NISP-身份认证

最新推荐文章于 2022-08-18 13:59:34 发布
置顶 最新推荐文章于 2022-08-18 13:59:34 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: 安全 网络安全 考试 文章标签: NISP 身份认证 考证 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CH_wu9/article/details/100727814
版权
NISP身份认证是网络中确认用户身份的关键步骤,包括静态口令、短信口令、动态口令、USB-Key、生物特征等多种认证方式。静态口令易受到攻击,短信口令相对安全,动态口令如U盾提供了更强的保障。此外,生物特征如指纹和虹膜识别为身份认证带来了更高安全性。双因素或多因素认证结合多种方式,进一步增强系统安全性。
摘要由CSDN通过智能技术生成

文章目录

NISP-身份认证

1.概述

  • 是用户登录系统或者网站的第一道安全防线。
  • 是在网络中确认操作身份的过程。

2.分类

  • 单向认证:服务器对用户身份的验证
  • 双向认证:服务器和用户双方彼此认证身份
  • 第三方认证:服务器和用户通过可信第三方来鉴别身份

身份认证一般依据一下三种基本情况或者者三种情况组合来鉴别身份:

  • 用户所知道的东西:例如,口令,密钥
  • 用户所拥有的东西:例如,印章,USB-KEY
  • 用户所具有的生物特征:例如,指纹,声音,虹膜,人脸

3.用户所知

  • 静态口令认证
  • 短信口令认证
  • 动态口令认证

(1).静态口令认证

  • 概述:口令固定不变,长期有效,弱鉴别

缺点:

  • 通信窃取——窃听获得明文的用户名和口令
  • 重放攻击——截获登录数据(明/密)
  • 字典攻击——选择有意义的单词或数字作字典
  • 暴力攻击——穷举全部可能组合,猜测口令
  • 外部泄露——搜索存有口令的纸片和文件
  • 窥探——安装监视器或从背后窥探
  • 社交工程——冒充合法用户,假冒管理员,骗取口令

这里针对社会工程提供一个例子:

  • 淘宝网站初期,电商的一些信息是可以被直接看到的,于是黑客利用这些信息在网上挖掘其他个人信息,例如(手机号码,身份证,邮箱,地址等),而其中有些电商安全意识不够,经常使用一些与个人相关的信息来作口令,导致口令被黑客破解,侵入淘宝网站,造成电商的损失。

(2).短信口令认证

概述:

  • 是利用移动网络动态口令的认证方式
  • 以手机短信形式请求包含位6随机数的动态口令,身份认证系统以短信的形式发送随机的6位动态口令到用户的手机上,用户在认证时输入即可
  • 由于手机和用户绑定比较紧密,短信口令生成和用户使用场景是物理隔绝的,因此口令在通路上被截取的几率极低

(3).动态口令认证

概述:

  • 又称:一次性口令认证
  • 口令随机性:随机性强,难以猜测
  • 口令多态性:每次变化,无须人工干预
  • 是一种双向的认证(杜绝木马)
  • 例如:U盾,刮刮卡,动态令牌

4.用户所有

  • USB-Key
  • 电子印章

(1).USB-Key

概述:

  • 采用软硬件相结合的挑战/应答认证模式。
  • 是USB硬件设备,内置单片机/智能卡芯片(存储用户的密钥或数字证书),利用USB-Key内置的密码算法实现对用户身份的认证。

挑战/应答模式:

