資源簡介

教學(xué)設(shè)計(jì)
課程基本信息
學(xué)科 信息技術(shù) 年級 高二 學(xué)期 春季
課題 3.2.2身份認(rèn)證與安全
教學(xué)目標(biāo)
1. 通過典型案例分析，知道常見的身份認(rèn)證方式。 2. 了解訪問控制的作用、功能及原理。 3. 能根據(jù)信息系統(tǒng)需要，選用合適的認(rèn)證方式。
教學(xué)內(nèi)容
教學(xué)重點(diǎn)： 1. 知道常見的身份認(rèn)證方式；了解訪問控制的作用、功能及原理。。
教學(xué)難點(diǎn)： 1. 能根據(jù)需要選用合適的認(rèn)證方式。。
教學(xué)過程
【回顧：口令的應(yīng)用場景】 在上一節(jié)內(nèi)容“數(shù)據(jù)加密與安全”中，我們介紹了對數(shù)據(jù)源的加密保護(hù)，也知道了口令和密碼的區(qū)別。其中口令是最常用的，用于認(rèn)證用戶身份的方式。請同學(xué)們結(jié)合自身經(jīng)歷，思考在哪些場景下會使用口令？對，在登錄聊天賬號、ATM取款、電腦開機(jī)、門禁開門這些場景下，我們都會用到口令。那如果口令被盜，會帶來哪些風(fēng)險(xiǎn)？我們又該如何保護(hù)自己的口令安全？我們先來閱讀一則材料。 【導(dǎo)入：誰改了我的志愿？】 高考志愿遭篡改事件時(shí)有發(fā)生。某校高三考生田某、許某被同班同學(xué)陳某篡改了高考志愿，某地考生常某的高考志愿也被其同學(xué)郭某篡改……涉事者既有考生的同學(xué)，也有教師，對受害考生造成極大困擾。縱觀近年來發(fā)生的高考志愿被篡改事件，賬號和密碼泄露往往是直接原因。這與被篡改者自身疏忽大意有很大的關(guān)系，也與信息系統(tǒng)對虛擬身份的識別技術(shù)相關(guān)。 高考填報(bào)志愿是關(guān)系到考生前途命運(yùn)的事情。每個(gè)考生都應(yīng)該提高安全意識，不要向別人包括同窗好友透露自己的賬號、密碼，填報(bào)的時(shí)候也應(yīng)該獨(dú)立操作。如果每個(gè)人都樹立起安全意識，維護(hù)自身權(quán)益，篡改志愿這樣的事件很大程度上就能避免。 【問題與討論】 根據(jù)以上材料試著討論: 第一、在未得到他人允許的情況下，能否使用通過非正常渠道獲取的口令登錄他人的系統(tǒng) 那這顯然是不允許的。第二、在用戶使用系統(tǒng)的過程中，口令起到了認(rèn)證和保護(hù)的作用，人們應(yīng)如何保護(hù)自己的口令安全 從剛才的案例中，我們可以知道，應(yīng)該提高安全意識，不要向別人透露自己的賬號、密碼，登錄時(shí)也應(yīng)該獨(dú)立操作。第三、由于口令安全等級不高，人們還可以采用哪些方法進(jìn)行身份鑒別 第四、信息系統(tǒng)如何做到既識別虛擬身份又識別真實(shí)身份 讓我們帶著這些問題，開始今天的學(xué)習(xí)吧。 【身份認(rèn)證——目的】 首先，我們要知道進(jìn)行身份認(rèn)證的目的是什么。人們利用信息系統(tǒng)對數(shù)據(jù)進(jìn)行訪問，是引起數(shù)據(jù)不安全的一個(gè)重要環(huán)節(jié)。為了系統(tǒng)的安全，需要對訪問者進(jìn)行管制和約束。身份認(rèn)證用于檢驗(yàn)訪問者身份的合法性，控制哪些用戶能夠登錄系統(tǒng)并獲取系統(tǒng)資源，有效的身份識別是信息安全的保障。 【身份認(rèn)證——分類】 身份認(rèn)證是用戶在進(jìn)入系統(tǒng)或訪問受限數(shù)據(jù)資源時(shí)，系統(tǒng)對用戶身份的鑒別過程。身份認(rèn)證技術(shù)能夠有效防止數(shù)據(jù)資源被非授權(quán)使用，保障數(shù)據(jù)資源的安全。身份認(rèn)證的范圍較廣，沒有統(tǒng)一的分類方法，根據(jù)身份認(rèn)證的發(fā)展情況和認(rèn)證技術(shù)的不同可以大致分為以下三類：（1）用戶名+口令的認(rèn)證技術(shù)（2）依靠生物特征識別的認(rèn)證技術(shù)（3）USB Key認(rèn)證技術(shù)。 