集中式访问控制技术通常对某个网络的访问进行控制,其作用相当于高速公路上的入口,因此,集中式访问控制并不能胜任对其他资源的访问控制任务。如果用户要对特定的资源进行访问控制,就需要用到本文中提到的分布式访问控制方法。
在CISSP的CBK内容中,提到了3种目前广泛使用的分布式访问控制方法:单点登录(Single Sign On,SSO)、Kerberos和SESAME,同时还介绍了安全域(Security Domain)和瘦客户端(Thin Client)的概念,下面J0ker就逐一为大家介绍:
单点登录(Single Sign On):
在日常的工作中,我们常常会遇到这样的情况:需要访问多个不同的计算机系统或应用程序,才能获取完成某项特定工作所需的所有条件。在涉及的不同计算机系统和应用程序较多的情况下,记住对应的用户名和密码成为一项不容易的任务,许多用户为了简化这一流程,往往会使用简单的密码,或将密码写在纸上,从而对系统的安全留下了不小的隐患。为了降低和消除这一隐患,安全厂商推出了单点登录技术,单点登录技术将不同的系统和应用程序所需的访问控制功能抽离出来,用户在使用时只需要在统一的单点登录方案下进行一次验证,便可以访问到自己所需的网络、信息和其他资源。由于应用单点登录技术之后,用户在IT环境中使用的用户名密码对和需要进行的验证次数大为减少,用户可以使用(也通常会被建议)使用较为复杂的密码,在某种程度上提升了IT环境的安全性,也简化了用户的访问控制难度。
单点登录技术的对应是企业IT环境复杂度提升、多种平台和应用程序投入使用的对应,单点登录技术能够用于以下的场合:
◆一组系统和应用程序的多个入口点,包括互联网访问
◆对数量巨大的客户端的管理需求
◆同时使用多个应用程序的企业
◆简化企业访问控制方案的管理和控制
我们现在可以从越来越多的场合看到单点登录技术的使用,如Hotmail、yahoo、163等知名网站上使用的通行证(Passport)技术,开源社区中的OpenID等等,LDAP、Microsoft的活动目录等目录管理系统,也可以作为企业单点登录方案的组成部分。
下图是一个单点登录实现的示意图:
图1:单点登录实现的示意图,用户通过一个统一的验证服务器来访问一组资源。
