使用账号口令实现身份鉴别过程中口令机密性保护实例

最新推荐文章于 2024-07-19 08:49:21 发布
最新推荐文章于 2024-07-19 08:49:21 发布
阅读量359 收藏
点赞数 4
分类专栏: # 密评实践 # 密码应用安全性评估 文章标签: 密码测评 安全 等保测评
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanzzzzz/article/details/138314588
版权

用户侧数据
账号:user001
口令:********

应用系统数据库数据
账号:user001
口令杂凑:SHA256(账号,口令)VdFn7wdBO4Y2Ut+C7w+1jQxcThmB/osyI5OCMpaGTS4=(如有必要可对口令杂凑值做对称算法加密后存储,例如SM4或AES等)
完整性保护字段:MAC或签名(略)

身份鉴别步骤:
(1)用户向应用系统发送登录请求
(2)系统向密码服务请求随机数、对随机数的签名和对应数字证书
随机数:KSO+hOFs1q5SkEnx8bvp6w==
随机数签名:略
数字证书:略
(3)系统向用户发送随机数、随机数签名和对应数字证书
(4)用户验证随机数签名正确后,发送身份鉴别信息,具体包括如下
账号:user001
随机数:KSO+hOFs1q5SkEnx8bvp6w==
鉴别数:im0LaT8rSjOz57O0c3JpXLmEI9+aHt32zeKFu+cK1lw=
(5)系统比较SHA256(口令杂凑,随机数)与鉴别数是否相同

游鲦亭长
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
电子商务安全的应用实例.pptx
09-21
数据鉴别确保信息在传输过程未被篡改,实体鉴别验证通信双方的身份,不可抵赖性防止一方否认已发生的交易,服务性涵盖认证、授权和审计等功能,而机密性则确保交易信息不被未授权的第三方获取。 通信安全主要依赖...
第8章电子商务安全的应用实例.pptx
09-21
系统需要实现的功能包括阻止未经授权的用户访问、保护数据在传输过程安全保护移动设备上的数据以及保护现有安全投资。移动设备可能面临的威胁包括网络漫游风险、无线Ad Hoc应用的攻击、物理安全问题以及新业务...
能力验证与密评工具1——身份鉴别
这么小声还想开军舰?!
04-08 1461
【这里可能存在的异议是:由通信信道报文抓包分析可得:客户端对服务端进行了身份鉴别且符合性为:√√√ 而服务端没有对客户端进行身份鉴别:×××,故量化评估得分为:—— 1 / 2 = 0.5(客户端与服务端相互鉴别视作两个对象)——我个人反对这种测评方法:因为1.双向鉴别本就是四级信息系统与三级信息系统之间的重要指标区别;为何我认为此处可能存在问题?题目另一个测评对象:分支机构用户(B1)在登录应用系统时使用的是SM2证书,SM2证书链的签名正确性验证和CRL在线状态验证需要使用:证书链验证工具,见下图。
2.2 身份鉴别与访问控制
weixin_43263566的博客
08-02 2057
为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。
身份鉴别
CZLwlaq的博客
07-07 8918
1.身份验证 1)实体所知 身份鉴别最广泛的方法是实体所知,因为其成本低,实现简单:密码、验证码,但是这些方法面临的危险也必将大,如:暴力破解木马等。 2)实体所有 它是一种安全性能较高,但成本也较高的方法:IC卡、门禁卡,实体所有因为存在固体,因此会面临损坏和被复制的风险 3)实体特性 是安全性最高的一种方式,通常采用生物识别方法进行验证。如:指纹,虹膜,声波等。 2.数字认证 数字认证是身份鉴别的一种方式,数字认证是指在互联网通讯标志通讯各方身份信息的一个数字认证,人们可以网上用它来识
PHP使用crypt()实现用户身份验证的代码
Jack Blog
01-02 797
PHP使用crypt()实现用户身份验证的代码
【php】PHP使用crypt()实现用户身份验证的代码
PHP在线开发笔记
12-28 2307
在开发PHP应用如果不想自己开发新的加密算法,还可以利用PHP提供的crypt()函数来完成单向加密功能 了解crypt()    只要有一点使用非Windows平台经验的读者都可能对crypt()相当熟悉,这一函数完成被称作单向加密的功能,它可以加密一些明码,但不能反过来将密码重新转换为原来的明码。crypt()函数定义如下。   string crypt (string i
PHPMySQL注入防御代码_PHP防止SQL注入实现代码
weixin_33835155的博客
01-28 327
PHP防止SQL注入实现代码更新时间:2011年02月19日 16:58:26 作者:PHP防止SQL注入实现代码,需要的朋友可以参考下。一、 注入式攻击的类型可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面,我们会对此作详细讨论。如果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一...
【信息安全案例】——身份与访问安全(学习笔记)_身份与访问安全实例
2401_84302369的博客
05-04 839
1、用户发出登录请求,服务器端发出挑战数据提示用户进行身份验证2、用户在本地输入身份信息(按键、指纹)。3、客户端对用户身份验证成功,取出私钥对挑战数据进行签名。4、服务器使用对应公钥对签名进行验证。
【信息安全案例】——身份与访问安全(学习笔记)
HinsCoder的博客
04-26 1431
一位用户对计算机信息资源的访问活动,首先必须拥有身份标识,通过该标识鉴别该用户的身份,进一步地,用户还应当具有执行所请求动作的必要权限,系统会验证并控制其能否执行对资源试图完成的操作,还有,用户在整个访问过程的活动还应当被记录以确保可审查。为了确保敏感信息资源的机密性、完整性等安全属性,可以采取的加密、数字签名等安全措施。接下来将围绕数据资源访问过程身份认证和访问控制两个关键安全环节展开介绍。
Apache shiro集群实现 (三)shiro身份认证(Shiro Authentication)
热门推荐
04-23 3万+
一、术语介绍 Authentication:身份认证,即用户提供一些信息来证明自己的身份。如用户名和密码,licence等。 Principals :主体的“标识属性”,可以是任意标识,例如用户名,身份证号码,手机号码等。Principals 可以有多个,但是必须有一个主要的Principal(Primary Principal),这个标识,必须是唯一的。 Credentials:凭据,即
(Active-Directory)域故障解决实例(一).doc
09-30
- 当遇到错误提示时,如“域不是AD域”或“域控制器无法联系”,可以使用nslookup和ping命令确认网络连通性。 - 对于跨域登录的问题,需要检查信任关系是否建立,以及DNS解析是否正常。 解决这些故障通常需要深入...
第9章数据库安全性12964973.pptx
10-06
综上所述,数据库安全性是多层面的,涵盖网络、操作系统和数据库管理等多个维度,通过各种控制机制和策略来保护数据的完整性和机密性。对于具体数据库系统如DB2,其内置的安全机制提供了强大的安全保障,包括用户...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 545
在“某省烟草数据安全体系建设规划”项目实践,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
邮件安全篇:邮件端到端加密S/MIME
最新发布
sdexcel的专栏
07-19 787
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 814
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 817
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
身份认证过程可以结合使用动态口令和数字签名
05-25
是的,身份认证过程可以结合使用动态口令和数字签名来提高安全性。动态口令是一种基于时间同步或事件同步的密码算法,在每次登录时生成一次性的口令,有效期很短,可以有效防止密码被盗用。数字签名则是一种通过使用公钥加密技术来验证信息来源和完整性的方法,可以防止信息被篡改或冒充。结合使用这两种技术,可以提高身份认证的安全性,防止身份被盗用或伪造。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值