企业级安全攻防三:身份认证,只有账号密码吗?

最新推荐文章于 2024-02-20 17:50:18 发布
最新推荐文章于 2024-02-20 17:50:18 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: 企业级安全知识体系25篇 文章标签: 企业安全 信息安全 运维 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014085911/article/details/105384638
版权

本文开始前,我门可以先思考一下:除了账号密码,我们还能怎么做身份认证?

我们前面详细讲解了密码学的三种算法:高效安全的对称加密算法,解决密钥分发难题的非对称加密算法,以及提供单向加密的散列算法。

如果在面试中,在表达了你对密码学清晰的理解之后,面试官开始相信你具备安全方面的基础知识了。于是,他准备和你探讨一下安全落地的细节。基于你之前提出的“黄金法则”,面试官问道:“黄金法则的认证(Authentication)部分不就是账号密码吗?这么简单的东西,有必要考虑得那么复杂吗?”

认证,也就是身份识别与认证(通常来说,识别和认证是一体的,因此后面会用身份认证来指代识别和认证)。毫无疑问,对于一个安全的应用来说,身份认证是第一道门槛,它为后续所有的安全措施提供“身份”这样一个关键信息。

听完你的简单叙述后,面试官直接问道:“现在我们公司有好几个应用,每一个应用都有独立的账号体系,管理起来十分复杂。而且,内部员工的账号体系也没有建设起来。如果是你,你会怎么解决这些问题呢?”

现在你可能很难回答这些问题,没关系,带着这些问题,让我们来开始本文的内容。

身份认证包括哪些东西

首先,身份认证不仅仅是一个输入账号密码的登录页面而已,应用的各个部分都需要涉及身份认证。在我看来,身份认证可以分为两个部分:对外认证和对内认证。

  • 对外认证

对外认证,其实就是应用的登录注册模块,它面向用户进行认证。对外认证的入口比较集中,一个应用通常只有一个登录入口。因此,我们可以在登录这个功能上,实现很多种认证的方式。这就可以用到我们之前提到的“你知道什么、你拥有什么、你是什么”。

  • 对内认证

除了应用本身需要有登录注册的模块,应用的各种内部系统同样需要涉及登录认证的功能,比如:服务器的登录、数据库的登录、Git 的登录、各种内部管理后台的登录等等。这也就是我所说的对内认证。那么,对内认证和对外认证有什么区别呢?我觉得,它们最主要的区别在于认证场景的复杂程度。

