信息安全导论 印润远 第11章 身份认证与访问控制新.pptVIP

第11章　身份认证与访问控制 11.1 口令识别法 11.2 特征识别 11.3 识别过程 11.4 身份识别技术的评估 11.5 访问控制 思考题 11.1 口令识别法 11.1.1 用户识别方法分类 11.1.2 不安全口令的分析 11.1.3 一次性口令 11.1.4 Secur ID卡系统 11.1.1 用户识别方法分类 1. 用户识别的方法 （1）根据用户知道什么来判断。如果用户能说出正确的口令，则说明他是真的，如经典的UNIX口令系统。 （2）根据用户拥有什么来判断。如果用户能提供正确的物理钥匙，则说明他是真的，如普通的门钥匙和磁卡钥匙。 （3）根据用户是什么来判断。如果用户生理特征与记录相符，则说明他是真的，如指纹、声音、视网膜等。 2. 隐患 网络上的用户识别系统存在一种隐患，就是当用户反复登录时，同一口令可以重复使用，在网络传输时很容易被截获或被盗用。因为用户输入的账号和口令都是以明文形式在网络上传输的。一些口令“嗅探软件”，可以用来截获口令，冒充用户身份登录。 3. 解决办法 采用一次性口令系统。由于口令只使用一次，使用过后随即失效，在网络上截获一条口令毫无意义。因为当口令被截获时，它已经宣告作废了。一次性口令系统可以极大地提高计算机网络系统和电子商务应用系统的安全性。 11.1.2 不安全口令的分析 1．使用用户名（账号）作为口令 ； 2．使用用户名（账号）的变换形式作为口令； 3. 使用自己或者亲友的生日作为口令 ； 4. 使用学号、身份证号、单位内的员工号码等作为口令； 5. 使用常用的英文单词作为口令 。 11.1.3 一次性口令 1．一次性口令的特点 （1）概念简单，易于使用。 （2）基于一个被记忆的密码，不需要任何附加的硬件。算 （3）法安全。 （4）不需要存储诸如密钥、口令等敏感信息。 2．一次性口令的原理 一次性口令是基于客户/服务器模式的，它有操作的两方，一方是用户端，它必须在一次登录时生成正确的一次性口令；另一方是服务器端，一次性口令必须被验证。一次性口令的生成和认证都是基于公开的单向函数，如MD5、MD4。 3．一次性口令协议 （1）用户输入登录名和相关身份信息ID。 （2）如果系统接受用户的访问，则给用户传送一次性口令建立所使用的单向函数及一次性密码，这种传送通常采用加密方式。 （3）用户选择“种子”密钥x，并计算第一次访问系统的口令 。向第一次正式访问系统所传送的数据为（k,z）。 （4）系统核对k，若正确，则将（ID，f n (x) ）保存。 （5）当用户第二次访问系统时，将（ ID，f n-1 (x) ）送系统。系统计算 ，将其与存储的数据对照，如果一致，则接受用户的访问，并将（ID, f n-1 (x) ）保存。 （6）当用户第三次访问系统时，将（ ID, f n-2 (x) ）送系统。系统计算f (f n-2 (x) )，将其与存储的数据对照，如果一致，则接受用户的访问，并保存新计算的数据。 （7）当用户每一次想要登录时，函数相乘的次数只需-1。 11.1.4 Secur ID卡系统 1. 基于时间的一次性口令系统 SecurID卡片是个带有液晶显示屏的卡片，显示每分钟变换一次。用户使用Telnet和ftp来登录时，要输入账号和口令，以及SecurID卡片上的显示码。如果账号名、用户口令和SecurID显示码正确，则用户登录成功，否则失败。 2. 不足 SecurID系统在用户登录时要用到卡片时钟和登录系统时钟，所以为了保证卡片时间和系统时间的一致，系统服务器必须考虑卡片时钟的缓慢漂移，从而作相应的调整。 11.2 特征识别 11.2.1 签名识别法 11.2.2 指纹识别技术 11.2.3 语音识别系统 11.2.4 网膜图像识别系统 1. 机器识别 （1）应用较广的机器识别技术 ? 签名识别法； ? 指纹识别法； ? 语音识别法。 （2）应用较少的机器识别技术 ? 使用头盖骨的轮廓（机器骨相学）； ? 唇印； ? 脚印； ? 利用人体骨骼对物理刺激的反应进行身份识别。 2. 系统误差 （1）对人体物理特征的测量可能会出现多次测量结果不一致的情况，所以，一个实用系统必须考虑到这一点并允许测量误差的存在。但由此产生的问题是，随着所允许的误差范围的扩大，不同个人之间产生混淆的几率也越大。 （2）