身份与访问 术语

40 terms

• 身份与访问管理 (IAM)

  用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。

• 身份认证

  在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。

• 授权

  在身份认证完成后,决定该身份对哪些资源、可以执行哪些操作以及在何种条件下被允许的过程。

• 审计记账 (AAA 中的 Accounting)

  AAA 框架的第三大支柱:记录已认证身份的行为、时间、来源以及所访问的资源,以便审计与计费。

• AAA 框架

  由认证 (Authentication)、授权 (Authorization)、记账 (Accounting) 三个串联功能构成的基础访问控制模型。

• 单点登录 (SSO)

  一种认证方式,用户在可信的身份提供方完成一次登录后,即可访问多个应用而无需再次输入凭据。

• 联合身份

  一种架构,不同组织或安全域通过共同信任的身份提供方,让用户使用同一份身份跨域访问各种系统。

• SAML

  基于 XML 的开放标准,用于在身份提供方与服务提供方之间交换认证与授权断言。

• OAuth 2.0

  开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。

• OpenID Connect (OIDC)

  构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。

• 多因素认证 (MFA)

  在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。

• 双因素认证 (2FA)

  多因素认证的具体形式之一,要求恰好两个因素(通常是密码加上第二因素)来验证身份。

• 一次性密码 (OTP)

  只在一次登录尝试或短暂时间窗口内有效的短位数字码,通常用作第二认证因素。

• 基于时间的一次性密码 (TOTP)

  RFC 6238 定义的一种一次性密码算法,根据共享密钥和当前时间生成短码,每 30 秒刷新一次。

• 基于 HMAC 的一次性密码 (HOTP)

  RFC 4226 定义的基于事件的一次性密码算法,根据共享密钥与一个单调递增的计数器生成短码。

• Push Authentication

  Push Authentication — definition coming soon.

• Passkey

  Passkey — definition coming soon.

• FIDO2

  FIDO2 — definition coming soon.

• WebAuthn

  WebAuthn — definition coming soon.

• U2F (Universal 2nd Factor)

  U2F (Universal 2nd Factor) — definition coming soon.

• 生物特征认证

  根据指纹、人脸、虹膜或声纹等独特的生理特征来验证身份的认证方式。

• 行为生物特征

  通过分析击键节奏、鼠标轨迹、步态或触屏手势等独特用户行为,持续验证身份并发现冒用的技术。

• 基于角色的访问控制(RBAC)

  一种将权限授予角色而非直接授予用户的授权模型,用户通过被指派到角色而继承相应权限。

• 基于属性的访问控制(ABAC)

  一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。

• 强制访问控制(MAC)

  由中心策略而非资源拥有者强制执行的访问控制模型,基于赋予主体与客体的密级和许可级别做出决策。

• 自主访问控制(DAC)

  由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。

• 最小权限原则

  一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。

• 即时访问(JIT)

  一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。

• 特权访问管理(PAM)

  一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。

• 服务账户

  由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。

• 机器身份

  用于认证并与其他系统建立信任的非人类实体(工作负载、设备、容器或 API 客户端)的加密身份。

• Kerberos

  基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。

• NTLM 认证

  一种基于挑战-响应的传统 Windows 认证协议,通过用户密码哈希证明身份,以现代标准衡量已被视为弱协议。

• LDAP

  LDAP — definition coming soon.

• Active Directory

  Active Directory — definition coming soon.

• Password

  Password — definition coming soon.

• Passphrase

  Passphrase — definition coming soon.

• Password Manager

  Password Manager — definition coming soon.

• Credential Vault

  Credential Vault — definition coming soon.

• Session Management

  Session Management — definition coming soon.