本科网络安全与保密第8章.pdf

第8章 身份认证及其应用 第8章 身份认证及其应用 8.1 引言 8.2 身份认证的方法 8.3 第三方认证 8.4 X.509 8.5 数字证书 8.6 验证证书 8.7 CA系统结构 习 题 第8章 身份认证及其应用 8.1 引 言 从对计算机系统或网络的一般访问过程来看，身份 认证是用户获得访问权限的第一步。如果用户身份得 不到系统的认可，即授权，他就无法进入该系统并进 而访问系统资源。从这个意义来讲，身份认证是安全 防御的第一道防线，它是防止非授权用户或进程进入 计算机系统的有效安全保障措施。 第8章 身份认证及其应用 身份认证即身份识别与验证(Identification and Authentication ，简称IA)，是计算机安全的重要组成 部分，它是大多数访问控制的基础，也是建立用户审 计能力的基础。访问控制通常要求计算机系统能够识 别和区分用户，而且通常是基于最小特权原理(Least Privilege Theorem)(系统中的每个主体执行授权任务 时，仅被授予完成任务所必需的最小访问权限) 。用户 审计要求计算机系统上的各种活动与特定的个人相关 联，以便系统识别出各用户。 第8章 身份认证及其应用 8.2 身份认证的方法 识别是用户向系统提供声明身份的方法；验证则 是建立这种声明有效性的手段。计算机系统识别用户 依赖的是系统接收到的验证数据。这样验证就面临着 这些考验：收集验证数据问题、安全地传输数据问题 以及怎样知道使用计算机系统的用户就是当初验证通 过的用户问题。目前用来验证用户身份的方法有： 第8章 身份认证及其应用 ● 用户知道什么(Something the User Knows)(秘密，如口 令、个人身份号码(PIN)、密钥等) ● 用户拥有什么(Something the User Possesses)(令牌，如 ATM卡或智能卡等) ● 用户是谁(Something the User is)(生物特征，如声音识 别、手写识别或指纹识别等) 第8章 身份认证及其应用 8.2.1 基于用户知道什么的身份认证 最普通的身份认证形式是用户标识(ID)和口令 (Password)的组合，如图8-1所示。这种技术仅仅依赖 于用户知道什么的事实。通常采用的是基于知识的传 统口令技术，但也有其它技术，如密钥。 第8章 身份认证及其应用 ①用户输入名字和口令 Web服务器 ④服务器对已经认 证用户进行授权 ②客户发送名字和口令 ③服务器使用口令来认证用户身份 图8-1 基于用户名和口令的身份认证 第8章 身份认证及其应用 通常，口令系统的运作需要用户输入用户标识和口 令(或PIN码) 。系统对输入的口令与此前为该用户标识 存储的口令进行比较。如果匹配，该用户就可得到授 权并获得访问权。 口令的优点：口令作为安全措施已经很长时间并成 功地为计算机系统提供了安全保护。它已经集成到很 多操作系统中，用户和系统管理员对它非常熟