第八章 身份鑒別技術(shù)

第8章身份鑒別本章目標(biāo)1.身份鑒別的基本概念2.非密碼的身份鑒別機(jī)制3.基于密碼算法的身份鑒別機(jī)制28.1身份鑒別的基本概念38.1.1身份鑒別的基本概念鑒別(Authentication)也叫驗(yàn)證,是防止主動(dòng)攻擊的一種重要技術(shù)?就是驗(yàn)證用戶身份的合法性和用戶間傳輸信息的完整性與真實(shí)性?身份鑒別的依據(jù)可以分為三種：（1）用戶所知道的某種信息（如：密碼和口令）（2）用戶擁有的某種物品（身份證、USKKEY）（3）用戶具有的某種特征（指紋、DNA、臉型）48.1.2身份鑒別的兩種情形1、實(shí)體鑒別：也稱身份鑒別,使某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體?例如驗(yàn)證申請(qǐng)進(jìn)入網(wǎng)絡(luò)系統(tǒng)者是否是合法用戶,以防非法用戶訪問系統(tǒng)。2、數(shù)據(jù)原發(fā)鑒別：數(shù)據(jù)源發(fā)鑒別用于鑒定某個(gè)指定的數(shù)據(jù)是否來源于某個(gè)特定的實(shí)體?如采用數(shù)字簽名技術(shù)就是數(shù)據(jù)原發(fā)鑒別的具體運(yùn)用58.2身份鑒別機(jī)制68.2.1非密碼的鑒別機(jī)制非密碼的鑒別機(jī)制包括：口令機(jī)制、一次性口令機(jī)制、質(zhì)詢——應(yīng)答機(jī)制、基于地址的機(jī)制、基于個(gè)人特征的機(jī)制。71.口令機(jī)制口令機(jī)制又稱作通行字機(jī)制，它是最廣泛研究和使用的身份鑒別法。

口令驗(yàn)證的識(shí)別過程：①用戶將口令傳送給計(jì)算機(jī)；②計(jì)算機(jī)完成口令單向函數(shù)值的計(jì)算；③計(jì)算機(jī)把單向函數(shù)值和機(jī)器存儲(chǔ)的值比較。典型運(yùn)用：計(jì)算機(jī)密碼8在使用口令機(jī)制時(shí)，我們對(duì)付口令猜測(cè)的措施主要有：1）嚴(yán)格限制非法登錄的次數(shù)；2）規(guī)定口令的最小長度，如至少6～8位以上；3）防止用戶特征相關(guān)口令；4）確保口令定期改變；5）取消安裝系統(tǒng)時(shí)所用的預(yù)設(shè)口令；6）使用機(jī)器產(chǎn)生的口令；7）定期對(duì)用戶和系統(tǒng)管理者進(jìn)行安全意識(shí)教育、培訓(xùn)。92.一次性口令機(jī)制兩端共同使用一個(gè)隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步；兩端隨機(jī)序列生成器在同一時(shí)間會(huì)產(chǎn)生相同的隨機(jī)數(shù)。典型運(yùn)用：動(dòng)態(tài)口令卡103.質(zhì)詢——應(yīng)答機(jī)制基于質(zhì)詢/應(yīng)答方式的身份鑒別機(jī)制就是每次鑒別時(shí)鑒別服務(wù)器端都給客戶端發(fā)送一個(gè)不同的“質(zhì)詢”字串，客戶端程序收到這個(gè)“質(zhì)詢”字串后，做出相應(yīng)的“應(yīng)答”。

114.

基于地址的機(jī)制基于地址的機(jī)制假定聲稱者的可鑒別性是以呼叫的源地址為基礎(chǔ)的。如基于IP的認(rèn)證方式或基于MAC的認(rèn)證方式125.

基于個(gè)人特征的機(jī)制通過識(shí)別用戶的生理特征來認(rèn)證用戶的身份是安全性極高的身份認(rèn)證方法。例如有：（1）指紋識(shí)別；（2）聲音識(shí)別；（3）手跡識(shí)別；（4）視網(wǎng)膜掃描；（5）手形及掌紋等。138.2.2基于密碼算法的鑒別基于密碼的鑒別機(jī)制的基本原理是：因?yàn)槁暦Q者知道某一秘密密鑰，從而使驗(yàn)證者相信，聲稱者正是其所聲稱的實(shí)體。對(duì)稱密碼技術(shù)和非對(duì)稱密碼技術(shù)都可以被用來實(shí)現(xiàn)鑒別。141.基于對(duì)稱密碼算法的鑒別機(jī)制發(fā)送者使用對(duì)稱密鑰加密某一消息。如果接受者能成功地解密消息并且驗(yàn)證消息是正確的，那么接受者相信，消息一定是來自發(fā)送者的。2.

基于公開密碼算法的鑒別機(jī)制發(fā)送者使用他的私有密鑰加密某一消息，接受者使用發(fā)送者的公開密鑰解密這一