《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)安全等級(jí)保護(hù):標(biāo)識(shí)與鑒別的基本概念

網(wǎng)絡(luò)安全等級(jí)保護(hù):標(biāo)識(shí)與鑒別的基本概念

2021-09-25
來源:祺印說信安
關(guān)鍵詞: 標(biāo)識(shí) 鑒別

  簡(jiǎn)言之,標(biāo)識(shí)鑒別是涉及系統(tǒng)和用戶的一個(gè)過程。

  標(biāo)識(shí)就是系統(tǒng)要標(biāo)識(shí)用戶的身份,并為每個(gè)用戶取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部名稱——用戶標(biāo)識(shí)符。標(biāo)識(shí)也就是指用戶(設(shè)備)向信息系統(tǒng)(或?qū)Φ葘?shí)體)表明其身份的行為。用戶標(biāo)識(shí)符必須是唯一的且不能被偽造,防止一個(gè)用戶冒充另一個(gè)用戶。 

  先要知道李逵是李逵

  鑒別是指信息系統(tǒng)利用單一或者多重鑒別機(jī)制對(duì)用戶(設(shè)備)所聲稱身份的真實(shí)性進(jìn)行驗(yàn)證的過程。簡(jiǎn)言之,即將用戶標(biāo)識(shí)符與用戶聯(lián)系的過程稱為鑒別,鑒別過程主要用于識(shí)別用戶的真實(shí)身份,鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息,并且這個(gè)信息是秘密的,任何其他用戶都不能擁有它。為證實(shí)其身份的真實(shí)性,用戶還應(yīng)在標(biāo)識(shí)的同時(shí)提供一種或幾種鑒別信息。圖片

  不讓李鬼冒充李逵

  一般來說,作為身份認(rèn)證的信息可以分為三類,即用戶所知道的信息;用戶所持有的信息;用戶的特征;三種認(rèn)證信息舉例情況是這樣,如口令屬于用戶所知道的;智能卡屬于用戶所持有的;指紋則屬于用戶的特征。利用這三類身份認(rèn)證信息中的任何一類均可建立用戶身份的認(rèn)證機(jī)制,當(dāng)然,同時(shí)利用兩種或三種信息的組合來作為身份認(rèn)證機(jī)制,會(huì)進(jìn)一步增強(qiáng)認(rèn)證機(jī)制的有效性和強(qiáng)壯性。

  提供多種鑒別信息也正是網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)中第三級(jí)以上信息系統(tǒng)的安全計(jì)算環(huán)境的身份鑒別所要求的內(nèi)容,在網(wǎng)絡(luò)安全等級(jí)保護(hù)的第三級(jí)安全計(jì)算環(huán)境之身份鑒別的d)項(xiàng),是這么描述的“應(yīng)采用口令 、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn) ”,我們?cè)谌粘V蟹Q這個(gè)要求為“多因素認(rèn)證”。我們看到這里要求的是兩種或兩種以上的鑒別技術(shù),而不是兩“個(gè)”。所以,如果某單位信息系統(tǒng)內(nèi)的設(shè)備采用的是口令作為鑒別方式,那么無論能設(shè)置幾組口令或已經(jīng)設(shè)置幾組口令,在等級(jí)保護(hù)測(cè)評(píng)中這項(xiàng)都是不符合的,而且作為2.0的要求這里又是高風(fēng)險(xiǎn)項(xiàng),涉及到用戶測(cè)評(píng)報(bào)告結(jié)果的分,所以這里需要特別注意。圖片

  指紋

  對(duì)于大多數(shù)信息系統(tǒng)來說,鑒別一般是在用戶登錄時(shí)發(fā)生的,系統(tǒng)提示用戶輸入口令,然后判斷用戶輸入的口令是否與系統(tǒng)中存在的該用戶的口令一致??诹顧C(jī)制是簡(jiǎn)便易行的鑒別手段,但通常比較脆弱,從常規(guī)報(bào)道與人們的生活習(xí)慣,我們知道許多用戶常常使用自己的姓名、配偶的姓名、寵物的名字或者生日作為口令,這種口令很不安全,因?yàn)檫@種口令很難經(jīng)得住常見的字典攻擊的。 較安全的口令通常我們建議是不少于8個(gè)字符,較嚴(yán)格一點(diǎn)的話不少于12個(gè)字符,隨著硬件性能和攻擊口令工具的不斷更迭,口令長(zhǎng)度建議是宜長(zhǎng)不宜短。并同時(shí)含有數(shù)字、字母大小寫和特殊符號(hào),并且限定一個(gè)口令的生存周期。 另外,前面我們提到了多因素認(rèn)證,隨著生物認(rèn)證技術(shù)的不斷發(fā)展,作為一種比較有前途的鑒別用戶身份的方法,利用指紋、視網(wǎng)膜甚至是行為習(xí)慣等作為鑒別技術(shù)。目前有關(guān)技術(shù)巳取得了長(zhǎng)足進(jìn)展,已經(jīng)在多種場(chǎng)合達(dá)到了實(shí)用水平。圖片

  虹膜掃描

  標(biāo)識(shí)與鑒別是用來確保用戶在系統(tǒng)中的唯一性和可確認(rèn)性,防止信息系統(tǒng)被非授權(quán)用戶非法登錄的技術(shù)手段,是實(shí)現(xiàn)訪問控制機(jī)制的前提和基礎(chǔ)。例如,用戶登錄網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)時(shí),都需要對(duì)用戶進(jìn)行標(biāo)識(shí)與鑒別。訪問控制的決策基于可信任的標(biāo)識(shí)與鑒別,同時(shí)標(biāo)識(shí)與鑒別的信息可作為不可否認(rèn)性和用戶承擔(dān)責(zé)任的證據(jù)。下面,對(duì)標(biāo)識(shí)與鑒別和訪問控制不同處做一點(diǎn)分辨。

  訪問控制僅適用于系統(tǒng)內(nèi)的主體和客體,而不包括外界對(duì)系統(tǒng)的訪問??刂仆饨鐚?duì)系統(tǒng)訪問的技術(shù)是標(biāo)識(shí)和鑒別。有關(guān)訪問控制,就涉及強(qiáng)制訪問控制和自主訪問控制。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。