CISSP学习笔记-13（管理身份和认证）.pdf

CISSP学习笔记-13（管理身份和认证）

知识点

控制对资产的访问

控制物理和逻辑访问

CIA三性和访问控制

管理身份标识和认证

身份标识

唯⼀性

身份认证

同时与身份标识发⽣，⼀个程的的两个步骤

⽐较主题和客体

主体

客体

身份注册、证明和创建

认知⼝令

安全问题，如你⽣⽇何时

授权和问责

授权

问责

依赖于身份标识和认证，不需要授权

身份认证因素概述

你知道什么

⼝令

PIN个⼈身份识别码

⼝令策略组件

最⻓期限

如45天修改

⼝令复杂程度

⼝令⻓度

最短期限，不少于1天

⼝令历史，防⽌重复使⽤⼝令

权威⼝令建议

NISTSP800-63B

哈希：不能以明⽂形式存储和传输

不应该过期：防⽌只⼩部分修改⼝令

不应使⽤特殊字符

可以复制和粘贴⼝令

可以使⽤所有字符

⻓度⾄少8，最多64个字符

筛选⼝令，防⽌简单⼝令

PCIDSS

90天过期⼀次

⾄少为7个字符

你拥有什么

智能卡

防篡改

令牌

同步

异步

你是什么

⽣物特征因素

⽣物特征因素错误评级

错误拒绝率FRRI类错误

假阴性，拒绝了正确⽤户

错误接受率FARII类错误

假阳性，允许了错误⽤户

交叉错误率CER或者ERRFAR和FRR的交叉点

⽣物特征注册

吞吐率

越复杂越慢，6s

多因素身份认证MFA

使⽤身份认证应⽤程序进⾏双因素身份认证

HOTP

使⽤前⼀直有效

TOTP

基于时间的⼀次性⼝令，有有效期

⽆⼝令身份认证

设备身份认证

服务身份认证

双向身份认证

实施身份管理

单点登录SSO

LDAP与集中式访问控制

安全域

检索服务，通过身份认证

LDAP与PKI

客户端查询CA获取有关证书信息使⽤LDAP协议

SSO和联合身份标识

基于云的服务使⽤SSO解决⽅案，如FIM

多个组织可以组成联盟，共享身份信息，在组织内登录可以访问其他组织资源

基于云的联合

本地联合

混合联合

准时制

⾃动创建身份给另外⼀个组织

凭证管理系统

凭证管理器应⽤程序

脚本访问

会话管理

会话保持

挑战响应令牌

（1）客户端向服务器提出服务请求Reqest。

（2）服务器收到客户端服务请求后⽣成随机数R，并向客户端发送随机数R。

（3）客户端收到随机数R后，利⽤存储在令牌内的密钥C对随机数R进⾏Hash运算，并将Hash的结果H发送到服务器。

（4）服务器在