第一、用戶名+口令的認(rèn)證技術(shù)。該認(rèn)證技術(shù)最大的優(yōu)點(diǎn)在于操作簡單，不需要任何附加設(shè)施，且成本低、速度快，主要包括靜態(tài)口令和動態(tài)口令。靜態(tài)口令方式的用戶名和口令是一次性產(chǎn)生，在使用過程中固定不變的。比如登錄QQ或在ATM上取款時(shí)都會用到靜態(tài)口令。當(dāng)然，為了提高賬號的安全性，我們需要定期去修改口令。動態(tài)口令是目前應(yīng)用廣泛的一種身份識別技術(shù)，主要有動態(tài)短信口令和動態(tài)口令牌這兩種。 第二、依靠生物特征識別的認(rèn)證技術(shù)。由于不同的人具有相同生物特征的可能性是極低的，生物特征識別認(rèn)證技術(shù)主要是根據(jù)這一點(diǎn)進(jìn)行身份識別。該認(rèn)證技術(shù)須事先對用戶身上某些生物特征進(jìn)行采集，將采集到的數(shù)據(jù)保存到數(shù)據(jù)庫中，在進(jìn)行身份識別時(shí)，將識別得到的特征數(shù)據(jù)與數(shù)據(jù)庫中已有的特征數(shù)據(jù)進(jìn)行比較，從而完成身份識別，達(dá)到事先指定的相似度才允許通過。 目前比較成熟的認(rèn)證技術(shù)有指紋識別技術(shù)、語音識別技術(shù)、虹膜認(rèn)證技術(shù)、人臉識別技術(shù)等。生物特征識別的認(rèn)證方式具有防偽性能好、隨時(shí)隨地可用等優(yōu)點(diǎn)。伴隨著自動識別技術(shù)和生產(chǎn)技術(shù)的發(fā)展，生物識別設(shè)備成本降低，其準(zhǔn)確性和穩(wěn)定性不斷提高，已被人們所接受。 第三、USB Key認(rèn)證技術(shù)。該認(rèn)證方式采用軟硬件相結(jié)合、一次一密的認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種采用USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用 USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。常見的基于 USB Key的應(yīng)用包括網(wǎng)上銀行的“U盾”、支付寶的“支付盾”等。 【三類認(rèn)證技術(shù)優(yōu)缺點(diǎn)】 將以上三類認(rèn)證技術(shù)放在一起進(jìn)行對比，根據(jù)這些技術(shù)的優(yōu)缺點(diǎn)，我們常將其應(yīng)用于不同的場景。現(xiàn)在回過頭來看前面的問題，由于口令安全等級不高，人們還可以采用生物特征識別、USB Key認(rèn)證等方法進(jìn)行身份鑒別。而信息系統(tǒng)通過引入生物特征識別可以做到既識別虛擬身份又識別真實(shí)身份。 【訪問控制——目的】 我們前面所說的身份認(rèn)證要解決的問題是，用戶是否有權(quán)限進(jìn)入系統(tǒng)使用數(shù)據(jù)資源。而訪問控制要解決的問題是，用戶對數(shù)據(jù)操作的權(quán)限。詳細(xì)地說，訪問控制是在保障授權(quán)用戶能獲取所需資源的同時(shí)，拒絕非授權(quán)用戶的安全機(jī)制。非授權(quán)用戶沒有訪問權(quán)限，授權(quán)用戶有訪問權(quán)限，但是當(dāng)我們將權(quán)限更加細(xì)化后會發(fā)現(xiàn)，授權(quán)用戶中也存在存取權(quán)限的差別，如讀取、寫入、執(zhí)行、刪除、追加等存取方式。 【訪問控制——概述】 訪問控制，一般是指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組，用以限制其使用數(shù)據(jù)資源的手段。系統(tǒng)管理員通常利用該手段控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。 