• 新聞動態(tài)

    關(guān)于身份的那些事之(一)身份標識、身份認證、授權(quán)和可問責性

    2024 年 10 月 31 日

    信息安全在當今社會關(guān)系中扮演著核心角色,它不僅保障了個體的隱私和權(quán)益,促進了社會信任和秩序的建立,還是實現(xiàn)資源公平分配、維護社會穩(wěn)定和推動經(jīng)濟發(fā)展的關(guān)鍵因素,對構(gòu)建和諧社會和文化傳承具有深遠影響。

    信息安全的根本就是通過控制信息資源如何被訪問來防范資源泄露或未經(jīng)授權(quán)的修改。

    一、什么是訪問控制

    訪問控制是一種安全手段,它控制用戶和系統(tǒng)與其他的系統(tǒng)和資源進行通信和交互。它能夠保護系統(tǒng)和資源免受未經(jīng)授權(quán)的訪問,并且在認證通過后授權(quán)訪問的等級。訪問資源和信息的實體包括用戶、程序、進程、系統(tǒng)、終端等多種類型的實體。訪問是在主體和客體之間的一種信息傳輸。所謂主體是一個主動的實體,它提出對客體中的對象或數(shù)據(jù)的訪問要求,如能夠訪問信息的用戶、程序、進程等。所謂客體是含有被訪問信息的被動實體,如一臺計算機,一個數(shù)據(jù)庫,一個文件,一個程序等。訪問控制使得用戶能夠控制、限制、監(jiān)控以及保護資源的可用性、完整性和機密性。

    二、CIA安全三原則

    icon
    機密性(Confidentiality)
    機密性就是保護信息不對未授權(quán)的實體泄露。
    訪問控制機制需要規(guī)定誰能夠訪問該數(shù)據(jù)以及能夠?qū)υ摂?shù)據(jù)做什么操作,這些活動都需要被控制、審計和監(jiān)控。
    icon
    完整性(Integrity)
    信息必須是準確的、完整的和未授權(quán)不可以修改的。
    如果一種安全機制提供完整性,它將保護數(shù)據(jù)免受未授權(quán)的修改,或者如果發(fā)生了非法的修改這種安全機制會發(fā)出警告。
    比如:雜湊算法、數(shù)字簽名、消息校驗碼等機制可以實現(xiàn)信息的完整性保護。
    icon
    可用性(Availability)
    信息、系統(tǒng)和資源必須在時間上能夠保證用戶的使用,這樣才不會影響工作的進程。一般采用容錯和恢復(fù)機制。


    三、身份及身份認證

    在信息世界中,身份是一個實體區(qū)別于其他實體的一種標識。身份在一定范圍內(nèi)具有唯一性。身份可以標識一個用戶,一臺機器,一個物體,一些虛擬的實體等。

    身份認證也稱為“身份驗證”或“身份鑒別”,它是指在計算機及網(wǎng)絡(luò)中確認實體身份的過程或是要確認通信的另一端的實體是誰的過程,從而確認該實體是否具有對某種資源的訪問和使用權(quán)限,使訪問策略能夠可靠有效執(zhí)行。

    用戶身份認證,用戶要向系統(tǒng)證明他就是他所聲稱的那個人。

    機、物、虛擬實體的身份認證即實體認證,主要是指在通信中向另一端證明就是所聲稱的設(shè)備,即數(shù)據(jù)來源認證。

    身份認證的作用:

     ? 防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限

     ? 保證系統(tǒng)和數(shù)據(jù)安全

     ? 保證授權(quán)訪問者的合法利益

    四、訪問控制和身份認證的關(guān)系

    對用戶來說,他必須證明他是他所聲稱的那個人,他擁有憑證并且被授予了一定的權(quán)限能夠完成某個操作,那么他就可以訪問某類資源。一旦這些步驟成功,這個用戶就能夠訪問和使用資源,但還需要跟蹤這個用戶的活動并且能夠?qū)λ男袨檫M行審計。

    標識是一種能夠確保主體就是它所聲稱的那個實體的方法。標識可以通過一些證明來確認,如用戶名或賬號。為了正確的身份認證,用戶還需要提供進一步的憑證,如密碼、PIN、生物特征或令牌。如果匹配,那么主體就通過了身份認證。

    接下來,系統(tǒng)需要確定這個主體是否具備相應(yīng)的權(quán)限來完成它將要執(zhí)行的操作。如果主體能夠訪問該資源,那么主體就被授權(quán)。

    主體在一個系統(tǒng)或域內(nèi)的行為應(yīng)當可問責,即主體能夠被唯一標識,并且主體的動作被記錄在案。

    標識、認證、授權(quán)和可問責性這4步必須都發(fā)生,主體才能訪問到客體。

    圖1 主體訪問客體4個步驟

    用戶的身份認證方式有三種:他知道的內(nèi)容,他持有的證明,他自身帶來的特征。也就是根據(jù)知識進行認證、根據(jù)所有權(quán)進行認證以及根據(jù)特征(生物特征、行為特征)進行認證。

    授權(quán)。認證和授權(quán)互相配合完成兩步操作才能確認用戶是否能訪問一個資源。第一步是身份認證,用戶必須向系統(tǒng)證明他就是他所聲稱的那個人,第二步系統(tǒng)必須確認用戶已被授權(quán)訪問資源,且確認用戶能對該資源執(zhí)行哪些操作。

    三十年前隨著互聯(lián)網(wǎng)的快速發(fā)展,信息安全遭遇前所未有的挑戰(zhàn),在這個關(guān)鍵時刻,握奇應(yīng)運而生,開始嘗試用公開密鑰體系實現(xiàn)有效認證。從1995年開發(fā)的中國銀行“長城卡網(wǎng)絡(luò)授權(quán)系統(tǒng)”,到2021推出的TGoMOS?天歌開放式多應(yīng)用安全操作系統(tǒng);從PKI USB一代key到一系列FIDO硬件安全密鑰產(chǎn)品;握奇以密碼算法應(yīng)用技術(shù)、數(shù)字安全防護技術(shù)和安全芯片操作系統(tǒng)技術(shù)為基礎(chǔ),為全球用戶的身份認證提供了一系列軟硬件產(chǎn)品和服務(wù)。

    用戶可以通過基于PKI的智能密碼鑰匙產(chǎn)品,使用USB接口或藍牙連接到電腦、手機等終端設(shè)備,快速、安全地完成登錄認證。目前,握奇數(shù)據(jù)FIDO系列產(chǎn)品和基于PKI的智能密碼鑰匙產(chǎn)品獲得了國家商用密碼檢測中心頒發(fā)的密碼模塊二級證書,美國NIST頒發(fā)的FIPS 104-3 Level 2認證證書,這些產(chǎn)品可以有效防范安全攻擊,保證用戶身份認證安全。