鑰交換，以便使每個(gè)Kerberos能夠與其他所有的Kerberos轄區(qū)進(jìn)行互操作。 Sign on技術(shù)產(chǎn)生的背景和優(yōu)點(diǎn)。背景? 隨著用戶需要登錄系統(tǒng)的增多，出錯(cuò)的可能性就會(huì)增加，受到非法截獲和破壞的可能性也會(huì)增大，安全性就相應(yīng)降低。? 如果用戶忘記口令，就需要管理員的幫助，并等待進(jìn)入系統(tǒng)，造成了系統(tǒng)和安全管理資源的開(kāi)銷，降低了生產(chǎn)效率。? 如果用戶因此簡(jiǎn)化密碼，或多個(gè)系統(tǒng)中使用相同口令，都會(huì)危害公司信息的保密性。需求：網(wǎng)絡(luò)用戶可以基于最初訪問(wèn)網(wǎng)絡(luò)時(shí)的一次身份驗(yàn)證，對(duì)所有被授權(quán)的網(wǎng)絡(luò)資源進(jìn)行無(wú)縫的訪問(wèn)。從而提高網(wǎng)絡(luò)用戶的工作效率，降低網(wǎng)絡(luò)操作的費(fèi)用，并且是在不降低網(wǎng)絡(luò)的安全性和操作的簡(jiǎn)便性的基礎(chǔ)上實(shí)現(xiàn)的。把認(rèn)證功能和帳號(hào)管理功能集成起來(lái)為不同域的登錄提供一致的界面有如下好處：? 減少了用戶在不同子域中登錄操作的時(shí)間；? 用戶可以不必記住一大堆認(rèn)證的信息；? 減少了管理員增加和刪除用戶帳號(hào)的操作時(shí)間以及降低修改用戶的權(quán)限的復(fù)雜度；? 管理員容易禁止或刪除用戶對(duì)所有域的訪問(wèn)權(quán)限而不破壞一致性。17. 比較Single Sign on技術(shù)和傳統(tǒng)系統(tǒng)中的跨域操作的不同，以及SSO技術(shù)的實(shí)現(xiàn)原理。用戶在傳統(tǒng)系統(tǒng)中的跨域操作：分布式系統(tǒng)是由獨(dú)立的子域組成的，這些子域往往由不同的OS和不同的應(yīng)用程序組成的。在每個(gè)子域里的操作可以保證較高的安全性。終端用戶想要登錄到一個(gè)子域中去，他必須對(duì)每一個(gè)子域單獨(dú)出示能證明自己有效身份的證書(shū)。（比如先登錄主域，再登錄其他子域）在SSO中，系統(tǒng)首先需要收集到所有有關(guān)用戶證書(shū)的信息，以便支持用戶在未來(lái)的某個(gè)時(shí)候可以在任何一個(gè)潛在的子域中的認(rèn)證。終端用戶在登錄主域時(shí)所提供的信息有可能在以下這幾個(gè)方面被用來(lái)作為用戶在子域登錄和操作的依據(jù)：? 在主域中提供的信息被直接用于登錄子域；? 在主域中提供的信息被用來(lái)獲取另一套認(rèn)證信息，這套信息存儲(chǔ)在數(shù)據(jù)庫(kù)中，用來(lái)登錄子域；? 在登錄主域同時(shí)，立即與子域聯(lián)系，建立對(duì)話，這意味著與子域中應(yīng)用程序的聯(lián)系在主域操作的同時(shí)就已經(jīng)建立?！峁┖?jiǎn)潔統(tǒng)一的界面 NT安全子系統(tǒng)的各個(gè)組成部分。Windows NT的安全子系統(tǒng)主要由本地安全授權(quán)LSA、安全帳戶管理SAM和安全參考監(jiān)視器SRM等組成。（1）本地安全授權(quán)部分提供了許多服務(wù)程序，保障用戶獲得存取系統(tǒng)的許可權(quán)。它產(chǎn)生令牌、執(zhí)行本地安全管理、提供交互式登錄認(rèn)證服務(wù)、控制安全審查策略和由SRM產(chǎn)生的審查記錄信息。（2）安全帳戶管理部分保存安全帳戶數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)包含所有組和用戶的信息。SAM提供用戶登錄認(rèn)證，負(fù)責(zé)對(duì)用戶在Wele對(duì)話框中輸入的信息與SAM數(shù)據(jù)庫(kù)中的信息對(duì)比，并為用戶輸入一個(gè)安全標(biāo)識(shí)符（SID）。（3）安全參考監(jiān)視器負(fù)責(zé)訪問(wèn)控制和審查策略，由LSA支持。SRM提供客體（文件、目錄等）的存取權(quán)限，檢查主體（用戶帳戶等）的權(quán)限，產(chǎn)生必要的審查信息?？腕w的安全屬性由安全控制項(xiàng)ACE來(lái)描述，全部客體的ACE組成訪問(wèn)控制表ACL，沒(méi)有ACL的客體意味著任何主體都可訪問(wèn)。而有ACL的客體則由SRM檢查其中的每一項(xiàng)ACE，從而決定主體的訪問(wèn)是否允許。