当前位置:文档之家 › 第六章信息安全原理与技术ch06身份认证与访问控制-PPT课件

第六章信息安全原理与技术ch06身份认证与访问控制-PPT课件

  • 格式:ppt
  • 大小:109.00 KB
  • 文档页数:54

下载文档原格式

  / 54

合集下载

身份认证与访问控制

身份认证与访问控制

五 声纹识别技术
1.简介: 声纹识别,生物识别技术的一种。也称为 说话人识别,有两类,即说话人辨认和说话人确认。 不同的任务和应用会使用不同的声纹识别技术,如 缩小刑侦范围时可能需要辨认技术,而银行交易时 则需要确认技术。
五 声纹识别技术
声纹识别的应用有一些缺点,比如同一个人的声音 具有易变性,易受身体状况、年龄、情绪等的影响; 比如不同的麦克风和信道对识别性能有影响;比如环 境噪音对识别有干扰;又比如混合说话人的情形下人 的声纹特征不易提取;……等等。
(4)声纹辨认和确认的算法复杂度低; (5)配合一些其他措施,如通过语音识别进行内容鉴
别等,可以提高准确率;……等等。 这些优势使得声纹识别的应用越来越收到系统开发
者和用户青睐,声纹识别的世界市场占有率15.8% ,仅次于指纹和掌纹的生物特征识别,并有不断上 升的趋势。
五 声纹识别技术
2.技术分类 说话人辨认、说话人确认、说话人探测/跟踪。
六 虹膜识别技术
1.简介 虹膜识别技术是基于眼睛中的虹膜进行身份识别,应用
于安防设备(如门禁等),以及有高度保密需求的场所。
人的眼睛结构由巩膜、虹膜、瞳孔晶状体、视网膜等部 分组成。虹膜是位于黑色瞳孔和白色巩膜之间的圆环状部分, 其包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等 的细节特征。而且虹膜在胎儿发育阶段形成后,在整个生命 历程中将是保持不变的。这些特征决定了虹膜特征的唯一性, 同时也决定了身份识别的唯一性。因此,可以将眼睛的虹膜 特征作为每个人的身份识别对象。
一 口令识别法
3)OTP技术的实现机制(基本概念) (1)挑战/应答机制 (2)口令序列机制 (3)时间同步 (4)事件同步
一 口令识别法
4)一次性口令协议及其安全性 一次性密码(One Time Password,简称OTP),

身份与访问安全 访问控制 信息安全案例教程:技术与应用 教学PPT课件

身份与访问安全 访问控制 信息安全案例教程:技术与应用 教学PPT课件

2021/7/31
12
信息安全案例教程:技术与应用
1. 访问控制的概念
❖ (4)基本的访问控制模型 ▪ 3)能力表 ▪ 能力表保护机制实际上是按访问控制矩阵的行 实施对系统中客体的访问控制。 ▪ 每个主体都有一张能力表,用于说明可以访问 的客体及其访问权限。
2021/7/31
13
信息安全案例教程:技术与应用
❖ 访问控制表ACL、能力表是实现DAC策略的基本 数据结构
❖ 在DAC模式下,有3种控制许可权手段:层次型 、属主型和自由型。
2021/7/31
16
信息安全案例教程:技术与应用
本讲要点
❖1. 访问控制的概念 ❖2. 自主访问控制模型 ❖3. 强制访问控制模型 ❖4. 基于角色的访问控制模型 ❖5. 基于PMI的授权与访问控制模型 ❖6. 基于属性的新型访问控制模型 ❖ 应用实例:网络接入控制方案
❖ 人们可能更关注第2个问题,因此,现今大多数主 流的操作系统都把ACL作为主要的访问控制机制 。这种机制也可以扩展到分布式系统,ACL由文 件服务器维护。
2021/7/31
14
信息安全案例教程:技术与应用
本讲要点
❖1. 访问控制的概念 ❖2. 自主访问控制模型 ❖3. 强制访问控制模型 ❖4. 基于角色的访问控制模型 ❖5. 基于PMI的授权与访问控制模型 ❖6. 基于属性的新型访问控制模型 ❖ 应用实例:网络接入控制方案
❖ 访问控制技术解决的是“你能做什么?你有什么 样的权限?”。
2021/7/31
2
信息安全案例教程:技术与应用
1. 访问控制的概念
❖ 基本目标都是防止非法用户进入系统和合法用户 对系统资源的非法使用。
❖ 为了达到这个目标,访问控制常以用户身份认证 为前提,在此基础上实施各种访问控制策略来控 制和规范合法用户在系统中的行为。

