第 7 章 知識域：資訊安全支撐技術

CISP 考試教材《第 1 章 知識域：資訊安全保障》知識整理

CISP 考試教材《第 2 章 知識域：網路安全監管》知識整理

CISP 考試教材《第 3 章 知識域：資訊安全管理》知識整理

CISP 考試教材《第 4 章 知識域：業務連續性》知識整理

CISP 考試教材《第 5 章 知識域：安全工程與運營》知識整理

CISP 考試教材《第 6 章 知識域：資訊安全評估》知識整理

目錄

7.1 知識子域：密碼學

7.1.1 密碼學基本概念

1.密碼學的發展例是

2.基本保密通信模型

3.密碼系統的安全性

4.密碼演算法的分類

7.1.2 對稱密碼演算法

1.演算法特點

2.DES 和 3DES

3.AES

4.其他演算法

7.1.3 非對稱密碼演算法

1.演算法特點

2.RSA 演算法

3.SM2 演算法

4.其他公鑰演算法

7.1.4 其他密碼服務

1.哈希函式

2.訊息認證碼

3.數字簽名

7.1.5 公鑰基礎設施

1.PKI 架構

2.數字證書

3.CA

4.PKI 互操作模型

5.PKI 應用與發展

7.2 知識子域：身份鑒別

7.2.1 身份鑒別的概念

1.標識與鑒別

2.鑒別的型別

3.鑒別的方式

7.2.2 基于物體所知的鑒別

1.口令破擊攻擊及防御措施

2.口令嗅探攻擊及防御措施

3.重放攻擊及防御措施

7.2.3 基于物體所有的鑒別

7.2.4 基于物體特征的鑒別

1.指紋、掌紋

2.靜脈

3.面部識別

4.視網膜、虹膜、鞏膜

5.語音識別

6.物體特征鑒別的有效性判斷

7.2.5 Kerberos 體系

1.單點登錄

2.Kerberos 基本認證程序

7.2.6 認證、授權和計費

1.RADIUS

2.TACACS+

7.3 知識子域：訪問控制

7.3.1 訪問控制模型的基本概念

7.3.2 自主訪問控制模型

1.訪問控制矩陣

2.訪問控制功能

3.訪問許可和訪問模式

7.3.3 強制訪問控制模型

1.BLP 模型

2.Biba 模型

3.Clark-Wilson 模型

4.Chinese Wall 模型

7.3.4 基于角色的訪問控制模型

1.基于角色的訪問控制模型的構成

2.基于角色的訪問控制模型分析

7.3.5 特權管理基礎設施

1.PMI 主要功能

2.PMI 體系結構

3.屬性證書

4.應用結構

---

7.1 知識子域：密碼學

7.1.1 密碼學基本概念

密碼學（Cryptology）

1.密碼學的發展例是

第一階段：古典密碼階段

轉輪密碼機

ENIGMA

第二階段：近代密碼階段

1949 - 1975

香農發表了《保密系統的通信理論》

第三階段：現代密碼階段

1976年到現在

2.基本保密通信模型

密碼學包括密碼編碼學和密碼分析學

相關概念：

• 明文 Plain text

• 密文 Cipher text

• 加密 Encryption

• 解密 Decryption

• 加/解密演算法

• 密鑰 Key

3.密碼系統的安全性

影響密碼系統安全性的基本因素包括密碼演算法復雜度、密鑰機密性和密鑰長度等

柯克霍夫原則：密碼系統中的演算法即使背密碼分析員所知，也應該無助于用來推匯出明文或密鑰

系統的保密性不依賴于對加密體制或演算法的保密，而依賴于密鑰

評估密碼系統安全性主要有 3 種方法

（1）無條件安全

（2）計算安全性

（3）可證明安全性

密碼系統要達到實際安全，就要滿足以下準則

（1）破譯該密碼系統的實際計算量巨大，以至于在實際中是無法實作的

（2）破譯該密碼系統所需要的計算時間超過被加密資訊的生命周期

（3）破譯該密碼系統的費用超過被加密資訊本身的價值

4.密碼演算法的分類

（1）受限制的演算法與基于密鑰的演算法

如果演算法的保密性是基于保持加/解密演算法的秘密，這種演算法稱為受限制的演算法

如果演算法可以公開，演算法的安全性是基于密鑰的安全性，這種演算法稱為基于密鑰的演算法

（2）對稱密碼與非對稱密碼

根據加密密鑰和解密密鑰的關系，密碼體制分為對稱密碼演算法（Symmetric Cryptosystem）和非對稱密碼演算法（Asymmetric Cryptosystem）

對稱密碼演算法也稱為單鑰或秘密密鑰演算法，其加密密鑰和解密密鑰相同

非對稱密碼體制又稱為雙鑰或公鑰密碼體制，其加密密鑰和解密密鑰不同

非對稱密碼體值的密鑰由公開密鑰（public key）和私有密鑰（private key）組成

（3）分組密碼與流密碼

按對明文的處理方式，可將對稱密碼體制分為分組密碼（Block cipher）和流密碼（Stream cipher）

流密碼也稱序列密碼

7.1.2 對稱密碼演算法

對稱密碼演算法也稱為傳統密碼演算法、秘密密鑰演算法或單密鑰演算法，其加密密鑰能夠從解密密鑰中推算出來，反過來也成立

1.演算法特點

優點：

演算法簡單、計算量小、加密速度快、加密效率高，適合加密大量資料，明文長度與密文長度相等

缺點：

（1）需要通過秘密的安全信道協商加密密鑰，這種安全信道可能很難實作

（2）密鑰管理難

（3）無法解決對訊息的篡改、否認等問題

對稱密碼分為分組密碼演算法和流密碼演算法

典型的分組密碼包括 DES、IDEA、AES、RC5、Twofish、CAST-256、MARS 等

2.DES 和 3DES

資料加密標準（Data Encryption Standard，DES），是迄今為止世界上使用最為廣泛的一種密碼演算法，它對分析、掌握分組密碼的基本原理和設計原理有著重要的意義

