来源:蜘蛛抓取(WebSpider)
时间:2018-07-10 01:08
标签:
身份意识
比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
Windows Vista系统账户保护机制初探
关键字:Windows Vista系统 保护机制 系统安全 账户
通常在提到的时,我们最关心的永远都是性。因为普及率非常高,再加上全球无数各种水平的用户都在使用它,同时在微软的操作系统上运行有大量质量良莠不齐的应用程序,这一切结合起来就让微软产品的安全问题非常突出。
例如前两年曾肆虐的冲击波、振荡波、斯文等,都是利用了微软产品的漏洞以及用户的粗心大意传播开的。
微软自然不会让这种问题继续下去。在去年很长的一段时间里,微软全部的开发人员都停下了手头的开发工作,开始对现有产品进行安全性检查。这个检查直接影响了Windows XP SP2和Vista的推出时间,不过从检查之后发布的Windows XP SP2和Windows Server 2003 SP1来看,安全性确实得到了很大提高,长时间的等待是值得的。
虽然在打过补丁之后安全性得到了一定提高,不过这毕竟还是在现有漏洞上打补丁,总会让人觉得不够放心。那么全新的下一代操作系统在安全性方面会有什么进步?我们可以通过Vista测试版体验一下。本文以5219版Vista为例,在该版本中,安全性方面最主要的一个改进就是增加了一个叫做用户账户保护的功能(User Account Protection,UAP)。
Vista发展动态
Vista新成员WMP11亮相
作为Windows捆绑的播放器,WMP一直拥有巨大的用户群,它每一次新版本的发布都为很多Windows的粉丝们所关注。最近,WMP11的发布终于在Vista Beta1推出4个月后有了眉目。从截图来看,WMP11增加了预览功能,可以显示视频文件的缩略图。其用户界面大体上与前作相同,但在细节上,更突出了面板的,和晶莹剔透的Vista配合而相得益彰。
漂亮的Vista WMP11
你可能觉得,这是一套相当安全并且方便的机制,因为只要在登录系统的时候输入一次用户名和密码,就可以在整个登录过程中直接执行任何具有权限的操作。同时只要保护好SAM,也就不用担心系统的安全问题。然而事实远非如此,这样的做法虽然方便,不过却相当不安全。
我们可以考虑这样的情况:使用管理员账户登录系统后,我们运行的任何程序自然也将具有管理员权限。如果我们不小心运行了网上下载的含有恶意程序的文件会怎样?恶意程序在运行的时候会使用当前用户的访问凭据,也就是说程序的进程也具有了管理员权限,进而该进程可以对系统进行任何操作。意识到其中包含的风险了吧。
所以很多介绍系统安全的文章都会建议,平时使用计算机的时候最好不要用管理员账户登录,而是用权限小一些的账户,只有在偶尔需要进行维护或者其他必要操作的时候才使用管理员账户,或者直接使用Runas命令。这样才能保证系统安全。
小知识:不得不提的Runas命令
这里再介绍一下Runas命令。通过该命令,我们可以在保持当前用户登录的情况下使用其他用户的身份运行程序。例如,对于开始菜单中某个程序的快捷方式,我们只需要在该快捷方式上点击鼠标右键,然后点击“运行方式”命令,接着在弹出的框中选择“下列用户”选项,指定一个用户名并。这样程序就可以使用指定的用户身份运行了。
当然,如果你喜欢使用命令行方式,也可以运行CMD打开命令提示符,使用类似这样的命令:“runas user:要使用的用户名 要运行的程序的路径和名称”,按下回车,并输入该用户的密码。例如通过“runas user:administrator regedit”这样的命令就可以使用Administrator的身份运行注册表编辑器。
虽然我们可以在平时使用权限低的用户名登录,但在需要执行特定操作的时候使用runas命令,不过这还是有些麻烦,同时需要进行的额外操作也太多。为了解决这一问题,Vista中提供了UAP功能。
在介绍这个功能之前,我们先了解一下Windows中的各种权限是如何控制的。这部分主要以单机或工作组环境下的Windows XP Professional为例,同时也适用于Windows ,不适用于Windows 98。
系统安装好后,所有用户的凭据(也就是用户名和密码)都被保存在本地SAM(Security Accounts Manager,安全账户管理器)数据库中。当用户登录系统时,首先要输入用户名和密码,这些信息由winlogon进程获取,并由LSA(Local Security Authority,本地安全验证)子系统提交到SAM数据库中验证。
