网络安全05 - 认证技术(2)要点
网络安全技术指什么
网络安全技术指什么网络安全技术指采用各种手段和方法,以确保网络系统的机密性、完整性、可用性和可信任性,保护网络系统免受恶意攻击、未经授权的访问和数据泄露等威胁。
网络安全技术包括以下几个方面:1. 防火墙技术:防火墙是网络系统的第一道防线,通过定义网络连接的规则和安全策略,控制进出网络的数据流量。
防火墙可以防范来自外部网络的攻击,并限制内部网络对外部网络的访问。
2. 入侵检测和防范技术:入侵检测系统(IDS)和入侵防御系统(IPS)用于监控网络流量,检测和阻止入侵行为。
IDS通过分析网络流量中的异常行为和攻击特征,及时发现入侵活动。
IPS在检测到入侵行为后,可以主动采取防御措施,如阻止恶意流量、锁定攻击源等。
3. 加密和认证技术:加密技术用于保护敏感数据的机密性,通过对数据进行加密,使其在传输和存储过程中不易被窃取和篡改。
认证技术用于确保用户的身份和权限,如密码、生物特征识别、数字证书等。
4. 安全审计和日志管理技术:安全审计和日志管理是网络系统的监控和管理手段,通过记录和分析网络系统的操作和事件,识别潜在的安全威胁和风险,及时采取相应的安全措施。
5. 强化网络设备和操作系统的安全性:网络设备和操作系统是网络系统的核心组件,其安全性关系到整个网络系统的安全。
强化网络设备和操作系统的安全性包括及时安装补丁、更新安全配置、关闭不必要的服务等措施。
6. 安全培训和意识教育:网络安全技术的最后一道防线是人,因此进行安全培训和意识教育对于提高网络系统的安全性至关重要。
通过培训和教育,员工可以了解网络安全的重要性,学习如何正确使用和管理网络系统,避免操作中的安全风险。
总之,网络安全技术是保护网络系统免受各种威胁的关键措施,它涉及多个方面的技术和手段,旨在提高网络系统的安全性和可信任性。
只有综合使用各种网络安全技术,才能有效地保护网络系统免受恶意攻击,并确保网络的正常运行和信息的安全。
精选网络安全05-认证技术
服务器能够对用户的每一项服务请求进行认证 仅仅依赖工作站对用户的认证是不够的 用户访问每一种网络服务,都需要向服务器证明其身 份
基于密码技术的单向认证
不再发送明文的用户名和密码,而是基于“挑战 – 响应”方式
符号
f(KAlice-Bob, R):使用Alice和Bob的共享秘密、按照某种 规则对R做密码变换 KAlice-Bob{R}:使用KAlice-Bob作为共享密钥,基于秘 密密钥算法对R进行加密 h(KAlice-Bob, R):计算R和KAlice-Bob的哈希值
Bob Alice
基于公钥体制的单向认证技术 - 1
I am Alice R
[R]Alice
1、Alice对数据R用自己的私钥签名,Bob用Alice的公钥检验签名 2、侦听者无法冒充Alice,即使他攻取了Bob的数据库 3、可以诱骗Alice对特定数据的签名
Bob Alice
基于公钥体制的单向认证技术 - 2
Kerberos认证协议
网络环境的认证需求
分布式网络环境
服务器+工作站 服务器向用户提供各种网络应用的服务 用户需要访问分布在网络上的、不同位置的服
务(或资源)
服务器的安全
服务器需要授权技术来限制用户对资源的访问 授权和访问控制建立在对用户身份认证的基础
之上
Kerberos认证服务
能存储高数量的密码和密钥 能够快速地进行密码运算
认证人的身份
认证人的身份
所知 (what you know)
密码、口令
所有 (what you have)
身份证、护照、智能卡等
第5章信息认证技术
第五章 信息认证技术
第一节 报文认证
一、报文内容的认证 二、报文源的认证 三、报文时间性的认证
第五章 信息认证技术
第一节 报文认证
