» 第一章  信息安全概述



               得对用户身份的认证和识别更趋完善。
                   6.安全操作系统
                   采用安全操作系统可以给计算机系统中的关键服务器提供安全运行平台，构成安
               全FTP服务、安全WWW服务、安全SMTP服务等，并且它能够监视各类网络安全产
               品，随时确保这些安全产品在运行时的自身安全。

                   （二）身份认证与访问控制
                   1.身份认证
                   （1）内涵

                   所谓身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单
               身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该
               用户的用户名和口令一致，来判断用户身份是否正确。复杂一些的身份认证方式采用
               一些较复杂的加密算法与协议，需要用户出示更多的信息（如私钥）来证明自己的身

               份，如Kerberos身份认证系统。
                   身份认证一般与授权控制是相互联系的，授权控制是指一旦用户的身份通过认证
               以后，确定哪些资源该用户可以访问、可以进行何种方式的访问操作等问题。在一个

               数字化的工作体系中，应该有一个统一的身份认证系统供各应用系统使用，但授权控
               制可以由各应用系统自己管理。
                   （2）组成与结构
                   统一身份认证系统的设计采用层次式结构，主要分为数据层、认证通道层和认证
               接口层，同时分为多个功能模块，其中最主要的有身份认证模块和权限管理模块。

                   身份认证模块管理用户身份和成员站点身份。该模块向用户提供在线注册功能，
               用户注册时必须提供相应信息（如用户名、密码），该信息即为用户身份的凭证，拥
               有该信息的用户即为统一身份认证系统的合法用户；身份认证模块还向成员站点提供

               在线注册功能，成员站点注册时需提供一些关于成员站点的基本信息，还包括为用户
               定义的角色种类（如普通用户、高级用户、管理员用户）。
                   权限管理模块主要包括成员站点对用户的权限控制、用户对成员站点的权限控
               制、成员站点对成员站点的权限控制。用户向某成员站点申请分配权限时，需向该成

               员站点提供他的某些信息，这些信息就是用户提供给成员站点的权限，而成员站点通
               过统一身份认证系统身份认证后就可以查询用户信息，并给该用户分配权限，获得权
               限的用户通过统一身份认证系统身份认证后就可以以某种身份访问该成员站点。成员
               站点对成员用户信息/角色、权限信息站点的权限控制主要是成员站点控制向其他成

               员站点提供的调用接口。统一身份认证系统与用户的接口必须同时支持B/S和C/S的模
               式，而且还必须支持Notes应用认证接口，不同的认证接口具有不同的优势，具有不


                                                                                           • 9 •