目前信息系统所使用的主要用户认证机制，身份识别标识不包括（55)。

免费智能真题库 > 历年试卷 > 软件评测师 > 2010年下半年软件评测师上午试卷综合知识

第55题

知识点：用户认证机制认证认证机制用户认证

关键词：信息系统用户认证机制章/节：测试技术的分类

A. 指纹

B. 智能卡

C. 数字证书

D. 身份证号码

相关试题：测试与评估内容

更多>

第43题 2010年下半年

58%

网络杀毒软件厂商已经开始使用数据库技术和LDAP技术进行策略日志存储和用户管理，这里LDAP指的是（43）。

第67题 2015年下半年

25%

对于其于用户口令的用户认证机制来说，（67）不属于增强系统安全性应使用的防范措施。

第64题 2009年上半年

39%

能够主动采集信息，分析网络攻击行为和误操作的实时保护策略是指（64）。


知识点讲解
· 用户认证机制 · 认证 · 认证机制 · 用户认证

用户认证机制

用户认证就是指软件系统用户在使用软件或系统时，必须提供用户身份证明，然后软件系统根据用户数据库的资料，开放特定的权限给登录用户。

最普通的用户认证就是口令，口令具有共享秘密的属性。例如，要使服务器操作系统识别要登录系统的用户，最简单的口令认证是用户将他的用户名和口令传输给服务器。服务器就将该用户名和口令与数据库里的用户名和口令进行比较，如果相符，就通过了认证，可以访问系统资源。

目前主要的用户认证机制有如下几种。

. 数字证书。这是一种检验用户身份的电子文件，提供较强的访问控制，并具有较高的安全性和可靠性。这种证书可以授权购买。

. 智能卡。这种解决办法可以持续较长的时间，并且更加灵活，存储信息更多，并具有可供选择的管理方式。

. 双重认证。系统不是采用一种认证方式，而是采用两种或多种认证方式，这些认证方式包括令牌、智能卡和仿生装置，如视网膜或指纹扫描器等，例如同时使用ATM卡和PIN卡进行双重认证。

. 安全电子交易（SET）协议。它是电子商务中安全电子交易的一个国际标准。其主要目的是解决信用卡电子付款的安全保障性问题：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息。保证支付信息的完整性，保证传输数据完整地被接收，在中途不被篡改。认证商家和客户，验证公共网络上进行交易活动的商家、持卡人及交易活动的合法性。广泛的互操作性，保证采用的通信协议、信息格式和标准具有公共适应性。从而可在公共互联网络上集成不同厂商的产品。

用户认证机制是保证数据安全的基础，因此有必要对用户认证机制进行全面的测试，评价认证机制的合理性。

认证

认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份，防止假冒，可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改，通常使用报文摘要的方法。

基于共享密钥的认证

如果通信双方有一个共享的密钥，则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心（Key Distribution Center，KDC），如下图所示，其中的A和B分别代表发送者和接收者，K_A、K_B分别表示A、B与KDC之间的共享密钥。

基于共享密钥的认证协议

认证过程如下：A向KDC发出消息{A，K_A（B，K_S）}，说明自己要与B通信，并指定了与B会话的密钥K_S。注意，这个消息中的一部分（B，K_S）是用K_A加密的，所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{K_B（A，K_S）}发给B。B用K_B解密后就得到了A和K_S，然后就可以与A用K_S会话了。

然而，主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主，B代表银行。第三者C为A工作，通过银行转账取得报酬。如果C为A工作了一次，得到了一次报酬，并偷听和复制了A和B之间就转账问题交换的报文，那么贪婪的C就可以按照原来的次序向银行重发报文2，冒充A与B之间的会话，以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥K_S，只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。

基于公钥的认证

这种认证协议如下图所示。A向B发出E_B（A，R_A），该报文用B的公钥加密。B返回E_A（R_A，R_B，K_S），用A的公钥加密。这两个报文中分别有A和B指定的随机数R_A和R_B，因此能排除重放的可能性。通信双方都用对方的公钥加密，用各自的私钥解密，所以应答比较简单。其中的K_S是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。

基于公钥的认证协议

认证机制

为防止网络设备滥用，网络设备对用户身份进行认证。用户需要提供正确口令才能使用网络设备资源。目前，市场上的网络设备提供Console口令、AUX口令、VTY口令、user口令、privilege-level口令等多种形式的口令认证。以路由器为例，Console口令的使用过程如下：

网络设备对于Console、AUX和VTY口令的口令认证配置文件如下：

为了便于网络安全管理，交换机、路由器等网络设备支持TACACS+（Terminal Access Controller Access Control System）认证、RADIUS（Remote Authentication Dial In User Service）认证。TACACS+认证的过程如下图所示。

TACACS+认证示意图

假定服务器的密钥是MyTACACSkey，配置网络设备使用TACACS+服务器的步骤如下：

（1）使用aaa new-model命令启用AAA；

（2）使用tacacs-server host命令指定网络设备能用的TACACS+服务器；

（3）使用tacacs-server key命令告知网络设备TACACS+服务器的密钥；

（4）定义默认的AAA认证方法，并将本地认证作为备份；

（5）配置使用AAA认证方法。

现以路由器通过AUX、VTY使用TACACS+进行认证为例，其中，TACACS+服务器的IP地址为X.Y.Z.10，服务器的密钥是MyTACACSkey。其配置过程如下所示：

TACACS+要求用户提供用户名和口令进行认证，认证通过后再进行授权操作和审计。相比于TACACS+，RADIUS的认证过程简单，如下图所示。

RADIUS认证示意图

配置网络设备使用RADIUS认证的步骤如下：

（1）使用aaa new-model命令启用AAA；

（2）使用radius-server host命令指定网络设备能用的RADIUS服务器；

（3）使用radius-server key命令告知网络设备RADIUS服务器的密钥；

（4）定义默认的AAA认证方法，并将本地认证作为备份；

（5）配置使用AAA认证方法。

现以路由器通过VTY使用RADIUS进行认证为例，其中，RADIUS服务器的IP地址为X.Y.Z.5，服务器的密钥是MyRADIUSkey，其配置过程如下所示：

用户认证

用户的身份认证是用户使用DBMS系统的第一个环节，用户的身份鉴别是DBMS识别什么用户能做什么事情的依据。

（1）口令认证。口令（password，密码）是一种身份认证的基本形式，用户在建立与DBMS的访问连接前必须提供正确的用户账号（userid）和口令，DBMS与自身保存的用户列表中的用户标识和口令比较，如果匹配则认证成功，允许用户使用数据库系统；如果不匹配则返回拒绝信息。这种认证判断过程往往是数据库登录的第一步，用户账户（account）的账号和口令是口令认证方式中的核心，用户信息可以保存在数据库内、操作系统内或者集中的目录服务器（Directory Server）用户身份证书库内。

（2）强身份认证。在网络环境下，客户端到DBMS服务器可能经过多个环节，在身份认证期间，用户的信息和口令可能会经过很多不安全的节点（如路由器和服务器），而被信息的窃听者窃取。强身份认证过程使认证可以结合信息安全领域一些更深入的技术保障措施，来强化用户身份的鉴别，例如，与用户证书、智能卡、用户指纹识别等多种身份识别技术相结合。

题号导航 2010年下半年软件评测师上午试卷综合知识

本试卷我的完整做题情况



	第55题在手机中做本题