一、报文内容的认证 在报文中加入一个“报尾” 在报文中加入一个“报尾”或“报头”, 报头” 称其为“认证码”(AC-authenticating 称其为“认证码” code)。这个认证码是通过对报文进行的某 )。这个认证码是通过对报文进行的某 )。 种运算得到的,也可以称其为“校验和” 种运算得到的,也可以称其为“校验和”。 它与报文内容密切相关, 它与报文内容密切相关,报文内容正确与否 可以通过这个认证码来确定。 可以通过这个认证码来确定。
第五章 信息认证技术
第一节 报文认证
二、报文源的认证 一是由收方和发方共享某个秘密的数 据加密密钥, 据加密密钥,并利用这个密钥来验证发方 身份验证过程如下: 身份验证过程如下:
K1加密 A方 方 K2解密 B方 方
第五章 信息认证技术
第一节 报文认证
二、报文源的认证 二是通行字。 二是通行字。是指通信双方事先约定好 各自所使用的通行字。 发给B的所有报文 各自所使用的通行字。在A发给 的所有报文 发给 中都要含有A的通行字,同样, 发往A的 中都要含有 的通行字,同样,由B发往 的 的通行字 发往 所有报文也都要含有B的通行字。 所有报文也都要含有 的通行字。 的通行字
第五章 信息认证技术
第三节 数字签名 一、数字签名的概念
在计算机中,签名函数必须满足以下条件: 在计算机中,签名函数必须满足以下条件: ①当M′≠M时,有SIG(M′K)≠SIG(M,K),即S≠S′; 时 , , ;
只能由签名者产生, ②签名S只能由签名者产生,否则别人便可伪造, 签名 只能由签名者产生 否则别人便可伪造, 于是签名者也就可以抵赖; 于是签名者也就可以抵赖;
网络安全技术与实训-身份认证技术
《网络安全技术》
第 16 页
如何提高口令质量
绑定手机的动态口令实现一次性口令认证
动态口令也可与手机号码绑定,通过向手机发送验证码来认证用户身份。 很多手机应用中,用户申请了短信校验服务后,修改账户信息、找回密 码、一定额度的账户资金变动都需要手机校验码确认。 合法用户可以通过接收手机短信,输入动态口令,完成认证。 当然,如果用户手机丢失,其账户将面临很大安全风险。
《网络安全技术》
第 10 页
第二部分
基于口令的身份认证
基于口令的身份认证
基于口令的身份认证是应用最为广泛的身份认证技术。
口令长度:通常为长度为5~16的字符串。 选择原则:易记、难猜、抗分析能力强。
《网络安全技术》
12 第 12 页
基于口令的身份认证 来看看大家都用什么密码吧:
《网络安全技术》
智能卡(Smart Card)是一种更为复杂的凭证。它是一种将具有加密、存储、处理能力的 集成电路芯片嵌装于塑料基片上而制成的卡片。智能卡一般由微处理器、存储器等部件构 成。为防止智能卡遗失或被窃,许多系统需要智能卡和个人识别码PIN同时使用。
3. 条码卡 4. 磁卡 5. IC卡 6.存储卡
《网络安全技术》
第 13 页
基于口令的身份认证 使用最多的密码长度是8位:
《网络安全技术》
竟然不要求长度
第 14 页
如何提高口令质量
1. 对于用户
增大口令空间 选用无规律的口令 多个口令 用工具生成口令
2. 对于网站
登录时间限制 限制登录次数 尽量减少会话透露的信息 增加认证的信息量
信息安全技术05章
信息安全技术05章第五章认证技术现代密码的两个最重要的分⽀就是加密和认证。
加密的⽬的是防⽌敌⽅获得机密信息。
认证则是为了防⽌敌⽅的主动攻击,包括验证信息真伪及防⽌信息在通信过程中被篡改、删除、插⼊、伪造、延迟及重放等。
认证主要包括三个⽅⾯:消息认证、⾝份验证和数字签名。
上⼀章介绍了数字签名技术,本章将对认证技术的另外两个⽅⾯进⾏介绍。
5.1 消息认证⽹络安全所⾯临的基本攻击类型,包括:被动攻击(获取消息的内容、进⾏业务流分析)主动攻击(假冒、重放、消息的篡改、业务拒绝)。
抗击被动攻击的⽅法是加密,抗击主动攻击的⽅法则是消息认证。
消息认证是⼀个过程,⽤以验证接收消息的真实性(的确是由它所声称的实体发来的)和完整性(未被篡改、插⼊、删除),同时还⽤于验证消息的顺序性和时间性(未重排、重放、延迟)。
除此之外,在考虑⽹络安全时还需考虑业务的不可否认性,即防⽌通信双⽅中的其⼀⽅对所传输消息的否认。
