身份标识和认证技术|学习笔记

本文涉及的产品
访问控制,不限时长
简介: 快速学习身份标识和认证技术

开发者学堂课程【云安全基础课 - 访问控制概述身份标识和认证技术】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址:https://developer.aliyun.com/learning/course/495/detail/6643


身份标识和认证技术


内容介绍:

一、身份认证和标识的作用

二、鉴别和鉴别的类型

三、身份鉴别的方法

四、身份鉴别的技术


一、身份标识和标识的作用

1、标识的概念

主体唯一身份凭证( ldentity )的断言(Assertion )访问控制的起点之一反映了工作职责、IT 属性以及人身属性。

2、标识的主要作用

访问控制和审计访问控制就是通过标识来判断主体,也就是判断该用户是否能够进行相应的操作,如果没有正确的这个身份标识,就不能进行相关的操作,也就无法确定如何进行控制,第二就是审计的功能,通过标识来进行跟踪所有操作的参与者,参与者的任意动作都能被标识标记出来,这就是审计的作用。我们常见的标识在it系统之中有用户名、用户 ID 帐号,还有其他一些数字识别的信息都可以成立标识。


二、鉴别和鉴别类型

鉴主要是观察的意思,别是识别的意思。

1、鉴别的概念

客体确认主体是否是它所声明的,提供了关于某个主体身份的保证,某一主体确信与之打交道的主体正是所需要的主体。

2、需求

某一成员(声称者)提交一个主体的身份并声称它是那个主体

3、目的

使别的成员(验证者)获得对声称者所声称的事实的信任通过系统的鉴别可以达到该目的,即通过了认证。

4、常见鉴别

口令、挑战-应答、生物特征鉴别

5、鉴别的类型

单向鉴别、双向鉴别、第三方鉴别。

单向鉴别:通信双方中只有一方像另一方进行鉴别

双向鉴别:通信双方互相进行鉴别

第三方鉴别:由一个可信的第三方来进行鉴别,像CBA就属于可信的第三方鉴别。根据远程和本地可以分为远程鉴别和本地鉴别两种。

本地鉴别:实体在本地环境的初始化鉴别

远程鉴别:连接到远程设备的实体鉴别远程鉴别和本地鉴别。

 

三、身份鉴别的方法

对用户身份标识的认证( Verifying )过程。

类型1∶你知道什么

类型2∶你拥有的什么

类型3∶你是什么或者你做什么多因素和双因素认证

身份鉴别的具体方法就是认证,即对用户身份标识的认证过程,这就是个IT中身份鉴别。

身份认证有三种类型,一种就是基于你所知道的,这是我们应用最多的,像密码、口令,还有相关知识等,都是所知道的;第二种类型是你拥有的,像身份证、信用卡、银行卡,并且知道密码就可以去取;第三种类型是你是什么或者你做了什么,这种类型更多是基于个人特征的,像指纹、声音、视网膜、虹膜的识别等基于生物特征的认证。

除此之外,还有多种类型的组合,像多因素或者是双因素认证,比如说你有什么和你知道什么的一种组合,可能你有密码,并且你还有身份证或是银行卡,此时就能取款了,实际上这就是一种双因素认证。


四、身份鉴别的技术

>基于口令的身份认证

l 口令是使用最广泛的身份鉴别方法

l 选择原则:易记、难猜测、抗分析能力强口令提供弱鉴别

l 面临的威胁:口令猜测、线路窃听、重放攻击

身份证技术有三种类型,一个是基于口令的,对基于口令的认证技术进行扩展。口令是使用最广泛的身份鉴别方法之一,口令的选择原则是要选择易记、但是难猜测且抗分析性强的。

口令在安全上会有几个问题,即面临的威胁有:第一个就是口令猜测,就是大家常说的暴力破解,给一个用户名张三儿,然后去猜123456、12345678等不断的去尝试,这就是口令猜测、口令破解;第二就是链路的窃听,我们知道在传输过程中的访问控制是主体访问客体的一个过程,口令猜测可以是针对主体提供的凭证的一种攻击,而链路上的窃听则属于针对访问过程的攻击;

第三个面临的问题就是重放,如果知道了密码,或者密码的密文被截取后,可以不断的去重放这个过程来完成认证,对系统来说,它一样能够鉴别成功。

例如下单时,如果系统存在漏洞,同一个单可以不断的去提交,在系统里面由于缺陷漏洞造成的同一个单不断去提交,就属于重放的攻击。

>基于生物特征的身份认证

每个人所具有的唯一生理特征∶

l 指纹

l 手掌手型

l 视网膜

l 虹膜

l 声音

l 语音

l 面部

l 签名

第二种身份认证的技术是基于生物特征的身份认证,这也是我们经常使用的身份认证方式。

每个人都有一个唯一的身份,里面罗列了很多个人信息,像指纹,在手掌上各种曲线交叉具有各种非常细微的特征;

