第8章 身份认证.ppt

第8章身份认证技术,主要内容,一、身份认证的定义二、身份认证技术分类三、几种主要的身份认证技术四、身份认证产品五、身份认证技术的发展趋势,一、定义,身份认证是指计算机及网络系统确认操作者身份的过程。也就是证实用户的真实身份与其所声称的身份是否符合的过程。在计算机网络这个虚拟的数字世界中，一切信息包括用户的身份信息都是由一组特定的数据表示，计算机只能识别用户的数字身份，给用户的授权也是针对用户数字身份进行的。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者，即如何保证操作者的物理身份与数字身份相对应，就成为一个重要的安全问题。身份认证技术的诞生解决了这个问题。,二、身份认证技术分类,一般地，在信息系统中，对于用户的身份认证手段，身份认证技术从是否使用硬件可以分为软件认证和硬件认证；从认证需要验证的条件可以分为单因子认证和双因子认证；从认证信息可以分为静态认证和动态认证。身份认证技术的发展，经历了从软件认证到硬件认证，从单因子认证到双因子认证，从静态认证到动态认证的过程。,根据被认证方赖以证明身份的认证信息不同，身份认证技术可以分为：1、基于秘密信息的身份认证技术所谓的秘密信息指用户所拥有的秘密知识，如用户ID、口令、密钥等。其中用户名/口令是最常用的方式，也是一种极不安全的方式，口令设置通常过于简单，易受到攻击，口令传输也带来很大风险，为解决其安全传输，采用加密技术将其加密传输。包括基于帐号和口令的身份认证、基于对称密钥的身份认证、基于密钥分配中心(KDC)的身份认证、基于公钥的身份认证、基于数字证书的身份认证等。,2、基于信物的身份认证技术主要有基于信用卡、智能卡、令牌的身份认证等。智能卡也叫令牌卡，实质上是IC卡的一种。智能卡的组成部分与一台“普通”的电脑是相同的；包括作为智能部件的微处理器、存储器、输入/输出部分和软件资源。为了更好地提高性能，通常会有一个分离的加密处理器。程序和通用加密算法存放在ROM中。3、基于生物特征的身份认证技术基于生理特征(如指纹、声音、虹膜)的身份认证和基于行为特征(如步态、签名)的身份认证等。,三、几种主要的身份认证方式,指纹认证,利用人的生物特征可以实现“以人识人”，其中指纹是人的生物特征的一种重要的表现形式，具有“人人不同”和“终身不变”的特征，以及附属于人的身体的便利性和不可伪造的安全性。指纹认证的特点如下：独特性。稳定性方便性,图4-2不同的指纹形状,如图所示，指纹识别的过程包括2个子过程：指纹注册过程和指纹比对过程。其中：指纹采集。图像增强。提取特征值。是指对指纹图案上的特征信息进行选择（如图所示）、编码和形成二进制数据的过程。特征值模板入库。比对匹配。,图4-4指纹图案信息的选择,基于密码的身份认证,密码认证的特点密码是用户与计算机之间以及计算机与计算机之间共享的一个秘密，在通信过程中其中一方向另一方提交密码，表示自己知道该秘密，从而通过另一方的认证。密码通常由一组字符串来组成，为便于用户记忆，一般用户使用的密码都有长度的限制。但出于安全考虑，在使用密码时需要注意以下几点：（1）不使用默认密码、（2）设置足够长的密码、（3）不要使用结构简单的词或数字组合、（4）增加密码的组合复杂度、（5）使用加密、（6）避免共享密码、（7）定期更换密码,就密码的安全使用来说，计算机系统应该具备下列安全性：（1）入侵者即使取得储存在系统中的密码也无法达到登录的目的。这需要在密码认证的基础上再增加其他的认证方式，如地址认证。（2）通过监听网络上传送的信息而获得的密码是不能用的。最有效的方式是数据加密。（3）计算机系统必须能够发现并防止各类密码尝试攻击。可使用密码安全策略。,密码认证的安全性,早在1974年，Purdy就提到为了保护密码的安全，绝对不能以明文的方式储存密码，提出将密码以单向函数y=f(x)转换后，以加密的方式将密码与账户资料存放在一个验证表中，单向函数应具有下列特性：知道x可以很容易计算出y。知道y要算出x，在计算上是不可行的。,数字证书数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。通过使用数字证书，使用者可以得到如下保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖:信息自数字签名后到收到为止未曾作过任何修改，签发的文件是真实文件。,在多数的场合下，最广泛接受的证书格式是X.509标准，使用最多的就是X.509v3标准。下面是X.509标准第三版证书结构。证书结构一般是通过ASN1(AbstractSyntaxNotationOne，抽象语法符号)来描述和表示的。,X.509v3版本的证书结构,3、动态口令,动态口令机制是为了解决静态口令的不安全问题而提出的，基本思想是用动态口令代替静态口令，其基本原理是：在客户端登录过程中，基于用户的秘密通行短语（SecurePassPhrase，SPP)加入不确定因素，SPP和不确定因素进行变换（如使用MD5信息摘录)，所得的结果作为认证数据（即动态口令)，提交给认证服务器。认证服务器接收到用户的认证数据后，以事先预定的算法去验算认证数据，从而实现对用户身份的认证。由于客户端每次生成认证数据都采用不同的不确定因素值，保证了客户端每次提交的认证数据都不相同，因此动态口令机制有效地提高了身份认证的安全性。,基于时间同步的动态口令机制,基于时间同步（TimeSynchronization）的动态口令机制的特点是选择单向散列函数作为认证数据的生成算法，以种子密钥和时间值作为单向散列函数的输入参数。