身份驗證和身份管理

1. 基礎知識：

   • 身份驗證：用戶建立身份
   • 認證方式：根據已建立的身份驗

2. 身份管理：

   • 身份生命週期：
     • 供應：
       從實際身份建立數位身份
       綁定一些可以驗證的因子
       關鍵要素：保護機密
     • 管理：
       作業：
       權利和特權的異動
       添加和刪除角色
       自動化管理並記錄日誌（標準：Sarbanes-Oxley, SOX）
       使用第三方企業級IDM系統：
       自動密碼重置
       密碼同步
       單點登錄
     • 取消設定

3. 認證：
   秘密：你知道的、你擁有的
   常見的最佳實踐機制：
   活動記錄；
   連續登入失敗後鎖定
   授權系統整合
   功能：
   密碼/令牌重置
   帳戶恢復
   週期性變化
   密碼強度
   聯合身份識別系統：
   用於 "單點登錄"，允許從已知系統連接到系統
   OpenID：
   用於聯合身份驗證
   第三方通過使用用戶已經擁有的帳戶對用戶進行身份驗證
   例如：exchange.intermedia.net 可用於電子郵件
   OAuth：
   可以通過API交換的訪問

憑證管理

1. 基礎知識：

   • 憑證：識別訊息
   • 憑證管理

2. X.509憑證：
   X.509 數位憑證：
   版本號：X.509標準的版本
   序列號：唯一編號，一個證書加一個CA
   簽名算法：Hash ALG
   發行者：有關CA的訊息
   有效期：有效使用日期訊息
   主題：證書所有者
   公鑰
   證書用法：證書的批准用法
   擴充：附加資料

3. 單點登錄
   身份驗證後重用憑證，而無需再次重新登入
   儲存在應用程式外部的憑證
   分享訊息的方法：
   Kerberos
   安全聲明標記語言（SAML）
   風險與目標之間的平衡（方便用戶使用）

流量控制

1. 網絡級防火牆
   策略執行設備，在封包層級
   使用案例：
   允許所需的通訊並阻止不希望的通訊
   與入侵檢測系統一起使用，作為其他系統輸入的執行者
   限制：
   受網路體系結構支配，尤其是在存在眾多路徑的情況下
   類型：
   無狀態：僅使用尋址訊息逐個分組，不攜帶分組訊息
   有狀態：分析多個封包，利用所攜帶協議中的訊息
2. 代理：
   作為中間人：
   來自不信任的流量，首先在代理處終止
   如果符合正確的規則，則轉發到預期的系統
   安全裝置：
   規則性的處理，規則複雜度
   性能增強設備：
   其他功能，例如快取
3. 應用層防火牆
   用戶/潛在用戶：作為特定於應用程序的閘道，可以雙向監控流量
   防範入侵者和行為不當的應用
   阻止未授權的請求
   阻止異常大規模資料離開
4. 訊息佇列
   從發送者到接收者的消息傳輸
   syc/asyc：
   asyc可以緩解高流量期間的網路擁塞
   保證/盡力而為：
   佇列技術：異步傳輸的保證機制