第四章_身份认证.
人体生物特征识别技术在身份认证中的应用研究
人体生物特征识别技术在身份认证中的应用研究第一章:引言随着科技的发展,人体生物特征识别技术在身份认证中的应用越来越广泛。
传统的身份认证方法,如密码、证件等,不仅存在安全性不足的问题,还易被伪造。
而人体生物特征识别技术,则通过采集个体固有的生物特征,如指纹、虹膜等,进行自动化识别,具有高度的安全性和准确性。
因此,本文将对人体生物特征识别技术在身份认证中的应用进行研究。
第二章:人体生物特征识别技术概述人体生物特征识别技术是通过对个体的生物特征进行采集、提取和匹配,从而确定身份的一种技术。
常用的人体生物特征包括指纹、虹膜、人脸、掌纹等。
这些生物特征具有唯一性、不易伪造的特点,因此能够有效地应用于身份认证领域。
第三章:人体生物特征识别技术的原理人体生物特征识别技术利用生物学特征在个体之间的差异来进行身份认证。
其主要包括特征采集、特征提取和特征匹配三个步骤。
特征采集是通过传感器或相机等设备对个体的生物特征进行图像或数据的采集。
特征提取是从采集到的图像或数据中提取出能够反映特征的特征向量。
特征匹配则是将提取到的特征与已有的特征数据库进行比对,从而确定个体的身份。
第四章:人体生物特征识别技术在身份认证中的应用4.1 指纹识别技术指纹识别技术是最早被广泛应用的一种生物特征识别技术。
指纹特征是人类手指皮肤上形成的独特花纹,其纹理、方向等特点使得每个人的指纹都是唯一且稳定的。
通过采集、提取和匹配指纹图像,可以实现对个人身份的快速准确识别。
指纹识别技术已广泛应用于边境检查、考勤管理、手机解锁等领域。
4.2 虹膜识别技术虹膜识别技术是利用眼睛的虹膜进行身份识别的一种技术。
虹膜是位于瞳孔边缘内侧朝眼角方向的一个环状组织,具有稳定性和唯一性。
虹膜识别技术通过采集、提取和匹配虹膜图像,能够实现对个体身份的高精度识别。
虹膜识别技术已被应用于银行、机场安检等领域。
4.3 人脸识别技术人脸识别技术是利用人脸的特征进行身份认证的一种技术。
数字签名与身份认证ppt课件
接收方收到(M,s)之后
(1)取得发送方的公钥(e,n)
(2)解密签名s:h=se mod n。
(3)计算消息的散列值H(M)。
(4)比较,如果h=H(M),表示签名有效;否则,签名无效。
如果消息M很短的时候,可以直接对M用公钥解密以验证签名的有效
性,可以表达为:Ver(M可,编s辑)=课件真PP〈T =〉M=se mod n
▪ 盲签名
图4-5 盲签名原理
可编辑课件PPT
19
4.1 数字签名技术
完全盲签名
签名者在文件上的签名是有效的,签名是其签署文件的证据。如果 把文件给签名者看,他可确信他签署过这份文件。但是,签名者不 能把签署文件的行为与签署了的文件相关联。即使他记下了他所做 的每一个盲签名,他也不能确定他在什么时候签署了该文件。
一是发送方的签名部分,对消息M签名,可以记作S=Sig(K, M),签字算法使用的密钥是秘密的,即是签字者的私钥。
二是接收方的认证部分,对签名S的验证可以记作Ver(M,S, K)— {真,假},认证算法使用的密钥是发送方(即签名者)的公钥。
可编辑课件PPT
2
4.1 数字签名技术
1.数字签名的特点 (1)信息是由签名者发送的; (2)信息自签发后到收到为止未曾做过任何修改; (3)如果A否认对信息的签名,可以通过仲裁解决A和B之间的争议 (4)数字签名又不同于手写签名: 数字签名随文本的变化而变化,手写签字反映某个人个性特征, 是不变的;数字签名与文本信息是不可分割的,而用手写签字是附 加在文本之后的,与文本信息是分离的。
通常一个用户拥有两个密钥对,另一个密钥对用来对数字签名 进行加密解密,一个密钥对用来对私有密钥进行加密解密。这种方 式提供了更高的安全性。
身份认证安全管理制度
#### 第一章总则第一条为确保本单位的网络安全与信息安全,保障单位业务正常开展,防止非法访问和数据泄露,特制定本制度。
第二条本制度适用于本单位所有员工、临时工作人员及访问本单位的第三方人员。
第三条本制度遵循以下原则:1. 防范为主,防治结合;2. 安全可靠,方便快捷;3. 严格管理,责任到人。