计算机技术网络安全技术教程 ch6 访问控制技术.ppt

计算机技术网络安全技术教程 ch6 访问控制技术.ppt
上个世纪70年代末,M.H.Harrison,W.L.Ruzzo, J.D.Ullma等对传统DAC做出扩充,提出了客体主人自 主管理该客体的访问和安全管理员限制访问权限随意扩 散相结合的半自主式的HRU访问控制模型,并设计了安 全管理员管理访问权限扩散的描述语言。到了1992年, Sandhu 等 人 为 了 表 示 主 体 需 要 拥 有 的 访 问 权 限 , 将 HRU模型发展为TAM(Typed Access Matrix)模型, 在客体和主体产生时就对访问权限的扩散做出了具体的 规定。
访问控制矩阵(Access Control Matrix)是 最初实现访问控制技术的概念模型。
返回本章首页
第六章 访问控制技术
的基础上对访问进行限定的一种方法。传统的DAC 最早出现在上个世纪70年代初期的分时系统中,它 是多用户环境下最常用的一种访问控制技术,在目
前流行的Unix类操作系统中被普遍采用。其基本思 想是,允许某个主体显式地指定其他主体对该主体
所拥有的信息资源是否可以访问以及可执行的访问
类型。
返回本章首页
第六章 访问控制技术
第六章 访问控制技术
6.1 访问控制技术
计算机信息系统访问控制技术最早产生于上 个世纪60年代,随后出现了两种重要的访问控制 技术,即自主访问控制(Discretionary Access Control,DAC) 和 强 制 访 问 控 制 ( Mandatory Access Control,MAC)。
返回本章首页
第六章 访问控制技术
安全管理员 认证
用户
授权数据 库
引用监控器
访问控制 客体
审计
图6-1 访问控制与其他安全服务关系模型
返回本章首页

