论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 23 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-02-02 17:32 
离线
高级用户

注册: 2008-08-28 18:35
最近: 2016-01-08 23:14
拥有: 3,414.20 安全币

奖励: 169 安全币
在线: 6570 点
帖子: 257
地址: 北京
我觉得,一般使用静态口令+动态口令卡的方式应该属于双因素认证,就是密码由几位静态密码+几位动态密码组成时,虽然身份认证时只需要输入口令,但口令中的静态口令部分属于something you know,口令中的动态口令部分来源于something you have(就是动态口令卡),这显然应该是属于双因素认证的。
至于使用堡垒主机认证,如果堡垒主机使用ukey+口令的方式,我认为也应该认为是访问网络设备进行了双因素认证。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-02-02 19:55 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,490.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
武林的解放鞋 写道:
我觉得,一般使用静态口令+动态口令卡的方式应该属于双因素认证,就是密码由几位静态密码+几位动态密码组成时,虽然身份认证时只需要输入口令,但口令中的静态口令部分属于something you know,口令中的动态口令部分来源于something you have(就是动态口令卡),这显然应该是属于双因素认证的。
至于使用堡垒主机认证,如果堡垒主机使用ukey+口令的方式,我认为也应该认为是访问网络设备进行了双因素认证。


根据通用的对因素的定义:
1、you know
2、you have
3、you are

动态口令卡是“have”,口令是“know”。。。我好像没看清武林的解放鞋的帖子,重了。。

我是昨天才知道因素的概念。。 :shock:


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-03-27 12:00 
离线
初级用户

注册: 2010-02-02 22:10
最近: 2013-01-30 10:07
拥有: 208.00 安全币

奖励: 0 安全币
在线: 196 点
帖子: 56
路由器、交换机如何实现因素认证,目前绝大部分采用硬件令牌这种一次性密码生成方式,我来给一个链接。

http://www.ndkey.com/zh/news/dkey_solution_for_nm.html


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-03-27 12:09 
离线
新手

关注按钮

注册: 2011-09-21 15:02
最近: 2012-12-13 13:57
拥有: 49.00 安全币

奖励: 1 安全币
在线: 834 点
帖子: 19
现在应该网络设备可支持RSA动态令牌,二次认证。需要在设备设置连接到RSA服务器。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-03-27 12:42 
离线
高级用户

关注按钮

注册: 2012-03-21 14:09
最近: 2015-01-09 11:07
拥有: 2,165.00 安全币

奖励: 348 安全币
在线: 4945 点
帖子: 159
我认为这段文字是有意模糊概念的,相类似的在应用安全等部分也有同样的描述。这一点不明确才有操作的空间。
个人认为多因素身份鉴别的概念目前纠结于不能区分标识和鉴别,比如这一句话,那么是用同一标识两种鉴别技术呢,还是两个标识两种鉴别技术呢?还是什么别的意思。何况我查了好几年,也没有看见谁把标识鉴别说清楚的。比如,用户名是不是标识,通行字是标识还是鉴别?数字证书里面DN是什么?证书序列号是什么?公钥又是什么?有些人说认证,有些人说鉴别,认证和鉴别有没有区别?堡垒机又是干什么的?或者说应用中的访问控制难道仅仅只是一个信息安全技术机制的范围内吗?
OTP,CA都会卖,糊涂谁都会。一些话不吐不快,可站内短我交流。互相学习。谢谢!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-09-20 22:58 
离线
中级用户

注册: 2008-09-23 13:34
最近: 2016-06-21 01:56
拥有: 148.90 安全币

奖励: 5 安全币
在线: 751 点
帖子: 65
胖子 写道:
各位老师,如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”

路由器、交换机如何实现?



这个问题,二楼同学解释的很正确,现在交换机、路由器确实只能使用用户名/密码来做身份鉴别,但在运维的过程中,可以采用堡垒主机的方式进行运维,以后维护人员不是再直接通过console口或者telnet直接登录到交换机上,而是首先登录堡垒主机,由堡垒主机实现双因素认证(如用户名/密码+数字证书),通过认证后再跳转到交换机上,同时对运维人员做的所有操作进行审计,包括命令行操作的记录,或者图形界面的录屏。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-09-21 12:03 
离线
超级用户

注册: 2005-08-29 17:37
最近: 2014-10-17 22:41
拥有: 6,979.80 安全币

奖励: 1324 安全币
在线: 4600 点
帖子: 397
最近想了一下,感觉所谓堡垒机模式有些没有讲清楚。
比如以下结构,就以网络的路由交换设备来看
管理终端<---->堡垒机<------>路由交换设备。

之所以要双因素,是为了防止被窃取密码并被利用。如果堡垒机和路由交换机间是telnet加静态口令,并且不是带外管理的,这个密码就有可能被窃取并利用,管理终端和堡垒机之间再怎么加强也白搭。这一点不知道等保测评中是具体怎么考虑的。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何理解和实现“主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别”
帖子发表于 : 2012-09-21 13:15 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,384.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
huangyyb 写道:
最近想了一下,感觉所谓堡垒机模式有些没有讲清楚。
比如以下结构,就以网络的路由交换设备来看
管理终端<---->堡垒机<------>路由交换设备。

之所以要双因素,是为了防止被窃取密码并被利用。如果堡垒机和路由交换机间是telnet加静态口令,并且不是带外管理的,这个密码就有可能被窃取并利用,管理终端和堡垒机之间再怎么加强也白搭。这一点不知道等保测评中是具体怎么考虑的。


终端→堡垒机,肯定是加密的。
堡垒机→网络设备,很难加密,如果你用的是telnet
但是:
你会在重要设备上开telnet?
此前我在电信,做评估的时候,telnet一律判为不合格!
现在的设备几乎都支持SSH了,为何还开telnet?


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 23 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012