2011年软考系统架构设计师学习笔记第十二章3

 　　12.3.2 鉴别框架

　　鉴别(Authentication)防止其他实体占用和独立操作被鉴别实体的身份。

　　鉴别有两种重要的关系背景：

　　一是实体由申请者来代表，申请者与验证者之间存在着特定的通信关系(如实体鉴别)。

　　二是实体为验证者提供数据项来源。

　　鉴别方式主要基于以下 5种：

　　1、已知的，如 一个秘密的口令。

　　2、拥有的，IC卡、令牌等。

　　3、不改变的特性，如生物特征。

　　4、相信可靠的第三方建立的鉴别(递推)。

　　5、环境(如主机地址等)。

　　鉴别信息(Artificial Intelligence，AI)是指申请者要求鉴别到 鉴别过程结束 所生成、使用、交换的信息。

　　交换AI、申请AI、验证AI。

　　鉴别服务分为以下阶段：安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验证阶段、停活阶段、重新激活阶段、取消安装阶段。

　　12.3.3 访问控制框架

　　访问控制(Access Control)决定 允许使用哪些资源、在什么地方适合阻止未授权访问的过程。

　　ACI(访问控制信息)用于访问控制目的的 任何信息。

　　ADI(访问控制判决信息)做出判决时 可供 ADF使用的部分(或全部)ACI。

　　ADF(访问控制判决功能)做出访问控制判决。

　　AEF(访问控制实施功能)。

　　涉及访问控制的有 发起者、AEF、ADF、目标。