  • 认证系统发送一个随机数(挑战),用户使用USB-Key中的密钥和算法计算出一个数值(应答),认证系统检验数值,若正确,则合法用户。
最低0.47元/天 解锁文章
才焕
关注
专栏目录
NISP-访问控制
CH_wu9的博客
09-11 1072
文章目录NISP-访问控制1.概述2.访问控制三要素(1).主体(2).客体(3).控制策略3.主体和客体的关系4.访问控制技术(1).自主访问控制(DAC) NISP-访问控制 1.概述 定义: 是一种加强授权的方法 针对越权使用资源的防御措施 访问控制是主体依据某些控制策略或访问权限,对客体本身或其他资源赋予不同访问权限的能力 1.依据2.赋予3主体控制策略或访问权限不同访问权限客体 目标...
身份认证分类
shyrainxy的专栏
12-14 5357
身份认证是证实主体的真实身份与其所声称的身份是否相符的过程,可分为用户与主机间的认证和主机与主机之间的认证。 认证的目的:确保通信实体就是它所声称的那个实体 认证的作用:验证用户,对抗假冒;依据身份,实施控制;明确责任,便于审计 认证的方式:基于口令、基于密码学、基于生物特征 认证的分类:依据认证条件的数量分,有单因子认证、双因子认证、多因子认证 ...
身份认证机制 (Session、JWT)
Spongebobna的博客
06-01 2553
身份认证机制在我们了解两种主流的认证机制之前,我们先来了解一下目前主流的两种Web开发模式。:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。客户端只负责解析 HTML 。:后端只负责提供 API 接口(处理、存储数据),前端使用 Ajax 调用接口(显示数据)。前端和后端开发人员通过 进行数据的交换。比如企业级网站,主要功能是展示而没有复杂的交互,并且需要良好的 SEO,则这时我们就需要使用;而类似后台管理项目,交互性比较强,不需要考虑 SEO,那么就可以使用的开发模式。:
第六章—身份认证、第七章—控制访问
星辰的博客
11-30 2281
第六章 身份认证 身份认证概述:证实主体的真实身份与其所声称的身份是否相符的过程,是用户对资源访问的第一道关卡,是访问控制和审计的前提。 身份认证 (1)认证系统组成:认证服务器、认证系统用户端软件、认证设备、认证协议 (2)认证依据:根据安全从低到高依次为用户所知、用户所有、用户特征 (3)认证机制:非密码、基于密码算法、零知识证明协议 口令认证 威胁:获取口令文件、监听解析口令、重放攻击 对抗重放攻击——一次性口令:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同 确定口令的方法: 口令
身份认证的三种方法
热门推荐
MOONCOM的博客
03-15 2万+
身份验证 身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。不同的身份验证方法,安全性也各有高低。 身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。在日常生活中,身份验证并不罕见;比如,通过检查对方的证件,我们一般可以确信对方的身
身份认证简单介绍
weixin_42374938的博客
08-18 4723
身份认证是指验证一个主体身份的真实性或证实某事件、某消息是否属实的过程,通过验证被验证者的一个或多个参数的真实性和有效性,来验证被验证者是否名符其实。用户身份验证的方法有很多,如基于被验证者所知道的(知识证明),基于被验证者所拥有的(持有证明),基于被验证者的生物特征(属性证明)等等。...
(NISP)一级pdf题库-全国大学生网络安全精英赛(1-20题)
01-12
11. 身份认证身份认证分为用户与主机间和主机与主机间的认证,包括用户所知、所拥有和所具有的生物特征,不包括用户想得到的东西。 12. 数字签名:它是一种基于公钥加密技术的电子签名方法,用于验证数字信息的...
国家信息安全水平考试NISP(一级)考试大纲
Quest_sec的博客
01-16 5993
考试性质与考试目标 一、考试性质国家信息安全水平考试项目(National Information Security Test Program,简称NISP)由教育部考试中心和中国信息安全测评中心共同设立并实施。其中,NISP(一级)主要面向各行业信息系统使用人员及高校非信息安全专业学生,普及信息安全知识,增强信息安全意识,提高安全防范技能,为国家信息安全保障工作的顺利实施奠定基础。NISP(一级...
NISP一级题库100题v1-20171030.docx
08-28
身份鉴别一般不提供双向的认证,而是通过数字签名机制来实现。 6. 证书机构(CA)是负责发布证书的一组机构,它负责为用户分配公共密钥和私人密钥。 7. 在NTFS文件系统中,如果一个共享文件夹的共享权限和NTFS权限...
常见的认证机制
weixin_43114485的博客
07-18 560
