希赛小编为考生整理了2022年信息安全工程师考试知识点（三十三）：访问控制，希望对大家备考信息安全工程师考试会有帮助。

访问控制

【考法分析】

本知识点主要是对访问控制相关内容的考查。

【要点分析】

1．基于角色的访问控制设计，其基本思想是，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限，以简化用户的权限管理，减少系统的开销。

2．Kerberos协议：在一个开放的分布式网络环境中，用户通过工作站访问服务器上提供的服务。服务器应该能够限制非授权用户的访问并能认证对服务的请求。工作站不能够被网络服务所信任其能够正确地认定用户，即工作站存在三种威胁：一个工作站上一个用户可能冒充另一个用户操作；一个用户可能改变一个工作站的网络地址，从而冒充另一台工作站工作；一个用户可能窃听他人的信息交换，并回放攻击获得对一个服务器的访问权或中断服务器的运行。上述问题可以归结为一个非授权用户能够获得其无权访问的服务或数据。Kerberos是标准网络身份认证协议，旨在给计算机网络提供“身份认证”。它是基于信任第三方，如同一个经纪人集中地进行用户认证和发放电子身份标识。

3．Kerberos系统应该满足的要求：① 安全；② 可靠；③ 透明；④ 可伸缩。

4．Kerberos设计思路及问题：使用一个（或一组）独立的认证服务器（Authentication Server，AS），来为网络中的用户（C）提供身份认证服务；认证服务器（AS），用户口令由AS保存在数据库中；AS与每个服务器（V）共享一个保密密钥（Kv）（已被安全分发）。上述的协议问题就是：口令明文传送会被窃听。票据的有效性（多次使用）。访问多个服务器则需多次申请票据（即口令多次使用）。解决上述问题，Kerberos协议使用票据重用和引入票据许可服务器（Tickert Granting Server，TGS）。

5．口令猜测技术包括：① brute force（暴力攻击）；② 字符频率分析；③ 彩虹表；④Dictioingary Attack（字典攻击）；⑤ 基于概率的口令猜测；⑥ JTR：John the Ripper是目前最为流行的口令破解工具之一，是开源软件，可以在其网站上免费下载；⑦HASHCAT：HashCat是世界上最快的基于CPU的口令破解工具。

6．用户身份认证是信息系统的第一道安全防线，用户名—口令机制则是身份认证中最常用的方法。但是口令机制具有易懂、易用和易于实现的特点，这使得口令机制在今后一段时间依然是用户身份认证的一个重要方法。

【备考点拨】

了解并理解相关知识点内容。