文档介绍:该【身份与访问安全身份认证 】是由【业精于勤】上传分享,文档一共【39】页,该文档可以免费在线阅读,需要了解更多关于【身份与访问安全身份认证 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。身份与访问安全�——基于口令的认证案例与分析南京师范大学计算机科学与技术学院陈波1身份与访问安全身份认证2024/5/10案例:国内著名网站用户密码泄露事件2身份与访问安全身份认证2024/5/10案例思考:,用户密码(口令)起到什么作用??如何确保口令认证的安全性?,人们还可以采用哪些方法标识身份,进行身份鉴别?3身份与访问安全身份认证2024/5/,严格地称为用户口令,实际上在人们的信息资源活动中起到标识用户身份,并依此进行身份认证的作用,防止非授权访问。身份认证(Authentication)是证实实体(Entity)对象的数字身份与物理身份是否一致的过程。身份认证技术能够有效防止信息资源被非授权使用,保障信息资源的安全。这里的实体可以是用户,也可以是主机系统。4身份与访问安全身份认证2024/5/,身份(Identity)是实体的一种计算机表达,计算机中的每一项事务是由一个或多个唯一确定的实体参与完成的,而身份可以用来唯一确定一个实体。根据实体的不同,身份认证通常可分为用户与主机间的认证和主机与主机之间的认证,不过实质上,主机与主机之间的认证仍然是用户与主机系统的认证。5身份与访问安全身份认证2024/5/:标识与鉴别。标识(Identification)就是系统要标识实体的身份,并为每个实体取一个系统可以识别的内部名称——标识符ID。识别主体真实身份的过程称为鉴别(Authentication),也有称作认证或验证。户名或账户就可以作为身份标识。为了对主体身份的正确性进行验证,主体往往还需要提供进一步的凭证,例如密码(口令)、令牌或是生物特征。系统会将主体提供的账号和凭证这两类身份信息与先前已存储的该主体的身份信息进行比较,如果相匹配,那么主体就通过了身份鉴别。考虑到身份鉴别是身份认证的重要组成部分,鉴别与标识也紧密联系,所以后面不再对认证和鉴别做区分。6身份与访问安全身份认证2024/5/:1)唯一性。标识符必须是唯一的且不能被伪造,防止一个实体冒充另一个实体。不同的计算机系统、不同的应用中,可以使用不同的方式来标识实体的身份:可以是一个唯一的字符串,可以是一张数字证书(类似于现实生活中的居民身份证),也可以是主机IP地址或MAC地址(essControl,媒介访问控制)。例如:Windows系统的登录用户名和口令标识了一个用户的身份;打开Office文档的口令标识了用户的身份;校园网用户登录学校图书馆资源时根据用户的IP地址确认用户主机的合法身份等。7身份与访问安全身份认证2024/5/:2)非描述性。任何身份的标识都不能表明账户的目的,例如Administrator这样的身份标识对于攻击者太具有诱惑力了。3)权威签发。有的身份标识,如数字证书应当由权威机构颁发,以便对标识进行验真,或在出现争执时提供仲裁。8身份与访问安全身份认证2024/5/10案例思考:,用户密码(口令)起到什么作用??如何确保口令认证的安全性?,人们还可以采用哪些方法标识身份,进行身份鉴别?9身份与访问安全身份认证2024/5/…………用户信息安全意识不高;口令质量不高。攻击者运用社会工程学,骗取口令。伪造的登录界面;在输入密码时被键盘记录器等盗号程序所记录口令在传输过程中被攻击者嗅探到。口令在数据库中没有加密保存;数据库文件没有访问控制10身份与访问安全身份认证2024/5/10