用户认证技术
今天分享的是用户认证技术,不是4,6级,也不是ISO认证,更不是企业AAA信用等级。
这个其实大家都用接触过,比如手机付款的刷脸或是指纹认证,就能完成交易进行购买亦或是公共场所的共享wifi,医院,酒店,商场,机场之类的地方,你们都会去登录获取wifi网络。这个时候,就会登陆网页进行输入手机号与验证码进行认证,这就是用户认证的最典型的代表。
那为什么要用到用户认证呢?
并不是你们想象中的获取你们的资料啊,大部分企业不会这么做的(贩卖用户资料属于违反行为)。
实际上用户认证技术的使用是为了防范以下情况。
绝大部分企业都对外进行接网,基本上员工都可以上网,但是如果没有任何防护措施的情况下,员工在浏览页面时可能不小心感染病毒,那么就可能导致整个公司的网络瘫痪,或是文件勒索。(2019年的GlobeImposter勒索病毒和国内的微信支付勒索病毒)
不仅如此大家上网基本上都是处在应用层,而防火墙的防护处于网络层链路层,所以基本上防火墙是很难防范的。如果不做限制,可能员工会做一些与工作无关的事情。比如炒会股票啊,打一打LOL啊,影响了员工的工作效率。又或者是下载某些电影啊,浏览某些带有挖矿脚本的网站啊,影响公司的网络带宽,增加拥堵,对于公司电脑也有不小的压力。甚至有时候将公司的文件FTP上传到网上,被网络爬虫窃取 ,导致公司内部泄密。也可能某些员工上班去涉及违法的网页,赌博看黄之类的。
这样一想,就不得不对员工的上网进行约束,传统的方法就是对固定的员工电脑IP进行接口约束,这个端口就是一个应用。这种基于五元组的控制约束非常有限,就好比现在在家办公的局面,人在公司外,IP地址变了,如何实现访问内网呢?这个时候就需要用户认证。
何为用户认证?
我们给每个上网的员工进行设计一个认证帐号,员工每一次上网就要经过这个唯一的认证账号进行上网。在这个前提下,我们就对这个账号进行安全限制与应用约束,给予不同等级的权限。这样的话,就能解决了公司内上网的安全与效率,在家办公能够得到公司内部的访问权限。
用户认证的工作原理
AAA认证
认证
最为经典的就是拨号认证,运营商给你一个账号与密码,输入进行一个认证,然后运营商比对数据库里的信息,完全完全无误就认证通过。认证不仅限于拨号的方案,还有门禁卡,指纹,声音等等,像是上班要刷卡啊,手机解锁啊,都是认证的表现。当然,最普遍的情况下,还是用户名与密码或是手机号与验证码。
授权通过等级的划分来赋予用户不同的访问资源与功能,就如上面三个场景举例。
访客(外部网民)就只能访问企业的外网,了解公司的大致情况,无法修改的权利。
员工(普通员工)就能够授权访问内网,添加资料,提交任务等等的权力。
管理者(总裁或经理)能够了解财务信息,策划方案,并且赋予删除添加的多种功能指令。
授权分等级能够提高工作的效率,互不干扰,整理有序。
计费
真是一个熟悉词汇了,在早期进行ppoe拨号的时候,那就是按时计费,跟网吧一样。现在许多企业都不存在计费这个说法,大多都是看你的流量记录,你在这个应用上花了多少时间,从而进行观察有没有好好上班。
AAA技术原理
分为两类,一类是本地认证,另一类是远端认证。
本地认证在防火墙上输入用户名与密码,当用户进行访问时,进行用户名与密码的认证,到防火墙上匹配,再回到用户进行授权。(适用于用户较少的场景,比如地方的服务社,小公司等)
远端认证就比较不同,先要进行用户认证,防火墙发送信息到认证服务器上搜寻匹配,再将信息反馈到防火墙,进行授权放行,要是不匹配自然是没法授权的啦。(适用于用户基数大的场景,比如大型企业阿里等等,或者小区上网啊。)
现在的认证方式多种多样,动态验证码(短信),扫描二维码(应用授权),刷脸(面部图片的像素对比)等等,但是本质上离不开AAA的认证原理。
PS:有空再讲解其他认证方式的工作原理。
以上就是我的分享,不懂的可以留言。
閱讀更多 網絡學習日記 的文章
