| 1.
鉴别和认证技术简介
鉴别和认证是用来防止计算机系统被非授权用户或进程侵入的技术手段,属于第一道防线。由于鉴别和认证是其它大多数访问控制和建立用户职能的基础,所以它被看作计算机安全的关键基础构件。并不是所有的访问控制都需要鉴别和认证过程。例如,访问公众信息系统可能不需要鉴别和认证。访问控制经常需要区分不同的用户。例如,访问控制经常要基于“最小特权原则”,即只给用户完成工作所需的最小访问权限。用户职能要求将特定个人在计算机系统中的活动和他本人联系起来,所以需要对用户进行鉴别。出于对个人审计的需要,审计日志需要建立和个人职能的联系。
鉴别通过用户向系统提供自己的身份完成。认证通过确定该身分的真实性完成。认证也用于验证消息或文件未被修改或来源于特定用户。
计算机系统基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人就是发送认证信息的人。例如,用户没有退出就离开终端时另一个人可能趁机使用。
有三种认证用户身份的方法,这三种方法可以单独使用或联合使用:(1)用户知道的(秘密如:口令、个人识别号(PIN)或密钥),(2)用户拥有的(令牌如:银行卡或智能卡),和(3)用户本身的(生物特征如:语音特征、笔迹特征或指纹)。
虽然这些方法都可能提供强认证服务,但每种方法都有自己的局限性。如果有人想冒充别人使用计算机系统,他们有可能猜测或通过其它方式得到的口令;他们也可能偷窃或者伪造令牌。对于合法用户和系统管理员来说,每种方法都有缺点:用户可能忘记口令或丢失令牌,系统管理员可能要经常辨别认证数据和令牌的真实性。生物识别系统具有技术先进和用户容易接受的优点,但价格昂贵是它的问题。
|
