[精选]4-1身份与访问安全——身份认证cgq.pptx-得力文库

资源描述

《[精选]4-1身份与访问安全——身份认证cgq.pptx》由会员分享，可在线阅读，更多相关《[精选]4-1身份与访问安全——身份认证cgq.pptx（42页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、身份与访问安全基于口令的认证案例与分析南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院陈波案例：国内著名网站用户密码泄露事件信息安全案例教程：技术与应用2案例思考：3v1.1.在在用户对信息资源的访问过程中用户对信息资源的访问过程中，用户密码（口，用户密码（口令）起到什么作用？令）起到什么作用？v2.2.基于基于用户口令的用户口令的身份认证面临哪些安全威胁？如身份认证面临哪些安全威胁？如何何确保口令认证确保口令认证的安全性？的安全性？v33.除了使用口令，人们还可以采用哪些方法标识身除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别？份，进行身份鉴别？信息安全案例教

2、程：技术与应用1.身份认证的概念v v 用户密码，严格地称为用户口令，实际上在人们的信息资用户密码，严格地称为用户口令，实际上在人们的信息资源活动中起到标识用户身份，并依此进行源活动中起到标识用户身份，并依此进行身份认证身份认证的作用，的作用，防止非授权访问。防止非授权访问。v v 身份身份认证认证（Authentication Authentication）是证实实体（）是证实实体（Entity Entity）对）对象的数字身份与物理身份是否一致的象的数字身份与物理身份是否一致的过程。身份过程。身份认证技术认证技术能够有效防止信息资源被非授权使用，保障信息资源的安能够有效防

3、止信息资源被非授权使用，保障信息资源的安全全。v v 这里这里的实体可以是用户，也可以是主机系统的实体可以是用户，也可以是主机系统。4信息安全案例教程：技术与应用1.身份认证的概念v v 在在计算机系统中，身份（计算机系统中，身份（Identity Identity）是实体的一种计算机）是实体的一种计算机表达，计算机中的每一项事务是由一个或多个唯一确定的表达，计算机中的每一项事务是由一个或多个唯一确定的实体参与完成的，而身份可以用来唯一确定一个实体实体参与完成的，而身份可以用来唯一确定一个实体。v v 根据根据实体的不同，身份认证通常可分为用户与主机间的认实体的不同，身份认证通

4、常可分为用户与主机间的认证和主机与主机之间的认证，不过实质上，主机与主机之证和主机与主机之间的认证，不过实质上，主机与主机之间的认证仍然是用户与主机系统的认证。间的认证仍然是用户与主机系统的认证。5信息安全案例教程：技术与应用1.身份认证的概念v v 身份认证分为两个过程：身份认证分为两个过程：标识标识与与鉴别鉴别。标识标识（Identification Identification）就是系统要标识实体的身份，并为每个实）就是系统要标识实体的身份，并为每个实体取一个系统可以识别的内部名称体取一个系统可以识别的内部名称标识符标识符ID ID。识别识别主体真实身份的过程称为主体

5、真实身份的过程称为鉴别鉴别（Authentication Authentication），也有称），也有称作认证或验证作认证或验证。v v 户名户名或账户就可以作为身份标识。为了对主体身份的正确或账户就可以作为身份标识。为了对主体身份的正确性进行验证，主体往往还需要提供进一步的凭证，例如密性进行验证，主体往往还需要提供进一步的凭证，例如密码（口令）、令牌或是生物特征码（口令）、令牌或是生物特征。v v 系统系统会将主体提供的账号和凭证这两类身份信息与先前已会将主体提供的账号和凭证这两类身份信息与先前已存储的该主体的身份信息进行比较，如果相匹配，那么主存储的该主体的身份信息进行