实现消息的不可否认性可通过数字签字,数字签字也是⼀种认证技术,也可⽤于抗击主动攻击。
5.1.1 消息认证的模式5.1.2 认证函数消息认证机制和数字签字机制都有⼀产⽣认证符的基本功能,这⼀基本功能⼜作为认证协议的⼀个组成成分。
认证符是⽤于认证消息的数值,它的产⽣⽅汉⼜分为消息加密、消息认证码MAC(Message Authentication Code)、杂凑函数(Hash Function)三⼤类,下⾯分别介绍。
1.消息加密(Message Encryption Function):消息加密产⽣认证符是指将消息加密后的密⽂作为认证符,其⽤法⼜根据单钥加密还是公钥加密有所不同。
1)单钥加密图5.1表⽰消息M的发送⽅A根据单钥加密算法以与接收⽅B 共享的密钥K对消息加密后发往B。
第三⽅不知密钥K就不能恢复消息的明⽂,因此系统提供了保密性。
图5.1单钥消息加密:保密性和认证性该系统还向B保证所收到的消息的确来⾃A,因为只有A知道密钥K。
网络安全中的身份认证技术
网络安全中的身份认证技术随着互联网的快速发展和普及,网络安全问题日益凸显。
在网络环境中,保护个人和机构的信息免受未授权的访问和恶意攻击是至关重要的。
身份认证技术则成为实现网络安全的关键手段之一。
本文将介绍几种常见的身份认证技术,旨在帮助读者更好地了解和选择合适的身份认证解决方案。
一、密码认证技术密码认证技术是最常见的身份认证方式之一。
它通过用户输入正确的用户名和密码来验证身份的真实性。
在密码的输入过程中,系统会对输入的密码进行加密处理,以确保传输的安全性。
然而,密码认证技术存在一些问题。
首先,用户可能使用弱密码,容易受到猜测和破解。
其次,密码可能会遭到拦截、窥视或盗取,导致账户被盗用。
因此,密码认证技术需要配合其他认证方式以提高安全性。
二、双因素认证技术双因素认证技术是一种高级的身份认证方式,结合了两种或多种不同的因素来验证用户的身份。
这些因素包括:知识因素(如密码、密钥)、物理因素(如智能卡、USB令牌)和生物因素(如指纹、虹膜扫描)。
用户需要同时提供至少两个因素才能成功通过身份认证。
这样一来,即使一个因素被攻击或泄露,其他因素仍能起到保护作用。
三、生物识别认证技术生物识别认证技术通过识别和验证个体的生物特征来进行身份认证。
常见的生物识别技术包括指纹识别、面部识别、虹膜识别和声纹识别等。
这些技术利用个体的独特生物特征进行身份认证,具有较高的准确性和安全性。
然而,生物识别认证技术也存在一些隐私保护和技术可靠性的问题,需要更加严格的标准和措施来确保其有效性和可靠性。
四、智能卡认证技术智能卡认证技术是一种基于集成电路芯片的身份认证方式。
智能卡内置有安全元件和存储器,可以存储个人的身份信息和加密密钥。
用户需要插入智能卡并输入个人密码才能成功进行身份认证。
智能卡的独立存储和加密处理能力使得该认证技术在身份验证方面具备较高的安全性。
然而,智能卡的物理存储和携带可能存在风险,例如遗失或被盗用。
五、单点登录认证技术单点登录(Single Sign-On,SSO)认证技术允许用户在多个应用和系统中使用同一组凭据进行登录。
网络防护中的安全认证方法与技巧(二)
网络防护中的安全认证方法与技巧一、安全认证的重要性随着网络技术的快速发展,网络安全问题日益突出。
在这个信息爆炸的时代,无论是企业还是个人,都面临着来自网络的安全威胁。
因此,安全认证变得至关重要。
安全认证可以帮助我们确认网络活动的真实性、可靠性,并减少遭受网络攻击的风险。
二、传统的安全认证方法1. 用户名和密码认证用户名和密码认证是最常见的网络安全认证方法之一。
用户在登录时使用正确的用户名和密码,系统才会授予其访问权限。
然而,这种方法的安全性相对较低,容易遭受密码破解、重放攻击等威胁。
因此,在使用用户名和密码认证时,应采取更加复杂和安全的密码,并定期更改密码。
2. 双因素认证双因素认证是指在用户名和密码的基础上,通过第二种身份认证方式进行验证。
例如,手机验证码、指纹识别、面部识别等。
