第3章 身份認(rèn)證

身份認(rèn)證物聯(lián)網(wǎng)信息安全04檢查回顧新知學(xué)習(xí)合作探究過關(guān)測試五步教學(xué)法提綱考核點(diǎn)評1.就信息安全來說，RBAC代表（

）

。基于屬性的訪問控制基于角色的授權(quán)控制基于角色的訪問控制基于規(guī)則的訪問控制ABCD提交單選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試獨(dú)立完成單選題10分2.如果用戶只需要查看一個文檔，則應(yīng)該授予他什么權(quán)限（

）

。讀、寫完全訪問只讀讀、修改ABCD提交單選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試獨(dú)立完成單選題10分知識目標(biāo)1.掌握信任機(jī)制及表示方法（重點(diǎn)）；2.了解身份認(rèn)證的概念；3.掌握身份認(rèn)證實(shí)現(xiàn)方法（重點(diǎn)）。能力目標(biāo)培養(yǎng)學(xué)生安全意識；增強(qiáng)自我身份認(rèn)證保護(hù)意識思政目標(biāo)具備實(shí)現(xiàn)口令認(rèn)證系統(tǒng)的能力。第0章物理層

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試問題引入

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試信息

完整用戶

認(rèn)證網(wǎng)站

認(rèn)證密鑰

管理不可

抵賴數(shù)據(jù)

安全我們要保護(hù)什么呢？問題引入

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試網(wǎng)絡(luò)上通信方是誰？（彈幕回答）你訪問的網(wǎng)站是真實(shí)可靠的嗎？問題引入

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試網(wǎng)絡(luò)安全體系的五類服務(wù)訪問控制技術(shù)身份鑒別技術(shù)加密技術(shù)信息鑒別技術(shù)訪問控制服務(wù)對象認(rèn)證服務(wù)保密性服務(wù)完整性服務(wù)防抵賴服務(wù)網(wǎng)絡(luò)安全體系的五類服務(wù)訪問控制服務(wù):根據(jù)實(shí)體身份決定其訪問權(quán)限;身份鑒別服務(wù):消息來源確認(rèn),防假冒,證明你是否就是你所聲明的你;保密性服務(wù):利用加密技術(shù)將消息密,非授權(quán)人無法識別信息;數(shù)據(jù)完整性服務(wù):防止消息被篡改,證明消息與過程的正確性;防抵賴服務(wù):阻止你或其他主體對所作所為的進(jìn)行否認(rèn)的服務(wù),可確認(rèn),無法抵賴.

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試1.信任管理物聯(lián)網(wǎng)是一個多網(wǎng)并存的異構(gòu)融合網(wǎng)絡(luò)。這些網(wǎng)絡(luò)包括互聯(lián)網(wǎng)、傳感網(wǎng)、移動網(wǎng)絡(luò)和一些專用網(wǎng)絡(luò)。傳統(tǒng)的基于密碼體系的安全機(jī)制不能很好地解決某些環(huán)境下的安全問題，如在無線傳感器網(wǎng)絡(luò)中，傳統(tǒng)的基于密碼體系的安全機(jī)制主要用于抵抗外部攻擊，無法有效地解決由于節(jié)點(diǎn)俘獲而發(fā)生的內(nèi)部攻擊。且由于傳感器網(wǎng)絡(luò)節(jié)點(diǎn)能力有限，無法采用基于對稱密碼算法的安全措施，當(dāng)節(jié)點(diǎn)被俘獲時很容易發(fā)生秘密信息泄露，如果無法及時識別被俘獲節(jié)點(diǎn)，則整個網(wǎng)絡(luò)將被控制。傳統(tǒng)針對封閉、相對靜態(tài)環(huán)境的安全技術(shù)和手段，尤其是安全授權(quán)機(jī)制，如訪問控制列表、一些傳統(tǒng)的公鑰證書體系等，就不再適用于解決Web安全問題。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試1.信任管理