6、比较，如果相匹配，那么主体就通过了身份鉴别体就通过了身份鉴别。v v 考虑考虑到身份鉴别是身份认证的重要组成部分，鉴别与标识到身份鉴别是身份认证的重要组成部分，鉴别与标识也紧密联系，也紧密联系，所以后面所以后面不再对认证和鉴别做区分。不再对认证和鉴别做区分。6信息安全案例教程：技术与应用1.身份认证的概念v v 创建和发布的身份信息必须具有创建和发布的身份信息必须具有3 3个特性：个特性：v v 1 1）唯一性）唯一性。标识符必须是唯一的且不能被伪造，防止一。标识符必须是唯一的且不能被伪造，防止一个实体冒充另一个实体。不同的计算机系统、不同的应用个实体冒充另一个实体。不同的计算机系

7、统、不同的应用中，可以使用不同的方式来标识实体的身份：可以是一个中，可以使用不同的方式来标识实体的身份：可以是一个唯一的字符串，可以是一张数字证书（类似于现实生活中唯一的字符串，可以是一张数字证书（类似于现实生活中的居民身份证），也可以是主机的居民身份证），也可以是主机IP IP地址或地址或MAC MAC地址地址（Media Access Control Media Access Control，媒介访问控制），媒介访问控制）。v v 例如：例如：Windows Windows系统的登录用户名和口令标识了一个用户的系统的登录用户名和口令标识了一个用户的身份身份；打开打开Offi

8、ce Office文档的口令标识了用户的身份文档的口令标识了用户的身份；校园网校园网用户登录学校图书馆资源时根据用户的用户登录学校图书馆资源时根据用户的IP IP地址地址确认用户主机的合法身份等确认用户主机的合法身份等。7信息安全案例教程：技术与应用1.身份认证的概念v v 创建和发布的身份信息必须具有创建和发布的身份信息必须具有3 3个特性：个特性：v v 2 2）非描述性）非描述性。任何身份的标识都不能表明账户的目的，。任何身份的标识都不能表明账户的目的，例如例如Administrator Administrator这样的身份标识对于攻击者太具有诱这样的身份标识对于攻击者太

9、具有诱惑力了。惑力了。v v 3 3）权威签发）权威签发。有的身份标识，如数字证书应当由权威机。有的身份标识，如数字证书应当由权威机构颁发，以便对标识进行验真，或在出现争执时提供仲裁。构颁发，以便对标识进行验真，或在出现争执时提供仲裁。8信息安全案例教程：技术与应用案例思考：9v1.1.在在用户对信息资源的访问过程中用户对信息资源的访问过程中，用户密码（口，用户密码（口令）起到什么作用？令）起到什么作用？v2.2.基于基于用户口令的用户口令的身份认证面临哪些安全威胁？如身份认证面临哪些安全威胁？如何何确保口令认证确保口令认证的安全性？的安全性？v33.除了使用口令，人们还可以采用哪些方法标识身

10、除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别？份，进行身份鉴别？信息安全案例教程：技术与应用2.基于口令的用户身份认证安全性分析10用户U认证请求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息安全意识不用户信息安全意识不高高；口令口令质量不高。质量不高。攻击者运用社会工程学，攻击者运用社会工程学，骗取口令骗取口令。伪造的登录界面；伪造的登录界面；在输入密码时被键盘记在输入密码时被键盘记录器等盗号程序所记录录器等盗号程序所记录口令在传输过程中口令在传输过程中被攻击者嗅探到被攻击者嗅探到。口令在数据库中口令在数据库中没有加密

11、保存；没有加密保存；数据库文件没有数据库文件没有访问控制访问控制信息安全案例教程：技术与应用v v 来看看大家最经常使用的密码是什么吧来看看大家最经常使用的密码是什么吧2.基于口令的用户身份认证安全性分析11信息安全案例教程：技术与应用v v 使用最多的密码长度是使用最多的密码长度是8 8位位竟然不要求长度竟然不要求长度2.基于口令的用户身份认证安全性分析12信息安全案例教程：技术与应用v v 如何提高如何提高口令口令质量？质量？v v 对于用户对于用户增大增大口令空间口令空间。计算。计算口令空间口令空间的的公式公式：S S=A A M M 选用选用无规律的无

