身份认证与访问控制
Posted xiaoxiaojinglinger
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了身份认证与访问控制相关的知识,希望对你有一定的参考价值。
身份认证
什么是身份认证?
- 身份认证是信息安全中最前沿的一道防线,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
- 身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源
身份认证的方式
- 静态口令:
用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中。
长期有效、简单和低成本、存在严重的安全问题。 - 动态口令:
用户每次登录系统的口令都不一样,
“一次一密”、有效保证用户身份的安全性。 - 密保问题:
密保问题通常用于静态密码的找回,问题的内容通常由账号使用者自己决定。
密保问题应尽量避免选择大众化问题、一般设置3个以上不同方向的问题。 - 图形认证:
图形验证码主要用于区分用户是计算机还是人的全自动程序。基于CAPTCHA(全自动区分计算机和人类的图灵测试)设计。
图形验证码利用程序生成只有人类才能解答的评判问题,是现在很多网站必备的一种验证方式。 - 各类证件:
具有法律效力、存在伪造情况。 - 各类卡片、USB-key:
== 不易破解、伪造==、丢失被冒用、数量过多。 - 手机
- 生物识别:
取材于自身,不易遗忘或丢失、防伪性能好,不易伪造或被盗、随身携带,随时随地可以使用。
访问控制
- RBAC模型:基于角色的访问控制。
把许可权(Permissions)与角色(Role)或用户组联系在一起,用户通过充当合适的角色而获得该角色的许可权。
RBAC是一种非自主型的访问控制模式,在大多数信息管理系统中,角色由系统管理员创建、删除、修改和定义权利。用户被分配为某个角色后,就被赋予了该角色所拥有的权利与责任,这种授权方式是强制性的,用户只能被动地接受,不能自主地决定为角色增加或减少权利,也不能把自己角色的权利转授给其他用户。
以上是关于身份认证与访问控制的主要内容,如果未能解决你的问题,请参考以下文章