初识身份认证

1. 概念解释

身份的识别和验证，用于计算机系统中，用于标识操作者的身份，进而确定其操作权限。

目的：

1）保证合法用户的权益；

2）防止非法用户的破坏；

同时也要对服务器进行验证。

双向认证：服务器对客户端的认证，客户端对服务器的认证。kerberos

2. 认证方法

可基本归纳为3种：

1）根据what you know确认；

2）根据what you have确认；

3）根据who you are(生物特征)确认；

具体的形式有：

1）EID：网络身份证，未见过；

2）静态密码：用户名和密码；what you know

3）智能卡；what you have，也为静态。

4）短信密码：动态密码，what you have

5）动态口令：主流是基于时间同步方式，每60s更换下口令；what you have

有2种认证方式：

-》同步：基于时间同步，基于事件同步

->异步：挑战/应答

6）USB KEY:软硬结合，一次一密，强双因子；

USB借口的硬件设备，内置单片机或智能卡芯片，有存储空间，用于存储用户的私钥以及数字证书，利用USB KEY中的公钥算法实现对用户的身份认证。

7）生物特征：比如指纹、虹膜等

3. 云身份认证

云的特性：

1）传统的认证，仅是C/S之间的认证。如果是云，因虚拟化的存在，期间经过很多的中间环节，比如虚拟机操作系统的登录等，多个服务的认证，用户需要维护很多的口令、证书、密钥等，很痛苦；

2）资源动态扩展和缩容比较方便，管理域权限的维护比较繁琐。比如新增一台物理主机，谁可以来访问并使用它是个问题。

3）每个安全域的认证机制可能是各不相同，域间共享成为奢望；

解决方案：统一的身份认证和访问控制管理模式，结合分权分域控制域间访问。

1）集中认证

主流的认证方式：LDAP/数字证书/令牌卡认证/硬件信息绑定/生物特征认证

等级认证:根据系统、应用和端口等资源的等级

提供用户登录日志访问，越详细越好

2）集中授权

用户+角色

细粒度，细到什么程度

3）访问授权策略

认证策略：用户身份和终端绑定，完整性策略，口令策略

授权策略：集中和分权

账号策略：用户连续登陆失败次数及采取的措施，长期不用处理，单一登录

4）账号管理

最小特权

多因子认证

不同账户的初始密码各不相同，且第一次登录成功后，强烈建议用户更改密码

强密码

传输过程加密，使用SSL、TLS、IPSec