（1）DES 選定程序

美國國家標準局采用了 IBM 公司提交的 Luciffer 演算法的改進版本

DES 設計中使用了分組密碼設計的兩個基本原則：混淆和擴散原則

（2）DES 演算法程序

（3）DES 與 3DES

兩個密鑰合起來有效密鑰長度有 112 位元

3.AES

高級加密標準（Advanced Encryption Standard，AES）

（1）AES 選定程序

AES 的基本要求是比三重 DES 快而且至少和三重 DES 一樣安全，分組長度為 128 位元，密鑰長度為 128/192/256 位元

（2）AES 演算法程序

4.其他演算法

（1）RC4 演算法

（2）BlowFish 演算法

（3）IDEA 演算法

國際資料加密演算法（International Data Encryption Algorithm，IDEA）

7.1.3 非對稱密碼演算法

非對稱密碼演算法也稱為公鑰密碼演算法

1.演算法特點

加密密鑰和解密密鑰不同，由加密密鑰推匯出回應的解密密鑰在計算上是不可行的

公鑰密碼體制既可用于加密，也可用于數字簽名

基于背包問題的 Merkle-Hellman 背包公鑰密碼體制

基于整數因子分解問題的 RSA 和 Rabin 公鑰密碼體制

基于有限域中離散對數問題的 ElGamal 公鑰密碼體制

基于橢圓曲線上離散對數問題的橢圓曲線公約密碼體值

缺點：計算復雜、耗用資源大、導致密文變長

公約密碼常見的誤解：

（1）公鑰密碼更安全

（2）公鑰密碼演算法使得對稱密碼演算法成為過時技術

（3）使用公鑰密碼實作密鑰分配非常容易

2.RSA 演算法

RSA 的安全性是基于整數因子分解問題的困難性

RSA 演算法是第一個能同時用于加密和數字簽名的演算法

（1）RSA 演算法描述

（2）RSA 演算法舉例

（3）RSA 的安全性

3.SM2 演算法

SM2 我國密碼管理局于 2010 年 12 月 17 日發布的國家密碼標準，是基于 ECC（橢圓曲線密碼演算法） 的公鑰密碼演算法

我國密碼管理部門決定采用 SM2 橢圓曲線演算法替換 RSA 演算法

（1）SM2 演算法原理

（2）SM2 演算法應用

SM2 演算法是公鑰演算法，可以完成簽名、密鑰交換以及加密應用

（3）其他 SM 演算法

• SM1：對稱演算法，職能 IC 卡、智能密碼鑰匙、加密卡等安全產品，廣泛用于電子政務、電子商務及國民經濟

• SM3：哈希演算法，產生 256 位的哈希值，適用于商用密碼應用中的數字簽名和驗證，訊息認證碼的生成與驗以及亂數的生成

• SM4：對稱演算法，用于無線局域網產品

• SM7：對稱演算法，適用于身份識別類應用（門禁卡、作業證、參賽證），票務類應用（大型賽事門票、展會門票），支付一卡通類應用（公交一卡通）

• SM9：非對稱演算法，實作數字簽名、密鑰交換協議以及密鑰封裝機制和公鑰加解密，與 SM2 不同的是可以實作基于身份的密碼體制，也就是公鑰與用戶的身份資訊即標識相關，省去了證書管理

4.其他公鑰演算法

（1）ElGamal 公鑰密碼演算法

基于求解離散對數困難問題

被美國國家標準技術研究所作為數字簽名標準（Digital Signature Standard，DSS）

（2）ECC 公鑰密碼演算法

橢圓曲線密碼演算法，其安全性基于橢圓曲線點群上離散對數問題的難解性

與 RSA 相比，安全性更高、計算量小、處理速度快、存盤空間占用小和帶寬要求低等優點

7.1.4 其他密碼服務

1.哈希函式

哈希（Hash）函式也稱為單向散列函式，其主要用途是訊息完整性檢測和數字簽名

哈希函式將任意有限長度位元串映射為固定長度的串

安全的哈希函式需要滿足以下性值

• 單向性

• 弱抗碰撞性

• 強抗碰撞性

常用的哈希函式有

• MD5 演算法

• SHA-1 演算法：安全 Hash 演算法（Secure Hash Algorithm，SHA）

2.訊息認證碼

訊息認證是證實一個收到的訊息來自可信的源點，且未被篡改、重放或延遲等的程序

訊息認證碼和數字簽名都是常用的訊息認證技術

（1）基本特點

訊息認證碼也稱訊息鑒別碼（Message Authentication Code，MAC）

（2）基本用法

用法一：MAC 直接附加在訊息之后，即 A -> B : M || Ck(M)，這種方法不提供對訊息的保密

用法二：MAC 直接附加在訊息之后，并對整體進行加密，即 A-> B : Ek2(M || Ck1(M))

用法三：先對訊息加密，再對密文生成鑒別碼，即 A -> B : Ek2(M) || Ck1(Ek2(M))

