免费智能真题库 > 历年试卷 > 信息系统管理工程师 > 2012年上半年 信息系统管理工程师 上午试卷 综合知识
  第46题      
  知识点:   用户管理的方法   认证   身份认证
  关键词:   身份认证   网络系统   网络        章/节:   系统运行管理知识       

 
现在计算机及网络系统中常用的身份认证方式主要有以下四种,其中(46)是一种让用户密码按照时间或使用次数不断变化,每个密码只能使用一次的技术。
 
 
  A.  1C卡认证
 
  B.  动态密码
 
  C.  USB Key认证
 
  D.  用户名/密码方式
 
 
 

 
  第51题    2013年上半年  
   49%
用户安全管理审计的主要功能有用户安全审计数据的收集、保护以及分析,其中(51)包括检查、异常探测、违规分析以及入侵分析。
  第18题    2013年上半年  
   35%
若信息系统的使用人员分为录入人员、处理人员和查询人员3类,则用户权限管理的策略适合采用(18)。
  第44题    2011年上半年  
   29%
用户安全审计与报告的数据分析包括检查、异常探测、违规分析与(44)。
   知识点讲解    
   · 用户管理的方法    · 认证    · 身份认证
 
       用户管理的方法
        现在计算机及网络系统中常用的身份认证方式主要有以下几种。
               用户名/密码方式
               用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上并放在一个自认为安全的地方,这样很容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。
               IC卡认证
               IC卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,IC卡由专门的厂商通过专门的设备生产,是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“what you have”的手段,通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
               动态密码
               动态密码技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
               动态密码技术采用一次一密的方法,有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码,一旦输错就要重新操作,使用起来非常不方便。
               USB Key认证
               基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现了对用户身份的认证。
 
       认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议
 
       身份认证
        身份认证的主要目标是检验身份,即确定合法用户的身份和权限,识别假冒他人身份的用户。认证系统可以与授权系统配合使用,在用户的身份通过认证后,根据其具有的授权来限制、其操作行为。常见的系统身份认证方式主要有入网访问控制和权限控制。
               入网访问控制
               入网访问控制为网络访问提供了第一层访问控制,限制未经授权的用户访问部分或整个信息系统。用户要访问信息系统,首先要获得授权,然后接受认证。对信息系统进行访问包含三个步骤:第一步,能够使用终端;第二步,进入系统;第三步,访问系统中的具体命令、交易、权限、程序和数据。目前,从市场上可以买到针对计算机、局域网、移动设备和拨号通信网的访问控制软件。访问控制规程要求为每个有效用户分配一个唯一的用户身份标识(UID),使用这个UID对要求访问信息系统用户的真实身份进行验证。可以使用数字证书、智能卡、硬件令牌、手机令牌、签名、语音、指纹及虹膜扫描等生物特征鉴别。
               其中,数字证书就是互联网通信中标志通信各方身份信息的一系列数据,提供了一种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个权威机构——CA机构,又称证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书有两种形式,即文件证书和移动证书USBKEY。其中移动证书USBKEY是一种应用了智能芯片技术的数据加密和数字签名工具,其中存储了每个用户唯一、不可复制的数字证书,在安全性上更胜一筹,是现在电子政务和电子商务领域最流行的身份认证方式。其原理是通过USB接口与计算机相连,用户个人信息存放在存储芯片中,可由系统进行读/写,当需要对用户进行身份认证时,系统提请用户插入USBKEY并读出上面记录的信息,信息经加密处理送往认证服务器,在服务器端完成解密和认证工作,结果返回给用户所请求的应用服务。
               生物特征鉴别通过自动验证用户的生理特征或行为特征来识别身份。多数生物学测定系统的工作原理是将一个人的某些特征与预存的资料(在模板中)进行对比,然后根据对比结果进行评价。常见的测定方法如下。
               (1)脸部照片。计算机对脸部进行照相并将其与预存的照片进行对比。这种方法能够成功地完成对用户的识别,只是在识别双胞胎时不够准确。
               (2)指纹扫描。当用户登录时,可扫描用户的指纹并将其与预存的指纹进行对比,确定是否匹配。
               (3)手型识别。这种方法与指纹扫描非常类似,不同之处在于验证人员使用类似于电视的照相机对用户的手进行拍照,然后将手的某些特征(如手指长度和厚度等)与计算机中存储的信息进行对比。
               (4)虹膜扫描。这种技术是使用眼睛中有颜色的一部分来确定个人身份的方法,通过对眼睛进行拍照并对照片进行分析来确定用户身份,结果非常准确。
               (5)视网膜扫描。这种方法对视网膜上的血管进行扫描,将扫描结果与预存的照片进行对比。
               (6)语音扫描。这种方法通过对比用户的语音与计算机中预存的语音来验证用户身份。
               (7)签名。将签名与预存的有效签名进行对比。
               (8)击键动态。将用户键盘压力和速度与预存的信息进行对比。
               (9)还有脸部温度测定等方法。
               网络的权限控制
               网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源;可以指定用户对这些文件、目录、设备能够执行哪些操作;可以根据访问权限将用户分为特殊用户(系统管理员)和一般用户,系统管理员根据用户的实际需要为他们分配操作权限。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录均有效,用户还可进一步指定目录下子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。
   题号导航      2012年上半年 信息系统管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第46题    在手机中做本题