12、规律的口令口令多多个口令个口令用工具生成用工具生成口令口令v v 对于网站对于网站登录时间限制。登录时间限制。限制登录次数。限制登录次数。尽量减少会话透露的信息。尽量减少会话透露的信息。增加认证的信息量。增加认证的信息量。2.基于口令的用户身份认证安全性分析13信息安全案例教程：技术与应用CSDN 杯最强密码大决选v总冠军：总冠军：ppnn13%dkstFeb.1stppnn13%dkstFeb.1st。v看看不懂不懂？v密码解析密码解析：娉娉袅袅十三余，豆蔻梢头二月初：娉娉袅袅十三余，豆蔻梢头二月初。vcsbt34.ydhl12scsbt34.ydhl12sv密码解析：密码

13、解析：池池上碧苔三四点，叶底黄鹂一两上碧苔三四点，叶底黄鹂一两声声14信息安全案例教程：技术与应用CSDN 杯最强密码大决选(续1)vfor_$n(RenSheng)_$n+=for_$n(RenSheng)_$n+=diediev密码解析：密码解析：人生自古谁无死人生自古谁无死vwhile(1)Ape1Cry&Ape2Crywhile(1)Ape1Cry&Ape2Cry;v密码密码解析：两岸猿声啼解析：两岸猿声啼不住不住vdoWhile(1)LeavesFly();YangtzeRiverFlowsdoWhile(1)LeavesFly();YangtzeRiverFlows(););v密码

14、密码解析：无边落木萧萧下，不尽长江滚滚来解析：无边落木萧萧下，不尽长江滚滚来15信息安全案例教程：技术与应用CSDN 杯最强密码大决选(续2)vTree_0f0=sprintf(2_Bird_ff0/a);Tree_0f0=sprintf(2_Bird_ff0/a);v密码解析：两个黄鹂鸣翠柳密码解析：两个黄鹂鸣翠柳vCaCO3=CaO+CO2CaCO3=CaO+CO2v密码密码解析解析：无语：无语16信息安全案例教程：技术与应用Windows 8 Windows 8 图片密码图片密码v v Windows Windows 8 8操作系统增加的操作系统增加的“图片密码图片密码”。v v 图

15、片密码方便记忆，省去了用户记忆繁杂口令字符串的过图片密码方便记忆，省去了用户记忆繁杂口令字符串的过程，且十分便于触控屏用户的使用，用户体验度高程，且十分便于触控屏用户的使用，用户体验度高；v v 与与口令字符串相比，口令字符串相比，“图片密码图片密码”不会出现口令窃取以及不会出现口令窃取以及口令丢失的安全威胁，安全性较好。口令丢失的安全威胁，安全性较好。17信息安全案例教程：技术与应用2.基于口令的用户身份认证安全性分析用户U认证请求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息安全意识不高用户信息安全意识不高，口令口令质量不高。质量不高。

16、口令在传输过程中口令在传输过程中被攻击者嗅探到被攻击者嗅探到。键盘记录器视频键盘记录器视频攻击者运用社会工程学，攻击者运用社会工程学，骗取口令骗取口令。伪造的登录界面；伪造的登录界面；在输入密码时被键盘记在输入密码时被键盘记录器等盗号程序所记录录器等盗号程序所记录口令在数据库中口令在数据库中没有加密保存；没有加密保存；数据库文件没有数据库文件没有访问控制访问控制18信息安全案例教程：技术与应用保护输入口令保护输入口令v v 安全控件实质是一种小程序。由各网站依据需要自行编写。安全控件实质是一种小程序。由各网站依据需要自行编写。v v 当该网站的注册会员登录该网站时，安全控件发

