【IT168 专稿】攻击者在攻击系统时，必须跨越的第一道障碍就是想办法连接到计算机系统中。可以有许多方法来限制并阻止这些连接，但为了让机构的工作顺利进行，几乎必须始终允许进行一些通信。在限制对系统的访问方面，最成功的战略之一是坚持身份认证（证明身份），只与熟悉的个人通信，并限制每个用户在系统中进行操作的能力。有两种控制方式，分别是认证和授权，必须采用它们来保证经过识辨和授权的个人能够做他们想做的工作。同时阻止那些想对系统进行攻击的访问。

    用户口令和基于证书的认证

    在现实世界中，我们经常使用身份证来证明自己是谁，甚至通过相互熟悉的人来证明身份。目前可用的认证系统类型有综合使用用户名和口令系统、使用正式或安全令牌系统、生物测定学。不同的认证过程有它们的长处和短处。然而，当你面对选择的时候，或者迫切需要改进系统的时候，就可以做出明智的选择，以改进网络的安全性。在进行调查的时候，必须特别注意这些系统是怎样实现的，以及它们所使用的认证因素。你将发现，如果使用安全性较为脆弱的认证方法，网络安全性就无法保证，除非信息的编码方式和实现方式都是安全的。

    现在许多网络认证算法都依靠用户名和口令，它们所采用的策略都是一样。在网络中要使用询问，而证书则来提供响应。如果响应是有效的，就认为用户通过认证，用户就可以访问系统，否则，用户就无法访问系统。随着数字化的方式在通信、研究、娱乐、金融等领域不断增长的大规模使用，人们告别了在各种系统中使用多个用户ID和口令的时代。机构也有这样的问题，它们使用了许多计算机系统和应用，这些系统和应用中的每一个都需要自身的用户名和口令。使用单一的用户ID和口令将减轻用户负担，因为用户只需要记住一个口令就行，但可能由于用户把口令写下来而又不加以保护，从而降低了口令的安全性，这是事情的另一方面。当用户共享口令时，用户使用很弱的控制来保护数据库，这些都是错误的安全观。任何人只要获得了有效的用户账户和口令，都可以成为系统中的用户。

    需要对基于口令系统进行评估，因此，不只是评估其安全算法，还必须评估课获得的控制，以保护这些口令。还需要记住，进入系统时的初始认证只是一个认证系统的一小部分，许多系统还在用户试图访问网络设备中的资源时，对用户进行认证。当前，已经出现了许多口令认证系统。目前用得最多的有三种：本地存储和比较、中心存储和比较、询问和响应。其他的一些则比较少见，比如Kerberos和一次性口令系统。

    在有些特定用户，除了需要口令还更需要证书的认证，以确保系统认证更为安全。证书是将实体（用户、计算机、服务器或设备）与公钥/私钥队中的公钥进行绑定的信息的集合。典型的证书包括可能使用证书来确定实体和特定意图的信息，在证书中可能找到序列号和有关发布证书的机构的更多信息。当证书被用于认证时，就使用私钥来对某些请求或询问进行加密或数字签名，服务器或中心认证服务器课使用相应的公钥（可从证书中得到）来对请求进行解密。由于证书的数字签名使得其他的系统评估证书的证实行。如果他们获得了发证机构（CA）正式的副本，他们就可以验证客户端正式的签名，从而保证正式的有效性。

    可扩展认证协议和生物测定学

    开发可扩展认证协议（EAP）的目的是为了允许可插拔的模块被包含在整个认证处理的过程中。这意味着认证接口和基本的处理可以始终保持不变，而可以对可接受的证书和操作它们的具体方式做出改动。一旦在系统中实施了EAP，在进行开发时添加了新的认证算法，而无需在操作系统中做大量的改动。目前在几个远程访问系统中实施了EAP，包括Microsoft的远程拨入用户认证服务（RADIUS）实施方案。

    生物测定学认证方法将双因素认证推向了极致，"你拥有的东西"在物理上就是你身体的一部分。生物测定学系统包括使用面部识别和鉴定、视网膜扫描、虹膜扫描、指纹、手掌纹理、声音识别、唇部运动和击键分析。目前已广泛使用了生物测定设备，以便在员工进入大楼和访问计算机系统时进行认证，甚至允许将枪支扣上扳机。在各种不同的情况下，用于比较的算法可能不同，但要对身体的一部分进行检查，并且要将第一无二的数据点进行映射，以便与存储在数据库中的映像进行比较。如果这些映像是匹配的，那么将通过认证。每个系统的相对精度由错误拒绝的数量和它所生产的错误肯定来进行评估。

    用户权限和基于角色的授权

    与认证相对应的是授权，认证确定用户是谁，授权则确定用户能做些什么。授权典型地被认为是建立一种对资源进行访问的方式，比如对文件和打印机的访问，授权还解决了用户可能在系统上或在网络上所具有的权限问题。在最终的使用中，授权甚至指定了用户是否能够访问系统。特权或用户权限与许可是不一样的。用户权限提供了授权，所做的失去会影响到整个系统，可以具备创建组、将用户分配到组、登陆到系统的能力，而且还可以分配更多的用户权限。其他的用户权限是隐含的，是一些许可到默认组的权限（默认组是由操作系统而不是由管理员所创建的，这些权限是不能被删除）。

    在公司内部的每一项工作都需要扮演一定的角色。如果要干工作的话，每个雇员都需要特权（做某些事的权利）和许可（允许访问资源并指定他们能用这些资源做什么）。计算机系统的可能用户需求的变化，并不是所有用户都需要给予管理系统的权限。在公司，用户角色分得很细致，可以通过对用户进行安全许可来进行量化，例如，可以允许他们访问特定的数据或允许运行特定的程序。其他区别可能是由于用户在数据库或其他应用系统中的角色不同而引起的。在这些居于角色的系统中，最简单的例子是，用户被添加到有特定权限和特权的组中。他基于角色系统使用更复杂的访问控制系统，包括一些只能通过对操作系统进行设计来管理它们才能得以实施的一些系统。

    访问控制列表和规则的授权

    在有些情况下，授权也许不起作用，但是可以很好的使用控制列表（ACL）。信息系统也可能使用访问控制列表来决定是否所请求的服务或资源进行授权。在服务器上，对文件的访问通常由在每个文件中所维护的信息进行控制。同样，对于网络设备之间的不同类型的通信的控制能力，可由访问控制列表进行控制。

    网络设备可以用ACL来控制对网络的访问，还可以控制被允许的访问类型。尤其要说明的是在路由器和防火墙上所有的配置的访问控制列表，可以指定哪一台计算机的那一个端口能够允许进入的通信流量，或者哪种类型的流量可以被网络设备接收并转发到相信的网络中。

    基于规则的授权需要开发出规则来保证特定的用户可以在系统上做些什么。这些规则可以提供诸如"用户张三可以访问资源Z但不能访问资源D"之类的信息。更复杂的规则可以指定组合信息，比如"只有当用户李四坐在数据中心的监控台前面时，他才可以读文件P"。在小一些的系统中，基于规则授权可能并不太难，因而还能够进行维护，但在太大的系统和网络中，相应的管理工作极度令人乏味和困难重重的。

    总结

    尽管现在的许多认证系统都是基于硬件的，比如安全令牌和智能卡，认证的过程也被认为是更加安全，例如可以采取一次性口令，但大多数系统仍然依靠口令来进行认证。对用户进行培训和对用户账户进行控制，都是保障认证更加有效的关键部分。另一方面，通过授权来决定通过认证的用户可以在系统和网络上做些什么。已经有了一些控制措施，可以帮助我们比较明确地定义这些访问权限。