信息安全的身份认证与访问控制

信息安全的身份认证与访问控制

信息安全的身份认证与访问控制在当今数字化的时代,信息如同珍贵的宝藏,而保护这些宝藏的关键就在于信息安全的身份认证与访问控制。

想象一下,一个装满机密文件的保险箱,如果任何人都能轻易打开它,那将会带来多么巨大的风险和混乱。

信息世界也是如此,如果没有有效的身份认证与访问控制,我们的个人隐私、企业机密乃至国家安全都可能受到严重威胁。

身份认证,简单来说,就是确认“你是谁”的过程。

它就像是进入一个秘密花园的门票,只有持有正确门票的人才能被允许进入。

这可以通过多种方式实现,比如我们常见的用户名和密码组合。

当你在登录社交媒体、电子邮箱或者网上银行时,输入正确的用户名和密码,系统就会认定你的身份合法,从而为你打开相应的服务之门。

然而,仅仅依靠用户名和密码并不总是足够安全。

因为人们常常为了方便记忆,会选择过于简单或者容易被猜到的密码,比如生日、电话号码等。

而且,如果密码不小心被泄露,那么不法分子就能够轻松地冒充你的身份。

为了增强身份认证的安全性,出现了许多其他的认证方式,比如指纹识别、面部识别、虹膜识别等生物特征认证。

这些方式基于每个人独特的生理特征,几乎不可能被伪造或模仿,大大提高了身份认证的可靠性。

另外,还有一种常见的身份认证方式是数字证书。

数字证书就像是一个网络世界里的身份证,由权威的第三方机构颁发。

当你在进行网上交易或者访问重要的网站时,数字证书可以证明你的身份和网站的合法性,确保双方的交易和通信是安全可靠的。

说完了身份认证,我们再来聊聊访问控制。

访问控制的目的是决定“你能做什么”。

即使你通过了身份认证,被确认了身份,也不意味着你可以在系统中为所欲为。

访问控制会根据你的身份和权限,规定你能够访问的信息和能够执行的操作。

举个例子,在一家公司里,普通员工可能只能访问与自己工作相关的文件和数据,而经理则可以访问更多的机密信息和拥有更高的操作权限。

同样,在一个医疗系统中,医生可以查看患者的病历,但护士可能只能查看部分相关信息。

信息安全培训ppt课件

信息安全培训ppt课件

密码攻击与防御
分析常见的密码攻击手段,如 穷举攻击、字典攻击、中间人 攻击等,并探讨相应的防御措 施。
密码学应用实践
介绍密码学在信息安全领域的 应用,如数字签名、数字证书
、SSL/TLS协议等。
网络通信安全基础
网络通信安全概述
网络安全协议
阐述网络通信安全的定义、重要性及面临 的挑战,如窃听、篡改、重放等攻击。
络攻击。
防火墙与入侵检测技术的结合
03
实现网络访问控制和攻击检测的双重防护,提高网络安全防护
能力。
恶意软件防范技术
恶意软件概述
介绍恶意软件的种类、传播方式和危 害。
恶意软件防范策略
恶意软件检测和清除
使用专业工具对系统和应用程序进行 定期扫描和检测,及时发现并清除恶 意软件。
制定和执行安全策略,限制软件安装 和使用权限,防止恶意软件感染。
用户只需一次登录即可访问多个应用,提高用户体验和工作效率, 减少密码管理成本。
联合身份认证
通过第三方认证机构对用户身份进行验证和管理,实现跨域身份认 证和授权,适用于互联网应用。
OAuth协议
一种开放授权标准,允许用户授权第三方应用访问其存储在服务提供 商上的信息,而无需将用户名和密码暴露给第三方应用。
应用软件安全ຫໍສະໝຸດ 探讨应用软件安全的重要性、面临的威胁 和挑战,以及保障应用软件安全的措施和 技术,如代码签名、漏洞修复等。
03 网络安全防护技术
防火墙与入侵检测技术
防火墙技术
01
通过配置安全策略,控制网络访问行为,防止未经授权的访问
和数据泄露。
入侵检测技术
02
通过监控网络流量和事件,识别异常行为,及时发现并应对网

信息安全概论访问控制

信息安全概论访问控制
p 系统管理员的等级为等级树的根,根一级具有修 改所有客体存取控制表的能力,并且具有向任意 一个主体分配这种修改权的能力。
p 在树中的最低级的主体不再具有访问许可,也就 是说他们对相应的客体的存取控制表不再具有修 改权。
p 有访问许可的主体(即有能力修改客体的存取控 制表),可以对自己授与任何访问模式的访问权。
PPT文档演模板
信息安全概论访问控制访源自控制模型p 从访问控制的角度出发,描述安全系统,建立安 全模型的方法。
p 一般包括主体、客体、以及为识别和验证这些实 体的子系统和控制实体间的访问的监视器。
p 来自于策略。
PPT文档演模板
信息安全概论访问控制
访问控制模型
p 自主访问控制模型。(DAC) p 强制访问控制模型。(MAC) p 基于角色的访问控制模型。(RBAC) p 基于任务的访问控制模型。(TBAC) p 基于对象的访问控制模型。(OBAC) p 信息流模型。
PPT文档演模板
信息安全概论访问控制
强制访问控制和自主访问控制
p 强制访问控制和自主访问控制是两种不同类型的访问控制 机制,它们常结合起来使用。仅当主体能够同时通过自主 访问控制和强制访问控制检查时,它才能访问一个客体。
p 用户使用自主访问控制防止其他用户非法入侵自己的文件, 强制访问控制则作为更强有力的安全保护方式,使用户不 能通过意外事件和有意识的误操作逃避安全控制。因此强 制访问控制用于将系统中的信息分密级和类进行管理,适 用于政府部门、军事和金融等领域。
自主访问控制
p 自主访问控制是最常用的一类访问控制机制,用来决定一个用户是否 有权访问一些特定客体的一种访问约束机制。在自主访问控制机制下, 文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文 件的访问权。

信息安全培训ppt课件


应用系统安全防护措施
01
02
03
04
安全开发
采用安全的编程语言和框架, 避免使用存在已知漏洞的组件

输入验证
对用户输入进行严格验证和过 滤,防止注入攻击。
访问控制
实施严格的访问控制策略,防 止未经授权的访问和操作。
加密传输
对敏感数据进行加密传输和存 储,保护数据在传输和存储过
程中的安全。
应用系统安全审计与监控
信息安全培训ppt课件
汇报人: 2023-12-24
目录
• 信息安全概述 • 网络安全基础 • 数据安全与隐私保护 • 应用系统安全 • 身份认证与访问控制 • 恶意软件防范与应急响应 • 总结与展望
信息安全概述
01
信息安全的定义与重要性
信息安全的定义
信息安全是指通过采取技术、管理和法律等手段,保护信息系统的机密性、完整性和可用性,防止未经授权的访 问、使用、泄露、破坏或篡改信息,确保信息系统的正常运行和业务连续性。
加强实践锻炼
通过参与实际的安全项目或模拟演练等方式,加强实践锻 炼,提高应对安全威胁的能力和水平。
THANKS.
VS
信息安全合规性
信息安全合规性是指企业或个人在信息安 全方面遵守相关法律法规和政策要求的情 况。为了确保信息安全合规性,企业需要 建立完善的信息安全管理制度和技术防范 措施,加强员工的信息安全意识和培训, 定期进行信息安全风险评估和演练,确保 企业信息系统的安全稳定运行。
网络安全基础
02
网络攻击与防御技术
网络安全应用
02
阐述各种网络安全应用的作用和原理,如防病毒软件、加密软
件、身份认证系统等。
云计算与虚拟化安全

