身份標識與鑒別計算機網絡安全技術與應用身份標識與鑒別計算機網絡安全技術與應用1

身份標識與鑒別

身份標識與鑒別服務的目的在于保證消息的可靠性。在只有一條消息的情況下，驗證服務的功能就是要保證信息接收方接收的消息確實是從它聲明的來源發出的。實現身份認證的主要方法包括口令、數字證書、基于生物特征（如指紋、聲音、虹膜、視網膜等）的認證。身份標識與鑒別身份標識與鑒別服務的21.1身份標識與鑒別概念身份認證的目的就是要確認用戶身份，用戶必須提供他是誰的證明。身份標識就是能夠證明用戶身份的用戶獨有的生物特征或行為特征，此特征要求具有唯一性，如用戶的指紋、視網膜等生物特征及聲音、筆跡、簽名等行為特征；或他所能提供的用于識別自己身份的信息，如口令、密碼等。相比較而言，后一種的安全系數較低，密碼容易被遺忘或被竊取，身份可能會被冒充。1.1身份標識與鑒別概念身份認證的目的就是要確認用戶身份，31.1身份標識與鑒別概念（續）鑒別是對網絡中的主體進行驗證的過程，證實用戶身份與其聲稱的身份是否相符。通常有三種方法驗證主體身份：由該主體了解的秘密，如口令、密鑰主體攜帶的物品，如智能卡和令牌卡只有該主體具有的獨一無二的特征或能力，如指紋、聲音、視網膜或簽字等1.1身份標識與鑒別概念（續）鑒別是對網絡中的主體進行驗證41.1身份標識與鑒別概念（續）

鑒別服務通常分為:對等實體鑒別服務：用于兩個開放系統同等層中的實體建立連接或數據傳輸階段，對對方實體的合法性、真實性進行確認。這里的實體可以是用戶或進程。數據源認證服務：用于確保數據發自真正的源點，防止假冒。認證或鑒別的過程是為了限制非法用戶的訪問權限，防止其非法訪問網絡資源，提高網絡信息的安全性。它是其他一切安全機制的基礎。1.1身份標識與鑒別概念（續）鑒別服務通常分為:51.2

身份認證的過程身份認證的過程根據身份認證方法的不同而不同。身分認證的方法基于信息秘密的身份認證基于物理安全性的身份認證基于行為特征的身份認證利用數字簽名的方法實現身份認證1.2身份認證的過程身份認證的過程根據身份認證方法的不同而6基于信息秘密的身份認證過程

基于信息秘密的身份認證一般是指依賴于所擁有的東西或信息進行驗證。口令認證單向認證雙向認證

基于信息秘密的身份認證過程基于信息秘密的身份認7口令認證口令認證是鑒別用戶身份最常見也是最簡單的方法。系統為每一個合法用戶建立一個用戶名并設置相應的口令。當用戶登錄系統或使用某項功能時，提示用戶輸入自己的用戶名和口令。系統核對用戶輸入的用戶名、口令與系統內已有的合法用戶的用戶名和口令對是否匹配。如果匹配，則該用戶的身份得到了認證，用戶便可以登陸或使用所需的某項功能。口令認證口令認證是鑒別用戶身份最常見也是最簡單的方法。8口令認證（續）