訪問控制有三個(gè)要素，分別是主體、客體和控制策略。主體，是指提出訪問資源的具體請求或發(fā)起者，通常指用戶或依照用戶執(zhí)行的指令;客體，是指被訪問的資源，即需要保護(hù)的資源;控制策略，也稱為授權(quán)，是指允許對資源執(zhí)行的具體操作，主要是讀、寫、刪除、拒絕訪問等。 【訪問控制——功能及原理】 訪問控制的基本功能分為以下三點(diǎn)：（1）保證合法用戶訪問受保護(hù)的系統(tǒng)資源，（2）防止非法用戶訪問受保護(hù)的系統(tǒng)資源，（3）防止合法用戶訪問非授權(quán)的系統(tǒng)資源。我們通過下面這張?jiān)砟Ｐ蛨D來說明訪問控制的功能。當(dāng)主體向系統(tǒng)提交訪問請求后，該請求不會直接被允許去訪問客體，而是先被提交到訪問控制決策模塊。決策模塊根據(jù)提交的請求、主體客體的信息、預(yù)先定義的訪問策略來進(jìn)行決策，給出決策結(jié)果。當(dāng)決策結(jié)果是允許訪問時(shí)，該主體的請求才能訪問到客體，否則決策模塊會拒絕此次訪問。 【訪問控制——用戶賬戶管理】 在一個(gè)系統(tǒng)中，為了保證訪問系統(tǒng)資源的用戶是合法的，不同權(quán)限的用戶所擁有的數(shù)據(jù)范圍不一樣，通常由系統(tǒng)管理員通過對用戶賬號權(quán)限大小的設(shè)置來管理數(shù)據(jù)的安全。比如，不同的用戶對應(yīng)到不同的角色后，他所有擁用的權(quán)限是不一樣的。 那么系統(tǒng)管理員該如何進(jìn)行用戶的權(quán)限授予呢？ ①系統(tǒng)管理員應(yīng)根據(jù)各部門不同用戶業(yè)務(wù)的實(shí)際需求對訪問系統(tǒng)的用戶分別建立賬戶或組策略，分別施行授予或撤銷管理措施和執(zhí)行過程。 以學(xué)校電子班牌應(yīng)用系統(tǒng)為例，其用戶賬戶組成主要有:系統(tǒng)管理員、行政組、教務(wù)組、年級組、班主任組、普通教師組等，不同的賬戶訪問全校師生數(shù)據(jù)庫的權(quán)限是不同的。 ②系統(tǒng)管理員授予用戶的身份應(yīng)具有唯一性，不允許多人共享一個(gè)賬戶。確保在這個(gè)環(huán)節(jié)上，真實(shí)身份和虛擬身份能一一對應(yīng)。 ③對系統(tǒng)中任何用戶的登錄都應(yīng)進(jìn)行身份識別。身份識別的技術(shù)應(yīng)根據(jù)用戶所處的部門和擁有的權(quán)限大小來確定。如普通教師組用賬號和口令登錄即可，但財(cái)務(wù)人員必須通過指紋或人臉識別方可登錄。 ④保證有足夠的口令強(qiáng)度和防攻擊能力，確保核心數(shù)據(jù)的訪問安全。用戶必須使用符合系統(tǒng)管理要求的口令，并妥善保護(hù)好自己的口令。系統(tǒng)管理員要經(jīng)常對特殊權(quán)限賬號的用戶和部門進(jìn)行核查，及時(shí)收回不再使用的賬號。 【小結(jié)】 接下來，我們總結(jié)一下本節(jié)的內(nèi)容。第一，通過“誰改了我的志愿？”這一案例，我們學(xué)習(xí)了三種常用的身份認(rèn)證技術(shù)：用戶名+口令、依靠生物特征識別、USB Key。第二，我們學(xué)習(xí)了訪問控制的三要素：主體、客體、控制策略，以及訪問控制的工作原理。并且以“學(xué)校電子班牌應(yīng)用系統(tǒng)”為例，具體說明了用戶賬戶管理中用戶權(quán)限的授予策略。 【課后探究】 課后，請同學(xué)們完成以下探究活動。近年來，指紋識別技術(shù)在各行各業(yè)得到廣泛應(yīng)用，例如，帶有指紋識別功能的手機(jī)、指紋門禁系統(tǒng)、指紋簽到系統(tǒng)等。請上網(wǎng)查找資料，完成一篇關(guān)于指紋識別系統(tǒng)工作原理的報(bào)告，并進(jìn)行展示交流。 好，我們今天的課就上到這里，同學(xué)們再見！

展開更多......

收起↑