还有像手掌的掌形、手掌的折痕、褶皱,以及各种包凸起、人手的形状等,这些都表示了手的几何特征;像视网膜、虹膜,扫描眼球之视网膜上会有血管儿的图案,这就是视网膜的扫描。

虹膜则是眼睛周围瞳孔周围的彩色部分,虹膜也有其独特的图案,有分叉的、有颜色的不同,还有环状的光环、褶皱的不同等等;那还有声音和语音的特征,像记录时候几个不同的单词,你的说话的速度、说话的语调、语音等,这些都属于语音识别方面的特征;还有人的面部,人脸的识别,脸部的骨骼结构、鼻梁、眼眶、额头、下额等不同的形状来区分每个人的生理特征;还有不同人的签名也是一个个人的身份特征,每个人写字的姿势都不一样,然后写出同一个字的流畅度也不一样,轻重也会不一样,所以这些都可以作为一个生命特征来进行身份认证。

>基于个人令牌的身份认证

集成电路卡(Integrated Circuit Card)称 IC 卡,其中镶嵌集成电路芯片。

IC 卡的分类:

IC 卡接口类型:

l 接触式 IC 卡

l 非接触式 IC 卡

l 双界面卡

嵌入集成电路芯片的形式和类型:

l 非加密存储卡

l 逻辑加密卡

l CPU 卡(又称智能卡)

第三种身份证技术是基于个人令牌的身份认证,这里面比较典型的有像集成电路卡,也就是我们常说的 IC 卡,IC 卡中可能还镶嵌了集成电路芯片。常见的 IC 卡有以下几类,有接触式的还有非接触式的,还有双界面的卡。

嵌入集成电路芯片的形状和类型可能也不同,有非加密存储卡,有逻辑加密卡,还有 cpu 卡(也就是现在我们使用最多的智能卡)。

相关文章
|
7月前
|
安全 区块链 UED
带你读《自主管理身份:分布式数字身份和可验证凭证》精品文章合集
带你读《自主管理身份:分布式数字身份和可验证凭证》精品文章合集
|
网络协议 安全 数据安全/隐私保护
带你读《自主管理身份:分布式数字身份和可验证凭证》——第1章 为何互联网缺少身份层—为何 SSI可以为其提供身份层
带你读《自主管理身份:分布式数字身份和可验证凭证》——第1章 为何互联网缺少身份层—为何 SSI可以为其提供身份层
带你读《自主管理身份:分布式数字身份和可验证凭证》——第1章 为何互联网缺少身份层—为何 SSI可以为其提供身份层
|
安全 区块链 数据安全/隐私保护
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
|
存储 安全 物联网
带你读《自主管理身份:分布式数字身份和可验证凭证》——第3章 用示例场景演示SSI工作原理(2)
带你读《自主管理身份:分布式数字身份和可验证凭证》——第3章 用示例场景演示SSI工作原理(2)
带你读《自主管理身份:分布式数字身份和可验证凭证》——第3章 用示例场景演示SSI工作原理(2)
|
安全 数据安全/隐私保护 物联网
带你读《自主管理身份:分布式数字身份和可验证凭证》——第3章 用示例场景演示SSI工作原理(1)
带你读《自主管理身份:分布式数字身份和可验证凭证》——第3章 用示例场景演示SSI工作原理(1)
带你读《自主管理身份:分布式数字身份和可验证凭证》——第3章 用示例场景演示SSI工作原理(1)
|
API
对企业用户信息进行认证的几种方式
企业认证的方式有很多种,根据业务类型和平台定位的不同,分为多种不同的形式,一般是通过人工审核和接入数据服务商的数据认证接口进行信息验证,具体常见的认证方式有以下几种。
256 0
对企业用户信息进行认证的几种方式
|
设计模式 架构师 网络安全
带你读《自主管理身份:分布式数字身份和可验证凭证》——关于本书
带你读《自主管理身份:分布式数字身份和可验证凭证》——关于本书
|
区块链 人工智能 安全
带你读《自主管理身份:分布式数字身份和可验证凭证》——前言
带你读《自主管理身份:分布式数字身份和可验证凭证》——前言
|
安全 物联网 区块链
带你读《自主管理身份:分布式数字身份和可验证凭证》——序
带你读《自主管理身份:分布式数字身份和可验证凭证》——序