身份验证与访问控制
身份验证核实一方的身份,访问控制决定该方可以做什么;它们共同作为守门人,在每个多用户系统中执行安全策略。
Definition
身份验证是建立对所声称身份的信任的过程,而访问控制是执行规则的过程,这些规则决定了哪些经过身份验证的主体可以对哪些资源执行哪些操作。
Scope
本主题涵盖身份验证(密码、多因素身份验证、生物识别、加密凭证、单点登录)以及授权的模型和机制(访问控制列表、能力、基于角色和基于属性的访问控制、最小权限原则)。它涉及联邦身份和OAuth、SAML等协议。它不包括凭证底层的加密原语以及网络安全中处理的网络层控制。
Core questions
- 系统如何可靠地验证一方是否是其声称的身份?
- 知识、拥有和固有身份验证因素之间有哪些权衡?
- 访问控制模型(DAC、MAC、RBAC、ABAC)如何表达和执行策略?
- 最小权限原则在实践中如何应用?
- 身份如何通过单点登录在组织间联邦化?
Key concepts
- 身份验证因素
- 多因素身份验证
- 密码和凭证存储
- 生物识别
- 访问控制列表和能力
- 基于角色的访问控制 (RBAC)
- 基于属性的访问控制 (ABAC)
- 最小权限
- 单点登录和联邦身份
Key theories
- 身份验证因素和多因素身份验证
- 身份通过您所知道的(密码)、拥有的(令牌或手机)或您所是的(生物识别)来验证;结合独立的因素大大提高了抵御凭证盗窃的门槛,因为仅破坏一个因素是不够的。
- 访问控制模型和最小权限
- 授权通过模型(自主访问控制、强制访问控制、基于角色(RBAC)和基于属性(ABAC))进行结构化,这些模型在最小权限原则的指导下,仅授予每个主体所需的权限,从而限制了泄露造成的损害。
Mechanisms
身份验证机制验证一个因素:比较加盐的密码哈希值、验证一次性代码或硬件令牌签名,或匹配生物识别模板。加密身份验证(公钥证书、FIDO2/WebAuthn)证明拥有私钥而无需发送秘密。授权然后查阅策略:访问控制列表将权限附加到资源,能力将权限附加到主体,而RBAC/ABAC根据角色或属性计算决策。联邦身份协议(OAuth、OIDC、SAML)允许一个提供商向多个服务担保用户。
Clinical relevance
身份验证和访问控制是大多数实际攻击成功或失败的关键:被盗或可被网络钓鱼的密码导致了大多数数据泄露,这就是为什么现在强烈推荐多因素身份验证和防网络钓鱼的通行密钥(WebAuthn)。RBAC管理企业和云平台中的权限,而单点登录(Google、Microsoft登录)塑造了日常用户体验及其安全风险。
Evidence & guidelines
NIST SP 800-63(数字身份指南)定义了身份验证保障级别和现代密码指南(倾向于长度和泄露检查而非强制复杂性)。RBAC被标准化为INCITS 359,FIDO2/WebAuthn提供了防网络钓鱼的身份验证。OAuth 2.0 (RFC 6749) 和 OpenID Connect 标准化了联邦授权和身份验证。
History
访问控制的历史可以追溯到早期的分时系统,Lampson的访问控制矩阵和Bell-LaPadula强制模型在20世纪70年代将其形式化。基于角色的访问控制由Sandhu及其同事于1996年形式化,并成为企业标准。身份验证从密码演变为硬件令牌和一次性密码,再到当今的多因素和防网络钓鱼通行密钥,而联邦身份(SAML,然后是OAuth/OIDC)实现了网络规模的单点登录。
Key figures
- Ravi Sandhu
- Ross Anderson
- Jerome Saltzer
- Butler Lampson
- Roger Needham
Related topics
Seminal works
- anderson2020
- sandhu1996
- saltzer1975
Frequently asked questions
- 为什么强烈推荐多因素身份验证?
- 仅凭密码常常通过网络钓鱼、重复使用和数据库泄露被盗。要求第二个独立的因素(设备或生物识别)意味着被盗的密码不足以登录,从而阻止了绝大多数账户劫持攻击。
- RBAC和ABAC有什么区别?
- 基于角色的访问控制通过分配给用户的角色授予权限,这易于管理。基于属性的访问控制根据用户、资源和上下文(例如时间或位置)的属性做出决策,以更高的复杂性提供更细粒度、动态的策略。