从下面这张图中我们可以看出,对外认证是单一场景下的认证,对内认证是多场景下的认证。

对内对外认证

在了解了对内、对外认证的特点之后,我们再来聊一聊它们的应用。我了解到的目前行业的现状是,各个公司的对内认证都比较薄弱。其主要原因在于,内部的认证场景过于分

最低0.47元/天 解锁文章
运维大湿兄
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全教程与项目:密码学、网络攻防安全分析
07-08
本项目详细介绍了网络安全的基础知识,包括密码学、网络攻防安全分析,并通过相关项目展示了如何应用这些知识。项目分为以下几个部分: 1. **密码学基础**:介绍了对称加密、非对称加密和哈希函数,并提供了对应...
如何理解数据的保密性、完整性、可用性?如何保证数据的保密性、完整性、可用性?
热门推荐
N2O_666的博客
03-23 2万+
如何理解数据的保密性与完整性?如何做到数据的保密性与完整性? 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录如何理解数据的保密性与完整性?如何做到数据的保密性与完整性?前言一、数据二、OSI七层网络模型&TCP/IP四层模型2.1 数据封装与解封2.1 应用层2.2 传输层2.3 网络层2.4 数据链路层2.5 物理层2.6 总结数据的保密性与
密码学笔记1-信息安全的基本属性(机密性、认证、完整性、不可否认性)
jiangqiubai12381的博客
05-20 2万+
机密性(confidentiality):保证信息被授权者使用而不泄露给未授权者;即让未授权者看不到信息或者看不懂信息; 认证(Authentication):认证包括消息认证身份认证; 消息认证:消息认证包括消息源认证(消息来源未被冒充)和消息完整性(消息未被篡改) 身份认证:保证通信实体的真实性 证明“你就是你” 完整性(Integrity):数据完整性和系统完整性 数据完整性:数据未被未授权篡改或损坏 系统完整性:系统未被非授权操控,按既定的程序运行 系统没有被“动过” 不可否认性(Non-repu
算法介绍-SM3及摘要算法(签名算法)国际SHA-256
折翼的青鸟
09-19 2554
摘要函数在密码学中具有重要的地位,被广泛应用在数字签名,消息认证,数据完整性检测等领域。碰撞稳固性,原根稳固性和第二原根稳固性。SM3算法适用于商用密码应用中的数字签名和验证,是在SHA-256基础上改进实现的一种算法。SM3算法采用Merkle-Damgard结构,消息分组长度为512位,摘要值长度为256位。SM3算法的压缩函数与SHA-256的压缩函数具有相似的结构,但是SM3算法的设计更加复杂,比如压缩函数的每一轮都使用2个消息字。现今为止,SM3算法的安全性相对较高。
数据安全三要素:机密性、完整性、身份验证
魏波
10-08 6474
机密性传输内容非明文,即使数据被外界截获,也不能被他人解释或破解完整性传输过程中内容不能够被篡改,若信息被篡改或不完整,接收方能够得知身份验证接收方能够验证数据的实际发送方,确保数据不是被人“冒名顶替”而伪造。
信息安全五大特性
qq_39440893的博客
02-27 2万+
网络信息安全五大特性:①完整性、②保密性、③可用性、④不可否认性、⑤可控性,综合起来说就是保障电子信息的有效性。 1.完整性:指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。 1.1 完整性实现 数据完整性保护有两种基本方法:一是访问控制方法,限制非授权实体修改被保护的数据;二是损坏-检测方法,这种方法无法避免数据损坏,但能确保这些损坏能够被检测出来,并能够被纠正或报警。一般通过消息鉴别码 (MA...
网站安全攻防秘笈:防御黑客和保护用户的100条超级策略,完整扫描版
12-26
《网站安全攻防秘笈:防御黑客和保护用户的100条超级策略》是一本网络安全防护基本操作手册。书中介绍的策略用于解决最严重的漏洞及对抗当今网络罪犯使用的攻击方法。无论你是在处理针对电子商务网站上的拒绝服务攻击...
攻防演练:互联网企业安全蓝军建设.docx
09-14
攻防演练:互联网企业安全蓝军建设 蓝军攻击团队是企业安全建设的重要组成部分,旨在模拟真实的攻击场景,检验企业安全防护体系的水平和攻击成本。蓝军的存在可以帮助企业完成安全闭环,暴露防御脆弱点和业务风险...
网络安全实战指南:密码学、网络攻防安全分析教程.zip
最新发布
06-12
网络安全是一个不断发展和变化的领域,需要不断学习和实践才能保持与时俱进。本文提供的网络安全实战指南旨在帮助大家系统掌握网络安全知识,提升安全防护能力。希望通过本文的介绍和推荐,能够为广大网络安全爱好者...
2021年7月11日笔记
kukuxxg的博客
07-11 369