《信息安全》ppt课件

《信息安全》PPT课件•信息安全概述•信息安全的核心技术•信息系统的安全防护•信息安全管理与实践目录•信息安全前沿技术与趋势•总结与展望信息安全概述信息安全的定义与重要性信息安全的定义信息安全的重要性信息安全的发展历程发展阶段萌芽阶段随着计算机和网络技术的普及,信息安全逐渐涉及到操作系统安全、网络安全、数据库安全等领域。

成熟阶段信息安全的威胁与挑战信息安全的威胁信息安全的挑战信息安全的核心技术加密技术与算法对称加密采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密。

非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(公钥),另一个由用户自己秘密保存(私钥)。

混合加密结合对称加密和非对称加密的优点,在保证信息安全性的同时提高加密和解密效率。

防火墙与入侵检测技术防火墙技术入侵检测技术防火墙与入侵检测的结合身份认证与访问控制技术身份认证技术01访问控制技术02身份认证与访问控制的结合031 2 3安全审计技术安全监控技术安全审计与监控的结合安全审计与监控技术信息系统的安全防护强化身份认证采用多因素认证方式,如动态口令、数字证书等,提高账户安全性。

最小化权限原则根据用户职责分配最小权限,避免权限滥用。

及时更新补丁定期更新操作系统补丁,修复已知漏洞,防止攻击者利用。

安全审计与监控启用操作系统自带的安全审计功能,记录用户操作行为,以便事后分析和追责。

操作系统安全防护数据库安全防护访问控制数据加密防止SQL注入定期备份与恢复防火墙配置入侵检测与防御网络隔离安全漏洞扫描网络安全防护对应用软件源代码进行安全审计,发现潜在的安全隐患。

代码安全审计输入验证会话管理加密传输对用户输入进行严格的验证和过滤,防止注入攻击。

加强应用软件会话管理,避免会话劫持和重放攻击。

对敏感数据采用加密传输方式,确保数据传输过程中的安全性。

应用软件安全防护信息安全管理与实践信息安全管理策略与制度定期进行信息安全风险评估,识别潜在的安全威胁和漏洞制定针对性的风险应对措施,降低安全风险建立完善的安全事件报告和处置机制,确保对安全事件的及时响应和处理信息安全风险评估与应对信息安全培训与意识提升123信息安全事件应急响应与处理010203信息安全前沿技术与趋势云计算安全架构虚拟化安全技术云存储安全030201云计算与虚拟化安全技术数据脱敏技术介绍数据脱敏技术的原理和实现方法,包括静态脱敏和动态脱敏两种方式的比较和应用场景。

信息安全技术PPT课件

6
02
信息安全技术基础
BIG DATA EMPOWERS TO CREATE A NEW
ERA
2024/1/28
7
密码学原理与应用
密码学基本概念
介绍密码学的定义、发 展历程、基本原理和核
心概念。
2024/1/28
加密算法
详细阐述对称加密、非 对称加密和混合加密等 算法的原理、特点和应
用场景。
数字签名与认证
身份管理与单点登录
解释身份管理的概念、作用和实现方式,以及单点登录的原理、优势 和实现方法。
10
03
信息安全防护手段
BIG DATA EMPOWERS TO CREATE A NEW
ERA
2024/1/28
11
防火墙与入侵检测系统
防火墙技术
通过包过滤、代理服务等方式,控制 网络访问权限,防止未经授权的访问 和数据泄露。
22
06
未来发展趋势及挑战
BIG DATA EMPOWERS TO CREATE /28
23
云计算、大数据等新技术对信息安全影响
云计算带来的数据集 中存储和处理,增加 了数据泄露和篡改风 险。
新技术引入的安全漏 洞和攻击面,需要不 断关注和应对。
2024/1/28
大数据技术的广泛应 用,使得隐私泄露和 恶意攻击的可能性增 加。
5
信息安全法律法规与标准
2024/1/28
信息安全法律法规
各国政府都制定了相应的信息安全法律法规,如中国的《网 络安全法》、欧盟的《通用数据保护条例》(GDPR)等, 这些法律法规规定了信息安全的基本要求和违规行为的法律 责任。
信息安全标准
国际组织和专业机构制定了一系列信息安全标准,如ISO 27001(信息安全管理体系标准)、PCI DSS(支付卡行业数 据安全标准)等,这些标准为组织提供了信息安全管理的最 佳实践和指南。