（4）Windows NT有一個(gè)安全登錄序列，用以防止不可信應(yīng)用竊取用戶名和口令序列，并有用戶帳號(hào)和口令等管理能力。（5）為了登錄Windows NT（包括通過(guò)網(wǎng)絡(luò)登錄），每一用戶必須首先進(jìn)行域以及用戶名識(shí)別。每一域以及用戶名唯一地標(biāo)識(shí)了一個(gè)用戶，在系統(tǒng)內(nèi)部，使用SID表示。每個(gè)SID是唯一的，不能被重用，也不能重新賦給其他任何用戶。（6）口令存儲(chǔ)在SAM數(shù)據(jù)庫(kù)中并由DAC機(jī)制保護(hù)，以防止非法訪問(wèn)。（7）當(dāng)?shù)卿洉r(shí)LSA保護(hù)服務(wù)器使用SAM數(shù)據(jù)庫(kù)中有關(guān)的信息，與口令進(jìn)行對(duì)照鑒別，確認(rèn)只有被授權(quán)的用戶可訪問(wèn)被保護(hù)的系統(tǒng)資源。8 授權(quán)與訪問(wèn)控制一、選擇題1. 訪問(wèn)控制是指確定（A）以及實(shí)施訪問(wèn)權(quán)限的過(guò)程。 A. 用戶權(quán)限 B. 可給予哪些主體訪問(wèn)權(quán)利 C. 可被用戶訪問(wèn)的資源 D. 系統(tǒng)是否遭受入侵2. 下列對(duì)訪問(wèn)控制影響不大的是（D）。 A. 主體身份 B. 客體身份 C. 訪問(wèn)類型 D. 主體與客體的類型3. 為了簡(jiǎn)化管理，通常對(duì)訪問(wèn)者（A），以避免訪問(wèn)控制表過(guò)于龐大。 A. 分類組織成組 B. 嚴(yán)格限制數(shù)量 C. 按訪問(wèn)時(shí)間排序，刪除長(zhǎng)期沒(méi)有訪問(wèn)的用戶 D. 不作任何限制二、填空題1． 訪問(wèn)控制 的目的是為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限。三、問(wèn)答題1. 解釋訪問(wèn)控制的基本概念。訪問(wèn)控制是建立在身份認(rèn)證基礎(chǔ)上的，通過(guò)限制對(duì)關(guān)鍵資源的訪問(wèn)，防止非法用戶的侵入或因?yàn)楹戏ㄓ脩舻牟簧鞑僮鞫斐傻钠茐摹? 訪問(wèn)控制的目的：限制主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限（安全訪問(wèn)策略），從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。2. 訪問(wèn)控制有幾種常用的實(shí)現(xiàn)方法？它們各有什么特點(diǎn)？1 訪問(wèn)控制矩陣 行表示客體（各種資源），列表示主體（通常為用戶），行和列的交叉點(diǎn)表示某個(gè)主體對(duì)某個(gè)客體的訪問(wèn)權(quán)限。通常一個(gè)文件的Own權(quán)限表示可以授予（Authorize）或撤消（Revoke）其他用戶對(duì)該文件的訪問(wèn)控制權(quán)限。2 訪問(wèn)能力表 實(shí)際的系統(tǒng)中雖然可能有很多的主體與客體，但兩者之間的權(quán)限關(guān)系可能并不多。為了減輕系統(tǒng)的開(kāi)銷與浪費(fèi)，我們可以從主體（行）出發(fā)，表達(dá)矩陣某一行的信息，這就是訪問(wèn)能力表（Capabilities）。 只有當(dāng)一個(gè)主體對(duì)某個(gè)客體擁有訪問(wèn)的能力時(shí)，它才能訪問(wèn)這個(gè)客體。但是要從訪問(wèn)能力表獲得對(duì)某一特定客體有特定權(quán)限的所有主體就比較困難。在一個(gè)安全系統(tǒng)中，正是客體本身需要得到可靠的保護(hù)，訪問(wèn)控制服務(wù)也應(yīng)該能夠控制可訪問(wèn)某一客體的主體集合，于是出現(xiàn)了以客體為出發(fā)點(diǎn)的實(shí)現(xiàn)方式——ACL。3 訪問(wèn)控制表 也可以從客體（列）出發(fā)，表達(dá)矩陣某一列的信息，這就是訪問(wèn)控制表（Access Control List）。它可以對(duì)某一特定資源指定任意一個(gè)用戶的訪問(wèn)權(quán)限，還可以將有相同權(quán)限的用戶分組，并授予組的訪問(wèn)權(quán)。4 授權(quán)關(guān)系表 授權(quán)關(guān)系表（Authorization Relations）的每一行表示了主體和客體的一個(gè)授權(quán)關(guān)系。對(duì)表按客體進(jìn)行排序，可以得到訪問(wèn)控制表的優(yōu)勢(shì)；對(duì)表按主體進(jìn)行排序，可以得到訪問(wèn)能力表的優(yōu)勢(shì)。