第8章身份认证及其应用.pptVIP

第8章 身份认证及其应用 8.1 引言 8.2 身份认证的方法 8.3 第三方认证 8.4 X.509 8.5 数字证书 8.6 验证证书 8.7 CA系统结构 习 题 8.1 引 言 从对计算机系统或网络的一般访问过程来看，身份认证是用户获得访问权限的第一步。如果用户身份得不到系统的认可，即授权，他就无法进入该系统并进而访问系统资源。从这个意义来讲，身份认证是安全防御的第一道防线，它是防止非授权用户或进程进入计算机系统的有效安全保障措施。 身份认证即身份识别与验证(Identification and Authentication，简称IA)，是计算机安全的重要组成部分，它是大多数访问控制的基础，也是建立用户审计能力的基础。访问控制通常要求计算机系统能够识别和区分用户，而且通常是基于最小特权原理(Least Privilege Theorem)(系统中的每个主体执行授权任务时，仅被授予完成任务所必需的最小访问权限)。用户审计要求计算机系统上的各种活动与特定的个人相关联，以便系统识别出各用户。 8.2 身份认证的方法 识别是用户向系统提供声明身份的方法；验证则是建立这种声明有效性的手段。计算机系统识别用户依赖的是系统接收到的验证数据。这样验证就面临着这些考验：收集验证数据问题、安全地传输数据问题以及怎样知道使用计算机系统的用户就是当初验证通过的用户问题。目前用来验证用户身份的方法有： ● 用户知道什么(Something the User Knows)(秘密，如口令、个人身份号码(PIN)、密钥等) ● 用户拥有什么(Something the User Possesses)(令牌，如ATM卡或智能卡等) ● 用户是谁(Something the User is)(生物特征，如声音识别、手写识别或指纹识别等) 8.2.1 基于用户知道什么的身份认证 最普通的身份认证形式是用户标识(ID)和口令(Password)的组合，如图8-1所示。这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术，但也有其它技术，如密钥。 通常，口令系统的运作需要用户输入用户标识和口令(或PIN码)。系统对输入的口令与此前为该用户标识存储的口令进行比较。如果匹配，该用户就可得到授权并获得访问权。 口令的优点：口令作为安全措施已经很长时间并成功地为计算机系统提供了安全保护。它已经集成到很多操作系统中，用户和系统管理员对它非常熟悉。在可控环境下管理适当的话，口令系统可提供有效的安全保护。 口令存在的问题：口令系统的安全依赖于口令的必威体育官网网址性， 而用户为了方便记忆而在设置口令时常使用姓名拼音、生日、电话号码等，这样口令就会很容易地被猜出。另外只要用户访问一个新的服务器，都必须提供新口令。 8.2.2 基于用户拥有什么的身份认证 尽管某些身份认证技术是完全基于用户拥有什么，但是它在一定程度上还是和基于用户知道什么的技术结合在一起的，这种结合比单一地采用一种技术的安全性大大提高了(见图8-2)。通常，基于用户拥有什么的身份认证技术使用的是令牌，这里介绍两种令牌：记忆令牌和智能卡。 记忆令牌只存储信息，不对信息进行处理，令牌上信息的读取和写入是用专门的读/写设备来完成的。记忆令牌的最通用形式是磁卡(就像信用卡背面一样有一条磁条)。通常，用于计算机认证的记忆令牌是ATM卡，它是采用用户拥有什么(卡)和用户知道什么(身份识别码)的组合。 记忆令牌的优点在于：当它和身份识别码一起使用时比单独使用口令的机制更安全，因为攻击者很难获得这样的令牌以进入计算机系统。但是它也面临一些问题：需要专门的读取器；令牌的丢失问题等等。 智能卡通过在令牌中采用集成电路以增加其功能。同样智能卡还需要用户提供身份识别码或口令等基于用户知道的知识的认证手段。智能卡一般因其采用的物理特性、接口、协议的不同而不同。根据物理特性不同，智能卡分为信用卡型智能卡(内嵌微处理器)和类似计算器、钥匙、便携式物体的智能卡。对于接口来说，一般有人工接口和电子接口两种，人工接口多采用显示器或键盘式，而电子接口多采用专门的读写器。智能卡所采用的认证协议有静态的口令交换协议、动态口令生成协议、提问—应答式协议等。 8.2.3 基于用户是谁的身份认证 这种机制采用的是生物特征识别技术，它采用的是用户独特的生理特征来认证用户的身份。这些生理特征包括生理属性(如指纹、视网膜识别等)和行为属性