《信息安全技术》ppt课件

数据库访问控制
实施严格的数据库访问控制策略,包括用户 身份验证和授权管理。
数据库漏洞修补
定期更新数据库软件,及时修补已知漏洞, 防止攻击者利用漏洞进行攻击。
数据加密与存储安全
对敏感数据进行加密存储,确保数据在传输 和存储过程中的安全性。
数据库审计与监控
启用数据库审计功能,记录数据库操作日志 ,以便进行安全分析和溯源。
操作系统安全配置与优化
最小化安装原则
仅安装必要的组件和服务,降 低攻击面。
安全更新与补丁管理
定期更新操作系统,及时修补 已知漏洞。
账户与权限管理
严格控制账户权限,实施最小 权限原则,定期审查账户权限 。
安全审计与日志分析
启用系统日志记录功能,定期 审查和分析日志,以便发现和
应对潜在的安全威胁。
数据库安全防护措施
遵守相关法律法规
严格遵守《个人信息保护法》等 相关法律法规,确保个人隐私数
据的安全和合法使用。
隐私政策制定
制定详细的隐私政策,明确告知 用户个人信息的收集、使用、共 享和保护等情况,保障用户知情
权。
用户同意与授权
在收集和使用用户个人信息前, 需获得用户的明确同意和授权, 确保用户对个人信息的控制权。
05
数据安全与隐私保护
数据加密传输与存储技术
加密传输技术
采用SSL/TLS协议,确保 数据在传输过程中的机密 性、完整性和身份验证。
加密存储技术
采用AES、RSA等加密算 法,对数据进行加密存储 ,防止数据泄露和篡改。
密钥管理
建立完善的密钥管理体系 ,包括密钥生成、存储、 使用和销毁等环节,确保 密钥安全。
强制访问控制(MAC)
系统强制实施访问控制策略,安全性高但灵活性较差。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019/3/11 Ch6-身份认证与访问控制 8
动态口令方式
• 是一种让用户的密码按照时间或使用次数不断动态 变化,每个密码只使用一次的技术 采用动态密码卡(专用硬件),密码生成芯片运 行专门的密码算法,根据当前时间或使用次数生成 当前密码。用户将动态令牌上显示的当前密码输入, 由这个信息的正确与否可识别使用者的身份。 • 优点: 采用一次一密的方法,不能由产生的内容去预测 出下一次的内容。而且输入方法普遍(一般计算机键 盘即可),能符合网络行为双方的需要。 • 缺点: 如果客户端硬件与服务器端程序的时间或次数 不能保持良好的同步,就可能发生合法用户无法登 录的问题,这使得用户的使用非常不方便。
基于DCE/Kerberos的认证机制
DCE/Kerberos是一种被证明为非常安全的双向身份认证技 术。Kerberos既不依赖用户登录的终端,也不依赖用户所请求 的服务的安全机制,它本身提供了认证服务器来完成用户的认 证工作。 DCE/Kerberos的身份认证强调了客户机对服务器的认证;而 其它产品,只解决了服务器对客户机的认证。
6.1.1身份认证的基本方法
• 用户名/密码方式 • IC卡认证方式
• 动态口令方式
• 生物特征认证方式 • USB Key认证方式
2019/3/11
Ch6-身份认证与访问控制
6
用户名/密码方式
• 是一种基于“用户所知道”的验证手段 每一个合法用户都有系统给的一个用户名/口令 对,当用户要求访问提供服务的系统时,系统就要求 输入用户名、口令,在收到口令后,将其与系统中存 储的用户口令进行比较,以确认被认证对象是否为合 法访问者。如果正确,则该用户的身份得到了验证。 • 优点: 由于一般的操作系统都提供了对口令认证的支持, 对于封闭的小型系统来说是一种简单可行的方法。 • 缺点: 是一种单因素的认证,它的安全性依赖于密码。 由于许多用户为了防止忘记密码,经常会采用容易被 他人猜到的有意义的字符串作为密码,因此极易造成 密码泄露。密码一旦泄露,用户即可被冒充。
2019/3/11 Ch6-身份认证与访问控制 11
6.1.2 常用身份认证机制
• 简单认证机制
• 基于DCE/Kerberos的认证机制