這種方法有如下缺點：其安全性僅僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測，因此這種方案不能抵御口令猜測攻擊。攻擊者可能竊聽通信信道或進行網絡窺探，口令的明文傳輸使得攻擊者只要能在口令傳輸過程中獲得用戶口令，系統就會被攻破。口令認證（續）這種方法有如下缺點：9單向認證通信的雙方只需要一方被另一方鑒別身份。口令核對法實際也可以算是一種單向認證，只是這種簡單的單向認證還沒有與密鑰分發相結合。與密鑰分發相結合的單向認證主要有兩類方案：一類采用對稱密鑰加密體制，需要一個可信賴的第三方，通常稱為KDC（密鑰分發中心）或AS（認證服務器），由這個第三方來實現通信雙方的身份認證和密鑰分發；另一類采用非對稱密鑰加密體制，無需第三方參與。單向認證通信的雙方只需要一方被另一方鑒別身份。10雙向認證通信的雙方需要同時驗證對方的身份。在雙向認證過程中，通信雙方需要互相認證鑒別各自的身份，然后交換會話密鑰。雙向認證的典型方案是NeedhaD/Schkeder協議。雙向認證通信的雙方需要同時驗證對方的身份。11基于物理安全性的身份認證過程盡管前面提到的身份認證方法在原理上有很多不同，但他們有一個共同的特點，就是只依賴于用戶知道的某個秘密的信息。與此對照，另一類身份認證方案是依賴于用戶特有的某些生物學信息或用戶持有的硬件。基于物理安全性的身份認證過程盡管前面提到的身份認證方法在原理12基于生物學信息的身份認證機制基于生物學信息的方案包括基于指紋識別的身份認證、基于語音識別的身份認證以及基于視網膜識別的身份認證等。基于生物學信息的身份認證過程的步驟：采樣：生物識別系統捕捉到生物特征的樣品，唯一的特征將會被提取并且轉化成數字的符號存入此人的特征模板。抽取特征：用戶在需要驗證身份時，與識別系統進行交互，設備提取用戶的生物信息特征。比較：用戶的生物信息特征與特征模板中的數據進行比較。匹配：如果匹配，則用戶通過身份驗證。基于生物學信息的身份認證機制基于生物學信息的方案包括基于指紋13基于智能卡的身份認證機制基于智能卡的身份認證機制在認證時認證方要求一個硬件如智能卡（智能卡中往往存有秘密信息，通常是一個隨機數），只有持卡人才能被認證。可以有效的防止口令猜測。嚴重的缺陷：系統只認卡不認人，而智能卡可能丟失，拾到或竊得智能卡的人很容易假冒原持卡人的身份。綜合前面提到的兩類方法，即認證方既要求用戶輸入一個口令，又要求智能卡。基于智能卡的身份認證機制基于智能卡的身份認證機制在認證時認證14基于行為特征的身份認證過程基于行為特征的身份認證過程指通過識別行為的特征進行驗證。常見的驗證模式有語音認證、簽名識別等。利用簽名實現的身份認證是屬于模式識別認證的范疇，其過程也必然遵循模式識別的基本步驟。模式識別的工作原理：首先是構造一個簽名鑒別系統，然后進行簽名的鑒別。基于行為特征的身份認證過程基于行為特征的身份認證過程指通過識15

模式識別的過程

簽名鑒別系統的構造過程設計和建立包含用戶身份信息的數據庫；收集用戶的真實簽名和偽造簽名；對用戶的真實簽名和偽造簽名進行訓練，從而建立簽名知識庫，作為今后進行鑒別的依據。模式識別的過程簽名鑒別系統的構造過程16簽名鑒別系統的鑒別過程用戶注冊：從簽名數據庫中調出用戶所宣稱的人的參考簽名。數據獲取：通過掃描儀或手寫板等設備獲得簽名數據。預處理：包括去噪聲、平滑原始數據等。對于離線簽名來說，還要進行圖像的二值化、細化或輪廓提取等工作。抽取：從預處理之后的數據中，選擇和提取出能夠充分反映簽名的書寫風格與個性，同時又相對穩定的特征。比較：根據從被鑒別簽名中抽取出的特征，采用某種識別方法與從第一步中得到的參考簽名的相應特征進行比較。出鑒別結果，即拒絕或接受。

