標識就是系統(tǒng)要標識用戶的身份,并為每個用戶取一個系統(tǒng)可以識別的內部名稱——用戶標識符。標識也就是指用戶(設備)向信息系統(tǒng)(或對等實體)表明其身份的行為。用戶標識符必須是唯一的且不能被偽造,防止一個用戶冒充另一個用戶。
先要知道李逵是李逵
鑒別是指信息系統(tǒng)利用單一或者多重鑒別機制對用戶(設備)所聲稱身份的真實性進行驗證的過程。簡言之,即將用戶標識符與用戶聯(lián)系的過程稱為鑒別,鑒別過程主要用于識別用戶的真實身份,鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息,并且這個信息是秘密的,任何其他用戶都不能擁有它。為證實其身份的真實性,用戶還應在標識的同時提供一種或幾種鑒別信息。圖片
不讓李鬼冒充李逵
一般來說,作為身份認證的信息可以分為三類,即用戶所知道的信息;用戶所持有的信息;用戶的特征;三種認證信息舉例情況是這樣,如口令屬于用戶所知道的;智能卡屬于用戶所持有的;指紋則屬于用戶的特征。利用這三類身份認證信息中的任何一類均可建立用戶身份的認證機制,當然,同時利用兩種或三種信息的組合來作為身份認證機制,會進一步增強認證機制的有效性和強壯性。
提供多種鑒別信息也正是網(wǎng)絡安全等級測評中第三級以上信息系統(tǒng)的安全計算環(huán)境的身份鑒別所要求的內容,在網(wǎng)絡安全等級保護的第三級安全計算環(huán)境之身份鑒別的d)項,是這么描述的“應采用口令 、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現(xiàn) ”,我們在日常中稱這個要求為“多因素認證”。我們看到這里要求的是兩種或兩種以上的鑒別技術,而不是兩“個”。所以,如果某單位信息系統(tǒng)內的設備采用的是口令作為鑒別方式,那么無論能設置幾組口令或已經(jīng)設置幾組口令,在等級保護測評中這項都是不符合的,而且作為2.0的要求這里又是高風險項,涉及到用戶測評報告結果的分,所以這里需要特別注意。圖片
指紋
對于大多數(shù)信息系統(tǒng)來說,鑒別一般是在用戶登錄時發(fā)生的,系統(tǒng)提示用戶輸入口令,然后判斷用戶輸入的口令是否與系統(tǒng)中存在的該用戶的口令一致。口令機制是簡便易行的鑒別手段,但通常比較脆弱,從常規(guī)報道與人們的生活習慣,我們知道許多用戶常常使用自己的姓名、配偶的姓名、寵物的名字或者生日作為口令,這種口令很不安全,因為這種口令很難經(jīng)得住常見的字典攻擊的。 較安全的口令通常我們建議是不少于8個字符,較嚴格一點的話不少于12個字符,隨著硬件性能和攻擊口令工具的不斷更迭,口令長度建議是宜長不宜短。并同時含有數(shù)字、字母大小寫和特殊符號,并且限定一個口令的生存周期。 另外,前面我們提到了多因素認證,隨著生物認證技術的不斷發(fā)展,作為一種比較有前途的鑒別用戶身份的方法,利用指紋、視網(wǎng)膜甚至是行為習慣等作為鑒別技術。目前有關技術巳取得了長足進展,已經(jīng)在多種場合達到了實用水平。圖片
虹膜掃描
標識與鑒別是用來確保用戶在系統(tǒng)中的唯一性和可確認性,防止信息系統(tǒng)被非授權用戶非法登錄的技術手段,是實現(xiàn)訪問控制機制的前提和基礎。例如,用戶登錄網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)時,都需要對用戶進行標識與鑒別。訪問控制的決策基于可信任的標識與鑒別,同時標識與鑒別的信息可作為不可否認性和用戶承擔責任的證據(jù)。下面,對標識與鑒別和訪問控制不同處做一點分辨。
訪問控制僅適用于系統(tǒng)內的主體和客體,而不包括外界對系統(tǒng)的訪問。控制外界對系統(tǒng)訪問的技術是標識和鑒別。有關訪問控制,就涉及強制訪問控制和自主訪問控制。
