信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 作者 彭新光 王峥 第3章 身份认证与访问控制.pptVIP

第3章 身份认证与访问控制 引 言 在安全的信息访问中，通信双方必须通过某种形式来判明和确认对方或双方的真实身份，确认身份后要根据身份设置对系统资源的访问权限，以实现不同身份用户合法访问信息资源。 3.1 身份认证技术概述 身份认证的定义 身份认证（Identity Authentication）就是通过对身份标识的鉴别服务来确认身份及其合法性。 鉴别服务的目的在于保证身份信息的可靠性，就是要保证信息接收方接收的消息确实是从它声明的来源发出的。 身份认证的方法大体上分为： 基于信息秘密的身份认证 基于信任物体的身份认证 基于生物特征的身份认证。 身份标识与鉴别 身份标识 身份标识就是能够证明用户身份的用户独有的特征标志，此特征标志要求具有唯一性，如身份证、户口簿、护照、公章、驾照、健康卡，还有网络上使用的网络身份证等。 单因素身份标识包含一条身份信息；而多因素身份标识包含多条身份信息 ID（英文Identity的缩写）也称为序列号或账号，是身份标识特征信息中相对唯一的编码，相当于是一种“身份证编号”。 身份标识与鉴别 鉴别 鉴别是对通信的对方发来的信息验证从而确定信息是否合法的过程。通常分为身份鉴别和报文鉴别。 身份鉴别：网络系统两个实体建立连接或数据传输阶段，对对方实体的合法性、真实性进行确认，防止非法用户或通过伪造和欺骗身份等手段冒充合法用户，从而保证身份的可靠性。 报文鉴别：报文鉴别是在用于确保数据发自真正的源点同时，还要鉴别报文的真伪，防止收到的报文被篡改、假冒和伪造，保证报文在通信中的完整性。 身份认证的过程 基于信息秘密的身份认证 基于信息秘密的身份认证是根据双方共同所知道的秘密信息来证明用户的身份（what you know），并通过对秘密信息鉴别验证身份。 1．网络身份证 2．静态口令 3．一次性口令认证 一次性口令认证 一次性口令认证也称为动态口令的认证，是一种按时间和使用次数来设置口令，每个口令只使用一次，口令不断变化的认证方法。 动态口令认证的优点： ① 无须定期修改口令，方便管理； ② 一次一口令，有效防止黑客一次性口令窃取就获得永久访问权； ③ 由于口令使用后即被废弃，可以有效防止身份认证中的重放攻击。 动态口令认证的缺点： ① 客户端和服务器的时间或次数若不能保持良好同步，可能发生合法用户无法登录； ② 口令是一长串较长的数字组合，一旦输错就得重新操作。 动态口令认证方法已被广泛运用在网银、网游、电信运营商、电子政务、企业等应用访问系统中。 基于信任物体的身份认证 基于生物特征的身份认证 生物特征识别过程 ① 采样：生物识别系统捕捉到生物特征的样品，并对采样的数据进行初步的处理，将初步处理的样品保存起来。 ② 提取特征信息：设备提取采样中唯一的生物特征信息，并转化成需要的数字格式。 ③ 特征入库：认证以前要提前将特征信息连同其他用户身份信息如ID或PIN等存储到特征数据库。 ④ 特征识别：生物特征识别有两种识别方法是验证和辨识，验证采用完整的样品比对；而辨识即将读取到的用户的生物特征信息，与特征数据库中的数据进行比较，计算出它们的相似程度，看是否匹配来识别用户身份。 指纹身份认证 指纹特征 一个人的指纹是唯一的，即使是双胞胎的指纹也不相同。 人的指纹有两类特征：全局特征和局部特征。要区分任意两枚指纹仅依靠全局特征是不够的，还需要通过局部特征的位置、数目、类型和方向才能唯一地确定。 指纹的特征识别步骤： （1）图像采集 （2）图像预处理 （3）细节特征的提取 （4）特征信息入库 （5）匹配及识别 虹膜身份认证 视网膜身份认证 人的视网膜上面血管的图样可以利用光学方法透过人眼晶体来测定。视网膜识别技术要求激光照射眼球的背面以获得视网膜特征的唯一性。 视网膜身份认证的优点是： ①耐久性：视网膜是一种极其固定的生物特征，因为它是“隐藏”的，故而不易磨损，老化或是为疾病影响； ②非接触性的：视网膜是不可见的，故而不会被伪造。 缺点是视网膜技术未经过任何测试，可能会给使用者带来健康的损坏，这需要进一步的研究；对于消费者，视网膜技术没有吸引力；很难进一步降低它的成本。 语音身份认证 任何两个人的声纹频谱图都有差异，语音身份认证，就是通过对所记录的语音与被鉴人声纹的比较，进行身份认证。 视网膜身份认证的优点是： ①语音识别作为一种非接触式的识别系统，用户可以很自然地接受， ②声音进行采样，滤波等数字化处理相对成熟。 缺点：但声音变化的范围太大，音量、速度和音质的变化会影响到采集的结果，这样直接影响比对的结果。另外，声音识别系统还很容易被录在磁带上的声音欺骗，这样降低了语音识别系统的安全可靠性。 基于生物特征的身份认证的优点 相比其他认证方法有下列优点