簽名鑒別系統的鑒別過程用戶注冊：從簽名數據庫中調出用戶所宣稱17利用數字簽名實現身份認證數字簽名是通過一個單向函數對要傳送的報文進行處理得到的用以認證報文來源并核實報文是否發生變化的一個字母數字串。數字簽名主要有3種應用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。Hash簽名是最主要的數字簽名方法：報文的發送方從明文中生成一個128比特的散列值(數字摘要)，發送方用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名。該數字簽名將作為附件和報文一起發送給接收方。報文的接收方從接收到的原始報文中計算出128比特的散列值(數字摘要)，接著用發送方的公鑰對報文附加的數字簽名解密。利用數字簽名實現身份認證數字簽名是通過一個單向函數對要傳送的18利用數字簽名實現身份認證（續）數字簽名可以解決否認、偽造、篡改及冒充等問題。在安全性問題上，數字簽名要求：發送者事后不能否認發送的報文簽名、接收者能夠核實發送者發送的報文簽名、接收者不能偽造發送者的報文簽名、接收者不能對發送者的報文進行部分篡改、網絡中的某一用戶不能冒充另一用戶作為發送者或接收者。數字簽名有一項功能是保證信息發出者的身份真實性，即信息確實是所聲稱的簽名人簽名的，別人不能偽造。和身份認證的情形相似：身份認證的核心是要確認某人確實是他所聲稱的身份。利用數字簽名實現身份認證（續）數字簽名可以解決否認、偽造、篡19謝謝觀看！計算機網絡安全技術與應用謝謝觀看！計算機網絡安全技術與應用20身份標識與鑒別計算機網絡安全技術與應用身份標識與鑒別計算機網絡安全技術與應用21

身份標識與鑒別

身份標識與鑒別服務的目的在于保證消息的可靠性。在只有一條消息的情況下，驗證服務的功能就是要保證信息接收方接收的消息確實是從它聲明的來源發出的。實現身份認證的主要方法包括口令、數字證書、基于生物特征（如指紋、聲音、虹膜、視網膜等）的認證。身份標識與鑒別身份標識與鑒別服務的221.1身份標識與鑒別概念身份認證的目的就是要確認用戶身份，用戶必須提供他是誰的證明。身份標識就是能夠證明用戶身份的用戶獨有的生物特征或行為特征，此特征要求具有唯一性，如用戶的指紋、視網膜等生物特征及聲音、筆跡、簽名等行為特征；或他所能提供的用于識別自己身份的信息，如口令、密碼等。相比較而言，后一種的安全系數較低，密碼容易被遺忘或被竊取，身份可能會被冒充。1.1身份標識與鑒別概念身份認證的目的就是要確認用戶身份，231.1身份標識與鑒別概念（續）鑒別是對網絡中的主體進行驗證的過程，證實用戶身份與其聲稱的身份是否相符。通常有三種方法驗證主體身份：由該主體了解的秘密，如口令、密鑰主體攜帶的物品，如智能卡和令牌卡只有該主體具有的獨一無二的特征或能力，如指紋、聲音、視網膜或簽字等1.1身份標識與鑒別概念（續）鑒別是對網絡中的主體進行驗證241.1身份標識與鑒別概念（續）

鑒別服務通常分為:對等實體鑒別服務：用于兩個開放系統同等層中的實體建立連接或數據傳輸階段，對對方實體的合法性、真實性進行確認。這里的實體可以是用戶或進程。數據源認證服務：用于確保數據發自真正的源點，防止假冒。認證或鑒別的過程是為了限制非法用戶的訪問權限，防止其非法訪問網絡資源，提高網絡信息的安全性。它是其他一切安全機制的基礎。1.1身份標識與鑒別概念（續）鑒別服務通常分為:251.2

身份認證的過程身份認證的過程根據身份認證方法的不同而不同。身分認證的方法基于信息秘密的身份認證基于物理安全性的身份認證基于行為特征的身份認證利用數字簽名的方法實現身份認證1.2身份認證的過程身份認證的過程根據身份認證方法的不同而26基于信息秘密的身份認證過程

基于信息秘密的身份認證一般是指依賴于所擁有的東西或信息進行驗證。口令認證單向認證雙向認證

基于信息秘密的身份認證過程基于信息秘密的身份認27口令認證口令認證是鑒別用戶身份最常見也是最簡單的方法。系統為每一個合法用戶建立一個用戶名并設置相應的口令。當用戶登錄系統或使用某項功能時，提示用戶輸入自己的用戶名和口令。系統核對用戶輸入的用戶名、口令與系統內已有的合法用戶的用戶名和口令對是否匹配。如果匹配，則該用戶的身份得到了認證，用戶便可以登陸或使用所需的某項功能。口令認證口令認證是鑒別用戶身份最常見也是最簡單的方法。28口令認證（續）

