Quel est le sens et la différence entre l'objet, l'utilisateur et le principal?

Dans le contexte des cadres de sécurité, quelques termes fréquemment se produire sujet, utilisateur et principal, dont je n'ai pas été en mesure de trouver une définition claire et la différence entre eux.

Donc, ce que signifient ces termes, et pourquoi ces distinctions de sujet et principal nécessaire?

InformationsquelleAutor ams | 2011-02-14
  1. 236

    Ceux-ci sont hiérarchiques dans la façon dont le genre, l'espèce et l'individu sont hiérarchique.

    • Sujet - Dans un contexte de sécurité, un sujet est une entité qui demande l'accès à un objet. Ce sont des termes génériques utilisés pour désigner la chose la demande d'accès et la chose la demande est faite. Lorsque vous vous connectez à une application que vous êtes l'objet et l'application est l'objet. Quand quelqu'un frappe à votre porte, le visiteur est l'objet de la demande d'accès et votre maison est l'objet d'une demande d'accès d'.
    • Principal - Un sous-ensemble de sujet qui est représenté par un compte, d'un rôle ou d'un autre identificateur unique. Quand on arrive au niveau des détails de mise en œuvre, les principaux sont les clés uniques que nous utilisons dans les listes de contrôle d'accès. Ils peuvent représenter des utilisateurs humains, de l'automatisation, les applications, les connexions, etc.
    • Utilisateur - Un sous-ensemble de principal généralement référence à un opérateur humain. La distinction s'estompe au fil du temps parce que les mots "utilisateur" ou "user ID" sont souvent interchangeables avec "compte". Toutefois, lorsque vous avez besoin de faire la distinction entre la vaste catégorie des choses qui sont directeurs et le sous-ensemble de ces interactives, des opérateurs de conduite des opérations dans un non-déterministe de la mode, "utilisateur" est le mot juste.

    Sujet/Objet hérite des mêmes termes sont utilisés dans la grammaire. En une phrase, le sujet est l'acteur et l'objet est la chose a agi sur. En ce sens, l'utilisation a été autour depuis avant les ordinateurs ont été inventés. Dans un contexte de sécurité, un sujet est quelque chose qui peut faire une demande. Comme indiqué ci-dessus, cela ne doit pas être limitée à la sécurité des TI et est donc une très large classification. La chose intéressante est que le sujet implique objet. Sans objet, il n'y a pas de sujet.

    Les directeurs d'école sont des sujets résoudre à. Lorsque vous présentez votre carte de crédit vous êtes l'objet et le numéro de compte est le principal. Dans d'autres contextes votre ID utilisateur ou de l'état d'identification émis est votre principal. Mais les directeurs d'école peuvent être associées à de nombreux types de sujet qui ne sont pas des gens. Lorsque des applications, faire des demandes au niveau système les fonctions du directeur d'école peut, le signataire d'un exécutable signé module de code, mais même dans ce cas, l'utilisateur de la conduite de la demande est encore l'objet.

    Utilisateur est plus spécifique que l'objet ou le principal en ce qu'il fait généralement référence à un interactive de l'opérateur. C'est pourquoi nous avons une Interface Utilisateur graphique et non un Graphique de l'Interface Principale. Un utilisateur est une instance de sujet qui se résout principal. Un seul utilisateur peut se résoudre à n'importe quel nombre de directeurs, mais tout principe devrait résoudre à un seul utilisateur (en supposant que les personnes respectent l'obligation de ne pas partager IDs). Dans l'exemple ci-dessus, le signataire d'un code exécutable module est certainement pas l'utilisateur, mais il est valide principal. La interactive de l'opérateur en essayant d'obtenir le module est chargé de l'utilisateur.

    Comme indiqué dans les commentaires, même les sources ne sont pas d'accord sur ces termes. J'ai cherché NIST, SANS, IEEE, de la MITRE et de plusieurs "quasi-autoritaire" de sources telles que la sécurité de l'examen des guides lors de la préparation de cette réponse. Pas une seule source que j'ai trouvé qui était au moins quasi-autoritaire couvert les trois termes et tous diffèrent significativement dans leur utilisation. C'est mon point de vue sur la manière dont les termes devrait être utilisé, mais à partir d'un point de vue pratique, lorsque vous êtes penché sur un manuel dans le milieu de la nuit, les définitions ont tendance à être tout ce que le vendeur ou l'écrivain disent qu'ils sont. Espérons que les réponses ici fournira assez de perspicacité pour naviguer dans les eaux et analyser n'importe quel document sur la sécurité à l'aide de ces termes.

