第五章用户
第五章 用户
用尸 鉴别 别的基原理 鉴别依据 别过 用户注册 密码 用月安全 用户策路 通道 文件和设备 进程 电子通讯 ●基于输入的防盗用检测程序示例
用户 • 鉴别 – 鉴别的基本原理 – 鉴别依据 – 鉴别过程 – 用户注册 – 密码 • 用户安全 – 用户策略 – 通道 – 文件和设备 – 进程 – 电子通讯 • 基于输入的防盗用检测程序示例
鉴别是将一个身份绑定到一个主体上 为了防止非法用户使用系统及合法用户对 系统资源的非法使用,需要对计算机系统 实体进行访问控制
鉴别 • 鉴别是将一个身份绑定到一个主体上 • 为了防止非法用户使用系统及合法用户对 系统资源的非法使用,需要对计算机系统 实体进行访问控制
答别的原理 鉴别是把身份绑定到主体上 客观实体必须提供信息给系统,来证实这 实体 实体知道哪些(如密码和秘密信息) 实体有哪些(如证章或卡片) 实体是什么(如指纹或者视网膜的特征); 实体在哪里(如在一个特殊的终端前)
鉴别的基本原理 • 鉴别是把身份绑定到主体上 • 客观实体必须提供信息给系统,来证实这 个实体 – 实体知道哪些(如密码和秘密信息); – 实体有哪些(如证章或卡片); – 实体是什么(如指纹或者视网膜的特征); – 实体在哪里(如在一个特殊的终端前)
答别的原理 鉴别系统( authentication system 息( authentication information)的集合A是一个特定信息的集合, 特定信息来证明他们的身份。 补运算数(%N,的集合C是一个信息集合,系统 ( complemental 储和使用这些 mentation functions)的集合F,从鉴别信息里生 鉴别函数( authentication function)的集合L用来验证身份 送择函数( selection functions)的集合5使得实体可以创建或者更改鉴别 和补充 举例:用户鉴别自己依靠输入密码,系统把这个密码和联机存储的明 码文本相比较。这里,A是个组成可接受密码的 4,F eq;这里l是个身份函数,当参数是相同的时候,eq为 true,否则为fase
鉴别的基本原理 • 鉴别系统(authentication system) – 鉴别信息(authentication information)的集合A是一个特定信息的集合, 实体用这些特定信息来证明他们的身份。 – 补充信息(complementary information)的集合C是一个信息集合,系统 存储和使用这些信息,使得鉴别信息有效。 – 互补运算函数(complementation functions)的集合F,从鉴别信息里生 成补充信息。 – 鉴别函数(authentication function)的集合L用来验证身份。 – 选择函数(selection functions)的集合S使得实体可以创建或者更改鉴别 和补充信息。 • 举例:用户鉴别自己依靠输入密码,系统把这个密码和联机存储的明 码文本相比较。这里,A是个组成可接受密码的字符串集合,C=A,F ={I},L={eq},这里I是个身份函数,当参数是相同的时候,eq为 true,否则为false
别依据 鉴别依据主要有:用户已知的事、用户拥 有的耐用物品、用户特征等: 用户已知的事:口令,ID 用户拥有的耐用物品,需要外设。为了防破译 与仿制,采用编码技术:钥匙、证章、磁卡 用户特征主要有生理特征、举止特征
鉴别依据 • 鉴别依据主要有:用户已知的事、用户拥 有的耐用物品、用户特征等: – 用户已知的事:口令,ID – 用户拥有的耐用物品,需要外设。为了防破译 与仿制,采用编码技术:钥匙、证章、磁卡。 – 用户特征主要有生理特征、举止特征
鉴别过程主要分为单向鉴别、双向鉴别、第三方鉴别与公 单向鉴别是用户要求应用服务器服务,用户需要被服务器 鉴别,其过程: 服务器接收到用户ID与PW( password) 确认是合法用户发出的。 双向鉴别在单向鉴别过程后增加两个过程 服务器身份被用户认证 确认服务器口令由合法服务器发出。 第三方鉴别是第三方存储所有口令,用户与服务器都向第 方发出ID与PW ●公钥鉴别是利用公钥加密体系用密码进行鉴别
鉴别过程 • 鉴别过程主要分为单向鉴别、双向鉴别、第三方鉴别与公 钥鉴别。 • 单向鉴别是用户要求应用服务器服务,用户需要被服务器 鉴别,其过程: – 服务器接收到用户ID与PW(password); – 确认是合法用户发出的。 • 双向鉴别在单向鉴别过程后增加两个过程 – 服务器身份被用户认证; – 确认服务器口令由合法服务器发出。 • 第三方鉴别是第三方存储所有口令,用户与服务器都向第 三方发出ID与PW • 公钥鉴别是利用公钥加密体系用密码进行鉴别
m 用户注册实际上是一个计算机对用户的鉴 别过程 )一次注册机制是用户一次鉴别,不必再次 输入帐户密码即可使用 注册过程可以使用本地工作站注册,也可 以使用本地工作站与第三方的安全注册 另外还可以使用使用一次性口令的安全注 册
用户注册 • 用户注册实际上是一个计算机对用户的鉴 别过程 • 一次注册机制是用户一次鉴别,不必再次 输入帐户密码即可使用 • 注册过程可以使用本地工作站注册,也可 以使用本地工作站与第三方的安全注册。 另外还可以使用使用一次性口令的安全注 册
密码(awod是与实体相关的信息,用来 证实实体的身份 密码又称口令 举例:UNIX密码机制
密码 • 密码(password)是与实体相关的信息,用来 证实实体的身份 • 密码又称口令 • 举例:UNIX密码机制
攻击密码系统: 攻击密码系统最简单的方法就是猜密码。(字 典攻击) )反击密码猜测: 密码猜测需要,要么是取余运算函数和补充信 息,要么是访问鉴别功能。在这两种方法里 防守方的目标是将猜中密码的时间最大化
密码 • 攻击密码系统: – 攻击密码系统最简单的方法就是猜密码。(字 典攻击) • 反击密码猜测: – 密码猜测需要,要么是取余运算函数和补充信 息,要么是访问鉴别功能。在这两种方法里, 防守方的目标是将猜中密码的时间最大化