如果SAM数据库中有符合条件的记录,那么LSA子系统就会生成一个访问令牌( Token),并传递给用户。当该用户需要运行程序或访问资源的时候,系统首先会在用户持有的访问令牌中查找相应的权限信息,然后和想要进行的操作所需要具有的权限进行比较,如果权限足够,那么就可以进行操作;反之操作则会被禁止。
以运行程序为例,当我们试图启动一个程序的时候,系统会使用我们的访问令牌来启动程序,这样被启动的程序就拥有了和令牌所有者一样的权限。为了证实这一点,我们可以打开Windows任务管理器的进程选项卡。该选项卡下列出了当前系统中的所有进程,每个进程在“用户名”一栏就显示了该进程的“身份”。
以图1中的几个进程为例,csrss.exe是系统进程,因此用户名一栏显示的是“SYSTEM”;emeditor.exe是当前登录用户启动的程序,因此用户名一栏显示的是当前用户的用户名;emule.exe虽然也是当前用户启动的,不过在启动的时候使用了Runas命令,因此看起来该程序就好像其他用户启动的。当然,因为这三个进程使用了不同的访问令牌(也就是用户身份),那么这三个程序的权限也就会有所不同。
[ 责任编辑:张学敬 ]
去年,手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte声明:现大部分文章为寻找问题时在网上相互转载,在此博客中做个记录,方便自己也方便有类似问题的朋友,故原出处已不好查到,如有侵权,请发邮件表明文章和原出处地址,我一定在文章中注明。谢谢。
随笔- 493&
评论- 104&
&&&&&&&&&&&
日常操作中为了避免一些误操作,更加安全地管理系统,通常使用的用户身份都为普通用户,而非root。当需要执行一些管理员命令操作时,再切换成root用户身份去执行。
普通用户切换到root用户的方式有:su和sudo。
(su为switch user,即切换用户的简写)
格式:su&-l USERNAME(-l为login,即登陆的简写)
-l可以将l省略掉,所以此命令常写为su&- USERNAME
如果不指定USERNAME(用户名),默认即为root,所以切换到root的身份的命令即为:su -root或是直接&su -
实例1:普通用户user1知道root账户登录密码,要求用户user1在不注销登录的前提下查看/etc/shadow文件。
如下图,试图查看文件/etc/shadow时,提示拒绝访问,此时使用su -&命令切换成root身份后,即可正常查看。
之后,通过命令exit或logout,或者是快捷键Cry+D即可返回原用户身份。
2:su -&与su
通过su切换用户还可以直接使用命令su USERNAME,与su - USERNAME的不同之处如下:
su - USERNAME切换用户后,同时切换到新用户的工作环境中
su USERNAME切换用户后,不改变原用户的工作目录,及其他环境变量目录
如下图,显示两个命令的执行结果:
使用su切换用户时需知晓对应用户的登陆密码,即若切换成root用户身份,需知道root用户的登陆密码。作为root用户管理员,如何授权其他普通用户,在不需要知晓root密码的情况下,执行root权限的命令操作?此时即可使用sudo。
sudo是一种权限管理机制,依赖于/etc/sudoers,其定义了授权给哪个用户可以以管理员的身份能够执行什么样的管理命令;
格式:sudo&-u USERNAME&COMMAND
当普通用户通过sudo以root用户执行命令时,sudo后面的&-uUSERNAME可省略,即sudo COMMAND&即意为sudo以root用户执行
默认情况下,系统只有root用户可以执行sudo命令。需要root用户通过使用visudo命令编辑sudo的配置文件/etc/sudoers,才可以授权其他普通用户执行sudo命令。
如下图,假如使用普通用户帐号user4通过sudo以root用户身份执行命令tail /etc/shadow时,即被提示:user4未被定义在sudoers文件中,无法执行此命令。
语法:sudo&[-bhHpV][-s&][-u&&用户&][指令]
或&sudo&[-klv]
-b& 在后台执行指令。
-h& 显示帮助。
-H& 将HOME环境变量设为新身份的HOME环境变量。
-k& 结束密码的有效期限,也就是下次再执行sudo时便需要输入密码。
-l& 列出目前用户可执行与无法执行的指令。
-p& 改变询问密码的提示符号。
-s& 执行指定的shell。
-u&&用户&& 以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份。
-v& 延长密码有效期限5分钟。
-V& 显示版本信息。
-S&&&从标准输入流替代终端来获取密码
4,sudoers
sudo的配置文件为:/etc/sudoers。