由于时间值是不断变化的，因此散列函数运算所得的认证数据也在不断变化，保证了每次产生的认证数据不相同。基于时间同步的动态口令机制的认证过程如下图所示：,时间同步方式的关键在于认证服务器和客户端的时钟要保持同步，只有在两端时钟同步的情况下才能做出正确的判断。一旦发生了时钟偏移，就需要进行时钟校正。,基于时间同步的动态口令机制的认证方式,基于事件同步的动态口令机制,又称Lamport方式或哈希链（HashChains）方式。事件同步机制是以事件（例如使用次数或序列数）作为变量。在初始化阶段选取一个口令PW和一个跌代数n，及一个单向散列函数H，计算Y=Hn(PW)（Hn()表示进行n次散列运算），把Y和n的值存储于认证服务器上，客户端计算Y=Hn-1(PW)，将计算结果提交给服务器，服务器则计算Z=H(Y)，并将Z值于服务器上保存的Y值进行比较，如果Z=Y，则验证成功，然后用Y的值取代服务器上保存的Y值，同时将n的值递减1。基于时间同步的动态机制的认证过程如下图所示：,基于事件同步的动态口令机制同样存在失去同步的风险，如用户多次无目的的生成口令就会造成失步。对于事件的失步，认证服务器可采用增大偏移量的方式进行再同步，即服务器端自动向后推算一定次数的密码。,基于事件同步的动态口令机制的认证过程,基于挑战/应答的动态口令机制,基于挑战/应答的动态口令机制属于异步方式，其基本原理为：选择单向散列函数或加密算法作为口令生成算法。当用户请求登录时，认证服务器产生一个挑战码（通常是随机数）发送给用户；用户端将口令（密钥）和挑战码作为单向散列函数的参数，进行散列运算，得到的结果（即应答数）作为动态口令发送给认证服务器。认证服务器用同样的单向散列函数做验算即可验证用户身份。其认证过程如下图所示：,挑战应答机制中的不确定因素是由认证服务器产生的随机数。由于每个随机数都是唯一的，因此保证了每次产生的应答数都不相同。相比上两种方式，挑战应答机制不会出现失步的问题，安全性也更高，但是它的使用过程繁琐，占用通信带宽资源较多。,基于挑战/应答的动态口令机制的认证过程,4、基于生物识别技术的认证方式,生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术；将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术；将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术。,与传统身份认证技术相比，生物识别技术具有以下特点：（1）随身性：生物特征是人体固有的特征，与人体是唯一绑定的，具有随身性。（2）安全性：人体特征本身就是个人身份的最好证明,满足更高的安全需求。（3）唯一性：每个人拥有的生物特征各不相同。（4）稳定性：生物特征如指纹、虹膜等人体特征不会随时间等条件的变化而变化。（5）广泛性：每个人都具有这种特征。（6）方便性：生物识别技术不需记忆密码与携带使用特殊工具(如钥匙)，不会遗失。（7）可采集性：选择的生物特征易于测量。（8）可接受性：使用者对所选择的个人生物特征及其应用愿意接受。,生物特征模板可以存放在客户端、服务端或者可信任第三方(TrustedThirdParty,TTP)。可信任第三方可以是一个权威机构，也可能是一个能够执行复杂计算操作的智能卡。身份认证对比的位置也可以是在客户端、服务端或者TTP。,生物特征识别过程,四、身份认证产品,目前比较流行的两种身份认证硬件产品，USBKey和动态口令产品。1、USBKeyUSBKey是一种USB接口的小巧的硬件设备，它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。,USBKey的几种认证模式基于冲击/响应的认证模式实际上就是对基于挑战/应答的动态口令机制的改进，将密钥存储在USBKey中，加密过程也在USBKey中进行，增大了安全性。基于PKI的数字证书的认证模式USBKey厂家将USBKey与PKI技术相结合，开发了符合PKI标准的安全中间件，利用USBKey来保存数字证书和用户私钥，并对应用开发商提供符合PKI标准的编程接口，以便开发基于PKI的应用程序。由于USBKey本身作为密钥存储器，其自身的硬件结构决定了用户只能通过厂商编程接口访问数据，这就保证了保存在USBKey中的数字证书无法被复制。,基于生物识别的认证模式将USBKey与生物识别技术相结合，例如指纹USBKey，用指纹代替用户密钥。用户可选择将指纹模板存储于KEY中或远程服务器端，分别采取1：1或1：N比对模式，也可以两种认证模式同时采用，即先在KEY中完成首次比对，再于服务器端完成二次比对，通过双重指纹认证，进一步提高安全级别。,2、动态口令产品它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。RSASecurID就是采用基于时间同步的动态口令生成技术。中国银行使用的动态口令产品就是RSASecurID700。,五、身份认证技术的发展趋势,网络身份认证技术在未来的发展中应朝着高安全性、高速度、高稳定性、易用性、实用性以及认证终端小型化等方向发展。其发展趋势可从以下几个方面体现：1、生物认证技术目前还没有一种生物特征认证技术的正确率能达到百分之百。如何通过提高硬件水平和改进识别算法来提高识别的正确率将是未来的研究热点。,2、多因