CISSP的成长之路（二十四..

　　【51CTO.com 专家特稿】在CISSP的成长之路的上一篇文章《逻辑访问控制方案》，J0ker向大家介绍了访问控制中的集中式访问控制方式，以及目前广泛使用的3种集中式访问控制技术。集中式访问控制技术通常对某个网络的访问进行控制，其作用相当于高速公路上的入口，因此，集中式访问控制并不能胜任对其他资源的访问控制任务。如果用户要对特定的资源进行访问控制，就需要用到本文中提到的分布式访问控制方法。

　　在CISSP的CBK内容中，提到了3种目前广泛使用的分布式访问控制方法：单点登录（Single Sign On，SSO）、Kerberos和SESAME，同时还介绍了安全域（Security Domain）和瘦客户端（Thin Client）的概念，下面J0ker就逐一为大家介绍：

　　单点登录（Single Sign On）：

　　在日常的工作中，我们常常会遇到这样的情况：需要访问多个不同的计算机系统或应用程序，才能获取完成某项特定工作所需的所有条件。在涉及的不同计算机系统和应用程序较多的情况下，记住对应的用户名和密码成为一项不容易的任务，许多用户为了简化这一流程，往往会使用简单的密码，或将密码写在纸上，从而对系统的安全留下了不小的隐患。为了降低和消除这一隐患，安全厂商推出了单点登录技术，单点登录技术将不同的系统和应用程序所需的访问控制功能抽离出来，用户在使用时只需要在统一的单点登录方案下进行一次验证，便可以访问到自己所需的网络、信息和其他资源。由于应用单点登录技术之后，用户在IT环境中使用的用户名密码对和需要进行的验证次数大为减少，用户可以使用（也通常会被建议）使用较为复杂的密码，在某种程度上提升了IT环境的安全性，也简化了用户的访问控制难度。

　　单点登录技术的对应是企业IT环境复杂度提升、多种平台和应用程序投入使用的对应，单点登录技术能够用于以下的场合：

　　◆一组系统和应用程序的多个入口点，包括互联网访问

　　◆对数量巨大的客户端的管理需求

　　◆同时使用多个应用程序的企业

　　◆简化企业访问控制方案的管理和控制

　　我们现在可以从越来越多的场合看到单点登录技术的使用，如Hotmail、yahoo、163等知名网站上使用的通行证（Passport）技术，开源社区中的OpenID等等，LDAP、Microsoft的活动目录等目录管理系统，也可以作为企业单点登录方案的组成部分。

　　下图是一个单点登录实现的示意图：

　　图1：单点登录实现的示意图，用户通过一个统一的验证服务器来访问一组资源。

　　单点登录技术的优点在于：

　　提供一个更为有效的用户登录流程，用户只需输入一次用户名和密码，就能访问到多个他需要的资源，降低了用户名密码的记忆难度并减少了用户验证所需的时间；

　　由于用户要记忆的密码数目减少，用户可以使用更为复杂更难破解的密码，从而提升IT环境的安全性；

　　消除了多个系统中的用户密码进行同步时的风险；

　　用户账户超时和登录尝试能够更密切的和登录入口相结合；

　　简化了管理员的账户管理流程，管理员只需要进行一次操作就可以完成用户账户的添加、修改、禁用和删除等操作。

　　但单点登录技术也有其与生俱来的3个缺点，就是：

　　当用户的用户名和密码被入侵者窃取的时候，入侵者能够访问到该用户所授权的所有系统和资源，这种危害在管理员密码被入侵者窃取的时候尤其明显。

　　在部署单点登录技术时必须严格遵守企业的安全策略，并细致的分配用户权限，否则很容易造成用户权限过大等问题。

　　使用单点登录技术后，企业要部署不支持该方案的计算机系统或应用程序会遇到相当多的问题。

　　为了降低和消除单点登录技术密码失窃导致的风险，企业在使用时还可以使用双因素或者多因素验证方法来增强单点登录技术的安全性。对于移动用户多的应用场景，企业还可以使用一次性加密的加密算法来保证用户密码传输时的安全性。