sudoers文件中允许指定用户在不需要知道root用户的登陆密码的情况下,可以以root用户身份运行各种命令。此文件必须使用visudo命令编辑配置。(visudo命令可以提供basic sanitychecks和check for parse errors,即提供快速的正确性有效性检查,以及语法检查功能)
查看sudores文件,其中有一行如下图,定义了允许root用户从任何主机登陆,使用sudo可以切换成任何用户的身份,执行所有命令。
查看sudoers文件,其中有两行如下图,定义了组可以使用sudo命令的配置。
实例2:设置普通用户user4,使其可以使用sudo命令以root用户身份修改其他所有用户登录密码,但不能修改root用户登陆密码
未被授权前,user4使用sudo以root用户修改user1的密码时,提示user4未被定义在sudoers文件中,无法执行,并且此事件将被报告给。如下图:
执行visudo命令,编辑sudoers文件,添加一行:用户帐号为user4;可以从任何主机登陆,执行三条命令(以root身份执行passwd命令后面不加用户名时,即代表修改root用户本身的密码,此即为第一条命令的作用),如下图,即可实现user4可以修改除root用户之外的其他所有用户的登录密码。
之后,user4通过sudo以root用户身份即可成功修改user1的密码(而不需要知道root的密码,只需要输入自己的密码即可),同时无法修改root的密码,如下图:
实例3:设置组Administrators内所有成员都可以通过sudo以root用户身份执行所有命令,且不需要验证本身的账户密码。
通过visudo命令编辑sudoers文件,添加如下一行,即完成配置。
之后,成员一user1,即可通过sudo以root用户执行所有命令,且不需要验证本身账户密码。如下图:
附:man文档中su和sudo的解释:
su - run a shell with substitute user andgroup IDs
以替代的用户运行shell。(即su之后,在当前shell上的用户身份已转变)
sudo - excute a command as another user.
sudo allows a permitted user to execute acommand as the superuser or another user, as specified by security policy.
以其他用户身份执行命令。sudo依照安全策略中指定,允许授权用户以超级用户或是其他用户身份执行命令。(即sudo,只是临时以其他用户身份执行命令,并不会切换身份)
当然,su也可以在不切换用户身份的情况下,临时以其他用户执行命令。
通过选项-c,即可使用root身份临时执行命令,如下图:
同时,也可以通过配置sudoers文件,授权其他普通用户,可以切换成其他用户身份去执行命令,而不必每次都加上sudo。如下图,只需在sudoers文件中定义普通用户user4
之后,用户user4只需执行一次sudo su -&即可切换成root身份了
另外也可以进入 /etc/sudoers.d/&&编辑里面的文件,进行分文件管理
如 &vi dongjj&
%dong ALL=(ALL) NOPASSWD: /bin/su &data_user%dong ALL=(ALL)
NOPASSWD: /bin/su - data_user
注:实例环境为Vmware Workstation 9、CentOS 6.4
原文出自:
还可以参考&http://blog.csdn.net/babyfish13/article/details/
阅读(...) 评论()
声明:现大部分文章为寻找问题时在网上相互转载,在此博客中做个记录,方便自己也方便有类似问题的朋友,故原出处已不好查到,如有侵权,请发邮件表明文章和原出处地址,我一定在文章中注明。谢谢。专注C/C++/Java编程语言学习及常用算法探讨,推荐微信公众学习平台: programer-idea ,名称为:程序媛想事儿,欢迎大家学习关注!!!...
Linux系统中修改用户名的两种方案整理
usermod [-LU][-c &备注&][-d &登入目录&[-m]][-e &有效期限&]
[-f &缓冲天数&][-g &群组&][-G &群组&][-l &帐号名称&][-s &shell&]
[-u &uid&[-o]] [用户帐号]
没有更多推荐了,如果用户是以标准用户身份登录系统,则系统会弹出“用户账户控制”对话框,提示用户输入管理员账户的_百度知道
如果用户是以标准用户身份登录系统,则系统会弹出“用户账户控制”对话框,提示用户输入管理员账户的
码,但是密码忘记了,怎么办?
