安全L2-2.1-用户认证概述

最新推荐文章于 2024-04-03 19:31:20 发布
最新推荐文章于 2024-04-03 19:31:20 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: 安全 深信服 文章标签: 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42248536/article/details/120343503
版权

一、用户认证的需求背景

        (1)身份风险:非法“用户”和“终端”采用非法方式接入网络;

        (2)外来人员可轻易接入组织内网,窃取内部核心资料,甚至破坏内部网络;

        (3)不安全终端接入网络,给内网环境带来极大的威胁,如导致病毒内网疯狂传播。

        如何唯一确定一个用户??????

                用户认证简单定义:需要知道这个IP当前是谁在使用

二、常见的用户认证技术

         1、认证要素:

                (1)类型一:身份认证因素是“你知道什么”。这些内容示例包括密码、个人标识码(PIN)或密码短语。

                (2)类型二:身份认证因素是“‘你拥有什么”。用户拥有能够帮助他们提供身份认证的装备,示例包括智能卡、令牌、记忆卡和USB驱动器。

                (3)类型三:身份认证因素是“你是什么或你做什么”。指的是某个身体部分或人的生物行为特征。“你是什么”的示例包括指纹语音波纹、视网膜样本、虹膜样本、脸部形状、掌纹和手型等。“你做什么”的示例包括签名和击键力度,也称为生物行为特征。

        2、常见的认证类型--密码认证:

                (1)就是每次请求时都提供用户的username和password;

                (2)最简单的认证方式,利用http协议提供用户名密码即可。

                (3)上网行为管理的密码认证,就是典型的“密码认证”。

         3、常见的认证类型--令牌:

                (1)令牌是一种密码生成设备,用户可以随身携带。

                (2)常用令牌包含一个显示器,显示6-8位的号码。

                (3)现在也有软件版的令牌,例如Goold的“Authenticator”,“Microsoft Authenticatour”。

                (4)举例:SSL VPN支持动态令牌认证。

        4、常见认证类型--生物识别:

                (1)生物生理识别方法:通常是指生理或行为上的特征,包括指纹、面部扫描、视网膜虹膜扫描、掌纹特征、语音模式等。

                (2)生物行为识别行为:包括动态签名和击键模式。

        5、常见的认证类型--多因素认证:

                (1)多因素认证是使用两个或多个因素进行认证。(会降低用户体验)

                (2)例如:SSL VPN支持密码认证+令牌认证。

        6、常见的认证类型--设备认证:

                (1)用户只能通过公司拥有的系统上网或访问业务系统

                        例如:要求计算机要加入域,进一步要求加入域的电脑能访问某些业务系统。AC可以支持结合AD域做单点登录。

                (2)员工自己携带的设备,也应该进行策略控制

                         例如:自己携带的设备,需要符合BYOD安全策略,进行控制。EMM的Easywork方案。

        单点登录简介:

  •  单点登录是一种集中式访问控制技术,允许主体只在系统上认证一次并且可以不用身份认证而访问多个资源。
  • 场景:用户完成一次认证,可以访问整个网络资源,不用被提示进行再次认证。
  • 单点登录SSO常见类型:
    • LDAP
    • Kerberos
    • 联合身份管理和SSO
    • Oauth(公开认证)

        单点登录--LDAP:

  • 单个组织经常使用集中式的访问控制系统。例如:目录服务是一个集中式数据库,里面包含了主客体信息。许多目录服务建立在“轻量级目录访问协议(LDAP)”的基础上。
  • 可以把LDAP目录看做组织结构。
    • 举例:AD域单点登录适用于客户内网已有AD域统一管理内网用户,部署AC后,希望AC和AD域结合实现平滑认证。

        单点登录--LDAP&Keros:

  • Kerberos给用户提供的单点登录的同时还能包含登录信息。
    • 举例:AC的集成Windows身份验证单点登录方式。AC加入域,成为域中资源。当已登录域的PC打开网页时,会被AC拦截并要求访问AC提供的资源,此时出发Kerberos认证,AC获取终端提交的票据,从而实现集成Windows身份验证。

        单点登录--XML:

  • 联合身份管理是多个组织加入一个组,他们同意通过一个方法共享彼此的身份。每个组织的用户在各自的组织登录一次且在他们的凭证和身份匹配后,可以用这个身份访问这个姐中的任何资源。
  • “可扩展标记语言( XML )”:XM 实现了对数据本身的描述,所包含的标签可以将数据描述为任何所需的样子。很多供应商的数据库可以将数据输出为 XML 格式,或将 XML 格式输出数据,从而使 XML 成为用于信息交流的共同语言。
  • 举例:Aruba 无线控制器提供了 XML 单点登录接口。