#### 第二章身份认证系统第四条本单位采用统一的身份认证系统,确保所有用户身份的唯一性和安全性。
第五条身份认证系统应具备以下功能:1. 用户注册与激活;2. 用户登录与权限控制;3. 密码管理;4. 身份验证;5. 访问记录与审计。
第六条用户注册时,应提供真实、有效的个人信息,包括但不限于姓名、身份证号码、联系方式等。
#### 第三章身份认证流程第七条用户登录:1. 用户使用用户名和密码登录系统;2. 系统验证用户身份,若验证失败,则拒绝登录;3. 验证成功后,用户可访问相应权限范围内的资源。
第八条密码管理:1. 用户密码应复杂,包含字母、数字和特殊字符;2. 密码长度不得少于8位;3. 系统定期提示用户更换密码;4. 系统禁止用户使用与个人信息相关的密码。
第九条身份验证:1. 系统支持多种身份验证方式,如密码、指纹、人脸识别等;2. 用户可根据自身需求选择合适的身份验证方式;3. 系统对身份验证结果进行实时监控,确保验证过程的安全性。
#### 第四章安全管理与责任第十条信息技术部门负责身份认证系统的建设、维护与管理。
第十一条人力资源部门负责用户信息的收集、审核与更新。
第十二条各部门负责人对本部门用户身份认证的安全负责。
第十三条用户应遵守以下规定:1. 不得将用户名和密码泄露给他人;2. 不得使用他人身份登录系统;3. 不得利用系统漏洞进行非法操作;4. 不得干扰系统正常运行。
第十四条任何单位和个人发现身份认证系统存在安全隐患,应及时报告信息技术部门。
第十五条违反本制度,造成单位信息安全事故的,将依法依规追究责任。
数据安全云计算服务平台安全保障方案
数据安全云计算服务平台安全保障方案第一章引言 (3)1.1 概述 (3)1.2 目的与意义 (3)1.3 范围与限制 (3)第二章数据安全云计算服务平台概述 (4)2.1 平台架构 (4)2.2 数据处理流程 (4)2.3 关键技术 (5)第三章数据安全策略 (5)3.1 数据加密策略 (5)3.2 数据访问控制策略 (6)3.3 数据备份与恢复策略 (6)第四章身份认证与授权 (7)4.1 用户身份认证 (7)4.1.1 身份认证概述 (7)4.1.2 密码认证 (7)4.1.3 动态令牌认证 (7)4.1.4 生物识别认证 (7)4.2 访问授权机制 (8)4.2.1 授权概述 (8)4.2.2 角色划分 (8)4.2.3 权限分配 (8)4.3 访问控制列表 (8)4.3.1 资源分类 (8)4.3.2 访问控制策略 (8)4.3.3 访问控制实现 (9)第五章数据传输安全 (9)5.1 数据传输加密 (9)5.2 数据传输完整性验证 (9)5.3 数据传输审计 (10)第六章数据存储安全 (10)6.1 存储加密技术 (10)6.1.1 数据加密算法选择 (10)6.1.2 数据加密过程 (10)6.1.3 密钥管理 (10)6.2 存储访问控制 (10)6.2.1 访问控制策略 (10)6.2.2 访问控制实现 (11)6.2.3 访问控制审计 (11)6.3 数据存储审计 (11)6.3.1 审计策略制定 (11)6.3.3 审计数据分析 (11)6.3.4 审计报告 (11)6.3.5 审计报告处理 (11)第七章数据隐私保护 (11)7.1 数据脱敏技术 (11)7.1.1 技术概述 (11)7.1.2 技术应用 (12)7.2 数据隐私合规性检查 (12)7.2.1 检查内容 (12)7.2.2 检查方法 (13)7.3 数据隐私保护策略 (13)7.3.1 数据分类与分级 (13)7.3.2 数据访问控制 (13)7.3.3 数据加密与脱敏 (13)7.3.4 数据安全审计 (13)第八章安全监控与预警 (14)8.1 安全事件监控 (14)8.1.1 监控策略 (14)8.1.2 监控内容 (14)8.1.3 监控工具与技术 (14)8.2 安全事件预警 (14)8.2.1 预警机制 (14)8.2.2 预警处理流程 (15)8.3 安全审计与报告 (15)8.3.1 审计内容 (15)8.3.2 审计流程 (15)8.3.3 报告制度 (15)第九章应急响应与处置 (15)9.1 安全事件应急响应流程 (15)9.1.1 事件发觉与报告 (15)9.1.2 事件评估与分类 (15)9.1.3 应急预案启动 (16)9.1.4 事件处置与恢复 (16)9.1.5 事件报告与沟通 (16)9.2 安全事件处置策略 (16)9.2.1 临时应对措施 (16)9.2.2 永久性解决方案 (16)9.2.3 跨部门协作 (16)9.3 安全事件后续处理 (17)9.3.1 事件调查与总结 (17)9.3.2 改进措施实施 (17)9.3.3 事件档案管理 (17)第十章安全管理与合规性 (17)10.1.1 制定原则 (17)10.1.2 管理制度内容 (17)10.2 安全合规性检查 (18)10.2.1 检查内容 (18)10.2.2 检查流程 (18)10.3 安全培训与宣传 (18)10.3.1 培训内容 (18)10.3.2 培训方式 (18)10.3.3 宣传活动 (19)第一章引言1.1 概述信息技术的飞速发展,云计算作为新一代的计算模式,已广泛应用于各个行业。
个人信息安全保障与技术防护措施解决方案
个人信息安全保障与技术防护措施解决方案第一章个人信息安全概述 (3)1.1 个人信息安全的定义 (3)1.2 个人信息安全的重要性 (3)1.2.1 维护个人隐私权益 (3)1.2.2 促进社会和谐稳定 (3)1.2.3 促进数字经济的发展 (4)1.3 个人信息安全的发展趋势 (4)1.3.1 法律法规不断完善 (4)1.3.2 技术手段不断创新 (4)1.3.3 人工智能与大数据的融合 (4)1.3.4 个人信息安全意识的提升 (4)第二章个人信息收集与存储 (4)2.1 个人信息收集的原则 (4)2.2 个人信息存储的技术手段 (5)2.3 个人信息存储的安全措施 (5)第三章数据加密与解密技术 (6)3.1 加密算法的选择与应用 (6)3.1.1 加密算法概述 (6)3.1.2 对称加密算法的选择与应用 (6)3.1.3 非对称加密算法的选择与应用 (6)3.2 密钥管理策略 (7)3.2.1 密钥 (7)3.2.2 密钥存储 (7)3.2.3 密钥分发 (7)3.2.4 密钥更新与轮换 (7)3.2.5 密钥销毁 (7)3.3 加密技术在个人信息安全中的应用 (7)3.3.1 数据存储加密 (7)3.3.2 数据传输加密 (7)3.3.3 数据访问控制 (7)3.3.4 数据备份加密 (7)3.3.5 数据共享加密 (8)第四章访问控制与身份认证 (8)4.1 访问控制策略 (8)4.2 身份认证技术 (8)4.3 访问控制与身份认证的整合 (8)第五章个人信息泄露的防范 (9)5.1 个人信息泄露的途径 (9)5.2 防止信息泄露的技术手段 (9)5.3 应对个人信息泄露的应急预案 (10)第六章网络安全防护 (10)6.1 防火墙技术 (10)6.1.1 包过滤防火墙 (10)6.1.2 状态检测防火墙 (10)6.1.3 应用层防火墙 (10)6.2 入侵检测系统 (11)6.2.1 异常检测 (11)6.2.2 特征检测 (11)6.3 网络安全防护策略 (11)6.3.1 制定严格的安全政策 (11)6.3.2 定期更新和升级防护设备 (11)6.3.3 加强安全培训和教育 (11)6.3.4 建立安全监控和应急响应机制 (11)6.3.5 加强数据备份和恢复 (11)第七章数据备份与恢复 (11)7.1 数据备份策略 (12)7.1.1 定期备份 (12)7.1.2 实时备份 (12)7.1.3 差异备份 (12)7.1.4 完全备份 (12)7.2 数据恢复技术 (12)7.2.1 硬盘数据恢复 (12)7.2.2 文件恢复 (12)7.2.3 数据库恢复 (12)7.2.4 网络数据恢复 (12)7.3 数据备份与恢复的实践 (13)7.3.1 制定备份计划 (13)7.3.2 选择合适的备份工具 (13)7.3.3 建立备份日志 (13)7.3.4 定期检查备份 (13)7.3.5 建立恢复流程 (13)7.3.6 培训相关人员 (13)第八章法律法规与合规 (13)8.1 个人信息保护法律法规概述 (13)8.2 个人信息保护合规要求 (14)8.3 法律法规在个人信息安全中的应用 (14)第九章安全教育与培训 (15)9.1 安全意识培训 (15)9.1.1 培训目标 (15)9.1.2 培训内容 (15)9.1.3 培训方式 (15)9.2 安全技能培训 (15)9.2.1 培训目标 (15)9.2.2 培训内容 (16)9.2.3 培训方式 (16)9.3 安全教育与培训的实践 (16)9.3.1 培训计划 (16)9.3.2 培训实施 (16)9.3.3 培训宣传 (16)第十章个人信息安全监测与评估 (17)10.1 个人信息安全监测体系 (17)10.1.1 监测对象 (17)10.1.2 监测内容 (17)10.1.3 监测技术 (17)10.1.4 监测机制 (17)10.2 个人信息安全风险评估 (17)10.2.1 风险识别 (17)10.2.2 风险分析 (17)10.2.3 风险评价 (17)10.2.4 风险应对 (18)10.3 个人信息安全事件的应对策略 (18)10.3.1 事件分类 (18)10.3.2 应急响应 (18)10.3.3 事件调查与处理 (18)10.3.4 事件通报与整改 (18)10.3.5 跟踪评估与总结 (18)第一章个人信息安全概述1.1 个人信息安全的定义个人信息安全,指的是在信息技术的支持下,对个人身份信息、财务信息、隐私信息等敏感数据进行保护,保证这些信息不被未授权的访问、使用、披露、篡改或销毁,以维护个人的隐私权益和信息安全。
第四章 身份认证
3.生物识别认证
依据人类自身所固有的生理或行为特征进行识别。 生理特征(characteristics):人的指纹、声音、笔 迹、手型、脸型、血型、视网膜、虹膜、DNA,以 及个人动作方面的特征; 目前人们研究的个人特征主要包括:容貌、肤色、发 质、身材、姿势、手印、指纹、脚印、唇印等。
(5) P按要求实现(以咒语,即解数学难题帮助); (6) P和V重复执行 (1)~(5)共n次。
若P不知咒语,则在B点,只有50 %的机会猜中V的要求, 协议执行n次,则只有2-n的机会完全猜中,若n=16,则若每 次均通过B的检验,V受骗机会仅为1/65536。
零知识证明的基本协议
哈米尔顿回路
口令
口令验证简单易行,是目前应用最为广泛的身 份认证方法之一。 口令是双方预先约定的秘密数据,它用来验证 用户知道什么。 一些简单的系统中,用户的口令以口令表的形 式存储。
1.口令认证
(1)口令加密技术: 用单向散列函数对口令进行处理; 再采用加密技术对该散列码进行加密。 认证中心数据库中存储口令的的散列码 口令以散列码的密文传输到认证中心后解密 生成散列码 ,以此来核对身份 . 困难在于加密密钥的交换,涉及密钥分发管理问题. 攻击者仍可以采用离线方式对口令密文实施字典 攻击。
服务器端存储加密的口令
示证者 验证者
ID
口令p ID
q
比较
p’ ID
f
数据库中存放的是加密的口令
口令经MD5算 法加密后的密文
同样,由于未保护的口令在网络上传输,上 述方案容易受到线路窃听的攻击。所以,我们 应该综合前两个方案的优点。
同时对抗线路窃听和危及验证者攻击
身份认证数字证书管理办法
陕西煤业化工集团财务有限公司身份认证数字证书管理办法第一章总则第一条本办法规定了财务公司身份认证数字证书及其载体购买、制作、用户绑定、权限管理、日常管理等各环节的管理办法。
第二条以下术语和定义适用于本办法。
(一)证书即身份认证数字证书,是核心业务系统识别人员登录身份的凭证,证书具有使用有效期。
(二)U-Key 证书的载体,证书通过加密算法存储其中,可以保证证书不被复制。
(三)密码即U-Key密码,用户在登录核心系统及进行资金支付时必须输入。
(四)密码信封装载U-Key初始密码的信封,必须由最终用户亲自开启。
(五)解锁当密码连续错误输入五次,U-Key即被锁住,须持相关手续到信息技术部解锁。
(六)柜员登录核心业务系统的财务公司操作人员。
第二章职责第三条财务公司总经理或授权分管副总经理负责确定证书实施方案。
