基础概念
UAAA系统中,具有如下基础概念:
- 安全等级
- 用户
- 凭据
- 令牌
- 应用
- 会话
安全等级
安全等级是对操作者的安全要求的一种量化描述。在UAAA系统中,安全等级分为以下几种:
- 低:操作者已经登录了UAAA系统。
- 中:在低的基础上,操作者通过低安全凭据通过验证。
- 高:在低的基础上,操作者通过高安全凭据通过验证。
- 高(实人):在高的基础上,凭据实现确认操作者实人身份。
- 安全设备:操作者通过在系统预先注册的硬件密钥的认证。
其中,低安全凭据和高安全凭据是由UAAA管理员决定的。一般而言,可以参考下列分类:
低安全凭据:
- 密码
- 邮箱OTP(因为部分邮箱亦可以通过密码登录)
- 第三方登录(我们无法确保第三方登录的安全性)
高安全凭据:
- 短信OTP(虽然容易被钓鱼,但相信国家的反诈宣传吧)
- 手机令牌/TOTP
- 通行密钥(这是目前唯一不需要安装安全应用且能防钓鱼的凭据)