双因素认证提高了安全性,即使密码被盗用,黑客也无法通过第二次验证进入系统。
三、提升网络安全的技巧1. 使用强密码一个强密码应包含字母、数字和特殊字符,并且长度应至少为8位。
强密码的使用可以大大减少密码被猜测或破解的风险。
2. 定期更改密码为了进一步增强密码的安全性,我们应该定期更改密码,避免长时间使用同一密码。
同时,我们还可以使用密码管理工具来帮助我们存储和生成安全密码。
3. 更新操作系统和应用程序操作系统和应用程序的更新通常包含针对已知漏洞的修复。
因此,及时更新操作系统和应用程序可以减少黑客利用已知漏洞入侵系统的风险。
4. 安装杀毒软件和防火墙杀毒软件和防火墙的安装可以防止恶意软件和网络攻击。
及时更新病毒库和防火墙规则可以提高网络安全性。
5. 小心点击附件和链接不明来源的电子邮件附件和链接可能包含恶意软件或钓鱼网站。
点击这些附件和链接可能导致您的信息泄露或系统被感染。
因此,我们应该小心谨慎,避免点击不信任的附件和链接。
6. 使用VPN保护网络连接在使用公共Wi-Fi网络时,黑客很容易通过窃听和中间人攻击获取用户的敏感信息。
网络安全技术标准
网络安全技术标准概述网络安全技术标准是为了保护网络系统和信息安全而制定的一系列规范和要求。
通过遵守网络安全技术标准,可以提高网络系统的安全性,防止网络攻击和数据泄露。
本文档旨在介绍网络安全技术标准的重要性和一些基本的技术要求。
重点以下是网络安全技术标准的一些重点:1. 身份认证:要求网络系统实施有效的身份验证机制,确保只有经过授权的用户能够访问敏感信息和系统资源。
身份认证:要求网络系统实施有效的身份验证机制,确保只有经过授权的用户能够访问敏感信息和系统资源。
2. 访问控制:规定网络系统应该使用合适的访问控制策略,限制用户对不同级别的数据和资源的访问权限。
访问控制:规定网络系统应该使用合适的访问控制策略,限制用户对不同级别的数据和资源的访问权限。
3. 加密技术:要求对网络传输和存储的敏感数据进行适当的加密,防止未经授权的访问和窃取。
加密技术:要求对网络传输和存储的敏感数据进行适当的加密,防止未经授权的访问和窃取。
4. 漏洞管理:网络系统应定期进行漏洞扫描和修复,确保及时修补系统中的安全漏洞。
漏洞管理:网络系统应定期进行漏洞扫描和修复,确保及时修补系统中的安全漏洞。
5. 日志监测:要求网络系统记录和监测用户的操作日志,便于追溯和分析安全事件。
日志监测:要求网络系统记录和监测用户的操作日志,便于追溯和分析安全事件。
6. 风险评估:网络系统应定期进行安全风险评估,发现和解决潜在的安全隐患。
风险评估:网络系统应定期进行安全风险评估,发现和解决潜在的安全隐患。
7. 应急响应:网络系统应制定应急响应计划,及时应对安全事件和威胁。
应急响应:网络系统应制定应急响应计划,及时应对安全事件和威胁。
总结网络安全技术标准对于保护网络系统和信息的安全至关重要。
通过遵守网络安全技术标准,组织可以提高网络安全水平,降低遭受网络攻击和数据泄露的风险。
在实施网络安全技术标准时,组织应根据自身情况制定适当的措施和策略,确保网络系统的稳定和安全运行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Kerberos认证协议
网络环境的认证需求
分布式网络环境
服务器+工作站 服务器向用户提供各种网络应用的服务 用户需要访问分布在网络上的、不同位置的服 务(或资源) 服务器需要授权技术来限制用户对资源的访问 授权和访问控制建立在对用户身份认证的基础 之上
服务器的安全
Kerberos认证服务
能存储高数量的密码和密钥 能够快速地进行密码运算
认证人的身份
认证人的身份
所知 (what you know)
密码、口令 身份证、护照、智能卡等 指纹、DNA等
所有 (what you have)
所是 (who you are)
用户名/密码方式
用户设定密码,计算机验证 易泄露
[R]Alice:Alice使用私钥对数据R签名
