金融信息安全()-身份认证资料.pptVIP

金融信息安全工程-身份认证 李改成 lgc@ 主要内容 认证基础 身份认证原理 认证过程 身份认证操作模式 命名问题 基于口令的认证技术 口令猜测 口令信息的机密性措施 动态口令 生物特征识别技术 基于上下文的认证 认证码 电子签名与非否认性 基于业务凭证的认证 身份认证定义 身份认证，也称主体认证，就是将某个身份与某个主体进行绑定。 在信息系统中，身份认证在主体之间进行，某一成员提交一个主体身份并声称它是那个主体。 一个主体对另一个主体进行识别（identify），验明身份（proof of identity）。 主体分为验证方和证明方。基于不同的应用特点和使用环境，可以在单向认证或双向认证之间进行选择 身份认证是保护系统的第一道关卡，是实现访问控制、可追究性的前提条件。 认证方法 目前有多种提供认证的方法，其中一些需要使用密钥，而另一些则不需要。 主要的认证方法是基于下列原理中的一种或几种： （1）声称者证明他知道某事或某物。 例如口令，是个体向本地系统进行身份认证的最实用的机制之一； （2）声称者证明他拥有某事或某物，例如柜员IC卡、存折、银行卡。 通常通过声称者证明他知道与这些事物绑定的口令、密钥或个人识别号来达到“某人拥有某东西”这一断言。 （3）声称者展示某些不变的个体特征，例如指纹等； （4）声称者在某一特定场所或时间内提供证据 身份认证特征 身份认证满足注册性，共有性，独特性，一体性，主从性。 注册性 需要证明的主体特征预先设置或约定，即注册。“我有，我知道，我是什么”应在注册中体现。 注册性决定了一个验证主体管辖的证明方是有边界的。而不是无限的。 注册性是身份认证和客体认证的主要区别点。 共有性 强调验证方和证明方具有相同意义的“信物”。 共有性原则应解释为：“你有的我也有，你知道的我也知道，你是什么的叙述跟我掌握的一样”。 独特性 “信物”的综合特证是唯一的。有别于其它主体的特征。 特征的粒度按业务性质可以不同。在敌友识别系统中，只识别敌友双方即可，有的系统则要识别到具体的人，如身份证号或用户名等。 一体性 证明方必须具有主体和证件的一体性证据。如照片或人脑中的口令等，将证明主体和证件结合成一体化。 用于一体性证明的技术有两种 一种是基于主体的生物特征 另一种是基于主体的逻辑特征。在信息系统中往往采用逻辑特征值，如口令或密钥参数。 主从性 验证主体和证明主体构成主从关系。 主体间互相认证，表面看起来是平等关系，但A方验证B方时，A方是主主体，而B方是从主体，而B方验证A方时，B方成为主主体，A方成为从主体。就一个主体的验证过程来说，不会形成平等关系。 主从关系以登记，发证的形式体现。 从属关系规定了发证的合法性和有效域。一个系统只能对自己管辖的主体发证，而一个主体的证件只能在所属系统范围内有效。从安全理论的角度，这种关系是单层的，而不能是多层的。 身份认证系统 认证设施 计算机必须存储实体的某些信息，同时必须具有管理这些信息的机制。 认证设施分为两类： 1．与管理有关的设施：有初始化、改变认证信息、分发、禁止、恢复和删除。 2．与操作有关的设施：有获取、验证和生成。这些设施为认证提供直接的支持，可以把它们实现为应用程序接口（API），有助于认证软件的模块化。 例如，与具体安全机制无关的标准接口可以这样实现：声称者调用generate() 生成例程，验证者调用verify () 验证例程，双方都可调用acquire() 获取信息例程。 保护认证系统 认证操作模式 身份认证可以设置在下列分层级的任何一级上： 应用级 身份认证可以直接地和一个应用关联向相联系，即属于同一组织的成员可以被认证。 如果身份认证的目的是支持基于身份的访问控制或责任，应用级是最合适的； 端系统级 两端之间的进程认证。 在支持基于规则的访问控制方面具有重要作用。 子网络级： 一端的一个子网络附着点和另一端的正确的子网络附着点之间的认证。 基于身份认证中各主体的参与情况，身份认证可划分为以下模式： 1．基本模型 用于没有可信第三方的场合。 2．内联式模型 主体的身份被中间者认证，然后中间者为它提供担保。中间者包含双方的认证信息。 在封闭式业务网络中，后台服务程序不须进行操作员认证工作，而由用户登录的计算机来管理用户的认证。 在半开放系统中，对发来请求的主机进行认证，对每台认证过的主机的用户不进行认证。它可以用于大型企业不同应用域之间的互联系统中。 3．有在线认证服务器，或者声称者从它获得一个通行证，并传给验证者；或者验证者同服务器进行交互以完成认证。 例如，前述的Kerberos 协议 4．有离线服务器，例如颁发证书的目录服务。 ISO/IEC 9798-3 ?是基于公钥密码技术的身份认证方面的标准。 身份与