身份认证及访问控制.pdfVIP

电子商务信息安全技术 身份认证与访问控制 曹健 身份认证与访问控制 • 身份认证 • 访问控制 身份认证 必威体育官网网址性、可访问性 用户B 用户A 完整性、不可否认性 传送信息 接收信息 传输介质 transmission medium 截取 伪造 用户A’ 篡改 攻击 中断 用户B’ 入侵者C 身份认证 • 身份认证是验证主体的真实身份与其所声 称的身份是否符合的过程。 • 认证的结果只有两个：符合和不符合。 • 适用于用户、进程、系统、信息等。 • 应用实例：进入银行金库、登录到某台电 脑上、从ATM机上取款。 身份认证 身份认证系统的组成 • 出示证明的人，称作示证者P （Prover ），又称声 称者（Claimant ）。 • 验证者V （Verifier) ，检验声称者提出的证明的正 确性和合法性，决定是否满足要求。 • 第三方是可信赖者TP （Trusted third party)，参与 调解纠纷（在许多应用场合下没有第三方）。 身份认证 用户身份合法性的识别： （1）根据用户知道什么来判断 Something the user knows （2 ）根据用户拥有什么来判断 Something the user possesses （3 ）根据用户是什么来判断 Something the user is 身份认证 用户所知 （Something the user knows ） • 如：口令认证 • 简单，但不安全，容易遗忘 身份认证 不安全口令的种类： • 使用用户名(帐号)作为口令 • 使用用户名(帐号)的变换形式作为口令 • 使用自己或亲友的生日作为口令 • 使用学号、员工号码、身份证号作为口令 • 使用常用的英文单词作为口令 身份认证 安全口令的特点: （1）8位长度或更长 （2 ）必须包括大小写\数字字符\控制符 （3 ）设置一定的使用期 （4 ）不要太常见(如user, guest, admin等) 身份认证 身份认证 一次性口令(One-Time Password, OTP) • 自定义口令的问题 • 提出者——Leslie Lamport • 基本思想: OTP = H(用户名+ 秘密通行短语+ 随机数) • 实现机制： – 挑战/应答机制 – 口令序列（S/Key ）机制 – 时间同步 – 事件同步机制 身份认证 一次性口令(One-Time P