文档介绍:第四章身份认证
认证的基本原理
认证协议
典型的认证应用
介绍三个概念:
(1)    认证(Authentication):在做任何动作之前必须要有方法来识别动作执行者的真实身份。
(2)    授权(Authorization):指当用户身份被确认合法后,赋予该用户进行文件和数据等操作的权限。
(3)    审计(Auditing):每个人都该为自己所做的操作负责,所以在做完事情之后都要留下记录,以便核查责任。
身份认证概述
在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。
认证是对网络中的主体进行验证的过程,用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如交易过程)。
认证( authentication )是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization )不同。
认证的基本原理
在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。
认证是对网络中的主体进行验证的过程,用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如交易过程)。
认证( authentication )是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization )不同。
通常有三种方法验证主体身份。
1)是只有该主体了解的秘密,如口令、密钥;
2)是主体携带的物品,如智能卡和令牌卡;
3)是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜图或签字等。
单独用一种方法进行认证不充分
身份认证系统架构包含三项主要组成元件:
认证服务器(Authentication Server)
负责进行使用者身份认证的工作,服务器上存放使用者的私有密钥、认证方式及其他使用者认证的信息。
认证系统用户端软件(Authentication Client Software)
认证系统用户端通常都是需要进行登陆(login)的设备或系统,在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。
认证设备(Authenticator)
认证设备是使用者用来产生或计算密码的软硬件设备。
1. 口令机制
用户名/口令认证技术:最简单、最普遍的身份识别技术,如:各类系统的登录等。
口令具有共享秘密的属性,是相互约定的代码,只有用户和系统知道。例如,用户把他的用户名和口令送服务器,服务器操作系统鉴别该用户。
口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。
口令有多种,如一次性口令;还有基于时间的口令
用户名/口令具有实现简单的优点,但存在以下安全缺点:
1、大多数系统的口令是明文传送到验证服务器的,容易被截获。某些系统在建立一个加密链路后再进行口令的传输以解决此问题,如配置链路加密机。
2、口令维护的成本较高。为保证安全性,口令应当经常更换。另外为避免对口令的字典攻击,口令应当保证一定的长度,并且尽量采用随机的字符。但缺点是难于记忆。
3、口令容易在输入的时候被攻击者偷窥,而且用户无法及时发现。
简单和安全是互相矛盾的两个因素。
2. 数字证书
这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。
非对称体制身份识别的关键是将用户身份与密钥绑定。CA(Certificate Authority)通过为用户发放数字证书(Certificate)来证明用户公钥与用户身份的对应关系。
验证者向用户提供一随机数;用户以其私钥KS对随机数进行签名,将签名和自己的证书提交给验证方;验证者验证证书的有效性,从证书中获得用户公钥KP,以KP验证用户签名的随机数。