    • Quel est l'avantage de casser des choses vers le bas pour Objet, directrice de l'Utilisateur, sa complexité supplémentaire que nous recevons de cette complexité supplémentaire?
    • La possibilité de choisir le niveau de spécificité. C'est le même avantage pour nous d'être en mesure de faire une distinction entre, d'une destination par rapport à une file d'attente ou le sujet. La possibilité de choisir entre différents niveaux de spécificité dans une taxonomie permet une précision de l'expression que la meilleure communique un écrivain de l'intention d'un lecteur. Lors de la programmation, nous avons le luxe/malédiction que le CPU va interpréter nos instructions d'une seule manière et nous sommes obligés d'utiliser c'est le niveau de précision. Mais en langage humain, nous avons besoin de la nuance et de la précision pour transmettre le sens de manière efficace.
    • T. Rob, génial, mais pourriez-vous préciser par l'Utilisateur "sous-ensemble du capital"? Si John est l'objet et le "compte n ° 123" est son principal, l'utilisateur est qui? Il y a deux John's? Depuis Genre > les Espèces > Individu est de plus en plus spécifiques, Jean (utilisateur) doit être plus spécifique que celle de Jean (sous réserve). Ou ai-je raté quelque chose?
    • Considérons deux directeurs d'où le #123 est John et #124 se réfère à un compte de service. Nous voulons probablement pour traiter ces différents sur des choses comme stratégie de mot de passe, de connexion de la capacité, etc. Les directeurs de type 'utilisateur' sont soumis à la complexité de mot de passe et la date de péremption politiques alors que les directeurs de type "compte de service" peut même pas avoir un mot de passe. Quand nous commençons à catégoriser les types de capital nous créer des sous-ensembles. Cela vous aide? Ou ai-je simplement attiser plus de boue?
    • Oui, ça aide. Donc, concrètement, les corrections à la suivante? Vous pouvez copier et coller dans un éditeur de texte comme Notepad++ et de mettre un saut de ligne avant chaque Jean (DONC interdit les retours à la ligne (dans les commentaires): John (human) SUBJECT > username_1 PRINCIPAL > password_1 USER John (human) SUBJECT > username_1 PRINCIPAL > password_2 USER John (human) SUBJECT > username_1 PRINCIPAL > smartcard_1 USER John (human) SUBJECT > username_1 PRINCIPAL > cellphone_1 USER
    • Pas de changements, si je comprends bien le cas d'utilisation. Depuis que John est toujours de l'homme, son principal sera toujours de la catégorie d'UTILISATEUR pour chacun de ses comptes. Si nous avons ajouté son téléphone UUID pour le mélange et il a été utilisé pour faire le fond des requêtes de l'opérateur de téléphonie mobile pour vérifier les mises à jour, il serait d'une autre catégorie telle que "Compte de Service." À partir d'un point de vue sécurité le principal pour ces logiciels requêtes de mise à jour est probablement Jean de téléphone (pas de Jean lui-même) que ce comportement est programmé par l'opérateur de téléphonie mobile, et non pas directement initié par Jean.

    InformationsquelleAutor T.Rob
  2. 61

    Jeter un oeil à mon L'authentification de la carte conceptuelle:

    Quel est le sens et la différence entre l'objet, l'utilisateur et le principal?

    • Très bon schéma, je vous remercie pour cela. M'a beaucoup aidé.
    InformationsquelleAutor Marinus
  3. 15

    Je pense que la terminologie est pris de JAAS.

    Lorsqu'une application utilise JAAS
    authentification pour authentifier l'
    utilisateur (ou autre entité telle qu'un
    service), une Sujet est créé comme un
    résultat. Le but du Sujet est
    pour représenter l'utilisateur authentifié. Un
    L'objet est composé d'un ensemble de
    Les directeurs d'école    , où chaque Principal
    constitue une carte d'identité de l'utilisateur.
    Par exemple, un Sujet pourrait avoir un
    nom Principal ("Susan Smith") et un
    Numéro De Sécurité Sociale Principale
    ("987-65-4321"), ce qui
    distinguer ce Sujet à partir d'autres
    Sujets.