適合采用關(guān)系數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)。3. 訪問(wèn)控制表ACL有什么優(yōu)缺點(diǎn)？ ACL的優(yōu)點(diǎn)：表述直觀、易于理解，比較容易查出對(duì)某一特定資源擁有訪問(wèn)權(quán)限的所有用戶，有效地實(shí)施授權(quán)管理。ACL應(yīng)用到規(guī)模大的企業(yè)內(nèi)部網(wǎng)時(shí)，有問(wèn)題：（1）網(wǎng)絡(luò)資源很多，ACL需要設(shè)定大量的表項(xiàng)，而且修改起來(lái)比較困難，實(shí)現(xiàn)整個(gè)組織范圍內(nèi)一致的控制政策也比較困難。（2）單純使用ACL，不易實(shí)現(xiàn)最小權(quán)限原則及復(fù)雜的安全政策。4. 有哪幾種訪問(wèn)控制策略？三種不同的訪問(wèn)控制策略：自主訪問(wèn)控制（DAC）、強(qiáng)制訪問(wèn)控制（MAC）和基于角色的訪問(wèn)控制（RBAC），前兩種屬于傳統(tǒng)的訪問(wèn)控制策略，而RBAC是90年代后期出現(xiàn)的，有很大的優(yōu)勢(shì)，所以發(fā)展很快。 每種策略并非是絕對(duì)互斥的，我們可以把幾種策略綜合起來(lái)應(yīng)用從而獲得更好、更安全的系統(tǒng)保護(hù)——多重的訪問(wèn)控制策略。5. 什么是自主訪問(wèn)控制DAC策略？它的安全性如何？在目前計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)最多，一個(gè)擁有一定訪問(wèn)權(quán)限的主體可以直接或間接地將權(quán)限傳給其他主體，即允許某個(gè)主體顯式地指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問(wèn)以及可執(zhí)行的訪問(wèn)類型。如Windows、UNIX系統(tǒng)。 主體訪問(wèn)者對(duì)訪問(wèn)的控制有一定的權(quán)利，但它使得信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變，這樣做很容易產(chǎn)生安全漏洞，所以DAC的安全級(jí)別很低。傳統(tǒng)的DAC已很難滿足訪問(wèn)控制服務(wù)的質(zhì)量：不利于實(shí)現(xiàn)統(tǒng)一的全局訪問(wèn)控制；由管理部門(mén)統(tǒng)一實(shí)施訪問(wèn)控制，不允許用戶自主地處理。6. 什么是強(qiáng)制訪問(wèn)控制MAC策略？它的適用場(chǎng)合是什么？系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制政策。MAC主要用于多層次安全級(jí)別的軍事應(yīng)用當(dāng)中，它預(yù)先定義主體的可信任級(jí)別和客體的敏感程度，用戶的訪問(wèn)必須遵守安全政策劃分的安全級(jí)別的設(shè)定以及有關(guān)訪問(wèn)權(quán)限的設(shè)定。7. MAC的訪問(wèn)控制關(guān)系可以分為哪兩種？各有什么含義？在典型應(yīng)用中，MAC的訪問(wèn)控制關(guān)系可以分為兩種：利用下讀/上寫(xiě)來(lái)保證數(shù)據(jù)的機(jī)密性以及利用上讀/下寫(xiě)來(lái)保證數(shù)據(jù)完整性。它們都是通過(guò)梯度安全標(biāo)簽實(shí)現(xiàn)信息的單向流通。 所謂下讀，指低信任級(jí)別的用戶只能讀比它信任級(jí)別更低的敏感信息；所謂上寫(xiě)，指只允許將敏感信息寫(xiě)入更高敏感度區(qū)域。此時(shí)信息流只能從低級(jí)別流向高級(jí)別，可以保證數(shù)據(jù)的機(jī)密性。（BellLapadula模型）8. 為什么MAC能阻止特洛伊木馬？MAC能夠阻止特洛伊木馬。一個(gè)特洛伊木馬是在一個(gè)執(zhí)行某些合法功能的程序中隱藏的代碼，它利用運(yùn)行此程序的主體的權(quán)限違反安全策略，通過(guò)偽裝成有用的程序在進(jìn)程中泄露信息。 阻止特洛伊木馬的策略是基于非循環(huán)信息流，由于MAC策略是通過(guò)梯度安全標(biāo)簽實(shí)現(xiàn)信息的單向流通，從而它可以很好地阻止特洛伊木馬的泄密。9. 簡(jiǎn)述什么是基于角色的訪問(wèn)控制RBAC？