（3）實作算法

基于對稱分組密碼的訊息鑒別碼，稱為密碼分組鏈訊息鑒別碼（CBC-MAC）

基于哈希函式的 MAC，HMAC

3.數字簽名

通信雙方可能存在欺騙和抵賴，一種有效的解決方案是數字簽名

數字簽名是非對稱密鑰加密技術與數字摘要技術的應用

（1）基本特征

• 不可偽造性，接收者可確認訊息的來源

• 不可否認性，發送者無法否認自己發出了訊息

• 訊息完整性，利用哈希函式對訊息進行完整性鑒別，使得接收者能確保接收到的訊息未經篡改

（2）兩種分類

按照對訊息的處理方式，數字簽名可分為兩類：

一種是直接對訊息簽名，它是訊息經過密碼變化后被簽名的訊息整體；

另一種是對壓縮訊息的簽名，它是附加在被簽名訊息之后或某一特定位置上的一段簽名資訊

（3）應用示例

7.1.5 公鑰基礎設施

公鑰基礎設施（Public Key Infrastructure，PKI），也稱公開密鑰基礎設施

PKI 的本質是實作了大規模網路中的公鑰分發問題，為大規模網路中的信任建立基礎

1.PKI 架構

PKI 的組成一般包括證書權威機構（Certificate authority，CA）、證書注冊機構（Registration Authority，RA）、證書庫和終端物體等部分

CA：證書簽發權威，也稱數字證書管理中心

RA：證書注冊機構，又稱數字證書注冊中心

在邏輯上 RA 和 CA 是一個整體，主要負責提供證書注冊、審核以及發證功能

證書/CRL 庫：證書/CRL 庫主要用來發布、存盤數字證書和證書撤銷串列（Certificate Revocation List，CRL），供用戶查詢、獲取其他用戶的數字證書和系統中的證書撤銷串列所用

