第4章-物聯(lián)網(wǎng)接入安全第3次課

第一種：基于信息秘密的身份認證根據(jù)你所知道的信息來證明你的身份(whatyouknow，你知道什么)；具體來講，身份認證（IdentityAuthentication）就是通過對身份標識的鑒別服務(wù)來確認其身份及其合法性。在真實世界，對用戶的身份認證基本方法可以分為這三種：靜態(tài)密碼口令第二種：基于信任物體的身份認證根據(jù)你所擁有的東西來證明你的身份(whatyouhave，你有什么)；智能卡、密鑰盤第三種：基于生物特征的身份認證直接根據(jù)獨一無二的身體特征來證明你的身份(whoyouare，你是誰)，比如指紋、面貌等。指紋、聲音簽名在網(wǎng)絡(luò)世界中手段與真實世界中一致，為了達到更高的身份認證安全性，某些場景會將上面3種挑選2中混合使用，即所謂的雙因素認證。4.3、基于信任的身份認證在物聯(lián)網(wǎng)系統(tǒng)中，信任是實施身份認證的關(guān)鍵。當一個物聯(lián)網(wǎng)實體信任另一個實體時，可以通過身份認證許可雙方進行交互通信并傳輸數(shù)據(jù)。

通常身份認證是一種通信雙方可靠地驗證對方身份的技術(shù)。

身份認證用戶向系統(tǒng)出示自己的身份證明系統(tǒng)核查用戶的身份證明實施身份認證的關(guān)鍵是（）信任安全AB提交單選題10分一、身份認證概述身份認證：用于鑒別用戶身份信息認證：用于保證通信雙方信息的完整性和不可否認性。身份認證-----是驗證主體的真實身份與其所聲稱的身份是否一致的過程（鑒別）。身份----是特定用戶或物體的唯一實體信息，這種實體信息也是一種重要的計算機運行模式。1、身份認證的概念2、認證的分類是對于被認證方的一些信息，除被認證方外，任何第三方不能偽造這些信息。如果被認證方能夠使認證方相信他確實擁有那些秘密，則他的身份就得到了認證。3、身份認證的本質(zhì)4、身份認證的重要性物聯(lián)網(wǎng)實體在進行交互通信和傳輸之前，必須首先向身份認證系統(tǒng)表明自己的身份。身份認證技術(shù)在信息安全中具有極其重要的地位，身份認證是信息系統(tǒng)的第一道安全防線身份認證是物聯(lián)網(wǎng)系統(tǒng)中最基本的安全服務(wù)，其他安全服務(wù)都要依賴于它。一旦身份認證系統(tǒng)被攻破，那么系統(tǒng)的所有安全措施將形同虛設(shè)。攻擊者攻擊的目標往往就是身份認證系統(tǒng)。信息系統(tǒng)的第一道安全防線是（）身份認證信任黑客ABC提交單選題10分由于物聯(lián)網(wǎng)連接的開放性和復(fù)雜性，物聯(lián)網(wǎng)環(huán)境下的身份認證更為復(fù)雜。

事實上，每一個身份認證系統(tǒng)都有自己的應(yīng)用范圍，在不同的應(yīng)用范圍中，安全風(fēng)險情況可能完全不同。

針對具體環(huán)境，可采用具有不同特征的認證協(xié)議，從而以較小的代價將某一方面安全風(fēng)險降低到可接受的范圍。例如：簡單方便型：用戶名和密碼認證。隨著系統(tǒng)對安全性要求的提高，目前出現(xiàn)了移動口令認證、指紋認證以及手勢認證等多種認證方式。5、應(yīng)對思想從實用性來講，建立統(tǒng)一身份認證系統(tǒng)具有一定的實際意義。一方面，它是客戶端訪問身份信息的決策控制參數(shù)，在系統(tǒng)內(nèi)部把計算機和用戶關(guān)聯(lián)起來，并進行身份驗證。每一個系統(tǒng)都擁有不同的結(jié)構(gòu)框架，但在訪問信息和資源配置方面都是以統(tǒng)一身份認證作為基礎(chǔ)的。另一方面，系統(tǒng)審計日志會記錄有關(guān)安全風(fēng)險信息，同時保存用戶身份信息，訪問操作者必須提交正確的身份驗證信息。身份認證方式可以分為署名認證和非署名認證方式兩種。署名認證指的是在雙方進行通信之前需要先進行實體信息的交互，網(wǎng)銀中使用的數(shù)字證書以及常用的密碼口令等認證方式均屬于署名認證方式。

