社交网络的信息安全(10)

根据 LDAP技术,IAM 产品可以配合处理系统整合上的需求,并提供统合的、结构清楚的信息存储服务。 在这种状况下,建立一个企业特定的身份管理体系,需要进行技术整合。虽然我们也可以考虑企业 IT 的个性化的需求,但从云服务及其宣传的高度标准化的观点来看,那些走向整合的系统应结合识别即服务 (IDaaS) 。无论如何,身份识别管理即服务 ( IdMaaS )可以提供私有云更多的选择。

密码与凭证

前面所提到的核心示意图架构 (Core Schema) 也可存储密码与用户的身份验证资料。

虽然存储密码对以下功能来说是必要的,但凭证存储则决定于周边系统的需求。 如果企业采用电子邮件徽章与电子邮件加密,就需要使用到公钥基础设施( Public Key 1曲 astructure ,P阻)。非对称式加密演算的私钥也成为 LDAP 使用者的一部分。

我们只需要结合密码存储与集中式的身份管理,就可以符合云服务的身份识别与存取管理的需求。

安全机制

随着公开存取的机会增加,特别对公用云服务而言,更需要安全的数据保护机制。因此身份识别与存取管理对云服务来说,就变得更加重要。

身份验证 (Authentication) :最简单明了的意思是:检查用户名称是否属于计算机用户本人,这通常是利用应用系统的用户接口来验证。 身份验证一直都是以输入密码的方式来进行,一般的假设是验证密码通常只有计算机的用户自己才会知道。

安全验证( Secure Authentication) :除以密码做检验外,还有多因子检验方式。就双因子验证来说,最简单的例子就是网上银行所采用的短信服务交易认证号( Short essage Service-Transaction Authentication Nurnber ,SMS-TAN) 。

其他检验方式还包括:单次使用密码、令牌 (Token) 或个人标识号 (PIN) "生物特征数据(例如指纹、幢孔、视网膜模板或血管特征)及个人密钥凭证等。不论安全验证的类型为何,主要使用的原理都是相同的:输入用户名称及密码(一般是在用户注册之初便选择)之外,还需要再加上另一个检查的因子(如上述之各项检验方式) 。

上述各检验因子间的差异在于比较的过程。生物多重因子验证需要在一开始就对用户制作与存储一个验证的版型。

令牌系统通常是以周期性轮换的数字组合为基础,此周期性轮换的数字须与用户的令牌产生器及服务器上的验证组成同步变更。

读书导航