終端物體：指擁有公私密鑰對和相應公鑰證書的最終用戶，可以是人、設備、行程等

2.數字證書

（1）數字證書格式

國際標準 X.509 定義一個規范的數字證書格式

在 X.509 標準中，數字證書主要包括 3 部分內容：證書體、簽名演算法型別以及 CA 簽名資料

證書體包括以下內容

• 版本號 Version

• 序列號 Serial Number

• 簽名演算法標識 Signature

• 簽發者 Issuer

• 有效期 Validity

• 主題名 Subject

• 主體的公鑰 Subject Public Key Info

• 發行者唯一識別符 Issuer Unique Identifier

• 主體唯一識別符 Subject Unique Identifier

• 擴展與 Extensions

（2）數字證書生命周期

分為證書申請、證書生成、證書存盤、證書發布、證書廢止 5 個階段

（3）數字證書分類

按擁有者分：人員證書、設備證書、機構證書

按用途來分：簽名證書、加密證書

3.CA

專門負責數字證書的產生、發放和管理，以保證數字證書的真實可靠，這個機構就是證書權威機構 CA

CA 是 PKI 的核心組成部分，PKI 體系也稱為 PKI/CA 體系

（1）CA 主要功能

• 證書的簽發和管理

• 證書撤銷串列的簽發和管理

• 證書注冊機構的設立、審核及管理

（2）CA 邏輯結構

CA 內部各個系統在邏輯上可分為核心層、管理層和服務層三層

核心層由密鑰管理系統、證書簽發系統、證書存盤發布系統組成

管理層由證書管理系統和安全管理系統等組曾

服務層由本地注冊系統、遠程注冊系統和發布/查詢系統等組成

機構設定

• RCA-CA-SCA-RA

• RCA-CA-RA

4.PKI 互操作模型

信任相關的基本概念

• 信任 Trust

• 信任域 Trust Domain

• 信任錨 Trust Anchor

• 信任關系

• 信任路徑

PKI 互操作模型主要有以下幾種結構

（1）嚴格層次結構模型

又稱樹模型或層次模型

A 和 B 必須找到相同的祖先節點才可以互相認證

（2）網狀信任結構模型

也稱分布式信任模型

網狀信任結構把信任分散到兩個或更多個 CA 上

（3）橋信任結構模型

也稱中心輻射式信任模型

處于中心地位的 CA 稱為橋 CA

（4）混合信任結構模型

將嚴格層次結構模型和網狀信任結構模型結合起來，就是混合信任結構模型

5.PKI 應用與發展

PKI 的應用范圍非常廣泛，虛擬專用網、安全電子郵件、Web 安全、電子商務/電子政務應用等

基于 PKI 技術的 IPSec 協議現在已經稱為架構 VPN 的基礎

利用 PKI 技術，SSL 協議允許在瀏覽器和服務器之間進行加密通信

（1）屬性證書

特權管理基礎設施（Privilege Management Infrastructure，PMI）

（2）漫游證書

（3）無線 PKI（WPKI）

7.2 知識子域：身份鑒別

7.2.1 身份鑒別的概念

1.標識與鑒別

標識是物體身份的一種計算機表達

鑒別是將標識和物體聯系在一起的程序

鑒別是資訊系統的第一道安全防線，也為其他安全服務提供支撐