• 基于公共密钥的认证机制 • 基于挑战/应答的认证机制
2019/3/11
Ch6-身份认证与访问控制
12
简单认证机制
• 口令认证
• 一次性口令(One-Time Password)
一次性口令(One-Time Password) 一次性口令机制确保在每次认证中所使用 的口令不同,以对付重放攻击。 • 确定口令的方法 –两端共同拥有一串随机口令,在该串的某一位 置保持同步; –两端共同使用一个随机序列生成器,在该序列 生成器的初态保持同步; –使用时戳,两端维持同步的时钟。
2019/3/11 Ch6-身份认证与访问控制 15
2019/3/11 Ch6-身份认证与访问控制 9
生物特征认证方式
• 以人体惟一的、可靠的、稳定的生物特征(如 指纹、虹膜、脸部、掌纹等)为依据,采用计 算机的强大功能和网络技术进行图像处理和模 式识别。 优点:
• •
使用者几乎不可能被仿冒。
缺点: – 较昂贵。 – 不够稳定(辩识失败率高)。
2019/3/11 Ch6-身份认证与访问控制 10
认证一般可以分为两种: • 消息认证 : 用于保证信息的完整性和抗否认 性。在很多情况下,用户要确认网上信息 是不是假的,信息是否被第三方修改或伪 造,这就需要消息认证。 • 身份认证 : 用于鉴别用户身份。包括识别和 验证,识别是指明确并区分访问者的身份; 验证是指对访问者声称的身份进行确认。
2019/3/11 Ch6-身份认证与访问控制 3
信息安全原理与技术
郭亚军 宋建华 李莉
清华大学出版社
2019/3/11
Ch6-身份认证与访问控制
1
第6章 身份认证与访问控制
• 主要知识点: -- 身份认证 -- 访问控制概述 -- 自主访问控制 -- 强制访问控制 -- 基于角色的访问控制
2019/3/11
Ch6-身份认证与访问控制
2
6.1身份认证
USB Key认证方式
• 采用软硬件相结合、一次一密的强双因子认证模式。 USB Key是一种USB接口的硬件设备,它内置单 片机或智能卡芯片,可以存储用户的密钥或数字证 书,利用USB Key内置的密码学算法实现对用户身份 的认证。 • 两种应用模式: –基于挑战/应答的认证模式 –基于PKI体系的认证模式 • 优点: 便于携带、使用方便、成本低廉、安全可靠性 很高 ,被认为将会成为身份认证的主要发展方向。 • 缺点: 安全性不如生物特征认证。
2019/3/11
Ch6-身份认证与访问控制
13
口令认证 • 口令认证过程: ①用户将口令传送给计算机; ②计算机完成口令单向函数值的计算; ③计算机把单向函数值和机器存储的值比较。 • 不足之处: –以明文方式输入口令容易泄密; –口令在传输过程中可能被截获; –口令以文件形式存储在认证方,易于被攻击者获取; –用户为了记忆的方便,访问多个不同安全级别的系统 时往往采用相同的口令,使得攻击者也能对高安全级 别系统进行攻击。 –只能进行单向认证,即系统可以认证用户,而用户无 法对系统进行认证。
2019/3/11 Ch6-身份认证与访问控制 7
IC卡认证方式
• 是一种基于“用户所拥有”的认证手段 IC卡由合法用户随身携带,登录时必须将IC卡 插入专用的读卡器中读取其中的信息,以验证用户 的身份。 • 优点: 通过IC卡硬件的不可复制性可保证用户身份不 会被仿冒。 • 缺点: 由于每次从IC卡中读取的数据还是静态的,通 过内存扫描或网络监听等技术还是很容易能截取到 用户的身份验证信息。因此,静态验证的方式还是 存在着根本的安全隐患。
授 权 数 据 库 安 全 管 理 员
访 问 监 控 器 用 户 身 份 认 证 访 问 控 制
资 源 数 据 库
图6.1身份认证是安全系统中的第一道关卡
2019/3/11
向认证
• 软件认证和硬件认证
• 单因子认证和双因子认证 • 静态认证和动态认证 • 认证手段: –基于用户所知道的(what you know) –基于用户所拥有的(what you have) –基于用户本身的(生物特征如:语音特征、笔迹 特征或指纹)