网络安全必修课：掌握身份标识、认证、授权和问责的核心概念

本文链接：https://blog.csdn.net/Lvlht/article/details/138210948

文章目录

前言
一、身份标识与认证
二、授权和问责
- 1.比较主体和客体
- 2.授权和问责
总结

前言

控制对资产的访问是安全的中心主题，资产可以是有形的或无形的。有形资产是指你可以触摸的东西，如物理设备，而无形资产是指信息和数据，例如知识产权。除了人员之外，资产还可以是信息、系统、设备、设施或应用程序。

组织实施访问控制机制的主要原因之一是预防损失。 IT 损失分为三类：保密性
(confidentiality) 、完整性(integrity)和可用性(availability) 的损失，即 CIA 损失。下面在访问控制的上下文中对 CIA 三性进行定义。

保密性 访问控制有助于确保只有已经授权的主体能够访问客体。如果未经授权的实体可以访问系统或数据，将导致保密性的丧失。
完整性 完整性可以确保主体经授权后才可以修改数据或系统配置，或如果发生未经授权的变更，安全控制可以检测到变更。如果客体发生了未授权的变更或不需要的变更，会导致完整性丢失。
可用性 必须在合理时间内向主体授予访问客体的权限。换句话说，系统和数据应该在需要时可以供用户和其他主体使用。一如果系统无法运行或数据无法访间，会导致可用性降低。

一、身份标识与认证

在现实的世界里，身份标识（identification）这个过程就像你在进入一个需要会员卡的俱乐部时，你需要告诉门卫你的名字，说“嗨，我是张三”。

然后，身份认证（authentication）就像是你向门卫展示你的会员卡，证明你就是那个声称的张三。这个过程需要一些私人信息，比如你的会员卡号或者你的指纹，以证明你就是那个声称的人。这些信息被严格保护，就像你的银行卡密码一样，不能随便让人看到。例如，你的密码一般并不会明文存储在数据库中，而是以哈希值的形式存在。

身份标识和身份认证就像是一对双胞胎，总是同时出现。首先，你需要告诉系统你是谁（身份标识），然后你需要证明你就是那个人（身份认证）。如果没有这两步，你就别想进入系统的大门。回到我们的俱乐部场景，假设你大声宣布你是张三，但没有提供任何证明自己的证据。那么，所有知道你名字的人都可以轻易地冒充你，这就像是在俱乐部门口随意使用你的会员卡，却没有留下任何联系方式。

二、授权和问责

1.比较主体和客体

访问控制并不仅仅关注哪些用户可以访问哪些文件或服务，它更深入地涉及到实体（包括主体和客体）之间的关系。在技术术语中，访问是指信息从客体传递到主体的过程，因此，我们必须明确理解主体和客体的定义。

主体，是一个活跃的实体，它会访问被动的客体以获取信息或数据。主体可能是用户、程序、进程、服务、计算机或其他任何可以访问资源的事物。一旦获得授权，主体就可以修改客体。

客体，则是一个被动的实体，它可以向活动的主体提供信息。文件、数据库、计算机、程序、进程、服务、打印机以及存储介质都可以成为客体。

你可能会注意到，一些例子（如程序、服务和计算机）既可以是主体也可以是客体。这是因为主体和客体的角色是可以互换的。在许多情况下，当两个实体互动时，它们会执行不同的功能。有时，一个实体可能需要请求信息，有时则需要提供信息。主要的区别在于，主体始终是主动的，它会接收来自被动客体的信息或数据，而客体始终是提供或托管信息或数据的被动实体。

例如，考虑一个为用户提供动态网页的通用Web应用程序。当用户查询Web应用程序以检索网页时，Web应用程序作为客体开始工作。然后，Web应用程序转变为主体角色，查询用户的计算机以检索cookie，然后再查询数据库以获取用户信息。最后，当将动态网页发送回用户时，Web应用程序再次切换回客体角色。