簡體中文
English
Français
Español
Português
2024 年 10 月 31 日信息安全在當今社會關係中扮演着核心角色,它不僅保障了個體的隱私和權益,促進了社會信任和秩序的建立,還是實現資源公平分配、維護社會穩定和推動經濟發展的關鍵因素,對構建和諧社會和文化傳承具有深遠影響。
信息安全的根本就是通過控制信息資源如何被訪問來防範資源泄露或未經授權的修改。
一、什麼是訪問控制
訪問控制是一種安全手段,它控制用戶和系統與其他的系統和資源進行通信和交互。它能夠保護系統和資源免受未經授權的訪問,並且在認證通過後授權訪問的等級。訪問資源和信息的實體包括用戶、程序、進程、系統、終端等多種類型的實體。訪問是在主體和客體之間的一種信息傳輸。所謂主體是一個主動的實體,它提出對客體中的對象或數據的訪問要求,如能夠訪問信息的用戶、程序、進程等。所謂客體是含有被訪問信息的被動實體,如一台計算機,一個數據庫,一個文件,一個程序等。訪問控制使得用戶能夠控制、限制、監控以及保護資源的可用性、完整性和機密性。
二、CIA安全三原則
機密性就是保護信息不對未授權的實體泄露。
訪問控制機制需要規定誰能夠訪問該數據以及能夠對該數據做什麼操作,這些活動都需要被控制、審計和監控。
信息必須是準確的、完整的和未授權不可以修改的。
如果一種安全機制提供完整性,它將保護數據免受未授權的修改,或者如果發生了非法的修改這種安全機制會發出警告。
比如:雜湊算法、數字簽名、消息校驗碼等機制可以實現信息的完整性保護。
信息、系統和資源必須在時間上能夠保證用戶的使用,這樣才不會影響工作的進程。一般採用容錯和恢復機制。
三、身份及身份認證
在信息世界中,身份是一個實體區別於其他實體的一種標識。身份在一定範圍內具有唯一性。身份可以標識一個用戶,一台機器,一個物體,一些虛擬的實體等。
身份認證也稱為“身份驗證”或“身份鑒別”,它是指在計算機及網絡中確認實體身份的過程或是要確認通信的另一端的實體是誰的過程,從而確認該實體是否具有對某種資源的訪問和使用權限,使訪問策略能夠可靠有效執行。
用戶身份認證,用戶要向系統證明他就是他所聲稱的那個人。
機、物、虛擬實體的身份認證即實體認證,主要是指在通信中向另一端證明就是所聲稱的設備,即數據來源認證。
身份認證的作用:
• 防止攻擊者假冒合法用戶獲得資源的訪問權限
• 保證系統和數據安全
• 保證授權訪問者的合法利益
四、訪問控制和身份認證的關係
對用戶來說,他必須證明他是他所聲稱的那個人,他擁有憑證並且被授予了一定的權限能夠完成某個操作,那麼他就可以訪問某類資源。一旦這些步驟成功,這個用戶就能夠訪問和使用資源,但還需要跟蹤這個用戶的活動並且能夠對他的行為進行審計。
標識是一種能夠確保主體就是它所聲稱的那個實體的方法。標識可以通過一些證明來確認,如用戶名或賬號。為了正確的身份認證,用戶還需要提供進一步的憑證,如密碼、PIN、生物特徵或令牌。如果匹配,那麼主體就通過了身份認證。
接下來,系統需要確定這個主體是否具備相應的權限來完成它將要執行的操作。如果主體能夠訪問該資源,那麼主體就被授權。
主體在一個系統或域內的行為應當可問責,即主體能夠被唯一標識,並且主體的動作被記錄在案。
標識、認證、授權和可問責性這4步必須都發生,主體才能訪問到客體。
圖1 主體訪問客體4個步驟
用戶的身份認證方式有三種:他知道的內容,他持有的證明,他自身帶來的特徵。也就是根據知識進行認證、根據所有權進行認證以及根據特徵(生物特徵、行為特徵)進行認證。
授權。認證和授權互相配合完成兩步操作才能確認用戶是否能訪問一個資源。第一步是身份認證,用戶必須向系統證明他就是他所聲稱的那個人,第二步系統必須確認用戶已被授權訪問資源,且確認用戶能對該資源執行哪些操作。
三十年前隨着互聯網的快速發展,信息安全遭遇前所未有的挑戰,在這個關鍵時刻,握奇應運而生,開始嘗試用公開密鑰體系實現有效認證。從1995年開發的中國銀行“長城卡網絡授權系統”,到2021推出的TGoMOS®天歌開放式多應用安全操作系統;從PKI USB一代key到一系列FIDO硬件安全密鑰產品;握奇以密碼算法應用技術、數字安全防護技術和安全芯片操作系統技術為基礎,為全球用戶的身份認證提供了一系列軟硬件產品和服務。
用戶可以通過基於PKI的智能密碼鑰匙產品,使用USB接口或藍牙連接到電腦、手機等終端設備,快速、安全地完成登錄認證。目前,握奇數據FIDO系列產品和基於PKI的智能密碼鑰匙產品獲得了國家商用密碼檢測中心頒發的密碼模塊二級證書,美國NIST頒發的FIPS 104-3 Level 2認證證書,這些產品可以有效防範安全攻擊,保證用戶身份認證安全。