在组织的身份和访问管理 (IAM) 系统中,身份验证和授权是相关但不同的过程。身份验证可验证用户的身份。授权可让用户获得对系统资源的适当访问级别。
身份验证过程依赖于用户提供的凭证(例如密码或指纹扫描),以证明他们是其所声称的身份。
Related articles
授权过程依赖于用户权限,这些权限规定了每个用户可以在特定资源或网络中执行的操作。例如,文件系统中的权限可能规定用户是否可以创建、读取、更新或删除文件。
身份验证和授权流程适用于人类和非人类用户,例如设备、自动化工作负载和 Web 应用。单个 IAM 系统可能同时处理身份验证和授权,或者这些流程可能由协同工作的独立系统处理。
身份验证通常是授权的先决条件。系统必须知道用户是谁,然后才能授予该用户访问权限。
基于身份的攻击正在增多,黑客通过这种攻击劫持有效用户账户并滥用其访问权限。据 IBM 称 X-Force® 威胁情报指数,这些攻击是威胁行为者潜入网络的最常见方式,占所有网络攻击的30%。
身份验证和授权协同工作,以实施安全访问控制并阻止数据泄露。强大的身份验证流程使黑客更难接管用户帐户。强大的授权限制了黑客利用这些帐户造成的损害。
了解身份验证
身份验证的工作原理
身份验证(有时缩写为“authn”)基于用户凭证的交换,也称为 认证因素. 身份验证因素是证明用户身份的证据。
当用户首次在系统中注册时,他们会建立一组身份验证因素。当用户登录时,他们会提供这些因素。系统会将提供的因素与文件中的因素进行核对。如果匹配,系统就会相信用户就是他们声称的那个人。
常见的身份验证因素类型包括:
- 知识因素: 只有用户知道的信息,例如密码、PIN 或安全问题的答案。
- 占有因素: 只有用户才拥有的东西,例如通过短信或物理安全令牌发送到用户个人手机上的一次性 PIN 码 (OTP)。
- 固有因素: 生物识别技术,例如面部识别和指纹扫描。
各个应用和资源可以拥有自己的身份验证系统。许多组织使用一个集成系统,例如单点登录 (SSO) 解决方案,用户只需进行一次身份验证即可访问安全域中的多个资源。
常见的认证标准包括 安全断言标记语言 (SAML) 和 OpenID 连接 (OIDC)。SAML 使用 XML 消息在系统之间共享身份验证信息,而 OIDC 使用称为“ID 令牌”的 JSON Web 令牌 (JWT)。
身份验证类型
- 单因素身份验证 (SFA) 需要一个身份验证因素来证明用户身份。提供用户名和密码登录社交媒体网站是 SFA 的典型示例。
- 多因素身份验证 (外交部) 需要至少两种不同类型的身份验证因素,例如密码(知识因素)和指纹扫描(固有因素)。
- 双重身份验证 (双重认证) 是一种特定类型的 MFA,只需要两个因素。大多数互联网用户都经历过 2FA,例如当银行应用程序需要密码和发送到用户手机的一次性代码时。
- 无密码身份验证 方法不使用密码或任何知识因素。无密码系统已成为一种流行的防御手段,用于防范凭证窃贼,他们瞄准知识因素,因为它们最容易被窃取。
- 自适应身份验证 系统使用人工智能和机器学习根据用户行为的风险程度调整身份验证要求。例如,试图访问机密数据的用户可能需要提供多个身份验证因素,然后系统才能验证它们。
了解 IBM 的身份和安全专家如何帮助简化 IAM 工作、管理混合云环境中的解决方案并转变治理工作流程。
身份验证示例
- 使用指纹扫描和 PIN 码来解锁智能手机。
- 出示身份证件来开设新银行账户。
- 网络浏览器通过检查网站的数字证书来验证网站是否合法。
- 应用程序通过在其发出的每次调用中包含其秘密 API 密钥来向应用程序编程接口 (API) 验证自身。
了解授权
授权的工作原理
授权(有时缩写为“authz”)基于用户权限。权限是一种策略,详细说明用户可以访问哪些内容以及他们可以利用该权限在系统中执行哪些操作。
管理员和安全主管通常会定义用户权限,然后由授权系统强制执行。当用户尝试访问资源或执行操作时,授权系统会先检查其权限,然后才允许他们继续操作。
考虑一个包含客户记录的敏感数据库。授权决定用户是否可以查看此数据库。如果可以,授权还决定他们可以在数据库中执行的操作。他们只能读取条目,还是也可以创建、删除和更新条目?