為了解決物聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境帶來的新的安全問題，1996年M.Blaze等人首次提出使用“信任管理（trustmanagement）”的概念，其思想是承認(rèn)開放系統(tǒng)中安全信息的不完整性，系統(tǒng)的安全決策需要依靠可信的第三方提供附加的安全信息。

信任管理的意義在于提供了一個適合開放、分布和動態(tài)特性網(wǎng)絡(luò)環(huán)境的安全決策框架。而且信任管理將傳統(tǒng)安全研究中，尤其是安全授權(quán)機(jī)制研究中隱含的信任概念抽取出來，并以此為中心加以研究，為解決互聯(lián)網(wǎng)、傳感網(wǎng)等網(wǎng)絡(luò)環(huán)境中新的應(yīng)用形式的安全問題提供了新的思路。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試1.信任管理信任管理模型

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試描述和表達(dá)安全策略和安全憑證。設(shè)計策略一致性證明驗(yàn)證算法。劃分信任管理引擎和應(yīng)用系統(tǒng)之間的職能。設(shè)計信任管理引擎需要：1.1信任機(jī)制概述

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（彈幕回答）什么是信任（信任的定義）？1.1信任機(jī)制概述信任定義

信任是一個多學(xué)科的概念，描述了在特定的情境下，一個個體（A）在可能產(chǎn)生不利后果的情況下（包括風(fēng)險因素），愿意相信另一個個體（B）具有某種能力或能夠完成某項任務(wù)的主觀信念，或該個體（A）根據(jù)自己的經(jīng)驗(yàn)或同時參考其他個體（C、D等）推薦信息而得出的被信任方（B）的可信賴程度。

對于信任的定義目前還沒有形成一個準(zhǔn)確而同一的定義，通常都是不同學(xué)者根據(jù)其所處的背景、視角和所面臨的系統(tǒng)環(huán)境給出不同的定義。但是，基于信任的應(yīng)用必須對信任給出清晰且合適的概念，否則將不可能產(chǎn)生一個正確且穩(wěn)健的系統(tǒng)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試1.1信任機(jī)制概述信任的性質(zhì)主觀性動態(tài)性信任的實(shí)體復(fù)雜性可度量性傳遞性非對稱性時間衰減性多樣性

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（投稿回答+隨機(jī)點(diǎn)名）信任的性質(zhì)應(yīng)該怎樣描述呢？1.1信任機(jī)制概述信任的性質(zhì)主觀性：一個實(shí)體對另外一個實(shí)體的某種能力的主觀判斷，而且不同的實(shí)體具有不同的判斷標(biāo)準(zhǔn)，往往都是建立在對目標(biāo)實(shí)體歷史交易行為的評估上。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試信任的性質(zhì)動態(tài)性：信任會隨著環(huán)境、時間的變化而動態(tài)地演化。1.1信任機(jī)制概述

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試信任的性質(zhì)傳遞性：信任的一個特性就是具有弱傳遞性。如：實(shí)體A信任實(shí)體B，實(shí)體B信任實(shí)體C，那么實(shí)體A信任實(shí)體C的結(jié)論不一定成立。但在一定的約束條件下，實(shí)體A信任實(shí)體C的結(jié)論可能是成立的。1.1信任機(jī)制概述信任的性質(zhì)非對稱性：信任受到多種因素的影響，不同實(shí)體的判斷標(biāo)準(zhǔn)也不一樣，一般來說信任是不具有對稱性的。如：實(shí)體A信任實(shí)體B，但不意味著實(shí)體B也同樣信任實(shí)體A，即實(shí)體A對實(shí)體B的信任度與實(shí)體B對實(shí)體A的信任度不一定是相等的，所以信任一般是單向的。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試1.1信任機(jī)制概述

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試信任的性質(zhì)多樣性：信任表現(xiàn)為主體和客體之間的二元關(guān)系，但信任關(guān)系可以是一對一、一對多、多對一、多對多的關(guān)系，這也體現(xiàn)了信任的復(fù)雜性。3.如果有兩個實(shí)體，實(shí)體A信任實(shí)體B，但實(shí)體B不一定信任實(shí)體A，這體現(xiàn)了信任的（

