计算机安全笔记 三.身份识别与认证

身份认证的概念#

身份认证是指计算机及网络系统确认操作者身份的过程.

• 标识 Identification: 系统为了区分用户身份建立的用户标识符, 唯一且不可伪造
• 鉴别 Authentication: 系统将用户标识符和用户的物理身份相联系的过程

张三 – 外部实体, 用户 id – 身份, 用户进程 – 主体.

外部实体必须提供信息，允许系统证实他的身份.

实体身份控制与其关联的主体可以进行的操作; 因此一个主体必须绑定到外部实体的身份.

认证系统#

认证系统包括五个部分:

• 鉴别信息的集合 A: 实体用来证明其身份的特定信息的集合, 如 Unix 的明文口令的集合
• 辅助信息的集合 C: 系统存储并且用来证实鉴别信息的信息集合, 如 Unix 的密文口令的集合
• 辅助函数的集合 F: 由鉴别信息产生辅助信息的函数的集合
• 鉴别函数的集合 L: 验证身份的函数的集合, $l: A \times C \to \{\text{true}, \text{false}\}$
• 选择函数的集合 S: 允许实体创建或改变鉴别信息和辅助信息。如创建、修改口令，选择加密算法等

身份认证协议#

证明者 P 让验证者 V 相信他是 P. 需要满足:

• P 和 V 诚实的情况下, P 可以让 V 接受自己
• V 不能使用识别中的信息向第三者 B 伪装成
• 第三者 C 以 P 的身份执行协议, 伪装成功的概率可以忽略不计

可以使用的方法:

• 知道的信息
• 拥有的物品
• 生理特征 (静态生物特征)
• 行为特征 (动态生物特征)
• 位置信息

双因素认证: 选两个

基于口令的身份认证#

大多数计算机系统使用基于用户名和口令的身份识别和认证技术作为它们的第一道防线.

注意口令 ≠ 密码, 口令是用于身份认证的, 密码是用于数据保护 (机密性, 完整性, 真实性, 不可否认性) 的.

安全性:

• 口令猜测
• 口令欺骗: 通过假冒的登录程序/社工骗取口令)
• 口令文件泄露或修改: 脱机的字典攻击
• 遗忘口令

口令验证机制不能防止窃听攻击.

基于物理令牌的身份认证#

• 磁卡, 智能卡
• 智能令牌
• USB Key
• 动态口令牌
• 短信密码

基于生物特征的身份认证#

指纹, 视网膜, 语音, 人脸识别

网络实名制#