17、挥作用，当该网站的注册会员登录该网站时，安全控件发挥作用，通过对关键数据进行加密，防止账号密码被木马程序或病通过对关键数据进行加密，防止账号密码被木马程序或病毒窃取，可以有效防止木马截取键盘记录。毒窃取，可以有效防止木马截取键盘记录。v v 安全控件工作时，从客户的登录一直到注销，实时做到对安全控件工作时，从客户的登录一直到注销，实时做到对网站及客户终端数据流的监控。就目前而言，由于安全控网站及客户终端数据流的监控。就目前而言，由于安全控件的保护，客户的帐号及密码还是相对安全的件的保护，客户的帐号及密码还是相对安全的。v v 要防止伪装的安全控件。要防止伪装的安全控件。19信息安全案例

18、教程：技术与应用保护输入口令保护输入口令20信息安全案例教程：技术与应用2.基于口令的用户身份认证安全性分析用户U认证请求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息安全意识不高用户信息安全意识不高，口令口令质量不高。质量不高。口令在传输过程中口令在传输过程中被攻击者嗅探到被攻击者嗅探到。局域网密码嗅局域网密码嗅探视频探视频攻击者运用社会工程学，攻击者运用社会工程学，骗取口令骗取口令。伪造的登录界面；伪造的登录界面；在输入密码时被键盘记在输入密码时被键盘记录器等盗号程序所记录录器等盗号程序所记录口令在数据库中口令在数据库中没有加密

19、保存；没有加密保存；数据库文件没有数据库文件没有访问控制访问控制21信息安全案例教程：技术与应用使用使用“验证码验证码”实现一次性口令认证实现一次性口令认证v v 某某客户端用户登录界面上设置了客户端用户登录界面上设置了“验证码验证码”输入框，此验证码输入框，此验证码是随机值是随机值。v v 目前，得到广泛应用的验证码更多的目前，得到广泛应用的验证码更多的是是CAPTCHA(Completely CAPTCHA(Completely Automated Public Turing test Automated Public Turing test to tell Com

20、puters and Humans Apart to tell Computers and Humans Apart，全自动区分计算，全自动区分计算机和人类的图灵测试机和人类的图灵测试)，是一种主要区分用户是计算机和人的自，是一种主要区分用户是计算机和人的自动程序动程序。v v 这这类验证码的随机性不仅可以防止口令猜测攻击，还可以有效类验证码的随机性不仅可以防止口令猜测攻击，还可以有效防止攻击者对某一个特定注册用户用特定程序进行不断的登陆防止攻击者对某一个特定注册用户用特定程序进行不断的登陆尝试，例如防止刷票、恶意注册、论坛灌水等。尝试，例如防止刷票、恶意注册、论坛灌水等。22信息安

21、全案例教程：技术与应用使用使用“验证码验证码”实现一次性口令认证实现一次性口令认证23信息安全案例教程：技术与应用使用使用“验证码验证码”实现一次性口令认证实现一次性口令认证24信息安全案例教程：技术与应用绑定手机的动态口令实现一次性口令认证绑定手机的动态口令实现一次性口令认证v v 支付支付宝的宝的“手机宝令手机宝令”是一款直接安装在手机客户端上的安全认证是一款直接安装在手机客户端上的安全认证产品，不需要额外的硬件支持产品，不需要额外的硬件支持。v v 用户用户手机安装了手机安装了“手机宝令手机宝令”软件后，该客户端软件与支付宝服务软件后，该客户端软件与支付宝

22、服务器按照同样的算法运算，软件每器按照同样的算法运算，软件每30 30秒与服务器端同步生成一条动态秒与服务器端同步生成一条动态口令。口令。v v 用户用户开启手机宝令的安全服务后，在客户端进行修改密码、支付宝开启手机宝令的安全服务后，在客户端进行修改密码、支付宝支付等操作时，除了需要输入自己的帐号和口令外，还需要输入手支付等操作时，除了需要输入自己的帐号和口令外，还需要输入手机宝令的动态机宝令的动态密码。密码。v v 验证验证用户输入正确之后，用户才能进行下一步操作。用户输入正确之后，用户才能进行下一步操作。25信息安全案例教程：技术与应用绑定手机的动态口令实现一次性口令认证绑