）。

主觀性傳遞性復(fù)雜性非對稱性ABCD提交單選題10分多選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試單選題10分4.假設(shè)兩個實(shí)體，實(shí)體A信任實(shí)體B，實(shí)體B信任實(shí)體C，但實(shí)體A不一定信任實(shí)體C，這體現(xiàn)了信任的（

）。主觀性傳遞性復(fù)雜性非對稱性ABCD提交單選題10分多選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試單選題10分1.1信任機(jī)制概述信任的分類基于身份的信任基于行為的信任：直接信任和間接信任采用的策略基于身份的信任采用靜態(tài)驗(yàn)證機(jī)制決定是否給一個實(shí)體授權(quán)，常用的技術(shù)有認(rèn)證、授權(quán)、加密、數(shù)據(jù)隱藏、數(shù)字簽名、公鑰證書及訪問控制?；谛袨榈男湃瓮ㄟ^實(shí)體的行為歷史記錄和當(dāng)前行為特征來動態(tài)判斷實(shí)體的可信任度。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試1.2信任表示方式離散表示方法離散表示方法可以使用兩個值1和-1分別表示信任和不信任，這就構(gòu)成了最簡單的信任表示。也可以用多個離散值表示信任的狀況。例如可把信任狀況分為四個等級：vt，t，ut，vut，分別表示非?？尚?，可信，不可信，非常不可信，具體含義如表：

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試信任等級含義vt非常可信，服務(wù)質(zhì)量非常好且總是響應(yīng)及時t可信，服務(wù)質(zhì)量尚可，偶有響應(yīng)遲緩或小錯誤發(fā)生ut不可信，服務(wù)質(zhì)量較差，總是出現(xiàn)錯誤vut非常不可信，拒絕服務(wù)或提供的服務(wù)總是惡意的（彈幕回答）這種表示方法的優(yōu)點(diǎn)和劣勢呢？1.2信任表示方式離散表示方法離散表示方法可以使用兩個值1和-1分別表示信任和不信任，這就構(gòu)成了最簡單的信任表示。也可以用多個離散值表示信任的狀況。例如可把信任狀況分為四個等級：vt，t，ut，vut，分別表示非?？尚牛尚?，不可信，非常不可信

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試優(yōu)點(diǎn)：符合人們表達(dá)信任的習(xí)慣。缺點(diǎn)：可計算性差，需要借助映射函數(shù)把離散值映射成具體數(shù)值。1.2信任表示方式概率表示方法在概率信任模型中，主體間的信任度可用概率值來表示。主體i對主體j的信任度定義為ai,j∈[0,1],ai,j的值越大表示主體i對主體j的信任越高，0表示完全不信任，而1表示完全信任。概率信任值表示方法一方面表示了主體間的信任度，另一方面表示了主體之間不信任的程度。例如，ai,j=0.7表示主體i對主體j的信任度為0.7，不信任度為0.3。主體之間的信任概率可以理解為主體之間是否選擇對方為交易對象的概率，信任概率低并不表示沒有主體與之交易。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（彈幕回答）這種表示方法的優(yōu)點(diǎn)和劣勢呢？1.2信任表示方式概率表示方法

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試優(yōu)點(diǎn)：可以使用與概率相關(guān)的推理方法計算主體之間的信任度。缺點(diǎn)：許多概率推理方法對一般用戶來說，理解較難。該方法將信任的主觀性和不確定性等同于隨機(jī)性。