2.鑒別的型別

（1）單向鑒別

（2）雙向鑒別

（3）第三方鑒別

3.鑒別的方式

物體身份鑒別一般依據以下 3 種基本情況或這 3 種情況的組合：物體所知、物體所有和物體特征

多因素鑒別方法，使用多種鑒別機制檢查用戶身份的真實性

7.2.2 基于物體所知的鑒別

使用物體所知鑒別機制面臨的安全問題是資訊泄露和資訊偽造

1.口令破擊攻擊及防御措施

窮舉工具是針對口令進行破解的一種方式，它通過窮舉所有可能的口令的方法來進行攻擊

針對口令破解的防護措施：一是提高口令的強度，加大攻擊者破解的時間和難度；二是組織攻擊者反復嘗試的可能

（1）提高口令的強度目標是確保密碼具有足夠的復雜性

安全的口令通常包括以下兩個特征：易于記憶，而且攻擊者難以猜測

（2）組織攻擊者反復嘗試的可能

2.口令嗅探攻擊及防御措施

嗅探攻擊的防御措施就是使用密碼技術對傳輸資料進行保護

口令明文和散列建立對應關系，這樣的對照表通常稱為彩虹表

3.重放攻擊及防御措施

重放攻擊又稱重播攻擊、回訪攻擊

重放攻擊的防御措施

（1）在會話中引入時間戳

（2）使用一次性口令

（3）在會話中引入亂數

7.2.3 基于物體所有的鑒別

集成電路卡（Integrated Circuit Card，IC Card）是資訊化時代廣泛使用的“物體所有”鑒別物品

• 記憶體卡（Memory Card）

• 安全卡（Security Card）

• CPU 卡（CPU Card）

7.2.4 基于物體特征的鑒別

物體特征鑒別方式具有以下特點：

• 普遍性

• 唯一性

• 穩定性

• 可比性

物體特征鑒別系統通常由資訊采集和資訊識別兩個部分組成

1.指紋、掌紋

2.靜脈

3.面部識別

4.視網膜、虹膜、鞏膜

5.語音識別

6.物體特征鑒別的有效性判斷

基于物體特征鑒別的設備拒絕一個已獲授權的個人，稱為第一類錯誤，又稱為錯誤拒絕率（False Rejection Rate，FRR）

設備接受了一個本應該拒絕的冒名頂替者，稱為第二類錯誤，又稱為錯誤接受率（False Acceptance Rate，FAR）

可以通過交叉錯誤率（Crossover Error Rate，CER）比較設備的整體質量，低 CER 的設備比高 CER 的設備更準確

7.2.5 Kerberos 體系

1.單點登錄

單點登錄就是指用戶只需在網路中進行一次身份認證，便可以訪問其授權的所有網路資源，而不再需要其他的身份認證程序，實質是安全憑證在多個應用系統之間的傳遞或共享

它使用對稱密碼演算法實作通過可信第三方的認證服務

Kerberos 的運行環境由密鑰分配中心（Key Distribution Center，KDC）、應用服務器和客戶端 3 個部分組成

KDC 提供認證服務（Authentication Server，AS）和會話授權服務（Ticket Granting Service，TGS）

AS 對用戶的身份進行初始認證，若認證通過便給用戶發放票據授權票據（Ticket Granting Ticket，TGT）

用戶使用該票據課訪問 TGS，從而獲得訪問應用服務器時所需的服務票據（Service Ticket，ST）

應用服務器接受用戶的服務訪問請求，驗證用戶身份，并向合法用戶提供所請求的服務