這種方法有如下缺點：其安全性僅僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測，因此這種方案不能抵御口令猜測攻擊。攻擊者可能竊聽通信信道或進行網絡窺探，口令的明文傳輸使得攻擊者只要能在口令傳輸過程中獲得用戶口令，系統就會被攻破。口令認證（續）這種方法有如下缺點：29單向認證通信的雙方只需要一方被另一方鑒別身份。口令核對法實際也可以算是一種單向認證，只是這種簡單的單向認證還沒有與密鑰分發相結合。與密鑰分發相結合的單向認證主要有兩類方案：一類采用對稱密鑰加密體制，需要一個可信賴的第三方，通常稱為KDC（密鑰分發中心）或AS（認證服務器），由這個第三方來實現通信雙方的身份認證和密鑰分發；另一類采用非對稱密鑰加密體制，無需第三方參與。單向認證通信的雙方只需要一方被另一方鑒別身份。30雙向認證通信的雙方需要同時驗證對方的身份。在雙向認證過程中，通信雙方需要互相認證鑒別各自的身份，然后交換會話密鑰。雙向認證的典型方案是NeedhaD/Schkeder協議。雙向認證通信的雙方需要同時驗證對方的身份。31基于物理安全性的身份認證過程盡管前面提到的身份認證方法在原理上有很多不同，但他們有一個共同的特點，就是只依賴于用戶知道的某個秘密的信息。與此對照，另一類身份認證方案是依賴于用戶特有的某些生物學信息或用戶持有的硬件。基于物理安全性的身份認證過程盡管前面提到的身份認證方法在原理32基于生物學信息的身份認證機制基于生物學信息的方案包括基于指紋識別的身份認證、基于語音識別的身份認證以及基于視網膜識別的身份認證等。基于生物學信息的身份認證過程的步驟：采樣：生物識別系統捕捉到生物特征的樣品，唯一的特征將會被提取并且轉化成數字的符號存入此人的特征模板。抽取特征：用戶在需要驗證身份時，與識別系統進行交互，設備提取用戶的生物信息特征。比較：用戶的生物信息特征與特征模板中的數據進行比較。匹配：如果匹配，則用戶通過身份驗證。基于生物學信息的身份認證機制基于生物學信息的方案包括基于指紋33基于智能卡的身份認證機制基于智能卡的身份認證機制在認證時認證方要求一個硬件如智能卡（智能卡中往往存有秘密信息，通常是一個隨機數），只有持卡人才能被認證。可以有效的防止口令猜測。嚴重的缺陷：系統只認卡不認人，而智能卡可能丟失，拾到或竊得智能卡的人很容易假冒原持卡人的身份。綜合前面提到的兩類方法，即認證方既要求用戶輸入一個口令，又要求智能卡。基于智能卡的身份認證機制基于智能卡的身份認證機制在認證時認證34基于行為特征的身份認證過程基于行為特征的身份認證過程指通過識別行為的特征進行驗證。常見的驗證模式有語音認證、簽名識別等。利用簽名實現的身份認證是屬于模式識別認證的范疇，其過程也必然遵循模式識別的基本步驟。模式識別的工作原理：首先是構造一個簽名鑒別系統，然后進行簽名的鑒別。基于行為特征的身份認證過程基于行為特征的身份認證過程指通過識35

模式識別的過程

簽名鑒別系統的構造過程設計和建立包含用戶身份信息的數據庫；收集用戶的真實簽名和偽造簽名；對用戶的真實簽名和偽造簽名進行訓練，從而建立簽名知識庫，作為今后進行鑒別的依據。模式識別的過程簽名鑒別系統的構造過程36簽名鑒別系統的鑒別過程用戶注冊：從簽名數據庫中調出用戶所宣稱的人的參考簽名。數據獲取：通過掃描儀或手寫板等設備獲得簽名數據。預處理：包括去噪聲、平滑原始數據等。對于離線簽名來說，還要進行圖像的二值化、細化或輪廓提取等工作。抽取：從預處理之后的數據中，選擇和提取出能夠充分反映簽名的書寫風格與個性，同時又相對穩定的特征。比較：根據從被鑒別簽名中抽取出的特征，采