目录
身份鉴别
身份鉴别的概念
标识
- 实体身份的一种计算机表达
- 每个实体与计算机内部的一个身份表达绑定
- 信息系统在执行操作时,首先要求用户标识自己的身份,并提供证明自己身份的依据,不同的系统使用不同的方式表示实体的身份,同一个实体可以有多个不同的身份
标识示例
用户ID、编号、用户名
鉴别
鉴别是将标识和实体联系在一起的过程确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体
鉴别的示例
- 输入用户名和密码登录系统
- 刷卡进入办公区
-
身份鉴别的作用
授权的前提
访问控制机制的正确执行依赖于对用户身份的正确识别,标识和鉴别作为访问控制的必要支持,以实现对资源机密性、完整性、可用性及合法使用的支持
数据源认证:
与完整性保护结合可对数据源进行认证
-
为安全审计服务提供支撑
审计记录中,一般需要提供与某一活动关联的确知身份
-
身份鉴别的相关实体
被验证者P(Prover) :出示身份标识的人,又称声称者(Claimant)
验证者V(Verifier):检验声称者提出的身份标识的正确性和合法性,决定是否满足要求
-
可信赖者TP (Trusted Third Party ) : 参与鉴别的第三方,参与调解纠纷
身份鉴别的方式
身份鉴别的基本方式(按照证据特点)
- 实体所知:验证实体所知什么,如一个秘密的口令或PIN码。
- 实体所有:验证实体拥有什么,如钥匙、磁卡、智能C卡。
- 实体特征:验证实体不可改变的特性,如指纹、声音等生物学测定得来的标识特征。如:声音、指纹、掌纹等。
多因素鉴别
使用两种(双因素鉴别)或两种以上鉴别方式的组合例如:网上银行的转账验证时,必须同时使用用户名密码(实体所知)和USB Key(实体所有)才能完成一次转账验证
单向鉴别和双向鉴别,第三方鉴别
- 单向鉴别:通信双方中只有一方向另一方进行鉴别
- 双向鉴别:通信双方相互进行鉴别
- 第三方鉴别:由可信第三方来确认身份
对身份鉴别系统的主要要求
- 验证者正确鉴别合法申请者的概率极大化
- 不具有可传递性,验证者B不可能重用申请者A提供给他的信息来伪装申请者A,骗取其他人的验证从而得到信任。
- 攻击者伪装申请者欺骗验证者成功的概率要小到可以忽略的程度,能抗击已知密文攻击,即能对抗攻击者截获到申请者和验证者的多次通信密文,然后伪装申请者欺骗验证者。
- 计算有效性,为实现身份鉴别所需的计算量要小
5676
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