分组密码算法基本概念   人类使用密码已有千年历史;周朝兵书《六韬》中就记载了当时的军用密码。此外;替换密码“凯撒密码“是历史上比较出名的算法;14-16世纪被欧洲神父意外破解。加密是通过对数据进行特定变换,某种意义上密码其实可以看成是语言;语言具有冗余性,密码是没有绝对安全密码;在计算机出现之前加密的方式主要是替换法和移位法。   口令和密码的定义;密码是一种用来混淆的技术,它希望将正常(可识别的)信息转变为无法识别的信息。密码在中文中“口令“(PASSWORD)的通称;   分组密码是将明文数字序列进
网络信息安全基本属性
学而思(xiejava的blog)
03-17 1万+
常见的网络信息安全基本属性主要有机密性、完整性、可用性、不可抵赖性和可控性等,其中**机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)被称为网络信息系统核心的CIA安全属性**,此外还有其他的安全属性包括:真实性、时效性、合规性、隐私性等。
python实现RsaWithSHA256签名以及国密Sm3WithSm2签名
weixin_45005677的博客
01-10 2748
【代码】python实现RsaWithSHA256签名以及国密Sm3WithSm2签名。
浅谈国密算法
u013758702的专栏
05-08 1万+
国密算法是我国自主研发创新的一套数据加密处理系列算法。从SM1-SM4分别实现了对称、非对称、摘要等算法功能。特别适合应用于嵌入式物联网等相关领域,完成身份认证和数据加解密等功能。当然,默认的前提条件是算法密钥必须保证安全性,因此要将国密算法嵌入到硬件加密芯片中结合使用。1.使用国密算法的意义随着金融安全上升到国家安全高度,近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法...
HIT信息安全概论复习:1~10
qq_34073852的博客
07-02 1154
一、信息安全体系架构: 1.面向目标的体系结构 CIA三元组:信息安全的三个基本目标,即机密性(Confidentiality)、完整性(Integrity)和可用性(Availability) 机密性:信息在存储、传输、使用过程中,不会泄露给非授权用户或实体。 完整性:信息在存储、传输、使用、传输过程中,不会被非授权用户篡改或防止授权用户对信息进行过不恰当的修改 可用性:凡是为确保授权用户或实体对信息资源的正常使用不会被异常拒绝,允许其他可靠而及时地访问信息资源的理论技术 与CIA相反的概
怎么理解盐值及作用
Vavalq的博客
10-21 3133
概述 为了保证密码的复杂度,系统可以使用盐值。将password和salt一起加密后存储 盐值的作用 1.加密存储 2.密码校验 盐值的产生与存储 盐值应该使用安全随机数生成;不能写死在代码中或者配置文件中、数据库中。而且对盐值的长度也应该有一定的要求,较短的盐值,仍然有被破解的风险。 ...
加密算法中盐的作用
hqy1719239337的博客
09-05 1842
由来 涉及身份验证的系统都需要存储用户的认证信息,常用的用户认证方式主要为用户名和密码的方式,为了安全起见,用户输入的密码需要保存为密文形式,可采用已公开的不可逆的hash加密算法,比如SHA256, SHA512, SHA3等,对于同一密码,同一加密算法会产生相同的hash值,这样,当用户进行身份验证时,也可对用户输入的明文密码应用相同的hash加密算法,得出一个hash值,...
AES、SM、MD5、RSA、SHA256、DES加密工具类汇总
九离的博客
10-11 2260
有时候我们总要用到一些加解密的工具类,网上一找琳琅满目,可能随机找了一个发现根本不能用,也可能找到的加密出来的密文和别的不太一样(找个在线解密工具解不出来)不标准,因此我将常用的加密工具列举出来,并在下方附上加解密的示例代码,希望可以帮到你们;AES、SM、MD5、RSA、SHA256、DES加密工具类汇总
对称密码算法-SM4算法
qq_44796030的博客
02-20 750
SM4算法于2006年公开发布,并于2012年3月发布为密码行业标准,2016年8月转化为国家标准GB/T32907-2016《信息安全技术SM4分组密码算法》。SM4分组密码算法是一个迭代分组密码算法,数据分组长度为128比特,密钥长度为128比特。
企业网络安全新挑战:身份认证协议攻防分析
"这篇文档是中安网星-御守实验室-李帅臻关于‘突破企业网络新边界-身份认证协议攻防’的分享,主要探讨了网络安全体系的变化、未来攻防的重点以及身份认证协议的攻防策略。" 网络安全体系的变化 随着现代企业IT架构...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值