访问控制 Access Controls
来源:信息安全(四) 访问控制
https://wenku.baidu.com/view/bb0679e109a1284ac850ad02de80d4d8d15a01a9.html
访问控制(Access Controls)环绕四个过程:
-
Identification
-
Authentication
-
Authorization
-
Accountability
Identification 标识
提供标识信息的主体;使系统识别主体身份的方法,如账号、用户名等。
-
身份唯一性(unique),保证访问行为可问责性(accountability),有时也可匿名 或 群组身份标识。
-
身份标识符(identifier) 是非保密信息,方便管理;避免可推测性、敏感信息,不值得描述用户职位和任务。
Authentication 认证
对主体所宣称身份有效性进行验证的方法,如通过口令验证、PIN 值,生物测定等。
身份管理解决方案和产品技术
- 目录:域名系统、windows 注册表、大型目录树
- web 访问管理:WAM,cookie
- 密码管理:密码同步,单点登录 SSO,密码重设
- 遗留单点登录
- 账户管理
- 配置文件升级
常用身份验证方法
- 访问控制和标记语言
- 生物特征 characteristic
- 静态:指纹(finger prints)、手掌手部血管特征、视网膜、虹膜(iris patters)、面部、手型拓扑;
- 动态:动态签名(signature dynamics)、动态击键(keyboard typing patterns)、声纹。
- 口令密码
- 银行卡、邮箱登录密码等,准确的应该叫口令;因为密码是用来加密信息的,而口令是用来鉴别的。
- 包含以下类型
- 普通口令(静态口令,static password),通常难以记忆也容易被猜测。
- 动态口令(dynamic password),也成为一次性口令(one-time password),由令牌(token)设备根据时间、秘钥、算法等因素产生,每次产生的口令智能用一次。
- 认知口令(cognitive password),使用基于事实和观点的认知数据(knowledge-based)作为用户认证信息。容易记忆,难以猜测,如用户个人爱好等私人信息。
- 短语(passphrases)
- 身份识别码(PIN Codes),通常是指银行业务系统中用于身份识别和认证的字符串。
- 感知密码
- 一次性密码
- 秘钥
- 密码短语
- 存储卡
- 智能卡
Authorization 授权
使用一个标准,授权主体访问客体的权限,如读写文件
准则
- 基于角色的授权
- 使用组授权
- 物理和逻辑控制
- 时间约束
- 事务性约束
Accountability 审计
对主体访问客体的行为进行检查,以确保访问控制的有效性