    • J'ai vu cette définition avant, c'est trop dense, pouvez-vous élaborer sur elle, en particulier la façon dont un utilisateur est différente de celle d'un principal, pourquoi le terme objet est utilisé, et pas seulement de l'utilisateur. Si ces termes ont un sens au-delà de JAAS j'ai très envie de se familiariser avec ce sens, si ces termes sont des inventions de JAAS alors je suppose que le Soleil Ingénieurs qui l'a créé choisi la mauvaise noms pour ce que ces concepts moyens. J'ai demandé tout à fait un peu de programmeurs cette question et n'ont pas été en mesure d'obtenir des réponses claires, chacun semble avoir une compréhension différente de ces conditions.
    • Semble comme un Principal n'est qu'un moyen pour identifier un Objet. Mettre une autre manière, tout principe pourrait théoriquement servir comme une clé primaire sur votre base de données utilisateur.
    • Le lexique est antérieure à JAAS par un long shot. JAAS juste réutilise certains et parfois de façons non standard. Une partie du problème qui l'a poussé à cette question est que les concepts sont tirés de contextes dans lesquels la terminologie utilisée et réutilisée par la suite de façon légèrement différente. Lorsque les sources d'autorité sont difficiles à trouver, ou tout simplement ignoré, le sens de la dérive au fil du temps. Quand il s'agit de la sécurité, où la précision est une exigence absolue cette dérive vers l'ambiguïté se dégrade notre capacité à construire et à mettre en œuvre sécurisée des dessins.
    • avez-vous le papier titres, ou d'une autorité de références que vous pouvez partager.
    • Malheureusement, même si les sources sont en désaccord. SANS ne définit pas de capital ou de l'objet à tous les bit.ly/hl4rUP et la bit.ly/fE7NJs définit l'objet particulier comme une personne. D'autres "officielle" des sources sont de la même vague qui, compte tenu de l'importance de la clarté dans ce domaine, c'est plutôt décevant. L'EEI a un glossaire, mais vous ne pouvez le lire avec d'adhésion ou d'abonnement, donc son utilisation est limitée dans une discussion avec un large public. J'ai fondé ma réponse dans la partie sur la Shon Harris CISSP Exam Guide.
    InformationsquelleAutor Aravind R. Yarram
  4. 11

    Sujet est l'entité qui demande un service. Il peut être un utilisateur ou un processus. Probablement c'est pourquoi le nom de l'Objet a été choisi à la place de l'utilisateur.

    Lorsqu'un sujet tente d'accéder à un service, le sujet doit être authentifié en premier. La réussite de l'authentification se termine avec le chargement de la entités de Sécurité à ce Sujet. Par exemple, dans un Rôle de Contrôle d'Accès Basé sur un système de authentifié (connecté) utilisateur aura généralement de deux directeurs d'utilisateur et le roleId. Dans de tels systèmes, les privilèges(j'.e qui peut accéder à quoi) sont spécifiées pour les deux rôles, et pour les utilisateurs. Durant la phase d'autorisation(j'.e vérifier si le service demandé doit être autorisée), le système de sécurité vérifier l'accessibilité à l'encontre de deux dirigeants.

    Par conséquent, du point de vue de l'autorisation, les principaux sont les entités pour lesquelles l'accès est autorisé ou non. L'objet est simplement un utilisateur/thread/processus qui détient quelques-uns des principaux.

    • Quel est l'avantage d'avoir plusieurs principes par l'objet?
    • Je pense à deux avantages: (1) Examiner l'utilisateur Alice avec les directeurs UserId("Alice"), Rôle (le"Gestionnaire"), le Service("Ventes") d'accéder à un service (l'Objet). Le service de contrôle d'accès peut alors être spécifié en tant que "Permettre Rôle(Manager)" ou "Refuser Département(Vente)" etc. au lieu de spécifier si Alice peut y accéder ou pas. Ce genre de systèmes de contrôle d'accès sont plus faciles à gérer, car la sécurité de l'administrateur n'a pas besoin de spécifier les privilèges d'accès pour TOUS les utilisateurs de TOUS les services.
    • (2) Dans un système d'entreprise, les utilisateurs doivent être authentifiés à l'aide de plusieurs systèmes avant que certains composite de service peut être exécuté. Il peut arriver que chacun de ces systèmes a ses propres mécanismes de contrôle d'accès nécessitant différents détails - un système utilise le SSN, et utilise un autre nom d'utilisateur. Ainsi, le même objet doit posséder à la fois les principes pour l'accès à la fois
    • J'ai l'impression que 99% de la confusion avec cette terminologie peut être résolu par une phrase le long des lignes de, "un principal est essentiellement un groupe".
    • ?! ... pourquoi vous dites que l'un des Principaux est un Groupe?
    InformationsquelleAutor rahulmohan
  5. 10

