第七章身望份认证.pptVIP

第七讲 身份认证 讲授内容 身份认证基础 身份认证协议 身份认证的实现 身份认证基础 基本概念 身份识别：指申请者向系统出示自己身份的证明过程，通常是获得系统服务所必需的第一道关卡；是证实主体的真实身份与其所声称的身份是否相符的过程。 身份识别技术能使申请者识别到自己的真正身份，确保申请者的合法权益，它是社会责任制的体现和社会管理的需要。 通过特定的算法和协议来实现。 身份认证物理基础 用户所知道的，如：密码和口令 用户所拥有的，如：身份证、护照等 用户的生物特征，如：指纹、虹膜、 DNA、声纹等 通行字认证系统：（1）基本概念 通行字（口令）是一种根据已知事物验证身份的方法，也是一种最为广泛研究和使用的身份识别方法。 在实际的安全系统中，还要考虑和规定口令的选择方法、使用期限、字符长度、分配和管理以及在计算机系统中的安全保护等。不同安全水平的计算机系统要求也不相同。 示例 在一般非保密的联机系统中，多个用户可共用一个口令，这样的安全性很低了。 可以给每个用户分配不同的口令，以加强这种系统的安全性。但这样的简单口令系统的安全性始终是不高的。 在安全性要求比较高的系统中，可以要求口令岁时间的变化而变化，这样每次接入系统时都是一个新的口令，即实现动态口令。这样可以有效防止重传攻击。 还有通常的口令保存都采取密文的形式，即口令的传输和存储都要加密，以保证其安全性 通常口令的选择原则 1、易记 2、难以被别人发现和猜中 3、抗分析能力强 ? 通常口令的选择原则 为防止口令被猜中以通行短语（Pass phrass）代替口令，通过密钥碾压（Key Crunching）技术，如杂凑函数（后面将详细介绍），可将易于记忆足够长的口令变换为较短的随机性密钥。 口令分发的安全也是口令系统安全的重要环节，通常采用邮寄方式，安全性要求较高时须派可靠的信使传递。为了安全常常限定输入口令的次数以防止猜测的攻击等。 （2）口令的控制措施 1/3 （1）系统消息。一般系统在联机和脱机时都显示一些礼貌性用语，而成为识别该系统的线索，因此这些系统应当可以控制这类消息的显示。而口令是一定不能被现实出来的。 （2）限制试探次数。不成功口令的发送一般限制3至6次，超过限定次数，系统将对该用户的身份ID进行锁定，直到重新授权才再开启。 （3）口令的使用设定有效期。一旦某个口令的使用超过有效期将作废，重新设定新口令。 （2）口令的控制措施 (2/3) （4）双口令系统。允许联机是一个口令，允许接触敏感信息还需要另外一个口令。 （5）规定最小长度。限制口令至少为6到8个字节以上，为防止猜测成功概率过高，还可采用掺杂或采用通行短语等加长和随机化。 （6）封锁用户系统。可以对长期未联机用户或口令超过使用期限的用户ID封锁。直到用户重新被授权。 （2）口令的控制措施 3/3 （7）根口令的保护。根（root）口令一般是系统管理员访问系统所用口令，由于系统管理员被授予的权力远大于一般用户，因此它自然成为攻击的目标。从而在选择和使用中要倍加保护。要求必须采用16进制字符串、不能通过网络传送、要经常更换等。 （8）系统生成口令。有些系统不允许用户自己选定口令，而由系统生成、分配口令。系统如何生成易于记忆又难以猜中的口令是要解决的一个关键问题。如果口令难以记忆，则用户要写下来，则增加了暴露的危险；另一危险是若口令生成算法被窃，则危及整个系统的安全。 （3）口令的安全存储 对于用户的口令多以加密的形式存储，入侵者要得到口令，必须知道加密算法和密钥。算法可能是公开的，但密钥应当只有管理者才能知道。 许多系统可以存储口令的单向杂凑值，入侵者即使得到此杂凑值也难以获得真正的口令。 利用智能卡来保存口令。这种口令本质上是一个随机数生成器，可以用安全服务器以软件方法生成。 2 智能卡在个人身份证明中的作用(1) 智能卡通常被称为IC卡、智慧卡、聪明卡，英文名称为smart card 或“Integrated Circuit Card”，是1970年由法国人Roland Moreno发明的，同年日本发明家Kunitaka Arimura取得了首项智能卡的专利，距今已有近30多年的历史了。 智能卡在个人身份证明中的作用(2) 定义 它是一种芯片卡，又名CPU卡，是由一个或多个集成电路芯片组成，并封装成便于人们携带的卡片，在集成电路中具有微电脑CPU和存储器。 智能卡具有暂时或永久的数据存储能力，其内容可供外部读取或供内部处理和判断之用，同时还具有逻辑处理功能，用于识别和响应外部提供的信息和芯片本身判定路线和指令执行的逻辑功能。 计算芯片镶