{R}Alice:使用Alice的公钥对数据R加密
基于共享秘密的单向认证技术 - 1
I am Alice 挑战R f(KAlice-Bob, R)
1、侦听者可以看到R和f(KAlice-Bob, R),但是不能计算出KAlice-Bob 2、不要求 f 可逆,因此 f 可以是一个哈希函数 3、侦听者掌握R和f(KAlice-Bob, R)后,可以进行离线口令猜解 4、攻取Bob的数据库,则可以冒充Alice
安全性
可靠性
透明性
可伸缩性
Kerberos背的一种认证服务 试图解决如下问题
在公用网络中,用户通过工作站访问网络服务,这些服务 是由分布在网络中的服务器提供的 服务器能够对用户的每一项服务请求进行认证 仅仅依赖工作站对用户的认证是不够的 用户访问每一种网络服务,都需要向服务器证明其身 份 安全威胁:工作站无法保证用户的身份真实性 非法用户访问某个工作站,并假冒另一个合法用户 非法用户更改工作站网络地址,假冒另一个工作站 非法用户窃听消息交换过程,并实施重放攻击 目标:在各种情况下,都能防止用户对服务的非授权访问
特点比较
特点 用户名/密码 方式 IC卡认证
简单易行
应用
保护非关键性的系 统,不能保护敏感 信息 很容易被内存扫描 或网络监听等黑客 技术窃取 使用烦琐,有可能 造成新的安全漏洞 技术不成熟,准确 性和稳定性有待提 高
主要产品
嵌入在各种应用软 件中 IC加密卡等
简单易行
动态口令
生物特征认证
一次一密,较高安 全性 安全性最高
1、发送方的用户名和密码通过明文方式传送,易窃听 2、接收方检验用户名和密码,然后进行通信,通信中没有保密
基于密码技术的单向认证
不再发送明文的用户名和密码,而是基于“挑战 – 响应”方式 符号
f(KAlice-Bob, R):使用Alice和Bob的共享秘密、按照某种 规则对R做密码变换
KAlice-Bob{R}:使用KAlice-Bob作为共享密钥,基于秘 密密钥算法对R进行加密 h(KAlice-Bob, R):计算R和KAlice-Bob的哈希值
通过内存扫描或网络监听等技术还是很容易截取到 用户的身份验证信息
动态口令 1
是一种让用户的密码按照时间或使用次数不断动 态变化,每个密码只使用一次的技术。 专用硬件:动态令牌
内置电源、密码生成芯片和显示屏 密码生成芯片运行专门的密码算法,根据当前时间或 使用次数生成当前密码并显示在显示屏上 认证服务器采用相同的算法计算当前的有效密码 用户使用时只需要将动态令牌上显示的当前密码输入 客户端计算机,即可实现身份的确认
I am Alice
{R}Alice R
1、Bob用Alice的公钥加密数据R,并要求Alice解密 2、侦听者无法冒充Alice,即使他攻取了Bob的数据库 3、如果想知道其他人发送给Alice的加密信息,可以诱骗Alice解密
Alice
Bob
双向认证
用于通信双方的相互认证 认证的同时可以协商会话密钥
Kerberos v4 and Kerberos v5
Kerberos特征
提供一种基于可信第三方的认证服务
KDC作为第三方,若用户与服务器都信任KDC,则Kerberos 就可以实现用户与服务器之间的双向鉴别。如果KDC是安全的, 并且协议没有漏洞,则认证是安全的。 能够有效防止攻击者假冒合法用户 Kerberos服务自身可采用分布式结构,KDC之间互相备份 用户只需要提供用户名和口令,工作站代替用户实施认证的过 程 能够支持大量用户和服务器
基于共享秘密的双向认证 - 1
I am Alice R1 f(KAlice-Bob, R1) R2 f(KAlice-Bob, R2)
1、基于“挑战 – 响应”方式
2、双方使用共享的秘密对数据进行密码变换,实现对通信对方的认证
3、效率不高:消息过多
Alice
Bob
基于共享秘密的双向认证 - 2
I am Alice, R2
生物特征认证是最可靠的身份认证方式,因 为它直接使用人的物理特征来表示每一个人 的数字身份 受到现在的生物特征识别技术成熟度的影响