0.40.601ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試單選題10分1.2信任表示方式信念表示方法信念理論和概率論類似，差別在于所有可能出現(xiàn)結(jié)果的概率之和不一定等于1。信念理論保留了概率論中隱含的不確定性。因?yàn)榛谛拍钅Ｐ偷男湃蜗到y(tǒng)在信任度的推理方法上類似于概率論的信任度推理方法。例如，設(shè)opinion表示信任度，把opinion定義為一個四元組{b,d,u,a}。b,d,u,分別表示信任、懷疑、不確定。b,d,u∈[0,1]且b+d+u=1。主體的可信任度為b+au，a是一個系數(shù)，表示信任度中不確定所占的比例。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試1.2信任表示方式模糊表示方法信任本身就是一個模糊的概念，所以有學(xué)者用模糊理論來研究主體的可信度。隸屬度可以看成是主體隸屬于可信任集合的程度。模糊化評價數(shù)據(jù)以后，信任系統(tǒng)利用模糊規(guī)則等模糊數(shù)據(jù)，推測主體的可信度。例如，可以使用模糊子集合T1,T2,T3,T4,T5,T6分別定義具有不同程度的信任集合，具體代表的信任集合的含義如表所示。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試模糊集含義T1不信任T2不太信任T3信任T4很信任T5特別信任T6完全信任1.3信任的計算信任度信任度是信任的定量表示，信任度可以根據(jù)歷史交互經(jīng)驗(yàn)推理得到，它反映的是主體對客體的能力、誠實(shí)度、可靠度的認(rèn)識，對目標(biāo)實(shí)體未來行為的判斷。信任度分為直接信任度，反饋信任度和總體信任度目前，信任模型在獲取總體信任度時大多采用直接信任度與反饋信任度加權(quán)平均的方式進(jìn)行聚合計算。除此之外，常見的還有加權(quán)平均法、貝葉斯方法、模糊推理方法及灰色推理方法

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證一個基本的信息安全系統(tǒng)至少應(yīng)該包括身份認(rèn)證、訪問控制和審計功能。身份認(rèn)證是最基本的安全服務(wù)，訪問控制和審計服務(wù)的實(shí)現(xiàn)都要依賴于身份認(rèn)證系統(tǒng)所識別的用戶身份。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證基本概念

身份認(rèn)證是指用戶身份的確認(rèn)技術(shù)，它是物聯(lián)網(wǎng)信息安全的第一道防線，也是最重要的一道防線。身份認(rèn)證可以實(shí)現(xiàn)物聯(lián)網(wǎng)終端用戶安全接入到物聯(lián)網(wǎng)中，合理的使用各種資源。身份認(rèn)證要求參與安全通信的雙方在進(jìn)行安全通信前，必須互相鑒別對方的身份。在物聯(lián)網(wǎng)應(yīng)用系統(tǒng)，身份認(rèn)證技術(shù)要能夠密切結(jié)合物聯(lián)網(wǎng)信息傳送的業(yè)務(wù)流程，阻止對重要資源的非法訪問。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試實(shí)體真實(shí)性證明。2身份認(rèn)證

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試使用在線服務(wù)時，賬戶密碼認(rèn)證就是一種身份認(rèn)證方式。賬戶名密碼賬戶名密碼匹配（彈幕回答）這種服務(wù)中，身份認(rèn)證方式是什么？2身份認(rèn)證基本概念身份定義為用戶提供給應(yīng)用和服務(wù)提供商的表示其身份的證明或證書身份認(rèn)證是應(yīng)用和服務(wù)提供商驗(yàn)證用戶證明或證書真實(shí)性的過程身份管理模塊執(zhí)行身份認(rèn)證過程，定義了一系列身份管理策略和規(guī)則，管理用戶身份的生命周期，包括身份創(chuàng)建、身份維護(hù)和身份刪除

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證身份認(rèn)證涉及用戶、服務(wù)提供商和身份提供商三個角色：

用戶可以是一個真實(shí)的人也可以是虛擬的實(shí)體，但必須有唯一的身份

身份提供商提供身份注冊、身份認(rèn)證和身份存儲，并根據(jù)用戶的身份提供不同級別的信用等級

服務(wù)提供商基于身份提供商對用戶的身份認(rèn)證結(jié)果，向用戶提供相應(yīng)的服務(wù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證實(shí)現(xiàn)原理