23、定手机的动态口令实现一次性口令认证v v 动态口令也可以与手机号码绑定使用，通过向手机号码发送验证码动态口令也可以与手机号码绑定使用，通过向手机号码发送验证码来认证用户的身份来认证用户的身份。v v 支付支付宝应用中，用户申请了短信校验服务后，修改账户信息、找回宝应用中，用户申请了短信校验服务后，修改账户信息、找回密码、一定额度的账户资金变动都需要手机校验码密码、一定额度的账户资金变动都需要手机校验码确认。确认。v v 支付支付宝服务器会将动态口令，即手机校验码，发送到用户账号注册宝服务器会将动态口令，即手机校验码，发送到用户账号注册时绑定的手机号码时绑定的手机号码上。上。v

24、v 合法合法用户可以通过接收手机短信，输入动态口令，完成认证用户可以通过接收手机短信，输入动态口令，完成认证。v v 当然当然，如果用户手机丢失，其支付宝账户将面临很大安全风险。，如果用户手机丢失，其支付宝账户将面临很大安全风险。26信息安全案例教程：技术与应用使用动态口令牌使用动态口令牌实现一次性口令认证实现一次性口令认证v v 动态口令牌是一种内置电源、密码生成芯片和显示屏，并根据专门动态口令牌是一种内置电源、密码生成芯片和显示屏，并根据专门的算法定时自动更新口令的硬件设备的算法定时自动更新口令的硬件设备。v v 动态动态口令牌的使用简单方便，动态口令定时更新，用户只要根据

25、系口令牌的使用简单方便，动态口令定时更新，用户只要根据系统的提示，输入动态口令牌上当前显示的口令即可统的提示，输入动态口令牌上当前显示的口令即可。v v 支付支付宝和中国联通联合推出的宝和中国联通联合推出的“宝令宝令”就是一款动态口令卡的产品。就是一款动态口令卡的产品。用户开启服务后，在进行付款时，需要输入支付密码以及动态口令，用户开启服务后，在进行付款时，需要输入支付密码以及动态口令，确保账户资金更加安全。确保账户资金更加安全。27信息安全案例教程：技术与应用使用使用USB USB Key Key增强认证安全性增强认证安全性v v USB Key USB Key是一种包含是一

26、种包含USB USB接口的硬件设备，它内置单片机或智能卡接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的芯片，可以存储用户的密钥密钥或或数字证书数字证书，利用，利用USB Key USB Key内置的密码内置的密码算法实现对用户身份的认证算法实现对用户身份的认证。v v 基于基于USB Key USB Key的应用包括支付宝的的应用包括支付宝的“支付盾支付盾”，网上银行的，网上银行的“U U盾盾”等等。v v“U U盾盾”是银行推出的存放客户证书的安全工具。是银行推出的存放客户证书的安全工具。“U U盾盾”服务于服务于网上银行的数字认证和电子签名需求。它的

27、工作原理和认证方式同网上银行的数字认证和电子签名需求。它的工作原理和认证方式同“支付盾支付盾”类似。类似。v v“支付盾支付盾”是支付宝推出的安全产品。用户登录支付宝进行在线支是支付宝推出的安全产品。用户登录支付宝进行在线支付时，需要插入包含用户数字证书的支付盾，服务器验证数字证书付时，需要插入包含用户数字证书的支付盾，服务器验证数字证书的真实性之后，用户才能进行支付操作的真实性之后，用户才能进行支付操作28信息安全案例教程：技术与应用使用智能卡使用智能卡增强认证安全性增强认证安全性v v 智能卡（智能卡（Smart Card Smart Card）是一种更为复杂的凭证）是一种

28、更为复杂的凭证。它。它是一种将具有是一种将具有加密、存储、处理能力的集成电路芯片嵌装于塑料基片上而制成的加密、存储、处理能力的集成电路芯片嵌装于塑料基片上而制成的卡片。卡片。v v 智能智能卡一般由微处理器、存储器等部件构成。为防止智能卡遗失或卡一般由微处理器、存储器等部件构成。为防止智能卡遗失或被窃，许多系统需要智能卡和个人识别码被窃，许多系统需要智能卡和个人识别码PIN PIN同时使用。同时使用。29信息安全案例教程：技术与应用使用生物特征、生物行为增强使用生物特征、生物行为增强认证安全性认证安全性v v 虽然网上银行广泛使用的虽然网上银行广泛使用的U U盾认证方式相比于

