实体认证与消息认证的区别
- 身份认证具有实时性,证实实体本身
- 消息认证不具时间性,证实消息的合法性和完整性
实现身份证明的基本途径
- 所知:个人掌握的知识,如口令、秘密
- 所有:个人所具有的东西,如身份证、工作证、护照
- 个人特征:指纹、笔记、虹膜、视网膜
- 通过这三者之一或组合实现
身份证明系统服务质量评价指标
- 拒绝率FRR:合法用户遭拒绝的概率
- 漏报率:非法用户伪造身份成功的概率
- 二者都是越低越好
固定口令方案身份认证过程
- 认证之前,系统事先保存每个用户的二元组信息(IDx,PWx)即用户的身份信息和口令
- 脆弱点:①明文口令容易被窃听②认证信息截取/重放③口令猜测和字典攻击④暴力破解⑤社交工程⑥窥探⑦垃圾搜索
一次性口令认证技术
- OTP(One Time Password,一次性口令机制)
- OTP的基本思想:
每次使用口令时,加入不确定因子,通过某种运算(通常是单向散列函数,如MD5、SHA),使网络中每次传送的口令信息都不相同 - 一次性口令机制不确定因子的选择方式
①挑战/应答机制(不确定因子:挑战码)