身份提供商可以為用戶提供四種類型的身份，包括證書身份、標(biāo)識身份、屬性身份和指紋身份

證書身份是指基于證書來認(rèn)證用戶的身份

標(biāo)識身份通常通過用戶名、郵箱或身份證等來唯一標(biāo)識身份

屬性身份則指用來描述用戶身份的屬性如用戶名、地址等

指紋身份指用戶在使用服務(wù)過程中獨(dú)屬于用戶的一些用戶數(shù)據(jù)記錄

根據(jù)服務(wù)提供商和身份提供商的關(guān)系，存在單例模式、中心化模式和分布式模式三種模式來實(shí)際部署身份管理模塊。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證身份認(rèn)證的物理依據(jù)用戶所知道的（somethingtheuserknows）例如口令用戶所擁有的（somethingtheuserpossesses）例如智能卡、密鑰盤用戶的特征（somethingtheuserisorshe/hebehaves）例如指紋、聲音、視網(wǎng)膜、簽名、步態(tài)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（彈幕回答）身份認(rèn)證的物理依據(jù)有哪些？分組討論：（每組一人代表作答）討論有哪些常見的身份認(rèn)證技術(shù)，按照不同的規(guī)則可以如何分類。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證身份認(rèn)證分類

根據(jù)認(rèn)證時采用的安全因素性質(zhì)的不同，身份認(rèn)證可以分為：

基于秘密知識的身份認(rèn)證

例如口令、密鑰

基于物品的身份認(rèn)證

例如U盾、IC卡

基于生物特征的身份認(rèn)證

例如指紋、人臉

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證身份認(rèn)證分類

根據(jù)認(rèn)證時采用的安全因素數(shù)量，身份認(rèn)證可以分為：

單因素身份認(rèn)證

例如登錄口令

多因素身份認(rèn)證

銀行卡+PIN碼

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證身份認(rèn)證分類

根據(jù)需要認(rèn)證的通信方只對單方認(rèn)證還是雙方互相認(rèn)證，認(rèn)證協(xié)議可以分為：

單向認(rèn)證

只認(rèn)證服務(wù)器端

雙向認(rèn)證

服務(wù)器端和客戶端都要認(rèn)證

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證身份認(rèn)證分類

根據(jù)認(rèn)證時所采用的密碼體制的不同，可以分為基于對稱密碼的認(rèn)證和基于公鑰密碼的認(rèn)證。

基于對稱密碼的認(rèn)證 Kerberos認(rèn)證協(xié)議

基于公鑰密碼的認(rèn)證 X.509認(rèn)證協(xié)議

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證身份認(rèn)證過程中容易遭受如下攻擊形式。竊聽攻擊重放攻擊偽造攻擊/假冒攻擊口令猜測攻擊中間人攻擊......

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（投稿回答）身份認(rèn)證過程容易遭受哪些攻擊方式呢？2身份認(rèn)證傳統(tǒng)身份認(rèn)證技術(shù)

基于用戶所擁有的標(biāo)識身份的持有物的身份認(rèn)證：持有物如身份證、智能卡、鑰匙、銀行卡（儲蓄卡和信用卡）、駕駛證、護(hù)照等，這種身份認(rèn)證方式稱之為基于標(biāo)識物（Token）的身份認(rèn)證。基于用戶所擁有的特定知識的身份認(rèn)證：特定知識可以是密碼、用戶名、卡號、暗語等。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證基本認(rèn)證技術(shù)雙方認(rèn)證?？尚诺谌秸J(rèn)證。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（彈幕回答）這是什么認(rèn)證？（彈幕回答）這是什么認(rèn)證？2身份認(rèn)證新型身份認(rèn)證技術(shù)

一般基于以下一個或幾個因素：靜態(tài)口令、用戶所擁有的東西（如令牌、智能卡等）、用戶所具有的生物特征（如指紋、虹膜、動態(tài)簽名等）。在對身份認(rèn)證安全性要求較高的情況下，通常會選擇以上因素中的兩種從而構(gòu)成“雙因素認(rèn)證”。非對稱密鑰認(rèn)證

