1、身份认证及其应用 1 引言 2 身份认证的方法 3 第三方认证 4 X.509 5 数字证书 6 验证证书 7 CA系统结构 1 引 言从对计算机系统或网络的一般访问过程来看,身份认证是用户获得访问权限的第一步。如果用户身份得不到系统的认可,即授权,他就无法进入该系统并进而访问系统资源。从这个意义来讲,身份认证是安全防御的第一道防线,它是防止非授权用户或进程进入计算机系统的有效安全保障措施。身份认证即身份识别与验证 (Identification and Authentication, 简称 I&A), 是计算机安全的重要组成部分,它是大多数访问控制的基础,也是建立用户审计能力的基础。访问控制
2、通常要求计算机系统能够识别和区分用户,而且通常是基于最小特权原理 (Least Privilege Theorem)(系统中的每个主体执行授权任务时,仅被授予完成任务所必需的最小访问权限 )。用户审计要求计算机系统上的各种活动与特定的个人相关联,以便系统识别出各用户。2 身份认证的方法识别是用户向系统提供声明身份的方法;验证则是建立这种声明有效性的手段。计算机系统识别用户依赖的是系统接收到的验证数据。这样验证就面临着这些考验:收集验证数据问题、安全地传输数据问题以及怎样知道使用计算机系统的用户就是当初验证通过的用户问题。目前用来验证用户身份的方法有: 用户知道什么 (Something the
3、 User Knows)(秘密,如口令、个人身份号码 (PIN)、 密钥等 ) 用户拥有什么 (Something the User Possesses)(令牌,如ATM卡或智能卡等 ) 用户是谁 (Something the User is)(生物特征,如声音识别、手写识别或指纹识别等 )2.1 基于用户知道什么的身份认证最普通的身份认证形式是用户标识 (ID)和口令(Password)的组合,如图 1所示。这种技术仅仅依赖于用户知道什么的事实。通常采用的是基于知识的传统口令技术,但也有其它技术,如密钥。图 1 基于用户名和口令的身份认证通常,口令系统的运作需要用户输入用户标识和口令 (或
4、PIN码 )。系统对输入的口令与此前为该用户标识存储的口令进行比较。如果匹配,该用户就可得到授权并获得访问权。口令的优点:口令作为安全措施已经很长时间并成功地为计算机系统提供了安全保护。它已经集成到很多操作系统中,用户和系统管理员对它非常熟悉。在可控环境下管理适当的话,口令系统可提供有效的安全保护。口令存在的问题:口令系统的安全依赖于口令的保密性, 而用户为了方便记忆而在设置口令时常使用姓名拼音、生日、电话号码等,这样口令就会很容易地被猜出。另外只要用户访问一个新的服务器,都必须提供新口令。2.2 基于用户拥有什么的身份认证尽管某些身份认证技术是完全基于用户拥有什么,但是它在一定程度上还是和基于用户知道什么的技术结合在一起的,这种结合比单一地采用一种技术的安全性大大提高了 (见图 2)。通常,基于用户拥有什么的身份认证技术使用的是令牌,这里介绍两种令牌:记忆令牌和智能卡。
