信息安全的研究内容身份认证为了保护网络资源、落实安全政策，需要提供可追究责任的机制，这里涉及到三个概念：认证、授权和审计。
（1）认证（Authentication）是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员、某个组织的代理、某个软件过程（如交易过程）。
（2）授权（Authorization）是指当用户身份被确认合法后，赋予该用户进行文件和数据等操作的权限。
（3）审计（Auditing）
每个人都应该为自己所做的操作负责，所以在做完事情之后都要留下记录，以便核查责任。用户对资源的访问过程身份认证概述身份认证概述身份认证概述身份认证概述身份认证概述身份认证概述1、安全与不安全的口令
安全的口令要求：
1)位数>6位。
2)大小写字母混合。
3)字母与数字混合。
4)口令有字母、数字以外的符号。不安全的口令则有如下几种情况：
(1)使用用户名（帐号）作为口令。
(2)使用用户名（帐号）的变换形式作为口令。将用户名颠倒或者加前后缀作为口令，比如说著名的黑客软件John，如果你的用户名是fool，那么它在尝试使用fool作为口令之后，还会试着使用诸如fool123、loof、loof123、lofo等作为口令，只要是你想得到的变换方法，John也会想得到。
(3)使用自己或亲友的生日作为口令。这种口令很脆弱。
(4)使用常用的英文单词作为口令。一般用户选择的英文单词几乎都落在黑客的字典库里。
(5)使用5位或5位以下的字符作为口令。加强口令安全的措施：
A、禁止使用缺省口令。
B、定期更换口令。
C、用口令破解程序测试口令。
2、口令攻击的种类
网络数据流窃听
由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。口令被盗也就是用户在这台机器上的一切信息将全部丧失，并且危及他人信息安全，计算机只认口令不认人。最常见的是电子邮件被非法截获。认证信息截取/重放(Record/Replay)
有的系统会将认证信息进行简单加密后进行传输，如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式。
对付重放的方法有：
1在认证交换中使用一个序数来给每一个消息报文编号，仅当收到的消息序号合法时才接受之；
2使用时间戳
3询问/应答方式
A期望从B获得一个新消息，则先发给B一个临时值，并要求后续从B收到的消息包含正确的这个临时值字典攻击
由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。
穷举尝试
这是一种特殊的字典攻击，它使用字符串的全集作为字典。如果用户的密码较短，很容易被穷举出来，因而很多系统都建议用户使用长口令。
窥探
攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。社交工程
攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令。比如，在终端上发现如下信息：
Pleaseenteryourusernametologon:
Yourpassword:
这很可能是一个模仿登录信息的特洛伊木马程序，他会记录口令，然后传给入侵者。
垃圾搜索
攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的攻击对象。击对象。口令猜中概率公式：P=L•R/S
L：口令生命周期
R：进攻者单位时间内猜测不同口令次数
S：所有可能口令的数目。
为降低猜中的概率：
1减少口令使用寿命，即提高口令更换的频率;
2降低进攻者单位时间内猜测尝试口令的次数;
3增加可能口令的数目，即提高口令的字符个数。
然而，口令的频繁更换增加了用户的负担，也为资深入侵者提供了条件(为了便于记忆，人们往往选择与其个人相关的口令，如某重要的日期)，口令字符个数的增加也会增加用户的负担且不会对资深入侵者有更大影响，因此，手段2应是较为有效的防猜中手段。1.选择很难破译的加密算法
让硬件解密商品不能发挥作用。
2.控制用户口令的强度(长度、混合、大小写)
3.掺杂口令
先输入口令，然后口令程序取一个12位的随机数(通过读取实时时钟)并把它并在用户输入的口令后面。然后加密这个复合串。最后把64位的加密结果连同12位的随机数(叫做salt)一起存入口令文件。4.不要暴露账户是否存在的信息
例：打入一个用户名后，不论账户是否存在，都在相同时间里要求输入口令。
5.限制口令尝试次数。
6.系统中只保存口令的加密形式##基于智能卡的身份认证IC卡优点：
存储容量大、体积小而轻、保密性强、网络要求低
数据可靠性高：IC卡防磁、防静电、防潮、耐温、抗干扰能力强，一