客戶端在用戶登錄時發送各種請求資訊，并接收從 KDC 回傳的資訊

2.Kerberos 基本認證程序

（1）第一階段：獲得票據許可票據

（2）第二階段：獲得服務許可票據

（3）第三階段：獲得服務

隨著用戶量的增加，第三方集中認證的方式容易形成系統性能的瓶頸

7.2.6 認證、授權和計費

網路服務提供者多采用認證、授權和計費（Authentication、Authorization、Accounting，AAA）進行遠程集中訪問控制

AAA 一般采用客戶/服務器結構，客戶端運行于被管理一方，服務器統一管理用戶資訊

1.RADIUS

遠程用戶撥號認證服務（Remote Authentication Dial In User Service，RADIUS）

該協議運行于 UDP 之上，1812 為認證埠，1813 為計費埠

RADIUS 協議僅對傳輸程序中的密碼本身進行加密，而其他部分都以明文傳輸，對敏感資訊不能進行有效地保護，安全性不高

2.TACACS+

專屬協議

終端訪問控制器訪問控制系統（Terminal Access Controller Access-Control System，TACACS）

TACACS+ 協議由 Cisco 公司提出，主要應用于 Cisco 公司的產品中，運行于 TCP 協議之上

7.3 知識子域：訪問控制

訪問控制的任務是在為用戶對系統資源提供最大限度共享的基礎上，對用戶的訪問權進行管理，防止對資訊的非授權篡改和濫用，訪問控制對經過身份鑒別后的合法用戶提供所需要的且經過授權的服務，拒絕合法用戶越權的服務請求，拒絕非法用戶非授權訪問，保證用戶在系統安全策略下有序作業

7.3.1 訪問控制模型的基本概念

訪問控制模型通過對主體的識別來限制對客體的訪問權限

主體是使資訊在客體間流動的一種物體

客體是一種資訊物體，或者是從其他主體或客體接收資訊的物體

主體和客體的關系是相對的，角色可以互換

訪問權限是指主體對客體所執行的操作

常見的檔案訪問模式如下：

• 讀

• 寫

• 執行

• 拒絕訪問

對目錄的訪問模式可以分為讀和寫

• 讀

• 寫

訪問控制的實施一般包括兩個步驟：第一步，鑒別主體的合法身份；第二步，根據當前系統的訪問控制規則授予用戶的訪問權

7.3.2 自主訪問控制模型

自主訪問控制（Discretionary Access Control，DAC）

資源的所有者（創建者）可以規定誰有權訪問它們的資源

它是一種對單個用戶執行訪問控制的程序和措施

常用于多種商業系統中，但安全性相對較低

在 DAC 中主體權限較容易被改變，某些資源不能得到充分保護，不能低于特洛伊木馬的攻擊

1.訪問控制矩陣

DAC 可以用訪問控制矩陣來表示

矩陣中的行表示主體對所有客體的訪問權限，串列示客體允許主體進行的操作權限，矩陣元素規定了主體對客體被準予的訪問權

2.訪問控制功能

DAC 通常使用訪問控制表或能力表來實作訪問控制功能

訪問控制矩陣按列讀取即形成訪問控制表

ACL 可以決定任何一個特定的主體是否可對某一個客體進行訪問，它是利用在客體上附加一個主題明細表的方法來表示訪問控制矩陣的，表中的每一項包括主體的身份以及對該客體的訪問權，