非署名認證主要應(yīng)用在安全的局域網(wǎng)中。該認證模式在雙方數(shù)據(jù)交互之前不會進行信息比對，在進行數(shù)據(jù)交互的過程中會動態(tài)地生成私鑰對終端信息進行控制管理。

身份認證方式可以分為兩種分別是（）署名認證非署名認證方式AB提交多選題10分在物聯(lián)網(wǎng)系統(tǒng)中，最常見且簡單的訪問控制方法是通過驗證靜態(tài)口令是否匹配來確認用戶的真實性。但是，大部分計算機系統(tǒng)在使用普通的靜態(tài)口令系統(tǒng)進行身份認證時，用戶會長時間多次利用同一口令進行登錄，這種方式會帶來許多安全隱患。二、身份認證攻擊合法用戶無法登錄詐騙親友財產(chǎn)損失......口令泄露的危害1、中間人攻擊中間人攻擊是指非法用戶截獲信息并對信息進行替換或修改后再傳送給接收者，或者非法用戶冒充合法用戶發(fā)送信息，其目的在于盜取系統(tǒng)的有用信息或阻止系統(tǒng)資源的合法管理和使用。2、重放攻擊網(wǎng)絡(luò)認證還需防止認證信息在網(wǎng)絡(luò)傳輸過程中被第三方獲取，然后再傳送給接收者，這就是“重放”攻擊。重放攻擊的主要目的是實現(xiàn)身份偽造，或者破壞合法身份認證的正確性。服務(wù)器口令表%$!*!王五······*^%#李四#$*0^張三······口令散列值用戶張三#$*0^合法用戶攻擊者張三#$*0^張三#$*0^重放服務(wù)器口令表%$!*!王五······*^%#李四#$*0^張三······口令散列值用戶張三#$*0^合法用戶攻擊者張三#$*0^重放3、密碼分析攻擊攻擊者可通過密碼分析，破譯用戶口令/身份信息或猜測下一次登錄的用戶身份認證信息，這就是密碼分析攻擊。系統(tǒng)實現(xiàn)上的簡化為密碼分析提供了條件，系統(tǒng)設(shè)計原理上的缺陷則為密碼分析創(chuàng)造了條件。4、口令猜測攻擊偵聽者在知道了認證算法后，就可以對用戶的口令進行猜測，即使用計算機猜測口令，利用得到的報文進行驗證。這種攻擊方法直接有效，特別是當用戶的口令有缺陷時更容易得手，比如口令短、使用名字作為口令字、使用一個字(word)作為口令(可以使用字典攻擊)等。非法用戶獲得合法用戶身份的口令后就可以訪問其并未獲得授權(quán)的系統(tǒng)資源。5、認證服務(wù)器攻擊認證服務(wù)器是身份認證系統(tǒng)安全的關(guān)鍵所在。認證服務(wù)器中存放了大量認證信息和配置數(shù)據(jù)，如果攻破了身份認證服務(wù)器，后果將是災(zāi)難性的。目的是實現(xiàn)身份偽造的攻擊方式是（）中間人分析重放攻擊密碼分析攻擊認證服務(wù)器攻擊ABCD提交單選題10分破譯后果最嚴重的的攻擊方式是（）中間人分析重放攻擊密碼分析攻擊認證服務(wù)器攻擊ABCD提交單選題10分三、身份認證的功能要求1、可信性確保信息的來源是可信的，即信息接收者能夠確認獲得的信息是可靠、安全的，而不是冒充者所發(fā)出的。2、完整性要求在傳輸過程中保證信息的完整性，即信息接收者能夠確認獲得的信息在傳輸過程中沒有被修改、延遲和替換。3、不可抵賴性要求信息的發(fā)送方不能否認他所發(fā)出的信息，同樣，信息的接收方不能否認已收到信息;網(wǎng)絡(luò)中通常采用基于數(shù)字簽名和公開加密技術(shù)的不可否認機制確保不可抵賴性。4、訪問控制確保非法用戶不能訪問系統(tǒng)資源，合法用戶只能訪問控制表確定的資源，根據(jù)訪問控制級別訪問系統(tǒng)授權(quán)的資源。(1)抵抗重放攻擊重放攻擊是一種常見的攻擊方式，不能抗重放攻擊，系統(tǒng)則基本無法投入實際應(yīng)用。防止重放攻擊主要是保證認證信息的可信性，基本方法包括:為認證消息增加一個時間戳、為認證消息增加實時信息、動態(tài)實施認證消息等。在復(fù)雜的開放網(wǎng)絡(luò)環(huán)境下，要設(shè)計和實現(xiàn)一個網(wǎng)絡(luò)身份認證系統(tǒng)，至少應(yīng)該達到以下幾個方面的功能要求：