OAuth 2.0是使用访问令牌将权限委托给用户的常见授权协议之一。OAuth 允许应用程序相互共享数据。例如,OAuth 允许社交媒体网站扫描用户的电子邮件联系人,查找用户可能认识的人(前提是用户同意)。
授权类型
- 基于角色的访问控制 (RBAC) 方法根据用户的角色确定用户的访问权限。例如,初级安全分析师可能能够查看防火墙配置但不能更改它们,而网络安全主管可能拥有完全的管理访问权限。
- 基于属性的访问控制 (ABAC) 方法使用用户、对象和操作的属性(例如用户名、资源类型和时间)来确定访问级别。当用户尝试访问资源时,ABAC 系统会分析所有相关属性,并且只有在满足某些预定义条件时才授予访问权限。例如,在 ABAC 系统中,用户可能只能在工作时间访问敏感数据,并且只有他们拥有一定级别的资历。
- 强制访问控制(MAC) 系统对所有用户实施集中定义的访问控制策略。MAC 系统不如 RBAC 和 ABAC 精细,访问通常基于设置的许可级别或信任分数。许多操作系统使用 MAC 来控制程序对敏感系统资源的访问。
- 自主访问控制 (DAC) 系统允许资源所有者为这些资源设置自己的访问控制规则。DAC 比 MAC 的统一策略更灵活。
授权示例
- 当用户登录到他们的电子邮件帐户时,他们只能看到自己的电子邮件。他们无权查看任何其他人的邮件。
- 在医疗记录系统中,只有获得患者明确同意的提供者才能查看患者的数据。
- 用户在共享文件系统中创建了一个文档。他们将访问权限设置为“只读”,以便其他用户可以查看该文档但不能编辑它。
- 笔记本电脑的操作系统可防止未知程序更改系统设置。
身份验证和授权如何协同工作以保护网络安全
用户身份验证和授权在保护敏感信息和网络资源免受内部威胁和外部攻击者侵害方面发挥着互补作用。简而言之,身份验证可帮助组织保护用户帐户,而授权可帮助保护这些帐户可以访问的系统。
为身份和访问管理提供基础
全面的身份和访问管理 (IAM) 系统有助于跟踪用户活动、阻止未经授权的访问网络资产并实施细粒度的权限,以便只有正确的用户才能访问正确的资源。
身份验证和授权解决了组织需要回答的两个关键问题,以实施有意义的访问控制:
- 你是谁?(身份验证)
- 您可以在这个系统中做什么?(授权)
组织需要知道用户是谁,然后才能启用正确的访问级别。例如,当网络管理员登录时,该用户必须通过提供正确的身份验证因素来证明自己是管理员。只有这样,IAM 系统才会授权用户执行管理操作,例如添加和删除其他用户。
打击高级网络攻击
随着组织安全控制措施变得越来越有效,越来越多的攻击者通过窃取用户账户和滥用权限来绕过这些控制措施,造成严重破坏。据 IBM 称 X-Force 威胁情报指数,2022 年至 2023 年间,基于身份的攻击频率增加了 71%。
网络犯罪分子很容易实施这些攻击。黑客可以通过暴力攻击破解密码,使用信息窃取恶意软件或从其他黑客那里购买凭证。事实上, X-Force 威胁情报指数 发现云账户凭证占暗网上出售的云资产的 90%。
网络钓鱼是另一种常见的凭证盗窃手段,生成式人工智能工具现在使黑客能够在更短的时间内发起更有效的网络钓鱼攻击。
虽然它们可能被视为基本的安全措施,但身份验证和授权是防止身份盗窃和帐户滥用(包括人工智能攻击)的重要防御措施。
身份验证可以通过使用其他更难破解的因素(例如生物识别技术)来替换或加强密码,从而使窃取账户变得更加困难。
细粒度授权系统可以通过将用户权限限制为他们所需的资源和操作来减少横向移动。这有助于限制恶意黑客和内部威胁通过滥用访问权限造成的损害。
借助 IBM Security® Verify,组织可以超越基本的身份验证和授权。Verify 可以通过无密码和多因素身份验证选项帮助保护帐户,还可以通过精细的上下文访问策略帮助控制应用程序。
探索 IBM Security Verify
本文是否有帮助?
是的不
