CISSP的成长之路（二十四）（1）

CISSP的成长之路（二十四）（1）

在CISSP的成长之路的上一篇文章《逻辑访问控制方案》，J0ker向大家介绍了访问控制中的集中式访问控制方式，以及目前广泛使用的3种集中式访问控制技术。集中式访问控制技术通常对某个网络的访问进行控制，其作用相当于高速公路上的入口，因此，集中式访问控制并不能胜任对其他资源的访问控制任务。如果用户要对特定的资源进行访问控制，就需要用到本文中提到的分布式访问控制方法。

　　在CISSP的成长之路的上一篇文章《逻辑访问控制方案》，J0ker向大家介绍了访问控制中的集中式访问控制方式，以及目前广泛使用的3种集中式访问控制技术。集中式访问控制技术通常对某个网络的访问进行控制，其作用相当于高速公路上的入口，因此，集中式访问控制并不能胜任对其他资源的访问控制任务。如果用户要对特定的资源进行访问控制，就需要用到本文中提到的分布式访问控制方法。

　　在CISSP的CBK内容中，提到了3种目前广泛使用的分布式访问控制方法：单点登录(Single Sign On，SSO)、Kerberos和SESAME，同时还介绍了安全域(Security Domain)和瘦客户端(Thin Client)的概念，下面J0ker就逐一为大家介绍：

　　单点登录(Single Sign On)：

　　在日常的工作中，我们常常会遇到这样的情况：需要访问多个不同的计算机系统或应用程序，才能获取完成某项特定工作所需的所有条件。在涉及的不同计算机系统和应用程序较多的情况下，记住对应的用户名和密码成为一项不容易的任务，许多用户为了简化这一流程，往往会使用简单的密码，或将密码写在纸上，从而对系统的安全留下了不小的隐患。为了降低和消除这一隐患，安全厂商推出了单点登录技术，单点登录技术将不同的系统和应用程序所需的访问控制功能抽离出来，用户在使用时只需要在统一的单点登录方案下进行一次验证，便可以访问到自己所需的网络、信息和其他资源。由于应用单点登录技术之后，用户在IT环境中使用的用户名密码对和需要进行的验证次数大为减少，用户可以使用(也通常会被建议)使用较为复杂的密码，在某种程度上提升了IT环境的安全性，也简化了用户的访问控制难度。