1、身份认证
- 身份认证是信息安全中最前沿的一道防线,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
- 身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源。
身份认证的方式
静态口令:
用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中。
长期有效、简单和低成本、存在严重的安全问题。
动态口令:
用户每次登录系统的口令都不一样,
“一次一密”、有效保证用户身份的安全性。
密保问题:
密保问题通常用于静态密码的找回,问题的内容通常由账号使用者自己决定。密保问题应尽量避免选择大众化问题、一般设置3个以上不同方向的问题。
图形认证:
图形验证码主要用于区分用户是计算机还是人的全自动程序。基于CAPTCHA(全自动区分计算机和人类的图灵测试)设计。
图形验证码利用程序生成只有人类才能解答的评判问题,是现在很多网站必备的一种验证方式。
各类证件:
具有法律效力、存在伪造情况。
各类卡片、USB-key:
== 不易破解、伪造==、丢失被冒用、数量过多。
生物识别:
取材于自身,不易遗忘或丢失、防伪性能好,不易伪造或被盗、随身携带,随时随地可以使用。
2、访问控制
访问控制模型