         OAuth-开放授权:

  • OAuth (开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一 web 服务上存储的私密的资源(如照片、视频、联系人列表),而无需将用户名和密码提供给第三方应用。
  • OAuth 允许用户提供一个令牌( token ),而不是用户名和密码来访问他们存放在特定服务提供者的数据。
  • 每一个令牌授权一个特定的第三方系统(例如:视频编组网站)在特定的时段(例如:接下来的2小时内)内访问特定的资源(例如:仅仅是某一相册中的视频)。
  • 这样,OAuth 让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。

                OAuth 2.0的流程:

         数字认证:

  • 一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。
  • SSL VPN支持数字证书认证。

        AAA认证:

  • 提供认证、授权和可问责性的协议叫做AAA协议。
  • 常见的AAA协议有RADIUS、TACACS+及Diameter。
  • 深信服AC/SG/AC-PT/SSL都支持AAA认证。
  • 以Radius为例:

三、深信服产品支持认证详解表格

小柒憨憨吖~
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
用户统一密码管理校验服务说明
数通畅联
05-20 1218
1 背景说明 目前大多数企业尤其是集团性企业已经构建了一定的信息化系统,但伴随信息系统越建越多,账户体系紊乱、用户不统一、体系不统一的弊端越来越明显。当前企业亟需解决全集团内部的“统一认证”、“统一账户”、“统一权限”、“统一审计”的4A管控。以集团全面管控为中心,建立全集团的账户管理体系、认证管理体系、权限管控体系,通过用户规范化、信息标准化、服务个性化、管理数字化、运营平台化、经营一体化,实现集团运营协同能力,支撑数字管控能力。 本文是在集团统一管控过程中实现统一认证管理及统一密码初始化的服务说明,
统一身份认证系统方案
Bellboy的博客
01-24 7209
应用系统身份认证方式能辨别用户的真实身份,是实现业务系统向基层网安部门推广的前提条件。建设多样化的身份认证手段,是提升业务系统安全性与灵活性的关键举措。网综平台要求各类业务系统使用统一的用户身份;业务系统能够根据实际应用场景及信息内容的重要性,控制终端的使用环境及资源。建设一套集中、统一、多样化、高效的安全认证服务与控制系统,形成业务系统的统一认证安全控制技术体系和安全服务体系,“安全中心系统”
2021年_深信服PT2试题.pdf
12-19
2021年_深信服PT2试题
做项目必须懂的三个概念 认证、会话、授权
传智燕青
09-30 2004
1 认证、授权、会话基础概念 什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证用户认证就是判断一个用户的身份...
常用的用户认证方式&详解JWT
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
07-28 3233
文章目录背景知识常用的用户认证方式JWT1、JWT的流程2、jwt的认证原理和session的区别和优缺点1、基于session和基于jwt的方式的主要区别是2、jwt的优缺点总结 背景知识 Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用
用户认证概述
学习记录和总结
02-15 789
文章目录一、用户身份认证1.1 单一服务器模式1.2 SSO(Single Sign On)模式1.3 Token模式二、JWT令牌2.1 JWT 令牌说明2.2 JWT令牌的组成2.3 JWT 问题和趋势2.4 JWT 测试 一、用户身份认证 1.1 单一服务器模式 一般过程如下: 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户名,用户角色等)将保存在当前会话(session)中。 服务器向用户返回 session_id,session 信息都会写入到用户的 Cookie。 用户的每个
java常见用户安全认证机制归纳
qq_35757427的博客
09-25 986
默认的,当我们关闭浏览器的时候,cookie会被删除。在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT之后,当用户使用它的认证信息登陆系统之后,会返回给用户一个JWT,用户只需要本地保存该token(通常使用local storage,也可以使用cookie)即可。secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。
二十九、实战演练之用户认证
Sean_0819的博客
03-18 646
身份验证是将传入请求与一组标识凭据(例如请求来自的用户或用于签名的令牌)相关联的机制。然后,和策略可以使用这些凭据来确定是否应该允许请求。
一文搞懂用户认证方案怎么做
最新发布
大东码字
04-03 1306