USB Key认证
近几年发展起来的一种方便、安全、经济的身 份认证技术 软硬件相结合 一次一密 USB Key是一种USB接口的硬件设备,它内置 单片机或智能卡芯片,可以存储用户的密钥或 数字证书,利用USB Key内置的密码学算法实 现对用户身份的认证 可使用以上几种技术保护USB Key本身的安全
Alice
Bob
基于公钥体制的单向认证技术 - 1
I am Alice
R [R]Alice
1、Alice对数据R用自己的私钥签名,Bob用Alice的公钥检验签名 2、侦听者无法冒充Alice,即使他攻取了Bob的数据库 3、可以诱骗Alice对特定数据的签名
Alice
Bob
基于公钥体制的单向认证技术 - 2
服务器的安全
通信安全都要求有初始认证握手的要求
单向认证
只有通信的一方认证另一方的身份,而没 有反向的认证过程 电子邮件
不要求发送方和接收方同时在线 邮件接收方对发送方进行认证
单向认证不是完善的安全措施,可以非常 容易地冒充验证方,以欺骗被验证方
原始的单向认证技术
用户名/密码 发送方 接收方
R1, f(KAlice-Bob, R2) f(KAlice-Bob, R1)
1、基于“挑战 – 响应”方式
2、双方使用共享的秘密对数据进行密码变换,实现对通信对方的认证
3、效率提高:消息减少为三条
Alice
Bob
基于共享秘密的双向认证 - 3
I am Alice, f(KAlice-Bob, timestamp)
解决方法:使用密钥分发中心KDC
使用KDC的认证 - 2
Alice wants bob
KDC
KAlice{use KAB for Bob}, Ticket to Bob=KBob{use KAB for Alice}
Bob
生成密钥KAB
Alice
f(KAlice-Bob, R2)
1、KDC是一个存储所有用户密钥的数据库。用户可以和KDC进行安全通信 2、Alice请求KDC分配一个会话密钥,以与Bob通信 3、KDC生成一个会话密钥KAB,并用Alice的密钥加密发给Alice。同时, KDC还用Bob的密钥加密KAB,交给Alice转发。 4、Alice解密得到KAB,并把用Bob的密钥加密的KAB发送给Bob 5、Alice和Bob可以基于KAB实现双向认证
1、基于“挑战 – 响应”方式,使用时戳(timestamp)作为挑战
2、双方使用共享的秘密对挑战进行密码变换,实现对通信对方的认证
3、效率提高:消息减少为二条
Alice
Bob
f(KAlice-Bob, timestamp+1)
基于公钥技术的双向认证
I am Alice, {R2}Bob R2,{R1}Alice
用户经常用有意义的字符串作为密码 用户经常把密码抄在一个自己认为安全的地方 密码是静态的数据,每次验证过程使用的验证信息 都是相同的,易被监听设备截获
用户名/密码方式一种是极不安全的身份认 证方式
可以说基本上没有任何安全性可言
IC卡认证
IC卡是一种内置集成电路的卡片,卡片中存有 与用户身份相关的数据,可以认为是不可复制 的硬件 IC卡由合法用户随身携带,登录时必须将IC卡 插入专用的读卡器读取其中的信息,以验证用 户的身份 IC卡硬件的不可复制可以保证用户身份不会被 仿冒 IC卡中读取的数据还是静态的
网络安全
认证技术
身份认证的概念
身份认证是计算机及网络系统识别操作者身 份的过程
计算机网络是一个虚拟的数字世界,用户的身 份信息是用一组特定的数据来表示的,计算机 只能识别用户的数字身份,所有对用户的授权 也是针对用户数字身份的授权 现实世界是一个真实的物理世界,每个人都拥 有独一无二的物理身份 保证操作者的物理身份与数字身份相对应
身份认证的分类
用户与主机之间的认证 – 认证人的身份
单机状态下的身份认证 计算机验证人的身份:你是否是你声称的那个人? 人的存储和计算能力有限
记忆高数量的密码密钥困难 执行密码运算能力有限