11保障与安全身份认证.pptVIP

2008-04-11 2008-04-11 信息保障与安全11身份认证 及其应用 1 引 言 从对计算机系统或网络的一般访问过程来看，身份认证是用户获得访问权限的第一步。如果用户身份得不到系统的认可，即授权，他就无法进入该系统并进而访问系统资源。从这个意义来讲，身份认证是安全防御的第一道防线，它是防止非授权用户或进程进入计算机系统的有效安全保障措施。 认证机制是网络安全的基本机制，网络设备之间应互相认证对方身份，以保证赋予正确的操作权力和数据的存取控制。网络也必须认证用户的身份，以保证正确的用户进行正确的操作并进行正确的审计。 1 引 言 在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。 认证( authentication )是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization )不同。 在网络中认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员，某个组织的代理、某个软件过程（如交易过程）。 2 身份认证的方法 识别是用户向系统提供声明身份的方法；验证则是建立这种声明有效性的手段。计算机系统识别用户依赖的是系统接收到的验证数据。这样验证就面临着这些考验：收集验证数据问题、安全地传输数据问题以及怎样知道使用计算机系统的用户就是当初验证通过的用户问题。目前用来验证用户身份的方法有： ● 用户知道什么(Something the User Knows)(秘密，如口令、个人身份号码(PIN)、密钥等) ● 用户拥有什么(Something the User Possesses)(令牌，如ATM卡或智能卡等) ● 用户是谁(Something the User is)(生物特征，如声音识别、手写识别或指纹识别等) 2.1 基于用户知道什么的身份认证 最普通的身份认证形式是用户标识(ID)和口令(Password)的组合，如图1所示。这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术，但也有其它技术，如密钥。 通常，口令系统的运作需要用户输入用户标识和口令(或PIN码)。系统对输入的口令与此前为该用户标识存储的口令进行比较。如果匹配，该用户就可得到授权并获得访问权。 口令的优点：口令作为安全措施已经很长时间并成功地为计算机系统提供了安全保护。它已经集成到很多操作系统中，用户和系统管理员对它非常熟悉。在可控环境下管理适当的话，口令系统可提供有效的安全保护。 口令存在的问题：口令系统的安全依赖于口令的必威体育官网网址性， 而用户为了方便记忆而在设置口令时常使用姓名拼音、生日、电话号码等，这样口令就会很容易地被猜出。另外只要用户访问一个新的服务器，都必须提供新口令。 2.2 基于用户拥有什么的身份认证 尽管某些身份认证技术是完全基于用户拥有什么，但是它在一定程度上还是和基于用户知道什么的技术结合在一起的，这种结合比单一地采用一种技术的安全性大大提高了(见图2)。通常，基于用户拥有什么的身份认证技术使用的是令牌，例如：记忆令牌和智能卡。 这种机制采用的是生物特征识别技术，它采用的是用户独特的生理特征来认证用户的身份。这些生理特征包括生理属性(如指纹、视网膜识别等)和行为属性(如声音识别、手写签名识别等)。这些技术已经应用到了计算机的登录程序中。 虽然这种技术比前两种认证技术有着更好的安全性，但是这种技术还不是很成熟，而且实际使用过程中的稳定性不是很好，并且费用很高，有待于进一步的研究和开发，以便能广泛地应用于身份认证中。 2.3 基于用户是谁的身份认证 基于零知识证明的识别技术 零知识证明的基本思想： 是向别人证明你知道某种事物或具有某种东西，而且别人并不能通过你的证明知道这个事物或这个东西，也就是不泄露你掌握的这些信息。零知识证明条件包括： 最小泄露证明(Minimum Disclosure proof)和零知识证明(Zero Knowledge proof)。 基于零知识证明的识别技术 零知识证明的系统原理： 用P表示示证者，V表示验证者，要求： （1）示证者P几乎不可能欺骗验证者，若P知道证明，则可使V几乎确信P知道证明；若P不知道证明，则他使V相信他知道证明的概率接近于零。 （2）验证者几乎不可能得到证明的信息，特别是他不可能向其他人出示此证明