在很多商業(yè)部門(mén)中，訪問(wèn)控制是由各個(gè)用戶在部門(mén)中所擔(dān)任的角色來(lái)確定的，而不是基于信息的擁有者。 所謂角色，就是一個(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。RBAC的根本特征即依據(jù)RBAC策略，系統(tǒng)定義了各種角色，不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色。 RBAC通過(guò)角色溝通主體與客體，真正決定訪問(wèn)權(quán)限的是用戶對(duì)應(yīng)的角色標(biāo)識(shí)。由于用戶與客體無(wú)直接聯(lián)系，所以他不能自主將權(quán)限授予別的用戶。 RBAC的系統(tǒng)中主要關(guān)心的是保護(hù)信息的完整性，即“誰(shuí)可以對(duì)是么信息執(zhí)行何種動(dòng)作？”，角色控制比較靈活，根據(jù)配置可以使某些角色接近DAC，而某些角色更接近與MAC。 角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來(lái)執(zhí)行，而且授權(quán)是強(qiáng)加給用戶的，用戶不能自主地將權(quán)限傳給他人。10. RBAC有哪五大優(yōu)點(diǎn)？（1）便于授權(quán)管理 在傳統(tǒng)的訪問(wèn)控制中，用戶或其職能發(fā)生變化時(shí)，需要進(jìn)行大量的授權(quán)更改工作。而在RBAC中，對(duì)用戶的訪問(wèn)授權(quán)轉(zhuǎn)變?yōu)閷?duì)角色的授權(quán)，主要的管理工作即為授權(quán)或取消用戶的角色。用戶的職責(zé)變化時(shí)，改變授權(quán)給他們的角色，也就改變了用戶的權(quán)限。當(dāng)組織的功能演進(jìn)時(shí)，只需修改角色的功能或定義新角色，而不必更新每一個(gè)用戶的權(quán)限設(shè)置。另一優(yōu)勢(shì)在于管理員在一種比較抽象且與企業(yè)通常的業(yè)務(wù)管理相類似的層次上訪問(wèn)控制。對(duì)于分布式的RBAC來(lái)說(shuō)，管理職能可以在中心或地方的保護(hù)域間進(jìn)行分配。（2）便于角色劃分 RBAC采用了角色繼承的概念，它將角色組織起來(lái)，能夠很自然地反映組織內(nèi)部人員之間的職權(quán)、責(zé)任關(guān)系。（3）便于賦予最小權(quán)限原則 根據(jù)組織內(nèi)的規(guī)章制度、職員的分工等設(shè)計(jì)擁有不同權(quán)限的角色，只有角色需要執(zhí)行的操作才授權(quán)給角色，否則對(duì)操作的訪問(wèn)被拒絕。（4）便于職責(zé)分離 對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作，這時(shí)需要進(jìn)行職責(zé)分離。有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。（5）便于客體分類 可以根據(jù)用戶執(zhí)行的不同操作集來(lái)劃分不同的角色，對(duì)主體分類，同樣的，客體也可以實(shí)施分類。這樣角色的訪問(wèn)控制就建立在抽象的客體分類的基礎(chǔ)上，而不是具體的某一客體。這樣也使得授權(quán)管理更加方便，容易控制。11. Windows NT的網(wǎng)絡(luò)安全性依賴于給用戶或組授予的哪3種能力？1 權(quán)力 在系統(tǒng)上完成特定動(dòng)作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上。適用于整個(gè)系統(tǒng)范圍內(nèi)的對(duì)象和任務(wù)的操作。當(dāng)用戶登錄到一個(gè)具有某種權(quán)力的帳號(hào)時(shí)，該用戶就可以執(zhí)行與該權(quán)力相關(guān)的任務(wù)。 共享 用戶可以通過(guò)網(wǎng)絡(luò)使用的文件夾，只適用于文件夾（目錄），如果文件夾不是共享的，那么網(wǎng)絡(luò)上就不會(huì)有用戶看到它，也不能訪問(wèn)。3 權(quán)限 權(quán)限適用于對(duì)特定對(duì)象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對(duì)象以及如何使用。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)限級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是