29、盾认证方式相比于“用户名用户名+口令口令”的的方式安全性要高，但它仍然有许多缺点，例如需要随时携带方式安全性要高，但它仍然有许多缺点，例如需要随时携带U U盾，盾，也容易丢失或被窃也容易丢失或被窃。v v 与与这两种认证方式相比，利用用户本身的特征进行认证，也就基于这两种认证方式相比，利用用户本身的特征进行认证，也就基于生物的认证技术（生物的认证技术（Biometrics Biometrics），具有无法比拟的），具有无法比拟的优点：优点：用户用户不必不必再记忆和设置密码，使用更加方便再记忆和设置密码，使用更加方便。v v 生物生物特征认证技术已经成为目前公认的、最安全和

30、最有效的身份认特征认证技术已经成为目前公认的、最安全和最有效的身份认证技术，将成为证技术，将成为IT IT产业最为重要的技术革命。产业最为重要的技术革命。30信息安全案例教程：技术与应用使用生物特征、生物行为增强使用生物特征、生物行为增强认证安全性认证安全性v v 基于击键特征的身份认证是利用一个人敲击键盘的行为特征进行身基于击键特征的身份认证是利用一个人敲击键盘的行为特征进行身份认证。击键行为特征包括份认证。击键行为特征包括击键间隔击键间隔、击键持续时间击键持续时间、击键位置击键位置，甚至甚至击键压力击键压力等。等。v v 北京微通新成网络科技有限公司的北京微通新成网

31、络科技有限公司的“键盘芭蕾键盘芭蕾”就是一款静态口令就是一款静态口令认证和击键特征认证相结合的双因素身份认证产品，它不仅会检测认证和击键特征认证相结合的双因素身份认证产品，它不仅会检测用户输入的账号和密码是否正确，而且还收集用户的击键间隔、击用户输入的账号和密码是否正确，而且还收集用户的击键间隔、击键持续时间等击键特征。只有用户的静态口令输入正确且击键特征键持续时间等击键特征。只有用户的静态口令输入正确且击键特征与系统用户相符，用户才能通过身份认证。与系统用户相符，用户才能通过身份认证。31信息安全案例教程：技术与应用2.基于口令的用户身份认证安全性分析用户U认证请求认证系统S用户I

32、D 密码admin 123456chenbo 456789 用户信息安全意识不高用户信息安全意识不高，口令口令质量不高。质量不高。口令在传输过程中口令在传输过程中被攻击者嗅探到被攻击者嗅探到。攻击者运用社会工程学，攻击者运用社会工程学，骗取口令骗取口令。伪造的登录界面；伪造的登录界面；在输入密码时被键盘记在输入密码时被键盘记录器等盗号程序所记录录器等盗号程序所记录口令在数据库中口令在数据库中没有加密保存；没有加密保存；数据库文件没有数据库文件没有访问控制访问控制32信息安全案例教程：技术与应用对口令数据库等重要资源的防护33资源资源用户用户身份标识与鉴别身份标识与鉴

33、别访问授权与控制访问授权与控制日志记录与审计日志记录与审计加密、哈希等加密、哈希等管理等安全措施管理等安全措施信息安全案例教程：技术与应用2.基于口令的用户身份认证安全性分析用户U认证请求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息安全意识不高用户信息安全意识不高，口令口令质量不高。质量不高。口令在传输过程中口令在传输过程中被攻击者嗅探到被攻击者嗅探到。攻击者运用社会工程学，攻击者运用社会工程学，骗取口令骗取口令。伪造的登录界面；伪造的登录界面；在输入密码时被键盘记在输入密码时被键盘记录器等盗号程序所记录录器等盗号程序所记录口令在