第四条信息技术部负责核心业务系统及安全网关和验签服务器的技术实施及技术支持;负责证书及U-Key的购买;负责将证书导入U-key;负责U-Key初始密码的设定及密码信封制作;负责U-Key解锁;负责核心业务系统客户端证书相关技术支持。
第五条综合管理部负责财务公司柜员身份审核及权限分配。
第六条结算部负责成员单位U-Key申领、发放、权限设置、更换、注销等管理工作。
第七条以下操作流程均设经办岗和复合岗双人操作。
第三章财务公司柜员U-Key管理流程第八条申领柜员填写《陕煤化集团财务公司业务运营管理用户申请表》,经信息技术部和综合管理部确认后,信息技术部管理人员在核心系统中增加该用户。
第九条绑定柜员填写《陕煤化集团财务公司U-Key申领表》,经信息技术部和综合管理部确认后,信息技术部管理人员为该柜员绑定U-Key。
第十条权限分配及调整由申请部门填写《系统权限分配表》或《系统权限调整表》,明确岗位名称、岗位人员及岗位职责,综合部进行系统职责管理和系统授权管理。
第十一条解锁信息技术部接到综合管理部或其他业务部门《陕煤化集团财务公司U-Key解锁申请》,经审核无误后为指定柜员解锁。
企业身份验证管理制度模板
第一章总则第一条为确保企业信息安全,保障企业各项业务正常开展,防止未授权访问和滥用企业资源,特制定本制度。
第二条本制度适用于企业内部所有员工、合作伙伴、客户以及其他相关人员。
第三条企业身份验证管理应遵循以下原则:1. 安全性:确保企业信息系统的安全性,防止非法访问和泄露。
2. 可靠性:确保身份验证过程的稳定性和可靠性。
3. 便捷性:在保证安全的前提下,提高身份验证的便捷性。
4. 完善性:随着信息技术的发展,不断完善身份验证管理制度。
第二章身份验证类型第四条企业身份验证分为以下几种类型:1. 基础身份验证:包括用户名和密码验证。
2. 多因素身份验证:包括密码、动态令牌、生物识别等多种验证方式。
3. 身份认证:通过第三方身份认证机构进行身份验证。
第三章身份验证流程第五条新员工入职:1. 员工填写个人信息,包括姓名、身份证号码、联系方式等。
2. 企业进行背景调查和资格审查。
3. 通过资格审查后,员工进行基础身份验证。
4. 员工培训后,企业为其分配账号和密码。
第六条修改密码:1. 员工登录系统后,可自行修改密码。
2. 企业定期提醒员工修改密码,提高安全性。
第七条失效或忘记密码:1. 员工忘记密码时,可通过验证手机号码或邮箱重置密码。
2. 系统连续三次验证失败,暂时锁定账号,员工需联系管理员解锁。
第八条身份验证异常处理:1. 系统自动记录身份验证失败日志,管理员定期查看并分析。
2. 发现异常情况,管理员及时通知相关人员,采取相应措施。
第四章身份验证安全第九条企业应采取以下措施确保身份验证安全:1. 定期更新和升级身份验证系统,防范潜在的安全风险。
2. 加强密码策略,如密码复杂度、有效期等。
3. 对敏感信息进行加密存储和传输。
4. 定期对员工进行安全意识培训。
第五章附则第十条本制度由企业信息安全管理委员会负责解释和修订。
第十一条本制度自发布之日起实施。
注:本模板仅供参考,具体内容可根据企业实际情况进行调整。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
口令机制
用户名 / 口令认证技术:最简单、最普遍的身份识别 技术,如:各类系统的登录等。 口令具有共享秘密的属性,是相互约定的代码,只有 用户和系统知道。例如,用户把他的用户名和口令送 服务器,服务器操作系统鉴别该用户。
口令有时由用户选择,有时由系统分配。通常情况下, 用户先输入某种标志信息,比如用户名和ID号,然后 系统询问用户口令,若口令与用户文件中的相匹配, 用户即可进入访问。 口令有多种,如一次性口令;还有基于时间的口令
认证系统用户端软件(Authentication Client Software)
认证系统用户端通常都是需要进行登陆(login)的设备或 系统,在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。 认证设备(Authenticator)
认证设备是使用者用来产生或计算密码的软硬件设备。
1.