    Comme T. Rob a expliqué, l'Objet est une entité qui demande l'accès à un objet. A partir de là, j'ai trouvé un commentaire sur javax.de sécurité.auth.Sous réserve de code que j'ai trouvé TRÈS utile et facile à comprendre:

    "Sujets qui peuvent potentiellement avoir des identités multiples. Chaque identité est représentée comme un Principal à l'intérieur de l'Objet. Les directeurs simplement lier des noms à un Sujet. Par exemple, un Sujet qui se trouve être une personne, Alice, peut-être deux Directions: l'une qui se lie à la "Alice Bar", le nom sur son permis de conduire, pour le Sujet, et un autre qui se lie, "999-99-9999", le numéro de sa carte d'étudiant, à l'Objet. Les deux responsables se référer au même Objet, même si chacune a un nom différent."

    Espère que cela aide.

    InformationsquelleAutor Rafael
  6. 4

    C'est le lien ci-dessous explation à partir d'Oracle JAVA SE de la Documentation.

    Sujets, les Directeurs d'école, l'Authentification et les informations d'Identification
    Pour autoriser l'accès aux ressources, les applications doivent d'abord s'authentifier la source de la demande. Le JAAS cadre définit le terme sujet représente la source d'une demande. Un sujet peut être une entité, telle qu'une personne ou d'un service. Un sujet est représenté par la javax.de sécurité.auth.Sujet classe.

    Authentification représente le processus par lequel l'identité d'un objet est vérifiée, et doit être effectuée de façon sécuritaire; autrement, un auteur peut usurper l'identité d'autres personnes à accéder à un système. L'authentification implique généralement l'objet de démontrer certains éléments de preuve pour prouver son identité. Une telle preuve ne peut être seulement l'information de l'objet serait susceptible de connaître ou d'avoir (comme un mot de passe ou de l'empreinte digitale), ou il peut être uniquement des informations à ce sujet pourrait produire (comme signé des données à l'aide d'une clé privée).

    Une fois authentifié, l'Objet est rempli avec des associés ou des identités de Directeurs (de type java.de sécurité.Principal). Un Sujet peut avoir de nombreux Directeurs d'école. Par exemple, une personne peut avoir un nom Principal ("John Doe") et un SSN Principal ("123-45-6789"), qui le distinguent des autres Sujets.

    En plus des associés Directeurs d'école, un Sujet propre liés à la sécurité des attributs, qui sont appelés informations d'identification. Un justificatif d'identité peut contenir de l'information utilisée pour authentifier l'objet de nouveaux services. Ces informations d'identification comprennent des mots de passe, des tickets Kerberos, et les certificats de clé publique. Informations d'identification peuvent également contenir des données qui permet à l'objet d'exercer certaines activités. Les clés de chiffrement, par exemple, représentent des informations d'identification qui permettent à l'objet de signer ou crypter des données. Public et privé des informations d'identification de classes ne font pas partie de la base de J2SE API. Toute la classe, par conséquent, peuvent représenter un justificatif d'identité.

    • Même si je suis d'accord avec T. Rob réponse, celle d'Aram--qui dit "un objet peut être n'importe quelle entité"--allusion à la MCE: le Modèle Entité-Relation sous-tendent la plupart des bases de données. Dans ce modèle, "entité", correspond à "l'objet" dans le contexte de la sécurité, mais en fonction de ce que vous êtes à la modélisation, il pourrait être le principal (compte en banque, le SSN #) ou utilisateur (John Smith), comme suggéré dans Marinus de réponse. Wikipédia: en.wikipedia.org/wiki/Entity%E2%80%93relationship_model
    InformationsquelleAutor fgul