34、数据库中口令在数据库中没有加密保存；没有加密保存；数据库文件没有数据库文件没有访问控制访问控制34信息安全案例教程：技术与应用案例思考：35v1.1.在在用户对信息资源的访问过程中用户对信息资源的访问过程中，用户密码（口，用户密码（口令）起到什么作用？令）起到什么作用？v2.2.基于基于用户口令的用户口令的身份认证面临哪些安全威胁？如身份认证面临哪些安全威胁？如何何确保口令认证确保口令认证的安全性？的安全性？v33.除了除了使用口令，使用口令，人们还可以采用哪些方法标识身人们还可以采用哪些方法标识身份，进行身份鉴别份，进行身份鉴别？信息安全案例教程：技术与应用案例思考：36v1.1.在在

35、用户对信息资源的访问过程中用户对信息资源的访问过程中，用户密码（口，用户密码（口令）起到什么作用？令）起到什么作用？v2.2.基于基于用户口令的用户口令的身份认证面临哪些安全威胁？如身份认证面临哪些安全威胁？如何何确保口令认证确保口令认证的安全性？的安全性？v3.3.除了使用口令，人们还可以采用哪些方法标识身除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别？份，进行身份鉴别？信息安全案例教程：技术与应用3.身份认证技术v v 身份认证过程中，需要将主体的账号与凭证这两类身份信身份认证过程中，需要将主体的账号与凭证这两类身份信息与保存的初始设定的进行比对，以此判定主体身份的真息与保

36、存的初始设定的进行比对，以此判定主体身份的真实性实性。v v 常用常用的的3 3种凭证信息是：种凭证信息是：1 1）用户所知道的用户所知道的（What you know What you know），如要求输入），如要求输入用户用户的口令、密钥或是图片密码中记忆的口令、密钥或是图片密码中记忆的的动作等动作等；2 2）用户所拥有的用户所拥有的（What you have What you have），），如如USB Key USB Key、U U盾、智能盾、智能卡等物理识别设备；卡等物理识别设备；3 3）用户本身的特征用户本身的特征（What you are What y

37、ou are），如用户的指），如用户的指纹、声音、视网膜等生理特征以及击键等行为特征。纹、声音、视网膜等生理特征以及击键等行为特征。37信息安全案例教程：技术与应用3.身份认证技术v一般情况下，可以通过多一般情况下，可以通过多个凭证（个凭证（也有称多因子）也有称多因子）来共同鉴别用户身份的真伪来共同鉴别用户身份的真伪。v我们我们在银行在银行ATMATM机上取款需要插入银行卡，同时机上取款需要插入银行卡，同时需要输入银行卡密码，就是采用了双因子认证需要输入银行卡密码，就是采用了双因子认证。v认证认证的因子越多，鉴别真伪的可靠性就越大的因子越多，鉴别真伪的可靠性就越大。v当然当然，在设计认证机制时

38、需要考虑认证的方便性，在设计认证机制时需要考虑认证的方便性和性能等综合因素和性能等综合因素。38信息安全案例教程：技术与应用本讲主要内容：39v v 1.1.在用户对信息资源的访问过程中，用户密码（口令）起到在用户对信息资源的访问过程中，用户密码（口令）起到什么作用？什么作用？1.1.身份认证的概念身份认证的概念v v 2 2.基于用户口令的身份认证面临哪些安全威胁？如何确保口基于用户口令的身份认证面临哪些安全威胁？如何确保口令认证的安全性？令认证的安全性？2.2.基于口令的用户身份认证安全性分析基于口令的用户身份认证安全性分析v v 3 3.除了使用口令，人们还可以采用哪些方法标识身