您的回答被采纳后将获得:
系统奖励15(财富值+成长值)+难题奖励20(财富值+成长值)
我有更好的答案
admin试一下
为您推荐:
其他类似问题
用户账户控制的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。比特客户端
您的位置:
详解大数据
详解大数据
详解大数据
详解大数据
解析用户身份认证的六大方式
关键字:USBKEY 认证 身份认证
用户身份认证是的第一道大门,是各种安全措施可以发挥作用的前提。最常见的身份验证形式就是登录密码,密码丢失轻则被别人轻易看到自己的隐私,重则金钱或者虚拟财产,譬如游币、Q币等被盗窃。
那么,在我们上网登录,在柜机取款时输入的密码,或者我们在电脑上使用的银行U盾,它们背后是什么在支撑呢,今天我们就给大家介绍用户身份验证的六大方式。
六大身份认证解析之静态密码
大家经常见到和使用的,“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态,静态密码一旦设定之后,除非用户更改,否则将保持不变。静态密码的安全性缺点,在于容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、攻击等。
静态密码用户的密码是由用户自己设定的。在登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。
如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制无论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。
为了提高静态密码的安全性,用户定期对密码进行更改是一种保护方式,但是这又导致了静态密码在使用和管理上的困难,特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面:
(1)、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护;
(2)、静态密码安全性低,容易遭受各种形式的安全攻击;
(3)、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密;
(4)、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和,非常影响正常的使用感受。
因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足对于身份认证安全性的需求。
六大身份认证解析之动态密码
动态密码
目前主要有短信密码、动态口令牌、令牌等几种方式。
短信密码
以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。
动态口令牌
是目前最为安全的身份认证方式,也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷,85%以上的世界500强运用它保护登录安全,广泛应用在、网上银行、电子政务、等领域。
动态口令牌(OTP,One time password),采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外,还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种,如刮刮卡式、二维矩阵卡式和电子令牌式,其中电子令牌就是我们所说的动态口令牌。
刮刮卡和二维矩阵卡都是以纸质卡形式提供,但它们都存在着与生俱来的缺陷,刮刮卡有严格的使用次数限制,一般只能使用30次,而二维矩阵卡虽然可以无限次使用但很容易被复制,同动态口令牌相比刮刮卡和二维矩阵卡式都不具备时效性。
现在很多国外银行和少数国内银行在网上银行应用中采用这种动态口令牌的方式。采用动态口令牌方式的优点在于无须安装软件,操作简单。与客户电脑无关,不需要安装其他任何程序即可直接使用网上银行服务。一次一密,解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。
手机令牌
也称手机口令牌,是用来生成动态口令的手机客户端软件,在生成动态口令的过程中,不会产生任何及费用,不存在通信信道中被截取的可能性,手机作为动态口令生成的载体,欠费和无信号对其不产生任何影响。
手机令牌具有高安全性、0成本、无需携带、获取以及无物流等优势,相比硬件令牌更符合互联网的精神,由于以上优势,手机令牌可能会成为时代动态密码身份认证令牌的主流形式。
手机令牌的实质就是把动态密码技术用手机软件的方式实现,软件启动后,通过手机运算并在手机液晶屏幕每分钟显示一个不可猜测的动态密码。手机动态密码可在Windows Mobile、、、等手机运行。可做到密钥与手机捆绑。和动态令牌的硬件令牌形式一样。
六大身份认证解析之USB KEY
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡,有一定的空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。
USB Key(硬件数字证书载体)这是大多数国内银行采用的客户端解决,使用USB Key存放代表用户唯一身份数字证书和用户私钥。在这个基于PKI体系的整体解决方案中,用户的私钥是在高安全度的USB Key内产生,并且终身不可导出到USB Key外部。
在网上银行应用中,对交易数据的数字签名都是在USB Key内部完成的,并受到USB Key的PIN码保护。采用USB Key方式的优点在于代表用户身份的私钥在USB Key产生,安全强度高。
由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。USB Key产品最早是由加密锁厂商提出来的,原先的USB加密锁主要用于防止软件破解和复制,保护软件不被盗版,而USB Key的目的不同,USB Key主要用于网络认证,锁内主要保存数字证书和用户私钥。
相对来说,USB Key比较安全,但是USBKey并非绝对安全,也存在被破解的可能。USB Key的便捷与风险在今天这样一个互联网驱动的社会中,网上银行也称在线银行,已经成为金融机构整体发展策略中不可或缺的一部分。
