开发者学堂课程【云安全基础课 - 访问控制概述:身份标识和认证技术】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/495/detail/6643
身份标识和认证技术
内容介绍:
一、身份认证和标识的作用
二、鉴别和鉴别的类型
三、身份鉴别的方法
四、身份鉴别的技术
一、身份标识和标识的作用
1、标识的概念
主体唯一身份凭证( ldentity )的断言(Assertion ),是访问控制的起点之一,反映了工作职责、IT 属性以及人身属性。
2、标识的主要作用
访问控制和审计。访问控制就是通过标识来判断主体,也就是判断该用户是否能够进行相应的操作,如果没有正确的这个身份标识,就不能进行相关的操作,也就无法确定如何进行控制,第二就是审计的功能,通过标识来进行跟踪所有操作的参与者,参与者的任意动作都能被标识标记出来,这就是审计的作用。我们常见的标识在it系统之中有用户名、用户 ID 帐号,还有其他一些数字识别的信息都可以成立标识。
二、鉴别和鉴别类型
鉴主要是观察的意思,别是识别的意思。
1、鉴别的概念
客体确认主体是否是它所声明的,提供了关于某个主体身份的保证,某一主体确信与之打交道的主体正是所需要的主体。
2、需求
某一成员(声称者)提交一个主体的身份并声称它是那个主体
3、目的
使别的成员(验证者)获得对声称者所声称的事实的信任,通过系统的鉴别可以达到该目的,即通过了认证。
4、常见鉴别
口令、挑战-应答、生物特征鉴别
5、鉴别的类型
单向鉴别、双向鉴别、第三方鉴别。
单向鉴别:通信双方中只有一方像另一方进行鉴别
双向鉴别:通信双方互相进行鉴别
第三方鉴别:由一个可信的第三方来进行鉴别,像CBA就属于可信的第三方鉴别。根据远程和本地可以分为远程鉴别和本地鉴别两种。
本地鉴别:实体在本地环境的初始化鉴别
远程鉴别:连接到远程设备的实体鉴别远程鉴别和本地鉴别。
三、身份鉴别的方法
对用户身份标识的认证( Verifying )过程。
类型1∶你知道什么
类型2∶你拥有的什么
类型3∶你是什么或者你做什么多因素和双因素认证
身份鉴别的具体方法就是认证,即对用户身份标识的认证过程,这就是个IT中身份鉴别。
身份认证有三种类型,一种就是基于你所知道的,这是我们应用最多的,像密码、口令,还有相关知识等,都是所知道的;第二种类型是你拥有的,像身份证、信用卡、银行卡,并且知道密码就可以去取;第三种类型是你是什么或者你做了什么,这种类型更多是基于个人特征的,像指纹、声音、视网膜、虹膜的识别等基于生物特征的认证。
除此之外,还有多种类型的组合,像多因素或者是双因素认证,比如说你有什么和你知道什么的一种组合,可能你有密码,并且你还有身份证或是银行卡,此时就能取款了,实际上这就是一种双因素认证。
四、身份鉴别的技术
>基于口令的身份认证
l 口令是使用最广泛的身份鉴别方法
l 选择原则:易记、难猜测、抗分析能力强口令提供弱鉴别
l 面临的威胁:口令猜测、线路窃听、重放攻击
身份证技术有三种类型,一个是基于口令的,对基于口令的认证技术进行扩展。口令是使用最广泛的身份鉴别方法之一,口令的选择原则是要选择易记、但是难猜测且抗分析性强的。
口令在安全上会有几个问题,即面临的威胁有:第一个就是口令猜测,就是大家常说的暴力破解,给一个用户名张三儿,然后去猜123456、12345678等不断的去尝试,这就是口令猜测、口令破解;第二就是链路的窃听,我们知道在传输过程中的访问控制是主体访问客体的一个过程,口令猜测可以是针对主体提供的凭证的一种攻击,而链路上的窃听则属于针对访问过程的攻击;
第三个面临的问题就是重放,如果知道了密码,或者密码的密文被截取后,可以不断的去重放这个过程来完成认证,对系统来说,它一样能够鉴别成功。
例如下单时,如果系统存在漏洞,同一个单可以不断的去提交,在系统里面由于缺陷漏洞造成的同一个单不断去提交,就属于重放的攻击。
>基于生物特征的身份认证
每个人所具有的唯一生理特征∶
l 指纹
l 手掌手型
l 视网膜
l 虹膜
l 声音
l 语音
l 面部
l 签名
第二种身份认证的技术是基于生物特征的身份认证,这也是我们经常使用的身份认证方式。
每个人都有一个唯一的身份,里面罗列了很多个人信息,像指纹,在手掌上各种曲线交叉具有各种非常细微的特征;
还有像手掌的掌形、手掌的折痕、褶皱,以及各种包凸起、人手的形状等,这些都表示了手的几何特征;像视网膜、虹膜,扫描眼球之视网膜上会有血管儿的图案,这就是视网膜的扫描。
虹膜则是眼睛周围瞳孔周围的彩色部分,虹膜也有其独特的图案,有分叉的、有颜色的不同,还有环状的光环、褶皱的不同等等;那还有声音和语音的特征,像记录时候几个不同的单词,你的说话的速度、说话的语调、语音等,这些都属于语音识别方面的特征;还有人的面部,人脸的识别,脸部的骨骼结构、鼻梁、眼眶、额头、下额等不同的形状来区分每个人的生理特征;还有不同人的签名也是一个个人的身份特征,每个人写字的姿势都不一样,然后写出同一个字的流畅度也不一样,轻重也会不一样,所以这些都可以作为一个生命特征来进行身份认证。
>基于个人令牌的身份认证
集成电路卡(Integrated Circuit Card)称 IC 卡,其中镶嵌集成电路芯片。
IC 卡的分类:
IC 卡接口类型:
l 接触式 IC 卡
l 非接触式 IC 卡
l 双界面卡
嵌入集成电路芯片的形式和类型:
l 非加密存储卡
l 逻辑加密卡
l CPU 卡(又称智能卡)
第三种身份证技术是基于个人令牌的身份认证,这里面比较典型的有像集成电路卡,也就是我们常说的 IC 卡,IC 卡中可能还镶嵌了集成电路芯片。常见的 IC 卡有以下几类,有接触式的还有非接触式的,还有双界面的卡。
嵌入集成电路芯片的形状和类型可能也不同,有非加密存储卡,有逻辑加密卡,还有 cpu 卡(也就是现在我们使用最多的智能卡)。
