《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 网络安全等级保护:标识与鉴别的基本概念

网络安全等级保护:标识与鉴别的基本概念

2021-09-25
来源:祺印说信安
关键词: 标识 鉴别

  简言之,标识鉴别是涉及系统和用户的一个过程。

  标识就是系统要标识用户的身份,并为每个用户取一个系统可以识别的内部名称——用户标识符。标识也就是指用户(设备)向信息系统(或对等实体)表明其身份的行为。用户标识符必须是唯一的且不能被伪造,防止一个用户冒充另一个用户。 

  先要知道李逵是李逵

  鉴别是指信息系统利用单一或者多重鉴别机制对用户(设备)所声称身份的真实性进行验证的过程。简言之,即将用户标识符与用户联系的过程称为鉴别,鉴别过程主要用于识别用户的真实身份,鉴别操作总是要求用户具有能够证明他的身份的特殊信息,并且这个信息是秘密的,任何其他用户都不能拥有它。为证实其身份的真实性,用户还应在标识的同时提供一种或几种鉴别信息。图片

  不让李鬼冒充李逵

  一般来说,作为身份认证的信息可以分为三类,即用户所知道的信息;用户所持有的信息;用户的特征;三种认证信息举例情况是这样,如口令属于用户所知道的;智能卡属于用户所持有的;指纹则属于用户的特征。利用这三类身份认证信息中的任何一类均可建立用户身份的认证机制,当然,同时利用两种或三种信息的组合来作为身份认证机制,会进一步增强认证机制的有效性和强壮性。

  提供多种鉴别信息也正是网络安全等级测评中第三级以上信息系统的安全计算环境的身份鉴别所要求的内容,在网络安全等级保护的第三级安全计算环境之身份鉴别的d)项,是这么描述的“应采用口令 、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现 ”,我们在日常中称这个要求为“多因素认证”。我们看到这里要求的是两种或两种以上的鉴别技术,而不是两“个”。所以,如果某单位信息系统内的设备采用的是口令作为鉴别方式,那么无论能设置几组口令或已经设置几组口令,在等级保护测评中这项都是不符合的,而且作为2.0的要求这里又是高风险项,涉及到用户测评报告结果的分,所以这里需要特别注意。图片

  指纹

  对于大多数信息系统来说,鉴别一般是在用户登录时发生的,系统提示用户输入口令,然后判断用户输入的口令是否与系统中存在的该用户的口令一致。口令机制是简便易行的鉴别手段,但通常比较脆弱,从常规报道与人们的生活习惯,我们知道许多用户常常使用自己的姓名、配偶的姓名、宠物的名字或者生日作为口令,这种口令很不安全,因为这种口令很难经得住常见的字典攻击的。 较安全的口令通常我们建议是不少于8个字符,较严格一点的话不少于12个字符,随着硬件性能和攻击口令工具的不断更迭,口令长度建议是宜长不宜短。并同时含有数字、字母大小写和特殊符号,并且限定一个口令的生存周期。 另外,前面我们提到了多因素认证,随着生物认证技术的不断发展,作为一种比较有前途的鉴别用户身份的方法,利用指纹、视网膜甚至是行为习惯等作为鉴别技术。目前有关技术巳取得了长足进展,已经在多种场合达到了实用水平。图片

  虹膜扫描

  标识与鉴别是用来确保用户在系统中的唯一性和可确认性,防止信息系统被非授权用户非法登录的技术手段,是实现访问控制机制的前提和基础。例如,用户登录网络设备、操作系统、数据库和应用系统时,都需要对用户进行标识与鉴别。访问控制的决策基于可信任的标识与鉴别,同时标识与鉴别的信息可作为不可否认性和用户承担责任的证据。下面,对标识与鉴别和访问控制不同处做一点分辨。

  访问控制仅适用于系统内的主体和客体,而不包括外界对系统的访问。控制外界对系统访问的技术是标识和鉴别。有关访问控制,就涉及强制访问控制和自主访问控制。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。