09 第三章 任务1 重识身份认证（2学时）

重识身份认证厚德强能、求实创新第三章任务1身份认证基本原理1身份认证类别2身份认证方法3厚德强能、求实创新你知道的身份认证方式有哪些？厚德强能、求实创新同学们通过课本知识和网络阐述：身份认证的基本原理身份认证的类型（特别强调：举例）身份认证的方法（特别强调：举例）请制作PPT进行讲解分享。反转课堂厚德强能、求实创新身份认证基本原理11身份认证基本原理身份认证是一个实体向另外一个实体证明其所声称的身份的过程。身份认证的概念身份认证是信息系统安全保护中的第一道关卡，信息系统中的很多安全防护技术和措施（如：访问控制、安全审计等）都要依赖于身份认证系统提供的“信息”——用户的身份。厚德强能、求实创新身份认证系统由验证对象、认证协议、鉴别实体构成。验证对象（声称者）是需要鉴别的实体；认证协议是验证对象和鉴别实体之间进行认证信息交换所遵从的规则；鉴别实体（验证者）根据验证对象所提供的认证依据，给出身份的真实性或属性判断。1身份认证基本原理厚德强能、求实创新1身份认证基本原理身份认证一般由标识（Identification）和鉴别（Authentication）两部分组成。（1）标识。标识是用来代表实体对象（如人员、设备、数据、服务、应用）的身份标志，确保实体的唯一性和可辨识性，同时与实体存在强关联。标识一般用名称和标识符（ID）来表示，通过唯一标识符，可以代表实体。例如，网络管理人员常用IP地址、网卡地址作为计算机设备的标识，操作系统以符号串作为用户的标识，如root、guest等。（2）鉴别。鉴别是对实体所声称的属性进行识别验证的过程。鉴别的依据主要有所知道的秘密信息（如口令、验证码、电子签名、数字证书等）、所拥有的实物凭证（如令牌、能卡、U盾等）、所具有的个体特征（如指纹、声音、虹膜、人脸等生物特征）和所表现的行为特征（如鼠标使用习惯、键盘敲键力度、所在地理位置等）。厚德强能、求实创新2身份类别（1）根据验证对象提供的鉴别依据类型数量单因素认证（SFA，Single-FactorAuthentication）双因素认证（2FA，Two-FactorAuthentication，）多因素认证（MFA，Multi-FactorAuthentication，）（2）根据鉴别依据所利用的时间长度一次性口令（OTP，OneTimePassword）持续认证（Continuousauthentication）（3）按照认证过程中鉴别双方参与角色及所依赖的外部条件单向认证双向认证第三方认证厚德强能、求实创新2身份类别单向认证双向认证第三方认证厚德强能、求实创新3身份认证方法要实现口令认证的安全，认证系统应至少满足以下条件：①

口令信息要安全加密存储。②

口令信息要安全传输。③

口令认证协议要抵抗攻击，符合安全协议设计要求。④

口令选择要避免弱口令，即口令设置要符合口令安全组成规则，同时对生成的口令进行安全强度评测，确保用户选择安全强度较高的口令。（1）口令认证厚德强能、求实创新3身份认证方法（2）智能卡认证厚德强能、求实创新（3）基于生物特征认证3身份认证方法生物特征是指个体的生理特征或行为特征。（1）唯一性：每个人的生物特征都是独一无二的，难以复制。（2）便捷性：用户无需记住复杂的密码或携带实体凭证，避免了口令信息容易遗忘、泄露，智能卡可能丢失或被伪造的不足。（3）高安全性：生物特征认证技术在高安全需求的场景中（如金融、政府机构等）具有显著优势，能够有效防止身份冒充和欺诈行为。（1）数据泄露风险：生物特征数据一旦被泄露，用户无法像更改密码那样轻易地更改生物特征，因此数据泄露的风险较大。（2）技术复杂性：生物特征认证技术涉及复杂的图像处理和特征提取算法，对硬件和软件的要求较高。（3）用户接受度：部分用户可能对生物特征数据的采集和存储存在隐私担忧，影响其接受度。优点缺点用来进行身份认证的生物特征信息包括：指纹、人脸、虹膜等。厚德强能、求实创新（4）基于人机识别认证3身份认证方法基于人机识别认证利用计算机求解问题的困难性来区分计算机和人的操作，防止计算机程序进行恶意操作，如恶意注册、暴力猜解口令等。这种技术通常称为CAPTCHA（CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart）技术，主要包括文本CAPTCHA、图像CAPTCHA、语音CAPTCHA（1）防止自动化攻击：有效防止自动化程序进行恶意注册、暴力猜解口令等攻击。（2）用户体验：对于大多数用户来说，CAPTCHA挑战相对简单，不会显著增加操作复杂性。（3）多模态支持：提供多种类型的CAPTCHA，增加了系统的灵活性和可访问性。（1）用户友好性不足：CAPTCHA可能对视力、听力等不佳的用户不友好。（2）面临破解风险：随着图像和语音识别技术的发展，简单的CAPTCHA可能被自动化程序破解。（3）用户体验影响：在高流量的网站或应用中，频繁或复杂的使用CAPTCHA可能会降低用户的满意度。优点缺点厚德强能、求实创新（5）S/KEY认证3身份认证方法S/KEY认证是一种基于一次性口令（OneTimePassword,OTP）的身份认证系统，旨在解决传统静态口令容易泄露等安全问题。S/KEY认证通过在每次登录时使用不同的口令，提高了系统的安全性。厚德强能、求实创新（1）实现简单：S/KEY认证系统实现简单，成本不高，用户使用方便。（2）防止重放攻击：由于每次使用的口令不同，即使攻击者截获了一次性口令，也无法通过重放攻击获取访问权限。（1）口令序列有限：用户登录一定次数后，必须重新初始化口令序列。（2）依赖Hash算法：S/KEY认证依赖Hash算法的不可逆性。如果Hash算法的可逆性计算研究有新进展，系统将被迫重新选用其他更安全的算法。（3）无法防范假冒服务器：由于服务器发出的挑战信息及客户端计算的OTP均以明文传输，攻击者可利用中间人攻击来获取一系列口令冒充合法用户。优点缺点（5）S/KEY认证3身份认证方法厚德强能、求实创新（6）Kerberos认证3身份认证方法Kerberos认证建立在客户端（Client）和应用