目前訪問控制表是自主訪問控制實作中比較好的一種方法

能力（Capabilities）決定用戶對客體的訪問權限，系統必須對每個用戶維護一份能力表，即按行讀取訪問控制矩陣，表示每個主體可以訪問的客體及權限

用戶可以將自己的部分能力傳給其他用戶，這樣那個用戶就獲得了讀寫該檔案的能力

在用戶較少的系統中，這種方式比較好，但一旦用戶數增加，便要花費系統大量的時間和資源來維護系統中每個用戶的能力表

3.訪問許可和訪問模式

訪問許可和訪問模式描述了主體對客體所具有的訪問權與控制權

訪問許可定義了改變訪問模式的能力或向其他主體傳遞這種能力的能力，訪問模式則指明主體對客體可進行的特定訪問操作

這兩種能力是對自主訪問控制機制的控制方式

7.3.3 強制訪問控制模型

強制訪問控制（Mandatory Access Control，MAC）是主體和客體都有一個固定的安全屬性，系統通過比較客體和主體的安全屬性，根據已經確定的訪問控制規則限制來決定主體是否可訪問客體

能有效防范特洛伊木馬

適用于專用或安全性要求較高的系統

1.BLP 模型

Bell-LaPadula 模型，簡稱 BLP 模型

它是最早也是最常用的一種多級訪問控制模型，該模型用于保證系統資訊的機密性

BLP 模型基于兩個規則保障資料的機密性

• 簡單安全規則

• *_規則

下讀上寫

BLP 模型可有效防止低級用戶和行程訪問安全級別更高的資訊資源，同時，安全級別高的用戶和行程也不能向安全級別低的用戶和行程寫入資料，從而有效地保護機密性

2.Biba 模型

Biba 對系統的完整性進行了研究，提出了一種與 BLP 模型在數學上對偶的完整性保護模型——Biba 模型

Biba 模型基于兩條規則確保資料的完整性

• 即“不下讀”

• 即“不上寫”

上讀下寫

3.Clark-Wilson 模型

Clark-Wilson 模型是一個確保商業資料完整性的訪問控制模型

（1）Clark-Wilson 模型定義

（2）Clark-Wilson 模型分析

4.Chinese Wall 模型

是一種同等考慮保密性和完整性的訪問控制模型，主要用于解決商業應用中的利益沖突問題，它在商業領域的應用與 BLP 模型在軍事領域的作用相當

7.3.4 基于角色的訪問控制模型

基于角色的訪問控制（Role-based Access Control，RBAC）

所謂角色，實際上就是業務系統中的崗位、職位或者分工

1.基于角色的訪問控制模型的構成

RBAC0 是基本模型，規定了所有 RBAC 系統所必需的最小需求

RBAC1 在 RBAC0 的基礎上增加了角色等級的概念

RBAC2 則在 RBAC0 的基礎上增加了約束

RBAC3 包含了 RBAC1 和 RBAC2，也間接包含了 RBAC0

（1）RBAC0

RBAC0 由 4 個基本要素構成，即用戶（U）、角色（R）、權限（P）和會話（S）

（2）RBAC1

RBAC1 包含 RBAC0 的所有元素，并加入了角色等級的概念

（3）RBAC2

RBAC2 包含 RBAC0 的所有元素，并加入了約束的概念

（4）RBAC3

RBAC3 結合了 RBAC1 和 RBAC2，同時具備角色等級和約束，但角色等級和約束之間存在一些矛盾

2.基于角色的訪問控制模型分析

該模型的一個主要優點就是簡單

使用 RBAC 可以較好地支持最小特權原則

RBAC 還能實施職責分離原則

7.3.5 特權管理基礎設施

特權管理基礎設施（Privilege Management Infrastructure，PMI）

1.PMI 主要功能

PMI 是與應用相關的授權服務管理基礎設施，其主要功能包括以下方面

（1）對權限管理進行了系統的定義和描述

（2）系統地建立起對用戶身份到應用授權的映射

（3）支持應用訪問控制

2.PMI 體系結構

（1）SOA 信任源點

（2）AA 屬性權威機構

（3）ARA 屬性注冊權威機構

（4）用戶

（5）證書/ACRL 庫

3.屬性證書

4.應用結構