一、身份识别(Identification)、认证(Authentication)、授权(Authorization)和计费(Accounting)
作为安全专业人员,我们所做的最重要的事情之一是确保只有经过授权的个人才能访问我们保护下的信息、系统和网络。访问控制过程包括三个步骤,包括身份证明(Identification)、认证(Authentication)、授权(Authorization):
- 身份识别,用户对自己的身份进行声明。试图获得访问权限的人在这一步上没有提供任何证据,只是做出来一个声明,这个声明也可能是错误的;
- 在认证步骤中,个人要证明自己的身份,使门禁系统满意。在我们的办公大楼的例子中,警卫很可能希望看到我的驾驶执照以确认我的身份;
- 然而,仅仅证明自己的身份还不足以获得对系统的访问。门禁系统还需要确信我们是否被允许访问该系统。这就是访问控制过程的第三步,授权。在我们的办公楼的例子中,保安可能会检查当天的预约名单,看看是否包括我的名字。
在数字世界上,也是一样的道理。当我们去登录一个系统时,最常使用一个用户名来识别自己。很可能是由我们名字中的一些字母组合而成。当我们到达认证阶段时,我们通常会被要求输入一个密码。当然还有许多其他的认证方式,我们后续会进行讨论,以及强大的访问控制系统如何结合多种认证方式。最后,在数字世界中,授权通常采取访问控制列表的形式,逐项列出授予单个用户或用户组的具体权限。当用户请求访问一个资源时,他们要经过识别、认证和授权过程。除了这个过程,访问控制系统还提供计费功能,允许管理员跟踪用户活动并从日志中重建。
认证(Authentication)、授权(Authorization)和计费(Accounting)功能通常被描述为AAA。当我们设计访问控制系统时,需要考虑我们用来执行这些任务的机制。当然也要考虑身份和访问管理机制所支持的环境。在现代计算环境中,组织结合了来自云和企业内部系统的资源,将需要一个能在云和企业内部环境中工作的身份和访问管理系统。
二、用户名和准入卡(username and access cards)
身份识别(Identification)是任何访问控制系统的基本要求之一。用户必须有一种方法来识别自己的身份,以确保他们不会与该系统的任何其他用户混淆。有两种常见的身份识别机制,用户名(Username)和访问卡(Access Cards):
到目前为止,用户名是数字系统中最常见的识别手段。组织通常为每个将访问其计算机系统的人提供一个独特的标识符,他们在所有系统中使用。一般来说,用户名采用首字母和姓氏的形式,或者类似的模式,这使得看到用户名的人很容易识别拥有该用户名的人。需要注意的是,我们需要记住用户名是用来识别的,而不是用来认证的,所以没有必要对它们保密。
2.准入卡
各组织也普遍使用基于访问卡的识别系统。许多组织向其全体员工发放员工身份卡,该卡通常作为就业的主要证明。有些卡还作为进入建筑物或敏感区域的访问控制装置。它们有时也提供对数字系统的访问。在这些情况下,准入卡可以同时作为一种识别和认证工具。基于卡片的系统需要使用读卡器,不同的卡片系统的读卡机制也不同。最基本的读卡器使用磁条,类似于出现在我们的信用卡背面的那种。这些磁条很容易用现成的设备进行复制,所以它们不应该被认为是安全的。任何获得磁条卡(Magnetic Stripe Cards) 的人,甚至知道卡的编码方式的人,都可以创建一个卡的副本。智能卡(Smart cards) 将识别卡技术提高到了一个新的水平,使伪造卡变得更加困难。智能卡包含一个集成电路芯片,与读卡器一起工作以证明卡的真实性。有些智能卡是通过直接插入读卡器来读取的。非接触式智能卡或感应卡只需要放在阅读器附近。卡中的天线与读卡器进行通信。
这些卡中有一些被称为被动卡(Passive cards),必须放在读卡器中或非常靠近读卡器才能正常工作。它们从读卡器接收电源,使芯片通电,所以它们可以无限期地使用。其他感应卡被称为主动卡(Active cards),包含电池和发射器。它们使用这些电池,然后可以在更远的距离上发射,并在几英尺外被读取。收费转发器使用这种技术。有源卡的缺点是它们含有电池,必须定期更换。无论我们使用哪种技术,一个识别系统至少必须满足唯一识别系统用户的基本要求。
三、生物识别技术(Biometrics)
生物识别技术提供了一种基于一个或多个身体特征的识别手段,它们通常既是识别又是认证机制。好的生物识别认证技术可以平衡使用的难度和它们提供的安全程度。
有效的生物识别系统提供简单的注册。用户的初始设置可能需要管理员的协助,但它的完成速度相当快,而且麻烦最少。它们还具有较低的错误接受率,不会在无意中接纳未经授权的人。这些系统也应该有较低的错误拒绝率,这意味着它们不会把应该被接纳的人拒之门外。最后,它们应该具有低侵扰性。今天有各种各样的生物识别认证技术在使用:
- 指纹识别器(Fingerprint Scans)常见于笔记本电脑、智能手机、平板电脑和类似设备上。使用指纹,用户在设置账户时完成一个自我注册的过程。这些程序很受欢迎,因为它们的错误接受率和拒绝率都很低,而且通常不被认为是过分的干扰;
- 眼睛扫描(Eye Scans)检查虹膜的颜色模式或视网膜的血管模式。许多用户不喜欢眼球扫描,因为它们感觉具有侵入性。因此,它们在高度安全的实体建筑之外不常被使用。
- 声纹识别(Voiceprint Matching)要求用户重复一个短语,然后将他们的声音与存储的样本进行比较。声纹识别会受到重放攻击,攻击者会记录用户的声音。因此,除非与其他认证工具相结合,否则它们不常被使用。
- 面部识别技术(Facial Recognition)扫描用户的脸,并将其与存储的图像进行比较。在过去,面部识别技术有很高的错误拒绝率(False rejection rate),但该技术经过多年的改进,正在变得越来越普遍。