一般网站用户认证不外乎以下步骤: 以上单机版基本没问题,但是分布式系统中涉及到 session 共享问题,比如 项目部署在serviceA 和 serviceB。用户登录后 sessionId 存在 serviceA 内存中,这个时候如果 a 挂掉了(lb 打到 b 服务器也有可能),你再请求服务器 b,发现sessionId不存在,直接让你重新登录了。首先,问题的根源出在sessionId无法共享上,想要把sessionId共享,一个简单的思路就是把sessionId保存到数据库中(这里选择redis)
用户认证
qq_39249347的博客
02-05 2558
用户认证的概念 验证系统实体自己声称或第三方为其声称的身份的过程,包括两个步骤 向安全系统提供身份表示符 安全系统产生认证信息,来确定实体和标识符之间是否存在对于的关系 认证方法 个人所知道的信息:口令,用户身份标示码以及预先设定的问题的答案 个人所拥有的物品:电子钥匙,智能卡以及物理钥匙,这些被称为令牌 个人静态生理特征:指纹,虹膜以及人脸识别 个人动态生理特征:语音模式和笔记特征...
深信服高级认证L2(SCSP)
09-06
安全L2已整合完毕,用于考取SCSP认证
聊聊微服务架构中的用户认证方案!
独行侠梦的博客
04-27 477
今天来聊聊微服务中一个重要的话题:如何设计微服务架构下的用户认证方案。今天主要涉及三个方面的内容:传统的用户认证方案;JWT 与 JJWT;基于网关的统一用户认证。传统的用户认证方案我们直奔主题,什么是用户认证呢?对于大多数与用户相关的操作,软件系统首先要确认用户的身份,因此会提供一个用户登录功能。用户输入用户名、密码等信息,后台系统对其进行校验的操作就是用户认证用户认证的形式有多种,最常见的有...
SpringSecurity用户认证
m0_62787705的博客
06-06 772
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
01-用户认证-用户认证流程分析
minihuabei的博客
08-17 882
1 用户认证 1.1 用户认证流程分析 用户认证流程如下: 业务流程说明如下: 1、客户端请求认证服务进行认证。 2、认证服务认证通过向浏览器cookie写入token(身份令牌) 认证服务请求用户中心查询用户信息。 认证服务请求Spring Security申请令牌。 认证服务将token(身份令牌)和jwt令牌存储至redis中。 认证服务向cookie写入 token(身份令牌)。 3、前端携带token请求认证服务获取jwt令牌 前端获取到jwt令牌并存储在sessionStorage。 前端从j
【HCIA安全用户认证
qq_40733491的博客
07-26 2037
Authentication(认证你是谁)-------->Authorization(授权你能做什么)--------->Accounting(审计你做了什么)1、Authentication认证的方式包括我知道用户所知道的信息(如密码、个人识别号PIN等)我拥有用户所拥有的信息(如令牌卡、智能卡或银行卡)我具有用户所具有的生物特征(如指纹、声音、视网膜、DNA等)2、Authorization授权包括用户能访问的资源用户能使用的命令用户角色包括。...
用户认证方式
凉茶铺的博客
05-13 1417
1、用户认证分析 上面流程图描述了用户要操作的各个微服务,用户查看个人信息需要访问客户微服务,下单需要访问订单微服务,秒杀抢购商品需要访问秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色然后授权访问对应的功能。 1.1、单点登录 用户访问的项目中,至少有3个微服务需要识别用户身份,如果用户访问每个微服务都登录一次就太麻烦了,为了提高用户的体验,我们需要实现让用户在一个系统中登录,其他任意受信任的系统都可以访问,这个功能就叫单点登录。 单点登录(Single Sign O.
用户认证和授权
qq_44322555的博客
04-12 9016
今天简单来介绍一下项目中的用户认证和授权是怎么做的,也是我之前作过的项目中所经历过的一个模块;今天来整理一下,分享一下经验共同来探讨改进这一部分; 先来介绍一下用户认证和授权所用到的技术点都有那些;这些是我做这个认证和授权时用到的技术点,可能有所欠缺 springSecurity+Oauth2、JWT、BCryptPasswordEncoder 1、概念说明: 什么是用户认证 用户身份认证就是用......
深信服PT2 笔试题库 ,实验,面试题库
m0_61498874的博客
03-06 1202
[HCI]下列关于磁盘分卷配置规格说法错误的是? A 一个集群服多允许存在6个存储卷,其中最多允许存在1个延伸卷且延伸卷所在的主机在故障域内可以组磁盘分卷 B 1个卷至少由3台主机上的硬盘组成,1台主机上最多划分2个卷 C 不支持多个卷呈“品”字形交叉,即1个卷所横跨的主机不能分别属于另外两个卷 D 若卷采用全SSD方式:该卷无需配置缓存盘,至少每台主机上有2块SSD 【HCI-L 2】点对点迁移-有代理模式迁移流程排序正确的是?1.SCMT平台调用HCI的API接口创建目的端虚拟机,并
【计算机系统和网络安全技术】第三章:用户认证
ymx520haha的博客
02-24 548
信息系统对用户电子式地提交的身份建立信任的过程。认证方法:个人所知道的信息,个人所持有的物品,个人的生理特征,个人的行为特征。三个独立概念:置信等级,潜在影响,风险范围。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小柒憨憨吖~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值