希賽小編為考生整理了2022年信息安全工程師考試知識點（三十三）：訪問控制，希望對大家備考信息安全工程師考試會有幫助。

訪問控制

【考法分析】

本知識點主要是對訪問控制相關(guān)內(nèi)容的考查。

【要點分析】

1．基于角色的訪問控制設(shè)計，其基本思想是，對系統(tǒng)操作的各種權(quán)限不是直接授予具體的用戶，而是在用戶集合與權(quán)限集合之間建立一個角色集合。每一種角色對應(yīng)一組相應(yīng)的權(quán)限，以簡化用戶的權(quán)限管理，減少系統(tǒng)的開銷。

2．Kerberos協(xié)議：在一個開放的分布式網(wǎng)絡(luò)環(huán)境中，用戶通過工作站訪問服務(wù)器上提供的服務(wù)。服務(wù)器應(yīng)該能夠限制非授權(quán)用戶的訪問并能認證對服務(wù)的請求。工作站不能夠被網(wǎng)絡(luò)服務(wù)所信任其能夠正確地認定用戶，即工作站存在三種威脅：一個工作站上一個用戶可能冒充另一個用戶操作；一個用戶可能改變一個工作站的網(wǎng)絡(luò)地址，從而冒充另一臺工作站工作；一個用戶可能竊聽他人的信息交換，并回放攻擊獲得對一個服務(wù)器的訪問權(quán)或中斷服務(wù)器的運行。上述問題可以歸結(jié)為一個非授權(quán)用戶能夠獲得其無權(quán)訪問的服務(wù)或數(shù)據(jù)。Kerberos是標(biāo)準(zhǔn)網(wǎng)絡(luò)身份認證協(xié)議，旨在給計算機網(wǎng)絡(luò)提供“身份認證”。它是基于信任第三方，如同一個經(jīng)紀人集中地進行用戶認證和發(fā)放電子身份標(biāo)識。

3．Kerberos系統(tǒng)應(yīng)該滿足的要求：① 安全；② 可靠；③ 透明；④ 可伸縮。

4．Kerberos設(shè)計思路及問題：使用一個（或一組）獨立的認證服務(wù)器（Authentication Server，AS），來為網(wǎng)絡(luò)中的用戶（C）提供身份認證服務(wù)；認證服務(wù)器（AS），用戶口令由AS保存在數(shù)據(jù)庫中；AS與每個服務(wù)器（V）共享一個保密密鑰（Kv）（已被安全分發(fā)）。上述的協(xié)議問題就是：口令明文傳送會被竊聽。票據(jù)的有效性（多次使用）。訪問多個服務(wù)器則需多次申請票據(jù)（即口令多次使用）。解決上述問題，Kerberos協(xié)議使用票據(jù)重用和引入票據(jù)許可服務(wù)器（Tickert Granting Server，TGS）。

5．口令猜測技術(shù)包括：① brute force（暴力攻擊）；② 字符頻率分析；③ 彩虹表；④Dictioingary Attack（字典攻擊）；⑤ 基于概率的口令猜測；⑥ JTR：John the Ripper是目前最為流行的口令破解工具之一，是開源軟件，可以在其網(wǎng)站上免費下載；⑦HASHCAT：HashCat是世界上最快的基于CPU的口令破解工具。

6．用戶身份認證是信息系統(tǒng)的第一道安全防線，用戶名—口令機制則是身份認證中最常用的方法。但是口令機制具有易懂、易用和易于實現(xiàn)的特點，這使得口令機制在今后一段時間依然是用戶身份認證的一個重要方法。

【備考點撥】

了解并理解相關(guān)知識點內(nèi)容。