身份认证与访问控制

Posted 2022-11-07 低语C·A·G

身份认证与访问控制

身份认证

定义：

          信息安全中最前沿的一道防线。

          对实体身份的证实。

分类

1.静态口令(password)

定义：用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中，这个口令一般是长期有效的。

利：简单和低成本而得到了广泛使用。

弊：存在严重的安全问题。

2. 动态口令(one time password)

特点：“一次一密”

密保问题

                通常用于静态密码的找回。

                问题的内容通常由账号使用者自己决定。

                较私密的问题。

               一般设置3个以上不同方向的问题。

图形验证

              主要用于区分用户是计算机还是人的全自动程序。

              很多网站必备的一种验证方式。

             防止暴力破解密码、刷票等

各类证照

               身份证、工作证、护照、驾照等。

               由国家等发放，在一定范围内具有法律效力。

              包含持证人的面部信息。

               存在伪造证件的情况。

各类卡片、USB-key

手机(SIM卡)

生物认证

定义：基于个人独特的生理或行为特征进行自动身份认证的技术。

特点：取材于自身，不易遗忘或丢失。

           防伪性能好，不易伪造或被盗。

           随身携带，随时随地可以使用。

优点：普遍性、方便性、不可复制性、高安全性、主动监控技术。

应用：金融领域常用的生物识别技术。

 

访问控制

权限管理——RBAC模型