希賽小編為考生整理了2022年信息安全工程師考試知識點（三十三）：訪問控制，希望對大家備考信息安全工程師考試會有幫助。

訪問控制

【考法分析】

本知識點主要是對訪問控制相關內容的考查。

【要點分析】

1．基于角色的訪問控制設計，其基本思想是，對系統(tǒng)操作的各種權限不是直接授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限，以簡化用戶的權限管理，減少系統(tǒng)的開銷。

2．Kerberos協(xié)議：在一個開放的分布式網絡環(huán)境中，用戶通過工作站訪問服務器上提供的服務。服務器應該能夠限制非授權用戶的訪問并能認證對服務的請求。工作站不能夠被網絡服務所信任其能夠正確地認定用戶，即工作站存在三種威脅：一個工作站上一個用戶可能冒充另一個用戶操作；一個用戶可能改變一個工作站的網絡地址，從而冒充另一臺工作站工作；一個用戶可能竊聽他人的信息交換，并回放攻擊獲得對一個服務器的訪問權或中斷服務器的運行。上述問題可以歸結為一個非授權用戶能夠獲得其無權訪問的服務或數(shù)據(jù)。Kerberos是標準網絡身份認證協(xié)議，旨在給計算機網絡提供“身份認證”。它是基于信任第三方，如同一個經紀人集中地進行用戶認證和發(fā)放電子身份標識。

3．Kerberos系統(tǒng)應該滿足的要求：① 安全；② 可靠；③ 透明；④ 可伸縮。

4．Kerberos設計思路及問題：使用一個（或一組）獨立的認證服務器（Authentication Server，AS），來為網絡中的用戶（C）提供身份認證服務；認證服務器（AS），用戶口令由AS保存在數(shù)據(jù)庫中；AS與每個服務器（V）共享一個保密密鑰（Kv）（已被安全分發(fā)）。上述的協(xié)議問題就是：口令明文傳送會被竊聽。票據(jù)的有效性（多次使用）。訪問多個服務器則需多次申請票據(jù)（即口令多次使用）。解決上述問題，Kerberos協(xié)議使用票據(jù)重用和引入票據(jù)許可服務器（Tickert Granting Server，TGS）。

5．口令猜測技術包括：① brute force（暴力攻擊）；② 字符頻率分析；③ 彩虹表；④Dictioingary Attack（字典攻擊）；⑤ 基于概率的口令猜測；⑥ JTR：John the Ripper是目前最為流行的口令破解工具之一，是開源軟件，可以在其網站上免費下載；⑦HASHCAT：HashCat是世界上最快的基于CPU的口令破解工具。

6．用戶身份認證是信息系統(tǒng)的第一道安全防線，用戶名—口令機制則是身份認證中最常用的方法。但是口令機制具有易懂、易用和易于實現(xiàn)的特點，這使得口令機制在今后一段時間依然是用戶身份認證的一個重要方法。

【備考點撥】

了解并理解相關知識點內容。