密码协议分类总结

最新推荐文章于 2024-05-12 10:00:00 发布

努力成长的小张

最新推荐文章于 2024-05-12 10:00:00 发布

阅读量2.4k

点赞数

分类专栏：信息安全文章标签：人工智能信息安全

本文链接：https://blog.csdn.net/weixin_40843007/article/details/120173504

版权

信息安全专栏收录该内容

14 篇文章 4 订阅

订阅专栏

密码协议分类

（1）密钥建立协议
（2）认证协议
（3）认证密钥建立协议
（4）电子商务协议

身份认证协议

用户想要获得远程系统的资源，必须获得接入权。比较简单有效的方式就是基于口令的身份认证协议。

依据安全要素

（1）口令：假设某些信息只有某个特定的用户知道，如暗号、口令、PIN码等，通过询问这个信息可以确认用户的身份[1]。
（2）令牌：假设某一物理实体只有某个特定的用户拥有，如IC卡、智能卡、USB Key、单位数字证书、移动电话等，通过出示这个物理实体也可以确认用户的身份。
（3）生物识别：直接根据独一无二的身体特征信息来确认用户的身份，如声音、指纹、虹膜、面容等。
第一类方法简单易用、易于实现、开销较小，但安全性较低，一旦密码泄露将带来巨大的安全隐患；第二类方法比第一类方法具有更高的安全性，秘密泄露的可能性更低，但在实现上，这类认证系统更加复杂且需要专业的认证设备；因生物特征信息独一无二、不能复制等特性，基于生物特征的身份认证具有最高级别的安全性，但同时设计复杂的算法，且在实现上较上述两种方法更难，需要专业的生物特征识别设备根据安全需求的级别不一样，现实应用中的身份认证协议往往基于上述两种或多种物理基础[2]。

双因素身份认证

简单的口令身份认证协议仅仅通过口令匹配进行用户的身份认证，被广泛应用于简单的应用系统如论坛登录、邮箱登录等。但是由于服务器需要保存验证表，这类协议存在巨大的安全隐患。而智能卡的发展和完善为人们提供了一种新的设计身份认证协议的安全要素。智能卡是嵌有集成电路芯片的一种便携式卡片，包含了微处理器、I/O接口及内存，支持一定的密码运算如RSA、ElGamal、ECC、Hash操作等，提供了信息的运算、存取控制及储存功能。由于智能卡的存储功能和支持数据加密的特性，研宄者们广泛地将口令和智能卡结合设计双因素的身份认证协议。

多因素身份认证

传统的认证方式存在一定的局限性，如口令容易被遗忘、泄漏、丢失或被人窃取，而智能卡之类的物理实体容易丢失或被盗，当获取用户的口令和智能卡后，攻击者能执行一系列攻击，如获取用户的口令、更换用户的口令、模仿用户登录到系统等。对于安全需求较高的系统而言，如涉及财政金融的系统，仅依靠口令和智能卡保障系统安全往往是不够的。与传统的口令和智能卡相比，如指纹、掌纹、面相、虹膜等，具有普遍可得、唯一、不能复制、不会丢失等良好的特性，将其用于身份认证，能为用户提供更可靠，安全级别更高的保护。研究者们提出了大量基于口令、智能卡和的三因素身份认证协议。

依据安全基础

根据身份认证所用到的密码算法进行分类。
（1）基于RSA的身份认证协议
（2）基于ElGamal的身份认证协议
（3）基于Hash的身份认证协议

依据应用环境

单服务器身份认证协议

在单服务器环境中，用户与服务器为多对一的关系，多个用户向同一个服务器注册，用户通过服务器认证后能接入到服务器提供的服务。

多服务器身份认证协议

越来越多的服务提供商同时提供多种不同的网络服务。若直接将单服务器身份认证协议应用于这种多服务器环境，将会带来一系列问题和不便。首先用户不得不向多个服务器重复地注册，并需记住注册不同应用获得的大量不同的身份标识和口令，这给人们带来极大的不便。其次，这容易造成用户身份标识和口令的泄漏。

无线与移动环境下的身份认证协议

通过无线与移动网络，用户可以使用手持设备通过外部代理随时随地地接入家乡代理提供的各种网络服务，这给人们的生活带来了极大的方便，但同时也带来了安全上的威胁，为移动网络提供安全的无缝网络服务成为一个急需解决的问题。

依据身份标识形式

（1）基于固定ID的身份认证协议
（2）基于动态ID的身份认证协议
在这里插入图片描述

如何区分基于ID和基于password的身份认证协议

（1）基于口令认证密钥协商协议[3]
基于口令的认证密钥协商是指用户预先共享一个口令以验证对方的身份，并在认证后协商一个短会话密钥。通常，当用户访问某个系统资源（如计算机应用程序、计算机账户等）时，系统会提示用户填写账户名和口令。口令就是账户名的标识。只有输入正确的口令才能证明用户的合法身份。只有在确认用户的合法身份后，他才能与用户协商会话中使用的密钥。
（2）基于ID的认证密钥协商协议
在基于身份的公钥密码系统中，用户的公钥就是用户的身份信息或由身份信息生成的信息，如电子邮箱地址、IP 地址、电话号码等。用户不再需要管理公钥簿，消息的加密和签名过程也不再需要证书的传递和验证，只要接收者和签名者的身份信息和一些系统参数即可。与传统的公钥密码系统相比，基于身份的公钥密码系统有很大的优势，避免了传统公钥带来的公钥验证等繁琐问题。