3.2.2 身份认证与安全 课件-2021-2022学年浙教版（2019）高中信息技术必修2

3.2.2 身份认证与安全 人们利用信息系统对数据进行访问，也是引 起数据不安全的一个重要环节。为了系统的 安全，需要对访问者进行管制和约束。 身份认证用于检验访问者身份的合法性，控 制哪些用户能够登录系统并获取系统资源，有 效的身份识别是信息安全的保障。 1.身份认证 身份认证是用户在进入系统或访问受限数据资源时，系统对用户身份的 鉴别过程。身份认证技术能够有效防止数据资源被非授权使用，保障数 据资源的安全。身份认证的范围较广，没有统一的分类方法，根据身份 认证的发展情况和认证技术的不同可以大致分为以下三类： （1）用户名+口令的认证技术 优点：操作简单，不需要任何附加设施，且成本低、速度快，主要 包括静态口令和动态口令。 （2）依靠生物特征识别的认证技术 （3）USB Key认证技术 该认证方式采用软硬件相结合、一次一密的认证模式，很好地解决了安全性 与易用性之间的矛盾。USB Key是一种采用USB接口的硬件设备，它内置 单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置 的密码算法实现对用户身份的认证。 2.访问控制 身份认证：用户是否有权限进入系统使用数据资源 访问控制：用户对数据操作的权限。 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的 安全机制。 非授权用户没有访问权限，授权用户有访问权限，但是授权用户中存在 存取权限的差别，如读取、写入、执行、删除、追加等存取方式。 （1）访问控制的概述 访问控制一般是指系统对用户身份及其所属的预先定义的策略组，用以限制 其使用数据资源的手段。 访问控制三个要素：主体是指提出访问资源的具体请求或发起者，通常 指用户或依照用户执行的指令；客体是指被访问的资源，即需要保护 的资源；控制策略，也称为授权，是指允许对资源执行的具体操作，主 要是读、写、删除、拒绝访问等。 （2）访问控制的功能及原理 访问控制的基本功能：保证合法用户访问受保护的系统资源，防止 非法用户访问受保护的系统资源，或防止合法用户访问非授权的系统 资源。 主体 提交访问请求 访问控制实施功能 提出访问请求 客体 访问控制决策功能 请求决策 决策 访问控制原理模型 （3）用户账户管理 系统管理员通过对用户账号权限大小的设置来管理数据的安全，目的是 保证访问系统资源的用户是合法的，不同权限的用户所拥有的数据范围 不一样