网络安全概论——身份认证
一、身份证明
身份证明可分为以下两大类
- 身份验证——“你是否是你所声称的你?”
- 身份识别——“我是否知道你是谁?”
身份证明系统设计的三要素:
- 安全设备的系统强度
- 用户的可接受性
- 系统的成本
实现身份证明的基本途径
- 所知:个人所知道的或所掌握的知识,如密码、口令等。
- 所有:个人所具有的东西,如身份证、护照、信用卡、钥匙等。
- 个人特征:如指纹、笔迹、声纹、视网膜、虹膜、DNA及个人一些动作方面的特征等。
二、口令认证系统
口令是一种根据已知事物验证身份的方法,也是一种被广泛使用的身份验证方法。
一次性口令验证:在登录过程中,加入不确定的因素,通过某种算法,使没次登录时用户所使用的密码不同。
根据不确定性因素的选择不同,一次性口令系统可以分为不同的类型
1、口令的控制措施
- 系统消息
- 限制试探次数
- 口令有效期
- 双口令系统
- 最小长度
- 封锁用户系统
- 根(Root)口令的保护
- 系统生成口令
5、先验口令检验和后验口令检验
先验口令检验:允许用户自己选择口令,在 选择之后,系统将检验该口令是否符合安全规则,如果不是那么将拒绝该口令,用户需要重新选择。
后验口令检验:由系统周期性的运行后台的口令破解程序来检验口令的安全性,对于易于猜测的口令系统将通知用户更换并删除该口令。
后验口令检验将消耗大量系统资源,并且在检测出易猜系统将存在风险隐患,安全性较低。先验口令检验与之相比系统能及时拒绝存在隐患的口令,但是如果安全规则设置过于复杂,将出现能力和安全强度之间的失衡。目前最常采用先验口令检验。
三、个人特征的身份证明技术
- 手书签字验证
- 指纹验证
- 语音验证
- 视网膜图样验证
- 虹膜图样验证
- 脸型验证
四、一次性口令认证
1、挑战/响应机制
2、口令序列(S/key)机制
3、时间同步机制
4、事件同步机制
挑战/响应机制,口令序列机制在认证过程中,客户端和服务器信息交换次数多,通信量大。而其他两种,无需频繁传递信息,通信量小。
挑战/响应机制容易输入失误,且通信量大,更容易被截取,安全性弱。口令序列(S/key)机制只对用户的单方面验证,容易受到欺骗。其他两种都加入随机信息和密钥最为不确定因素,安全性高。
基于时间的令牌中的可变因子是当前的时间,基于事件的令牌的可变因子是计数器值。
五、基于证书的认证
工作原理
- 生成、存储与发布数字证书
- 登录请求
- 服务器随机生成挑战值
- 用户对随机挑战值签名
- 服务器向用户返回相应的消息