近年来使用网上银行的用户数量巨大增长,并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时,也承受着很多安全风险。很多银行意识到了这一点,纷纷采取行动,包括不断教育用户提高自身安全意识,安装,防木马软件;采用硬件USB Key或者动态口令牌方式进行身份认证等。
六大身份认证解析之智能卡(IC卡)
IC卡 (Integrated Circuit Card,集成电路卡),有些国家和地区也称智能卡(smart card)、智慧卡(intelligent card)、微电路卡(microcircuit card)或微芯片卡等。它是将一个微电子芯片嵌入符合 7816标准的卡基中,做成卡片形式。IC卡读写器是IC卡与应用系统间的桥梁,在ISO国际标准中称之为接口设备IFD(Interface Device)。IFD内CPU通过一个接口电路与IC卡相连并进行通信。IC卡接口电路是IC卡读写器中至关重要的部分,根据实际应用系统的不同,可选择并行通信、半双工串行通信和I2C通信等不同的IC卡读写芯片。非接触式IC卡又称射频卡。
智能卡(IC卡)内置集成电路芯片,芯片中存有与用户身份相关的数据,并成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的,以验证用户的身份。
智能卡(IC卡)从根本上提高银行卡的安全性。由于以前银行磁条卡技术简单,磁条信息易被复制,使用磁条信息盗录装置复制银行卡磁道信息,通过网上银行等电子渠道窃取持卡人敏感信息,通过针孔摄像机在ATM终端上偷录持卡人密码等事件,以及伪造磁卡条、盗用磁卡信息的案件频繁发生,给持卡人和发卡机构造成巨额损失。世界各地的实践经验表明,在推广使用IC卡后,这类案件就会大幅下降, 2、有利于商业银行的业务创新。相比银行磁条卡存储空间小,无运算能力,金融IC卡具备多应用加载平台,可丰富银行卡产品系列,称为商业银行业务创新的重要手段。
智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
另外,智能卡需要配合读卡器使用,因此无论在易用性,还是在成本方面,都比动态令牌稍逊一筹。
六大身份认证解析之数字证书
数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发的证书。
它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。
它能提供在Internet上进行身份验证的一种权威性电子文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威可信的,国家工业和部以资质合规的方式,陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险.为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。
数字证书可用于:发送、访问安全站点、网上证券交易、网上招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。
基于数字证书的应用角度分类,数字证书可以分为以下几种:
证书(证书):服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。
在服务器上安装服务器证书后,客户端可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点,服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球知名的服务器证书品牌有Globlesign,Verisign, Thawte, Geotrust等。
SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证,绑定网站,不同的产品对于不同价值的数据和要求不同的身份认证。
最新的高端SSL证书产品是扩展验证(EV)SSL证书。在IE7.0、FireFox3.0、 9.5等新一代高安全浏览器下,使用扩展验证VeriSign(EV)SSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。
电子邮件证书:电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实性。 收到具有有效电子签名的电子邮件,我们除了能相信邮件确实由指定邮箱发出外,还可以确信该邮件从被发出后没有被篡改过。
另外,使用接收的邮件证书,我们还可以向接收方发送加密邮件。该加密邮件可以在非安传输,只有接收方的持有者才可能打开该邮件。
客户端个人证书:客户端证书主要被用来进行身份验证和电子签名。
安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。使用该证书需要物理上获得其usbkey,且需要知道key的保护密码,这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的种类有多种,、第三键确认,语音报读,以及带显示屏的专用usbkey和普通usbkey等。
目前的数字证书在广义上可分为:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、证书、代码签名证书和表单签名证书。
六大身份认证解析之技术
生物识别技术是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。
生物特征分为身体特征和行为特征两类。身体特征包括:声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和等;行为特征包括:签名、语音、行走步态等。
目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、 DNA识别等归为“深奥的”生物识别技术,指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。
采用生物识别技术进行身份认证时,必须在客户端安装采集生理特征或行为方式的输入设备,它可能会存在误认和误拒的现象,可能会导致正确的用户被拒绝访问,而非法用户被允许访问等情况的发生。
同时,它的应用范围也有所限制,例如指纹、虹膜等识别技术就无法用在电话委托系统、电视遥控器等应用中。
[ 责任编辑:babycorn ]
去年,手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte
