网络安全功能分层分级要求信息安全和用户鉴别的要求进行身份鉴别安全机制的设计。

一般以用户名和用户标识符来标识一个用户，应确保在一个信息系统中用户名和用户标识符的唯一性，严格的唯一性应维持在网络系统的整个生存周期都有效，即使一个用户的账户已被删除，他的用户名和标识符也不能再使用，并由此确保用户的唯一性和可区别性。

网络安全功能分层分级要求的鉴别应确保用户的真实性。可以用口令进行鉴别，更严格的身份鉴别可采用智能 IC 卡密码技术，指纹、虹膜等特征信息进行身份鉴别，并在每次用户登录系统之前进行鉴别。口令应是不可见的，并在存储和传输时进行保护。智能 IC 卡身份鉴别应以密码技术为基础，并按用户鉴别中不可伪造鉴别所描述的要求进行设计。对于鉴别失败的情况，要求按鉴别失败所描述的要求进行处理。

用户在系统中的行为一般由进程代为执行，要求按用户-主体绑定所描述的要求，将用户与代表该用户行为的进程相关联。这种关联应体现在 SSON 安全功能控制范围之内各主、客体之间的相互关系上。

比如，一个用户通过键入一条命令要求访问一个指定文件，信息系统运行某一进程实现这一功能。这时，该进程应与该用户相关联，于是该进程的行为即可看作该用户的行为。

身份鉴别应区分实体鉴别和数据起源鉴别：当身份是由参与通信连接或会话的远程实体提交时叫实体鉴别，它可以作为访问控制服务的一种必要支持；当身份信息是由数据项发送者提交时叫数据起

源鉴别，它是确保部分完整性目标的直接方法，确保知道某个数据项的真正起源。

表 2 给出了从用户自主保护级到访问验证保护级对身份鉴别功能的分层分级要求。

您可以前往信创致远http://www.dengbao110.com/查看网络安全更多内容。