文档介绍:用户
身份认证
一般信息资源
审计
重要信息资源
访问控制
访问监视器
授权
信息系统中的身份认证
在数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。
如何保证操作者的物理身份与数字身份相对应?
身份认证技术用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。
身份认证是信息安全体系的重要组成部分,它是保护信息系统安全的第一道大门。它的任务是检验信息系统用户身份的合法性和真实性,并按系统授予的权限访问系统资源,将非法访问者拒之门外。
广州大学
4
第3章用户认证
认证方法
基于口令的认证
生物特征认证
远程用户认证
用户认证中的安全问题
实际应用:虹膜生物特征认证系统
广州大学
5
认证方法
实现身份认证的基本途径
所知:个人所知道的或所掌握的知识,如密码、口令等。
所有:个人所具有的东西,如身份证、护照、信用卡、钥匙等。
个人特征
个人生理特征:指纹、手型、脸型、血型、视网膜、虹膜、DNA等。
个人行为特征:语音模式、笔迹特征、打字节奏等。
所有
(Possesses )
所知
(Knowlege)
个人特征
(charecteristics)
认证方法
广州大学
7
基于口令的认证
最常使用的认证方式
你是如何实现的?
基于口令的认证
账户/口令认证方式是基于“what you know”的认证手段。
用户账号(也称用户标识UserID)+口令(Password)=某人的身份
①明文式口令:由用户自己确定一个一般由数字和字母组合而成的字符串,要尽量避免使用单词、姓名、生日、电话号码等易被猜出或者易被字典式攻击的字符组合。
②计算式口令:可以在一定程度上解决口令文件丢失或泄密问题。用的口令不是直接存放在信息系统中,而是经过了某种数学计算后才存放到系统中,而从存放的内容不可能推算出原始的口令。
广州大学
9
基于口令的认证
口令的脆弱性
离线字典攻击
1、非法获得口令文件;2、使用预先计算好的口令散列值(字典)进行匹配。
特定帐户攻击
1、知道用户名;2、不断猜测。(限定登录次数,锁定)
常用口令攻击
使用常用口令,对大量用户ID进行尝试
单用户口令猜测
针对用户的个人信息,如:生日等,猜测口令
广州大学
10
基于口令的认证
口令的脆弱性
工作站劫持
控制已登录的机器
利用用户疏漏
预设口令,记录下来的口令等
利用口令重用
不同系统,同一用户,往往会设置相同ID,相同口令
电子监视
网上拦截