非對稱加密算法的認(rèn)證要求認(rèn)證雙方的個人秘密信息（如口令）不用在網(wǎng)絡(luò)上傳送，減少了認(rèn)證的風(fēng)險。這種認(rèn)證方式通過請求認(rèn)證者和認(rèn)證者之間對一個隨機(jī)數(shù)作數(shù)字簽名與驗(yàn)證數(shù)字簽名的方法來實(shí)現(xiàn)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試6.身份鑒別是安全服務(wù)中的重要一環(huán)，以下關(guān)于身份鑒別敘述不正確的是（

）。身份鑒別是授權(quán)控制的基礎(chǔ)身份鑒別一般不用提供雙向的認(rèn)證目前一般采用基于對稱密鑰加密或公開密鑰加密的方法數(shù)字簽名機(jī)制是實(shí)現(xiàn)身份鑒別的重要機(jī)制ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試單選題10分2身份認(rèn)證基于用戶名-密碼的身份認(rèn)證

服務(wù)端先創(chuàng)建并存儲用戶的用戶名和密碼對，當(dāng)用戶使用服務(wù)之前，提交正確的用戶名和密碼給服務(wù)端，服務(wù)端通過匹配用戶名和密碼來完成對用戶身份的認(rèn)證。這種身份認(rèn)證方式很簡單，但有許多缺點(diǎn)：易遭受攻擊如暴力破解攻擊認(rèn)證方式的安全性很大程度上依賴于用戶本身設(shè)置的密碼用戶很難對多個賬戶的密碼進(jìn)行管理

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2.1用戶口令口令認(rèn)證協(xié)議

口令認(rèn)證協(xié)議（PAP）是一種簡單的明文驗(yàn)證方式。網(wǎng)絡(luò)接入服務(wù)器（NetworkAccessServer,NAS）要求提供用戶名和口令，PAP以明文方式返回用戶信息。<用戶名（用戶ID），口令（Password）>

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2.1用戶口令

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2.1用戶口令最簡單的口令方案

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（彈幕回答）這個會遭遇什么安全風(fēng)險呢？竊聽攻擊/重放攻擊/口令直接泄露2.1用戶口令從1976年開始。業(yè)界開始使用密碼學(xué)中的Hash函數(shù)加密用戶口令。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（彈幕回答）這個方案可以解決什么風(fēng)險，但還會遭遇另外的安全風(fēng)險嗎？對抗竊聽/直接泄露但無法避免重放攻擊/口令間接泄露2.1用戶口令Hash算法使用PBKDF2/BCRYPT等之類的慢哈希算法或哈希函數(shù)反查、窮舉法、字典法、彩虹表法等。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試對抗口令間接泄露但無法避免重放攻擊（彈幕回答）這個方案可以解決什么風(fēng)險？2.1用戶口令

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試一次性口令對抗重放攻擊驗(yàn)證者和聲稱者共有一個非重復(fù)值消息（彈幕回答）這個方案可以解決什么風(fēng)險？2.1用戶口令一次性口令機(jī)制(OTP）

利用散列函數(shù)產(chǎn)生一次性口令的思想，即用戶每次同服務(wù)器連接過程中使用的口令在網(wǎng)上傳輸時都是加密的密文，而且這些密文在每次連接時都是不同的，也就是說口令明文是一次有效的。

也稱動態(tài)口令，在認(rèn)證過程中加入不確定因素，使每次認(rèn)證的口令都不相同，提高認(rèn)證過程的安全性。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試（彈幕回答）動態(tài)口令認(rèn)證被廣泛用于哪些領(lǐng)域？2.2介質(zhì)

基于介質(zhì)（如USBkey，手機(jī)等）以其具有的安全可靠、便于攜帶、使用方便等諸多優(yōu)點(diǎn)，正在被越來越多的用戶所認(rèn)識和使用。基于智能卡的身份認(rèn)證

基于智能卡的身份認(rèn)證機(jī)制要求用戶在認(rèn)證時持有智能卡（智能卡中存有秘密信息，可以是用戶密碼的加密文件或者是隨機(jī)數(shù)），只有持卡人才能被認(rèn)證?；谥悄苁謾C(jī)的身份認(rèn)證

