2022年信息安全工程師考試知識點：訪問控制

為大家整理了2022年信息安全工程師考試知識點：訪問控制，希望對大家備考信息安全工程師考試會有幫助。

訪問控制

【考法分析】

本知識點主要是對訪問控制相關內容的考查。

【要點分析】

1．基於角色的訪問控制設計，其基本思想是，對系統操作的各種權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合。

每一種角色對應一組相應的權限，以簡化用戶的權限管理，减少系統的開銷。

2．Kerberos協議：在一個開放的分布式網絡環境中，用戶通過工作站訪問服務器上提供的服務。服務器應該能够限制非授權用戶的訪問並能認證對服務的請求。

工作站不能够被網絡服務所信任其能够正確地認定用戶，即工作站存在三種威脅：一個工作站上一個用戶可能冒充另一個用戶操作；

一個用戶可能改變一個工作站的網絡地址，從而冒充另一臺工作站工作；

一個用戶可能竊聽他人的信息交換，並回放攻擊獲得對一個服務器的訪問權或中斷服務器的運行。

上述問題可以歸結為一個非授權用戶能够獲得其無權訪問的服務或數據。

Kerberos是標准網絡身份認證協議，旨在給計算機網絡提供“身份認證”。它是基於信任第三方，如同一個經紀人集中地進行用戶認證和發放電子身份標識。

3．Kerberos系統應該滿足的要求：① 安全；② 可靠；③ 透明；④ 可伸縮。

4．Kerberos設計思路及問題：使用一個（或一組）獨立的認證服務器（Authentication Server，AS），來為網絡中的用戶（C）提供身份認證服務；

認證服務器（AS），用戶口令由AS保存在數據庫中；

AS與每個服務器（V）共享一個保密密鑰（Kv）（已被安全分發）。

上述的協議問題就是：口令明文傳送會被竊聽。

票據的有效性（多次使用）。

訪問多個服務器則需多次申請票據（即口令多次使用）。

解决上述問題，Kerberos協議使用票據重用和引入票據許可服務器（Tickert Granting Server，TGS）。

5．口令猜測技術包括：① brute force（暴力攻擊）；

② 字符頻率分析；

③ 彩虹錶；

④Dictioingary Attack（字典攻擊）；

⑤ 基於概率的口令猜測；

⑥ JTR：John the Ripper是目前最為流行的口令破解工具之一，是開源軟件，可以在其網站上免費下載；

⑦HASHCAT：HashCat是世界上最快的基於CPU的口令破解工具。

6．用戶身份認證是信息系統的第一道安全防線，用戶名—口令機制則是身份認證中最常用的方法。但是口令機制具有易懂、易用和易於實現的特點，這使得口令機制在今後一段時間依然是用戶身份認證的一個重要方法。

【備考點撥】

了解並理解相關知識點內容。