身份认证及其应用资料.ppt

身份认证即身份识别与验证(Identification and Authentication，简称IA)，是计算机安全的重要组成部分，它是大多数访问控制的基础，也是建立用户审计能力的基础。访问控制通常要求计算机系统能够识别和区分用户，而且通常是基于最小特权原理(Least Privilege Theorem)(系统中的每个主体执行授权任务时，仅被授予完成任务所必需的最小访问权限)。用户审计要求计算机系统上的各种活动与特定的个人相关联，以便系统识别出各用户。 ;2 身份认证的方法;● 用户知道什么(Something the User Knows)(秘密，如口令、个人身份号码(PIN)、密钥等) ● 用户拥有什么(Something the User Possesses)(令牌，如ATM卡或智能卡等) ● 用户是谁(Something the User is)(生物特征，如声音识别、手写识别或指纹识别等) ; 2.1 基于用户知道什么的身份认证 最普通的身份认证形式是用户标识(ID)和口令(Password)的组合，如图1所示。这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术，但也有其它技术，如密钥。 ;图1 基于用户名和口令的身份认证; 通常，口令系统的运作需要用户输入用户标识和口令(或PIN码)。系统对输入的口令与此前为该用户标识存储的口令进行比较。如果匹配，该用户就可得到授权并获得访问权。 口令的优点：口令作为安全措施已经很长时间并成功地为计算机系统提供了安全保护。它已经集成到很多操作系统中，用户和系统管理员对它非常熟悉。在可控环境下管理适当的话，口令系统可提供有效的安全保护。 ; 口令存在的问题：口令系统的安全依赖于口令的必威体育官网网址性， 而用户为了方便记忆而在设置口令时常使用姓名拼音、生日、电话号码等，这样口令就会很容易地被猜出。另外只要用户访问一个新的服务器，都必须提供新口令。 ; 2.2 基于用户拥有什么的身份认证 尽管某些身份认证技术是完全基于用户拥有什么，但是它在一定程度上还是和基于用户知道什么的技术结合在一起的，这种结合比单一地采用一种技术的安全性大大提高了(见图2)。通常，基于用户拥有什么的身份认证技术使用的是令牌，这里介绍两种令牌：记忆令牌和智能卡。 ;图2 基于数字证书的身份认证; 记忆令牌只存储信息，不对信息进行处理，令牌上信息的读取和写入是用专门的读/写设备来完成的。记忆令牌的最通用形式是磁卡(就像信用卡背面一样有一条磁条)。通常，用于计算机认证的记忆令牌是ATM卡，它是采用用户拥有什么(卡)和用户知道什么(身份识别码)的组合。 记忆令牌的优点在于：当它和身份识别码一起使用时比单独使用口令的机制更安全，因为攻击者很难获得这样的令牌以进入计算机系统。但是它也面临一些问题：需要专门的读取器；令牌的丢失问题等等。 ; 智能卡通过在令牌中采用集成电路以增加其功能。同样智能卡还需要用户提供身份识别码或口令等基于用户知道的知识的认证手段。智能卡一般因其采用的物理特性、接口、协议的不同而不同。根据物理特性不同，智能卡分为信用卡型智能卡(内嵌微处理器)和类似计算器、钥匙、便携式物体的智能卡。对于接口来说，一般有人工接口和电子接口两种，人工接口多采用显示器或键盘式，而电子接口多采用专门的读写器。智能卡所采用的认证协议有静态的口令交换协议、动态口令生成协议、提问—应答式协议等。 ; 2.3 基于用户是谁的身份认证 这种机制采用的是生物特征识别技术，它采用的是用户独特的生理特征来认证用户的身份。这些生理特征包括生理属性(如指纹、视网膜识别等)和行为属性(如声音识别、手写签名识别等)。这些技术已经应用到了计算机的登录程序中。 虽然这种技术比前两种认证技术有着更好的安全性，但是这种技术还不是很成熟，而且实际使用过程中的稳定性不是很好，并且费用很高，有待于进一步的研究和开发，以便能广泛地应用于身份认证中。 ;3 第三方认证; Kerberos的缺点是它在实体之间的IA仅依靠密钥技术，或对称密码系统。近年来，Kerberos的扩充也支持了X.509认证。X.509标准是由国际标准化组织(International Standards Organization, ISO)开发的许多标准中的一部分，其目标就是要解决分布式计算的安全问题。X.509认证是基于公开密钥，或者非对称密码系统的，它克服了Kerberos存在的问题。 ; 3.1 Kerberos概述