當(dāng)前，智能手機(jī)非常普及，給身份認(rèn)證帶來了新的機(jī)遇。

智能手機(jī)是一個相對安全的環(huán)境。

智能手機(jī)比USBKey,Token更容易攜帶。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試雙因子的認(rèn)證方式（PIN+物理證件），比口令認(rèn)證具有更好的安全性可以設(shè)計更為復(fù)雜、安全的身份認(rèn)證機(jī)制，如動態(tài)口令技術(shù)+數(shù)字簽名技術(shù)相結(jié)合2身份認(rèn)證基于智能卡的身份認(rèn)證

在一張智能卡上完成用戶身份認(rèn)證，智能卡存儲了用戶公鑰證書信息，認(rèn)證時需要用戶訪問智能卡的認(rèn)證密鑰，稱為個人識別密碼?；谥悄芸ǖ恼J(rèn)證方式是一種雙因素的認(rèn)證方式。IC卡：卡有唯一ID保證卡的真實(shí)性PIN：個人身份識別碼優(yōu)點(diǎn)：具有強(qiáng)認(rèn)證性，既支持物理認(rèn)證也允許在線邏輯認(rèn)證，加強(qiáng)了認(rèn)證過程的安全性和隱私性。應(yīng)用廣泛性：密碼管理、虛擬私有網(wǎng)認(rèn)證、電子簽名等。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證基于智能卡的身份認(rèn)證

下面是用戶基于智能卡身份認(rèn)證技術(shù)登錄WindowsServer2003的例子。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試登錄模塊身份識別和認(rèn)證模塊安全授權(quán)模塊登錄會話密鑰智能卡讀卡器登錄請求轉(zhuǎn)發(fā)請求提示輸入個人識別密碼個人識別密碼轉(zhuǎn)發(fā)個人識別密碼驗(yàn)證2身份認(rèn)證基于智能卡的身份認(rèn)證存在的問題硬件成本：需要在每個認(rèn)證端添加讀卡設(shè)備，增加成本機(jī)密性攻擊：試圖竊取機(jī)密信息通過側(cè)信道攻擊或網(wǎng)絡(luò)監(jiān)聽等技術(shù)能夠截獲用戶的身份認(rèn)證信息基于數(shù)據(jù)中繼的中間人攻擊復(fù)制卡片完整性攻擊：基于惡意試圖修改卡內(nèi)信息可用性攻擊：試圖中斷系統(tǒng)正常運(yùn)行

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證基于公鑰的身份認(rèn)證

通常會有一個可信的證書授權(quán)中心負(fù)責(zé)給用戶分配公鑰證書，基于公鑰密碼學(xué)中的數(shù)字簽名完成對用戶身份的認(rèn)證。

例如，Kerberos網(wǎng)絡(luò)認(rèn)證協(xié)議是一種基于公鑰的身份認(rèn)證協(xié)議。該協(xié)議定義了客戶端與服務(wù)端之間的交互過程。用戶登錄客戶端時提供密碼和用戶名給服務(wù)端的認(rèn)證服務(wù)器認(rèn)證服務(wù)器把用戶名轉(zhuǎn)發(fā)給密鑰分發(fā)中心密鑰分發(fā)中心會生成一個由票據(jù)授權(quán)服務(wù)器授權(quán)過的票據(jù)用戶獲得授權(quán)票據(jù)用戶提供授權(quán)票據(jù)訪問服務(wù)端的服務(wù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評過關(guān)測試2身份認(rèn)證基于生物特征的身份認(rèn)證

利用用戶的生理特征或行為特征如指紋、人臉、掌紋和虹膜等作為用戶身份以完成身份認(rèn)證過程。

基本過程：一個系統(tǒng)先收集每個個體的生理數(shù)據(jù)，然后提取相應(yīng)的生理數(shù)據(jù)特征，最后再將特征數(shù)據(jù)和數(shù)據(jù)庫中構(gòu)建好的生物特征模板數(shù)據(jù)匹配。

優(yōu)點(diǎn)：特征難以猜測、不易丟失或遺忘、很難被復(fù)制和共享且不能被偽造。

五步教學(xué)法檢查回顧新知學(xué)習(xí)