身份认证与访问控制

身份认证

什么是身份认证？

• 身份认证是信息安全中最前沿的一道防线，其他的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。
• 身份认证指的是对实体身份的证实，用以识别合法或者非法的实体，阻止非法实体假冒合法实体窃取或者访问网络资源

身份认证的方式

• 静态口令：
  用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中。
  长期有效、简单和低成本、存在严重的安全问题。
• 动态口令：
  用户每次登录系统的口令都不一样，
  “一次一密”、有效保证用户身份的安全性。
• 密保问题：
  密保问题通常用于静态密码的找回，问题的内容通常由账号使用者自己决定。
  密保问题应尽量避免选择大众化问题、一般设置3个以上不同方向的问题。
• 图形认证：
  图形验证码主要用于区分用户是计算机还是人的全自动程序。基于CAPTCHA(全自动区分计算机和人类的图灵测试)设计。
  图形验证码利用程序生成只有人类才能解答的评判问题，是现在很多网站必备的一种验证方式。
• 各类证件：
  具有法律效力、存在伪造情况。
• 各类卡片、USB-key：
  == 不易破解、伪造==、丢失被冒用、数量过多。
• 手机
• 生物识别：
  取材于自身，不易遗忘或丢失、防伪性能好，不易伪造或被盗、随身携带，随时随地可以使用。

访问控制

• RBAC模型：基于角色的访问控制。
  把许可权(Permissions)与角色(Role)或用户组联系在一起，用户通过充当合适的角色而获得该角色的许可权。
  
  RBAC是一种非自主型的访问控制模式，在大多数信息管理系统中，角色由系统管理员创建、删除、修改和定义权利。用户被分配为某个角色后，就被赋予了该角色所拥有的权利与责任，这种授权方式是强制性的，用户只能被动地接受，不能自主地决定为角色增加或减少权利，也不能把自己角色的权利转授给其他用户。