(2)抵抗密碼分析攻擊身份認證系統(tǒng)的認證過程應(yīng)具有密碼安全性，這種安全性可通過對稱密碼或非對稱密碼體制的保護或者通過哈希函數(shù)的單向性來實現(xiàn)。(3)雙向身份認證功能如果在設(shè)計身份認證系統(tǒng)時只實現(xiàn)服務(wù)器對客戶端的身份認證，顯然是不完善的，特別是當客戶端上傳敏感信息的時候，因此也應(yīng)該實現(xiàn)客戶端對服務(wù)器的身份認證功能。(4)多因子身份認證為了提高身份認證服務(wù)的安全強度，身份認證機制最好不要只依賴某一項秘密或者持有物，否則，持有物一旦丟失，身份冒充將成為可能。(5)良好的認證同步機制如果身份認證信息是動態(tài)推進的，則存在認證的同步問題。有許多因素會導(dǎo)致認證的不同步，包括確認消息的丟失、重復(fù)收到某個認證消息以及中間人攻擊等。身份認證系統(tǒng)應(yīng)該具有良好的同步機制，并且能保證在認證不同步的情況下自動恢復(fù)認證同步。(6)保護身份認證者的身份信息在身份認證過程中，保護身份信息具有十分重要的意義。身份信息保護分為幾個層次:身份信息在認證過程中不會泄露給第三方，這可以通過加密傳輸來實現(xiàn);連身份認證服務(wù)器也無法知道認證者的身份，這可以通過匿名服務(wù)來實現(xiàn)。(7)提高身份認證協(xié)議的效率一個安全的認證協(xié)議應(yīng)減少認證通信的次數(shù)并保證可靠性，降低被攻擊的可能性，這是身份認證系統(tǒng)設(shè)計追求的目標。(8)減少認證服務(wù)器的敏感信息一個良好的身份認證系統(tǒng)應(yīng)該在服務(wù)器上存放盡可能少的和認證相關(guān)的敏感信息，這樣服務(wù)器即使被攻破，也可以將損失減到最小。身份認證的功能要求有（）可信性完整性不可抵賴性訪問控制ABCD提交多選題10分四、身份認證的主要方式隨著物聯(lián)網(wǎng)的不斷發(fā)展，越來越多的人開始嘗試基于物聯(lián)網(wǎng)進行在線交易，如使用公交卡、微信、支付寶、ApplePay等進行在線支付。這些支付方式的核心是RFID和二維碼。然而，病毒、黑客、網(wǎng)絡(luò)釣魚以及網(wǎng)頁仿冒、詐騙等惡意威脅給在線交易的安全性帶來了極大挑戰(zhàn)。各種各樣的網(wǎng)絡(luò)犯罪和層出不窮的攻擊方法引發(fā)了人們對網(wǎng)絡(luò)身份認證的信任危機。在物聯(lián)網(wǎng)系統(tǒng)中，如何證明“我是誰”以及如何防止身份冒用等問題成為人們關(guān)注的焦點。下面對幾種常用的身份認證方法進行介紹：1.RFID智能卡認證RFID智能卡是一種內(nèi)置集成電路的芯片，芯片中存儲了與用戶身份相關(guān)的數(shù)據(jù)。RFID智能卡由專門的廠商制造，不可復(fù)制。讀寫都需要專用的設(shè)備以防假冒，但是由于每次讀取的數(shù)據(jù)是靜態(tài)的，容易遭攔截或監(jiān)聽。2.用戶名/密碼認證用戶名/密碼是最簡單也是最常用的身份認證方法，是基于“whatyouknow”的驗證手段。每個用戶的密碼是由用戶自己設(shè)定的，只有用戶自己知道。只要能夠輸入正確的密碼，計算機就認為操作者是合法用戶。缺點：密碼簡單容易泄露或破譯，極不安全的身份認證。3.動態(tài)密碼認證動態(tài)密碼(也稱動態(tài)口令)是利用專門的算法產(chǎn)生的隨機數(shù)字組合，主要產(chǎn)生形式手機短信、硬件令牌、手機令牌等，通過電腦、手機、IPAD等可以順暢使用動態(tài)密碼。優(yōu)點：一次一密有效保證了用戶的身份安全。采用動態(tài)密碼，無須定期修改密碼，安全省心，是企事業(yè)單位內(nèi)部廣泛應(yīng)用的一項技術(shù)。缺點：密碼是長串無規(guī)律字符，使用起來麻煩。

