|
项目管理者联盟
简单说,身份的认证就是如何识别一个人的身份,授权则是说明谁有什么权限,两者往往是紧密相关的,所以经常作为一个问题来讨论。club.mypm.net
三种基本的认证原理项目管理培训
在大约二十年前筹建国内第一个CA系统时,记得当时来自国外的安全专家,对于身份认证与授权是这样分类的:项目管理者联盟
1、你有什么(What you have)club.mypm.net
你拥有一个唯一的、代表你的权力的物件。上中学时学过《信陵君窃符救赵》,就是说信陵君偷了魏王的虎符,调动大军救了赵国。这个虎符就代表帝王的身份和调动军队的权力。采用物件这种身份认证与授权的方式,特点是认物不认人,方便授权,可以交给信赖的人“如朕亲临”,但缺点就是一旦被窃取、被复制,就会被冒用。training.mypm.net
项目管理者联盟
2、你知道什么(What you know):项目管理者联盟
你记在自己的脑子里,只有你一个人知道的内容。《阿里巴巴和四十大盗》当中的芝麻开门,就是这种的典型例子。好处是别人很难钻到你的脑子里知道你的思想,所以一直被认为安全性比较高,能够唯一证明你的身份,但是在授权方面不怎么方便,一旦被别人知道了,就不具有唯一性了。这种方式最容易被窃取的环节就是拿出来使用的时候,阿里巴巴也是在大盗们念口令的时候偷听到的。看来这山洞门的魔法有个bug,就是不能改口令。项目管理者联盟
3、你是谁(Who you are):项目管理者联盟
主要是特指生物技术,例如指纹、虹膜等识别技术。由于这是人的身体天生自带的,而且不会改变的,重复的概率也极其微小,所以感觉上更能作为识别身份的依据。这种方式最大的特点就是人身体自带,特别适合于需要本人亲临不能授权他人的情况。bbs.mypm.net
数字时代认证方式的演变项目管理者联盟
前面说的这些方法,都是以往现实世界中的主要方法,随着数字世界的迅速繁荣,对于身份认证与授权的要求更高了,否则谁也不知道网络那头是一个人还是一条狗。由于数字化技术的迅速发展,很多身份认证与授权的技术也在不断变化,出现了许多新的挑战。项目管理者联盟
What you
have:逐渐被各种新的形式所替代,二代身份证、门禁卡、银行卡、电话号码、网银u盾等等,持有这些“物件”的人的行为,就被认为是其所有者本人(或授权)的行为。项目管理者联盟
What you
know:现在主要就是各种密码,考虑到一些情况下需要设置额外的安全问题,往往也会让你提供一些非常隐私的内容,这些内容应该是只有你一个人知道的。项目经理博客
Who you
are:指纹、虹膜、刷脸的生物识别技术现在也都比较成熟,而且随着技术改进和成本的降低,指纹、刷脸的应用已经相当成熟并迅速普及。特别是由于“随身携带”的特点,也不需要特别的记忆,用起来非常方便,受到追捧。PgMp.mypm.net
然而,“道高一尺魔高一丈”,使用生物技术也有其天然的缺点。指纹很容易被别人获取,普通相机就可以在国防部长挥手示意的时候拍到指纹(拍照时候喜欢比划剪刀手的也要当心了),脸就更不用说了,都是公开的。所以现在对于指纹和刷脸,在终端采集设备上会要求具备活体检测的能力,必须是活人。即便如此,还是存在漏洞,现在在淘宝上就可以很便宜的买到复制指纹的方法,可以睡个懒觉让同事代为指纹打卡,现在的化妆术、面膜技术,仿制一张假脸也不是什么难事。当生物特征被复制后,就变成了What
you have,复制后本人也可以不必亲临现场,而是由别人顶替。
不同应用场景的安全策略需要有针对性的设计pmp.mypm.net
不同的方式都有各自的优点和缺点,所以需要根据实际的应用场景来选择使用。www.mypm.net
一般情况而言,刷脸考勤应该是没问题的,实在是没法想象有谁会带个假脸来上班。登录个人邮箱,有个密码一般也够了,有能力的黑客一般也不会对你邮箱中收到的帐单感兴趣。出差住几天酒店,用个房卡作为房间钥匙,应该也就够用了。安全性与方便性、安全等级与成本,都需要适度平衡。bbs.mypm.net
在一些安全性要求比较高的场合,安全机制的漏洞就需要受到特别的重视,往往需要不同的方式综合运用,而且还会设计出更为复杂的安全策略。这方面我们在许多高科技十足的大片中已经屡见不鲜。项目管理者联盟
举个我们身边的简单例子,现在许多涉及金融交易的系统中,都已经要求采用双因子认证,就是除了输入密码之外,还需要采用另外一种方式加强认证,比如还需要使用网银u盾,或者使用短信验证之类的,实际就是What
you know加上What you have两种方式一起使用,提高安全程度。service.mypm.net
还有一点也应该同时提及,由于互联网是个开放的网络环境,无论是你知道的,还是你所持有的,都需要转变成数字信号在网络上传输,所以在传输过程中不被窃取、不被篡改就变的非常重要。因此在网络世界中,无论使用什么样的身份认证手段,传输加密都是不可或缺的!PgMp.mypm.net
关于CA认证training.mypm.net
基于PKI的
CA认证体系,被认为是目前商用领域比较有效的一种认证方式,在配套机制的保障下,为相应的人、机构或其他实体发放唯一的证书,以标识TA的身份,就如同在网络世界中有了身份证一样。项目管理者联盟
本文为项目管理者联盟联盟会员原创文章,授权发布,非经同意不得转载!
|