39、份，进行除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别身份鉴别？3.3.身份认证技术身份认证技术信息安全案例教程：技术与应用本讲思考与练习40v v 简答：简答：设置设置强口令的基本原则是什么？有哪些途径来帮助我强口令的基本原则是什么？有哪些途径来帮助我们检测口令的强度们检测口令的强度？v v 操作实验操作实验：通常通常建议不同的登录地点使用不同的口令，以避建议不同的登录地点使用不同的口令，以避免一个账户的口令泄露波及其他账户。个人面对日益众多的免一个账户的口令泄露波及其他账户。个人面对日益众多的口令如何安全存储和管理是个重要问题。试下载跨平台密码口令如何安全

40、存储和管理是个重要问题。试下载跨平台密码管理管理工具工具1password 1password（https:/https:/KeePass（http:/keepass.info http:/keepass.info）、LastPass LastPass（https:/https:/）、Password Password Safe Safe（http:/http:/passwordsafe/files）等进行实验，完成实验报告）等进行实验，完成实验报告。v v 更多资源请访问南京师范大学信息化教学网更多资源请访问南京师范大学信息化教学网本课程主页本课程主页http:/http:/信息安全

41、案例教程：技术与应用v 9、静夜四无邻，荒居旧业贫。5 月-235 月-23Friday,May 19,2023v 10、雨中黄叶树，灯下白头人。12:18:4412:18:4412:185/19/2023 12:18:44 PMv 11、以我独沈久，愧君相见频。5 月-2312:18:4412:18May-2319-May-23v 12、故人江海别，几度隔山川。12:18:4412:18:4412:18Friday,May 19,2023v 13、乍见翻疑梦，相悲各问年。5 月-235 月-2312:18:4412:18:44May 19,2023v 14、他乡生白发，旧国见青山。19 五月

42、 202312:18:44 下午12:18:445 月-23v 15、比不了得就不比，得不到的就不要。五月 2312:18 下午5 月-2312:18May 19,2023v 16、行动出成果，工作出财富。2023/5/19 12:18:4412:18:4419 May 2023v 17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。12:18:44 下午12:18 下午12:18:445 月-23v 9、没有失败，只有暂时停止成功！。5 月-235 月-23Friday,May 19,2023v 10、很多事情努力了未必有结果，但是不努力却什么改变也没有。12:18:44

43、12:18:4412:185/19/2023 12:18:44 PMv 11、成功就是日复一日那一点点小小努力的积累。5 月-2312:18:4412:18May-2319-May-23v 12、世间成事，不求其绝对圆满，留一份不足，可得无限完美。12:18:4412:18:4412:18Friday,May 19,2023v 13、不知香积寺，数里入云峰。5 月-235 月-2312:18:4412:18:44May 19,2023v 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。19 五月 202312:18:44 下午12:18:445 月-23v 15、楚塞三湘接，荆门九派通。

44、五月 2312:18 下午5 月-2312:18May 19,2023v 16、少年十五二十时，步行夺得胡马骑。2023/5/19 12:18:4412:18:4419 May 2023v 17、空山新雨后，天气晚来秋。12:18:44 下午12:18 下午12:18:445 月-23v 9、杨柳散和风，青山澹吾虑。5 月-235 月-23Friday,May 19,2023v 10、阅读一切好书如同和过去最杰出的人谈话。12:18:4412:18:4412:185/19/2023 12:18:44 PMv 11、越是没有本领的就越加自命不凡。5 月-2312:18:4412:18May-23

45、19-May-23v 12、越是无能的人，越喜欢挑剔别人的错儿。12:18:4412:18:4412:18Friday,May 19,2023v 13、知人者智，自知者明。胜人者有力，自胜者强。5 月-235 月-2312:18:4412:18:44May 19,2023v 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。19 五月 202312:18:44 下午12:18:445 月-23v 15、最具挑战性的挑战莫过于提升自我。五月 2312:18 下午5 月-2312:18May 19,2023v 16、业余生活要有意义，不要越轨。2023/5/19 12:18:4412:18:4419 May 2023v 17、一个人即使已登上顶峰，也仍要自强不息。12:18:44 下午12:18 下午12:18:445 月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感谢您的下载观看专家告诉演讲完毕，谢谢观看！

展开阅读全文