信息安全工程师教程：电子商务身份认证技术 

1. 身份认证技术
身份认证过程指的是当用户试图访问资源的时候，系统确定用户的身份是否真实的过程。认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据。通常可以根据以下 5种信息进行认证：
①用户所知道的。如密码认证过程 PAP（Password Authentication Procedure）。当用户和服务器建立连接后，服务器根据用户输入的 ID和密码决定是满足用户请求，还是中断请求，或是再提供一次机会给用户重新输入。
②用户所拥有的。常见的有基于智能卡的认证系统，智能卡即是用户所拥有的标志。用该身份卡系统可以判断用户的 ID。从而知道用户是否合法。
③用户本身的特征。这个指的是用户的一些生物学上的属性，如指纹，虹膜特征等。因为模仿这些特征比较难，并且不能转让，所以根据这些信息，就可以识别用户。
④根据特定地点（或特定时间）。Bellcore的 S/KEY一次一密系统所用到的认证方法可以作为一个例子。用户登录的时候，用自己的密码 s和一个难计算的单项哈希函数f，计算出 p0  fs() 作为第一次的密钥，以后第 i次的密钥为 pif () 。这个密钥跟
⑤通过信任的第三方。典型的为 Kerberos认证。在 Kerberos认证中，信任的第三方包括认证服务器 AS和票据分发服务器 TGS，每一个用户与 AS共享一个用户密钥。由 AS对用户进行认证并颁发访问 TGS票据。用户拿到票据后就可以到服务器进行认证。
认证在一个安全系统中起着至关重要的作用，认证技术决定了系统的安全程度。如何评价某一认证技术，可以遵循以下几个标准：
（1）可行性
从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余的交互认证过程，提供一次性认证。另外所有用户可访问的资源应该提供友好的界面给用户访问。
（2）认证强度
认证强度取决于采用的算法的复杂度以及密钥的长度，采用越复杂的算法，越长的密钥，将能提高系统的认证强度，提高系统的安全性。
（3）认证粒度
身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容，以及控制的粒度也是认证系统的重要标志。有些认证系统仅限于判断用户是否具有合法身份，有些则按权限等级划分成几个密级，严格控制用户按照自己所属的密级访问。
（4）认证数据正确
消息的接收者能够验证消息的合法性、真实性和完整性，而消息的发送者对所发的消息不可抵赖。除了合法的消息发送者外，任何其他人不能伪造合法的消息。当通信双方（或多方）发生争执时，有公正权威的第三方解决纠纷。
（5）不同协议间的适应性
认证系统应该对所有协议的应用进行有效的身份识别，除了 HTTP，安全 Email访问也是企业内部所要求的一个安全控制，其中包括认证 SMTP、POP或者 IMAP。这些也应该包含在认证系统中。

报考须知：2016信息安全工程师报考指南 报名时间 考试大纲 考试教材

备考练习：2016信息安全工程师章节练习 每日一练 历年真题 考前密卷

加入信息安全工程师考友QQ群：11824850，交流学习，随时获取考试信息。

信息安全工程师考试备考已经开始，尚大特邀名师授课（马上免费试听），全面讲解考试重要知识点，保过班、精品班、直播班，为您的考证之路保驾护航。