用戶認證技術
今天分享的是用戶認證技術,不是4,6級,也不是ISO認證,更不是企業AAA信用等級。
這個其實大家都用接觸過,比如手機付款的刷臉或是指紋認證,就能完成交易進行購買亦或是公共場所的共享wifi,醫院,酒店,商場,機場之類的地方,你們都會去登錄獲取wifi網絡。這個時候,就會登陸網頁進行輸入手機號與驗證碼進行認證,這就是用戶認證的最典型的代表。
那為什麼要用到用戶認證呢?
並不是你們想象中的獲取你們的資料啊,大部分企業不會這麼做的(販賣用戶資料屬於違反行為)。
實際上用戶認證技術的使用是為了防範以下情況。
絕大部分企業都對外進行接網,基本上員工都可以上網,但是如果沒有任何防護措施的情況下,員工在瀏覽頁面時可能不小心感染病毒,那麼就可能導致整個公司的網絡癱瘓,或是文件勒索。(2019年的GlobeImposter勒索病毒和國內的微信支付勒索病毒)
不僅如此大家上網基本上都是處在應用層,而防火牆的防護處於網絡層鏈路層,所以基本上防火牆是很難防範的。如果不做限制,可能員工會做一些與工作無關的事情。比如炒會股票啊,打一打LOL啊,影響了員工的工作效率。又或者是下載某些電影啊,瀏覽某些帶有挖礦腳本的網站啊,影響公司的網絡帶寬,增加擁堵,對於公司電腦也有不小的壓力。甚至有時候將公司的文件FTP上傳到網上,被網絡爬蟲竊取 ,導致公司內部洩密。也可能某些員工上班去涉及違法的網頁,賭博看黃之類的。
這樣一想,就不得不對員工的上網進行約束,傳統的方法就是對固定的員工電腦IP進行接口約束,這個端口就是一個應用。這種基於五元組的控制約束非常有限,就好比現在在家辦公的局面,人在公司外,IP地址變了,如何實現訪問內網呢?這個時候就需要用戶認證。
何為用戶認證?
我們給每個上網的員工進行設計一個認證帳號,員工每一次上網就要經過這個唯一的認證賬號進行上網。在這個前提下,我們就對這個賬號進行安全限制與應用約束,給予不同等級的權限。這樣的話,就能解決了公司內上網的安全與效率,在家辦公能夠得到公司內部的訪問權限。
用戶認證的工作原理
AAA認證
認證
最為經典的就是撥號認證,運營商給你一個賬號與密碼,輸入進行一個認證,然後運營商比對數據庫裡的信息,完全完全無誤就認證通過。認證不僅限於撥號的方案,還有門禁卡,指紋,聲音等等,像是上班要刷卡啊,手機解鎖啊,都是認證的表現。當然,最普遍的情況下,還是用戶名與密碼或是手機號與驗證碼。
授權通過等級的劃分來賦予用戶不同的訪問資源與功能,就如上面三個場景舉例。
訪客(外部網民)就只能訪問企業的外網,瞭解公司的大致情況,無法修改的權利。
員工(普通員工)就能夠授權訪問內網,添加資料,提交任務等等的權力。
管理者(總裁或經理)能夠了解財務信息,策劃方案,並且賦予刪除添加的多種功能指令。
授權分等級能夠提高工作的效率,互不干擾,整理有序。
計費
真是一個熟悉詞彙了,在早期進行ppoe撥號的時候,那就是按時計費,跟網吧一樣。現在許多企業都不存在計費這個說法,大多都是看你的流量記錄,你在這個應用上花了多少時間,從而進行觀察有沒有好好上班。
AAA技術原理
分為兩類,一類是本地認證,另一類是遠端認證。
本地認證在防火牆上輸入用戶名與密碼,當用戶進行訪問時,進行用戶名與密碼的認證,到防火牆上匹配,再回到用戶進行授權。(適用於用戶較少的場景,比如地方的服務社,小公司等)
遠端認證就比較不同,先要進行用戶認證,防火牆發送信息到認證服務器上搜尋匹配,再將信息反饋到防火牆,進行授權放行,要是不匹配自然是沒法授權的啦。(適用於用戶基數大的場景,比如大型企業阿里等等,或者小區上網啊。)
現在的認證方式多種多樣,動態驗證碼(短信),掃描二維碼(應用授權),刷臉(面部圖片的像素對比)等等,但是本質上離不開AAA的認證原理。
PS:有空再講解其他認證方式的工作原理。
以上就是我的分享,不懂的可以留言。
閱讀更多 網絡學習日記 的文章
