文档介绍:第7讲身份认证
主讲:谢昕
2
课程主要内容
身份认证
Kerberos认证系统
零知识证明
3
1、身份认证概述
身份认证又称作识别(Identification)、实体认证(Entity Authentication)、身份证实(Identity Verification)等。
它与消息认证的区别在于:身份认证一般都是实时的,而消息认证本身不提供时间性;另一方面,身份认证通常证实身份本身,而消息认证除了认证消息的合法性和完整性外,还要知道消息的含义。
4
1)身份证明系统组成
一方是出示证件的人,称作示证者P(Prover),提出某种要求;另一方为验证者V(Verifier),检验示证者提出的证件的正确性和合法性,决定是否满足其要求;
第三方是攻击者,可以窃听和伪装示证者,骗取验证者的信任。认证系统在必要时也会有第四方,即可信赖者参与调解纠纷。
此类技术为身份证明技术,
1、身份认证概述
5
(1)验证者正确识别合法示证者的概率极大化。
(2)不具可传递性,验证者B不可能重用示证者A提供给他的信息来伪装示证者A,而成功地骗取其他人的验证,从而得到信任。
(3)攻击者伪装示证者欺骗验证者成功的概率要小到可以忽略的程度,特别是要能抗击已知密文攻击,即能抗攻击者在截获到示证者和验证者多次(多次式表示)通信下伪装示证者欺骗验证者。
1、身份认证概述
2)对身份证明系统的要求
6
(4)计算有效性,为实现身份证明所需的计算量要小。
(5)通信有效性,为实现身份证明所需通信次数和数据量要小。
(6)秘密参数能安全存储。
(7)交互识别,有些应用中要求双方能互相进行身份认证。
(8)第三方的实时参与,如在线公钥检索服务。
(9)第三方的可信赖性。
(10)可证明安全性。
1、身份认证概述
7
3)身份证明分两大类
(1)身份证实
即只对个人身份进行肯定或否定。一般方法是输入个人信息,经运算所得的结果与从卡上或库中存的信息经公式和算法运算所得结果进行比较,得出结论。
(2)身份识别
一般方法是输入个人信息,经处理提取成模板信息、试着在存储数据库“中搜索找出一个与之匹配的模板,而后给出结论。
1、身份认证概述
8
4)实现身份证明的基本途径
所有
(Possesses )
所知
(Knowledge)
个人特征
(characteristics)
所知。个人所知道的或所掌握的知识,如密码、口令等。
所有。个人所具有的东西,如身份证、护照、信用卡、钥匙等。
个人特征。身份证明的基本途径指纹、笔迹、声纹、手型、脸型、血型、视网膜、虹膜、DNA以及个人一些动作方面的特征等。
根据安全水平。系统通过率、用户可接受性、成本等因素,可以
选择适当的组合设计实现一个自动化身份证明系统。
1、身份认证概述
9
口令认证:
最简单、最普遍的身份识别技术,如:各类系统的登录等口令具有共享秘密的属性,口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令;还有基于时间的口令。
2、身份认证----口令认证
10
这种方法的缺点是:
1、安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,因此这种方案不能抵御口令猜测攻击。
2、大多数系统的口令是明文传送到验证服务器的,容易被截获。
3、口令维护的成本较高。为保证安全性口令应当经常更换。为避免对口令的字典攻击,口令应当保证一定的长度,并且尽量采用随机的字符。但缺点是难于记忆。
4、口令容易在输入时被攻击者偷窥,且用户无法及时发现。
1、身份认证----口令认证