第3章 身份认证与访问控制技术-身份认证
3.1 单机身份认证
1. 基于静态口令的身份认证
静态的口令,一般不会改变
在初始化阶段,用户生成用户名和口令,系统将用户的用户名和口令进行哈希运算,将哈希值存储在系统数据库中,用户进行认证时,比对输入口令的哈希值和数据库中的哈希值,相同则认证通过
安全性能分析:
- 字典攻击,即以用户的公开数据,如生日、电话等个人信息作为字典,并结合字典进行运算,匹配出口令(猜测)
- 穷举攻击:特殊的字典攻击,字典为字符串的全体集合
- 键盘监听:通过给电脑植入木马,或通过侧信道数据(如敲击声音、震动等)对键盘进行监听,得到用户的输入,再从其中寻找出相关的口令
- 窥探:安装监视设备观察用户输入口令
- 以信息的形式存在,不具有实体性,发生安全隐患不易察觉
2. 基于智能卡的身份认证
引入安全硬件,通常是与口令结合使用,两个因素同时满足才能完成认证
3. 基于生物特征的身份认证
生物特征包括两方面: 生理特征和行为特征
- 生理特征: 人体固有,由遗传信息决定的特征,如指纹、虹膜、人脸等,基本不会或很难由主观意愿和客观条件发生改变
- 行为特征: 人的动作特征,是人在长期生活过程中形成的行为习惯,包括声音、笔迹、走路姿态等
主要的工作过程有四步
- 采集图像: 用特定的采集设备采集特征的图像
- 图像处理: 采集到图像后进行预处理,使图像易于识别或更清晰
- 提取特征: 使用特定的算法,提取图像中的生物特征,并进行加密存储
- 特征匹配: 在认证时采集生物特征图像,进行预处理后提取特征,与数据库中的特征进行模糊比较,计算出相似度,根据相似度的阈值,得到匹配的结果
安全性能分析:
- 生物特征的唯一性和稳定性确保认证的可靠性
- 对相关特征信息的存储要求极高的安全性,要确保生物特征信息不被泄露
- 认证算法的准确率能否进一步提升
- 可以引入行为特征参与认证,提高准确率和可靠性
3.2 网络身份认证
1. 一次性口令认证
口令在设备上只能使用一次,有效期仅一次登录会话或交易
一次性口令的生成因子一般采用双因子:
- 用户的私钥,同时是用户身份的识别码,不会发生变化
- 基于三个维度的随机因子:时间、事件、挑战/应答
两个因子同时进行哈希运算,即得到一次性口令,具有一次一密的特点
三类一次性口令认证系统:
- 时间同步(Time Synchronous)
- 事件同步(Event Synchronous)
- 挑战-应答(Challenge/Response Asynchronous)
安全性能分析:
- 一次一密有效的防止了可能产生