常见的认证机制 HTTP Basic Auth:每次请求API时都提供用户的username和password,是配合RESTful API 使用的最简单的认证方式但由于有把用户名密码暴露给第三方客户端的风险 Cookie认证机制通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的默认的,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的...
5.1身份认证
qq_43699776的博客
11-28 678
5.1身份认证 一、概述 消息认证: 消息的内容是否被有意无意的纂改 身份认证(身份识别): 指申请者向系统出示自己身份的证明过程,认证是对访问者授权
信息安全--身份认证
小尘_OnMyWay的博客
06-10 2350
1. 概述 身份认证:证实用户的真实身份与其所声称的身份是否相符的过程。 认证依据:应包含只有该用户所特有的、并可以验证的特定信息。 例如:基于口令的认证技术、基于密码学的认证技术、基于生物特征的认证技术。 2. 认证协议 技术基础: 以网络为背景的认证技术核心基础是密码学。 对称密码和公开密码是实现用户身份识别的主要技术。 实现机制:实现认证必须要求示证方和验证方遵循一个特定的规则来实施认证,这个规则被称为认证协议。 1. 基于对称密钥的认证协议 ① 示证方和验证方共享密钥,通过共享密钥来维系彼此的信
(2.3)NISP1级——【身份认证
weixin_52620919的博客
08-09 383
文章目录身份认证静态口令认证静态口令认证缺点短信口令认证动态口令U 盾(USB Key)基于生物特征的身份认证指纹识别的实现原理虹膜识别的实现原理其他身份认证技术 身份认证 分为:单方认证、双向认证、第三方认证 静态口令认证 静态口令认证缺点 短信口令认证 动态口令 U 盾(USB Key) 基于生物特征的身份认证 指纹识别的实现原理 虹膜识别的实现原理 其他身份认证技术 ...
第四讲 身份认证技术
skicth的博客
12-24 1万+
主要内容 概念:身份认证定义(用户和主机,主机和主机),目的,作用,方式,分类 理解:口令身份认证的风险,提高安全性的技术或方法;基于密码学的身份认证原理,简单协议的基本构造流程 运用举例:能够依据具体的应用场景,选择恰当的身份认证技术,满足应用需求 一、概念: 身份认证是证实主体的真实身份与其所声称的身份是否相符的过程,可分为用户与主机间的认证和主机与主机之间的认证。 认证的
网络安全身份认证和访问控制实现原理(ZZ)
chqfei的专栏
07-18 2451
        身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求;而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍:基于SSL的身份认证和访问控制   目前,SSL技术已被
身份认证的三种方式
实践求真知
12-26 1万+
一单一服务器模式 1 一般过程如下 a 用户向服务器发送用户名和密码。 b 服务器验证后,相关数据(如用户名,用户角色等)将保存在当前会话(session)中。 c 服务器向用户返回session_id,session信息都会写入到用户的Cookie。 d 用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 e 服务器收到session_id并对比之前保存的数据,确认用户的身份。 2 缺点 单点性能压力,无法扩展。 分布式架构中,需要session共享方案.
身份认证技术基础知识
iteye_15105的博客
11-27 1826
身份认证技术    身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。  计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作...
确认访问用户身份的认证
GSON的博客
05-03 1784
某些 Web 页面只想让特定的人浏览,或者干脆仅本人可见。为达到这个目标,必不可少的就是认证功能。下面我们一起来学习一下认证机制。 一、何为认证 计算机本身无法判断坐在显示器前的使用者的身份。进一步说,也无法确认网络的那头究竟有谁。为了弄清究竟是谁在访问服务 器,就得让对方的客户端自报家门。核对的信息通常是指以下这些。 密码:只有本人才会知道的字符串信息。 动态令牌:仅限本人持有...
NISP800-208
最新发布
05-25
NIST SP 800-208是美国国家标准与技术研究所(NIST)发布的一份关于安全架构的指南。该指南主要介绍了一种基于安全架构的方法,以确保系统和组件在设计和实施时具有适当的安全措施。其中包括定义和管理安全控制、...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值