存储容量大 、体积小而轻、保密性强、网络要 求低
数据可靠性高 IC卡防磁、防静电、防潮、耐温、 抗干扰能力强,一张IC卡片可重复读写十万次, 卡中数据可保存几十年。 IC卡读写操作通过电信号传输来完成,因而对计 算机的实时性、敏感性要求降低。内部数据保密 性、可靠性好,读写稳定可脱机工作,易于安装 维护,而磁卡系统离不开网络;
通常有三种方法验证主体身份。 1 )是只有该主体了解的秘密,如口令、密 钥; 2 )是主体携带的物品,如智能卡和令牌卡; 3 )是只有该主体具有的独一无二的特征或 能力,如指纹、声音、视网膜图或签字等。
单独用一种方法进行认证不充分
身份认证系统架构包含三项主要组成元件:
认证服务器(Authentication Server) 负责进行使用者身份认证的工作,服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
第四章
4.1 4.2 4.3
身份认证
认证的基本原理 认证协议 典型的认证应用
介绍三个概念: (1) 认证(Authentication):在做任何 动作之前必须要有方法来识别动作执行者的 真实身份。 (2) 授权(Authorization):指当用户身 份被确认合法后,赋予该用户进行文件和数 据等操作的权限。 (3) 审计(Auditing):每个人都该为自 己所做的操作负责,所以在做完事情之后都 要留下记录,以便核查责任。
Java Card API与正式的国际标准(如ISO7816)和工 业规范标准(如 Europay/Master Card/Visa )兼容。 也就是说 Java applet 能够直接运行在遵循 ISO7816 标 准的智能卡之上。
基于智能卡的认证机制有以下方式:
挑 战 / 响 应 ( Challenge/Response ) 认 证; 时间同步(Time Synchronous)认证; 事件同步(Event Synchronous)认证.
验证者向用户提供一随机数;用户以其私钥 KS 对随机数进行签名,将签名和自己的证书提交给验 证方;验证者验证证书的有效性,从证书中获得用 户公钥KP,以KP验证用户签名的随机数。
3.
智能卡
网络通过用户拥有什么东西来识别的方法,一般是用智 能卡或其它特殊形式的标志,这类标志可以从连接到计 算机上的读出器读出来。访问不但需要口令,也需要使 用物理智能卡。
IC 卡是英文 Integrated Cirtuit (集成电路)卡的缩写, 也称“MEMORY CARD”和“SMART CARD”,中文译作“聪明 卡”、“智慧卡”和“智能卡”等。
是一种将具有加密、存储、处理 能力的集成电路芯片嵌装于塑料 基片上而制成的卡片,它的外型 与普通的信用卡十分相似
IC卡优点:
在现实生活中,我们个人的身份主要是通过各种证 件来确认的,比如:身份证、户口本等。
认证是对网络中的主体进行验证的过程,用户必须 提供他是谁的证明,他是某个雇员,某个组织的代 理、某个软件过程(如交易过程)。 认证( authentication )是证明一个对象的身份的 过程。与决定把什么特权附加给该身份的授权 ( authorization )不同。
4.生活中,我们个人的身份主要是通过各种 证件来确认的,比如:身份证、户口本等。 认证是对网络中的主体进行验证的过程,用户必 须提供他是谁的证明,他是某个雇员,某个组 织的代理、某个软件过程(如交易过程)。 认证( authentication )是证明一个对象的身份 的过程。与决定把什么特权附加给该身份的授 权( authorization )不同。
用户名/口令具有实现简单的优点,但存在以下安全缺 点:
1、大多数系统的口令是明文传送到验证服务器的,容 易被截获。某些系统在建立一个加密链路后再进行口令 的传输以解决此问题,如配置链路加密机。 2、口令维护的成本较高。为保证安全性,口令应当经 常更换。另外为避免对口令的字典攻击,口令应当保证 一定的长度,并且尽量采用随机的字符。但缺点是难于 记忆。 3、口令容易在输入的时候被攻击者偷窥,而且用户无 法及时发现。
简单和安全是互相矛盾的两个因素。
2.
数字证书
这是一种检验用户身份的电子文件,也是企业现 在可以使用的一种工具。这种证书可以授权购买, 提供更强的访问控制,并具有很高的安全性和可 靠性。 非对称体制身份识别的关键是将用户身份与密钥 绑定。 CA(Certificate Authority) 通过为用户 发放数字证书 (Certificate) 来证明用户公钥与 用户身份的对应关系。
1996年10月推出了Java Card API规范,目前版本为 2.1.1,1997年4月27日,Java Card论坛正式宣布成立 。Java Card论坛的成立目的是完善Java Card API规 范,使之最终成为多应用智能卡的首选编程语言。 Java Card就是能够运行Java程序的智能卡。 Java Card在出厂时就在ROM中烧入了操作系统、 Java Card虚拟机、 API类库和可选的applets,随后 ,初始化和个人化向EEPROM 中写入数据。