4.USBKey認證基于USBKey的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合且一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證?；赨SBKey身份認證系統(tǒng)主要有兩種應(yīng)用模式:一是基于質(zhì)詢/響應(yīng)的認證模式;二是基于PKI體系的認證模式。5.生物識別專統(tǒng)的身份識別依據(jù)主要有簽名、印章、密碼、證件等，這些身份識別方法已經(jīng)廣乏應(yīng)用于現(xiàn)實生活中，并成為公認的、具有一定法律效力的身份識別證據(jù)。缺點：識別方法具有嚴重的弊端:非常容易被偽造或盜取，這影響了人們的信息安全和切身利益?，F(xiàn)代的生物識別主要是利用人類特有的個體特征(包括生理特征和行為特征)來驗證個體身份的科學(xué)。生物特征：指紋、人臉、掌紋、虹膜、DNA（為主）行為特征：聲音和步態(tài)（易被模仿）這兩種特征都能穩(wěn)定地表征一個人的特點，但是行為特征容易被模仿，很多人的聲音和步態(tài)都能被其他人模仿，使得僅利用行為特征識別身份的可靠性大大降低。通常把行為特征作為輔助特征與生物特征相結(jié)合來進行身份識別，以提高識別的準確度。利用生物特征進行身份識別時虹膜和DNA識別的性能最穩(wěn)定，而且不易被偽造，但是提取特征的過程最不容易讓人接受;指紋識別的性能比較穩(wěn)定，目前市場占有率最高，但是指紋特征容易被偽造;掌紋識別與指紋識別的情況類似;人臉識別的性能相對較低，但其自然的特點符合人類固有的習(xí)慣，最易被接受，具有廣泛的發(fā)展空間。與傳統(tǒng)身份認證技術(shù)相比，生物識別技術(shù)具有以下特點:

隨身性。生物特征是人體固有的特征，與人體唯一綁定，具有隨身性。。安全性。人體特征本身就是個人身份的最好證明，能滿足更高的安全需求。唯一性。每個人擁有的生物特征各不相同。穩(wěn)定性。生物特征(如指紋、虹膜等人體特征)不會隨時間等條件的變化而變化。廣泛性。每個人都具有生物特征。方便性。生物識別技術(shù)不需記憶密碼或攜帶、使用特殊的工具(如鑰匙)，不會遺失?？刹杉?。生物特征易于測量。可接受性。使用者對所選擇的個人生物特征及其應(yīng)用愿意接受。6.步態(tài)識別步態(tài)識別作為一種新興的行為特征識別技術(shù)，旨在根據(jù)人們走路的姿勢進行身份識別。步態(tài)特征是在遠距離情況下唯一可提取的生物特征，早期的醫(yī)學(xué)研究已證明步態(tài)具有唯一性，因此可以通過對步態(tài)的分析來識別人的身份。步態(tài)識別有其獨特的特點。（1）采集方便。傳統(tǒng)的生物特征識別對所捕捉的圖像質(zhì)量要求較高，而步態(tài)特征受視頻質(zhì)量的影響較小，即使在低分辨率或圖像模糊的情況下也可獲取。（2）遠距離性。傳統(tǒng)的指紋識別和人臉識別只能在接觸或近距離情況下才能感知而步態(tài)特征可以在遠距離情況下進行感知，對用戶配合度要求較低，甚至不需要用戶進行專門配合，可應(yīng)用在非受控環(huán)境中進行身份識別。（3）冒犯性。其他類型的生物特征需要在用戶的配合(如接觸指紋儀、注視虹膜捕捉器等)下進行采集，交互性很強，而步態(tài)特征能夠在用戶并不知情的條件下獲?。?）難于隱藏和偽裝。指紋、虹膜屬于哪類識別技術(shù)（）RFID智能卡識別生物識別動態(tài)密碼識別以上都不是ABCD提交單選題10分動態(tài)密碼認證的優(yōu)點是（）最簡單一次一密安全有效安全性最穩(wěn)定ABC提交單選題10分用戶名輸入用戶名/口令登錄口令對于管理員每個應(yīng)用都對應(yīng)一套用戶管理，針對一個用戶，無論增/刪/改，都需要多次操作每個應(yīng)用都有不同的權(quán)限管理，復(fù)雜的操作帶來安全隱患對于應(yīng)用系統(tǒng)各應(yīng)用信息資源不共享，形成信息孤島應(yīng)用系統(tǒng)對認證、訪問控制的安全措施不完善，滿足不了安全需求，影響整個安全保障體系的建設(shè)管理員工作人員應(yīng)用1應(yīng)用2應(yīng)用3對