第3章 身份认证与访问控制
4身份认证和访问控制(武汉大学国际软件学院信息安全课程)
强壮口令应符合的规则
+ X 电话号码、
个人名字 或呢称 生日等敏感 信息
X+
+
输入8字符 以上口令
X
记录于纸上或 放臵于办公处
+
X
使用重复 的字符
=强壮的口令
武汉大学国际软件学院 13
对付线路窃听的措施
使用保护口令机制:如单向函数。
对于每个用户,系统将帐户和散列值对存储 在一个口令文件中,当用户输入口令x,系 统计算其散列值H(x),然后将该值与口令文 件中相应的散列值比较,若相同则允许登录。 安全性仅依赖于口令
安盟身份认 证服务器
354982
相同的种子 相同的时间
武汉大学国际软件学院
22
C.基于智能卡的机制
优点
基于智能卡的认证方式是一种双因素的认证 方式(PIN+智能卡) 智能卡提供硬件保护措施和加密算法
缺点
智能卡和接口设备之间的信息流可能被截获 智能卡可能被伪造 职员的作弊行为
武汉大学国际软件学院 23
=
1110110100 0101010110 1010101010
Algorithm
武汉大学国际软件学院
20
认证过程
登录者
User-ID: 安盟 password: 1234 234836
ACE/代理
ACE/服务器
访问请求 访问请求被通过 (加密的 (加密的 ) )
算法
PIN 1234
1234 234836
身份认证目的:
武汉大学国际软件学院
身份认证及访问控制概述
身份认证及访问控制概述
基本概念
• 身份认证是指用户身份的确认技术,它是物联网信息安全的第一道防 线,也是最重要的一道防线。身份认证可以实现物联网终端用户安全 接入到物联网中,合理的使用各种资源。身份认证要求参与安全通信 的双方在进行安全通信前,必须互相鉴别对方的身份。在物联网应用 系统,身份认证技术要能够密切结合物联网信息传送的业务流程,阻 止对重要资源的非法访问。
• 终端身份安全存储。重点研究终端身份信息在终端设备中的安全存储 方式以及终端身份信息的保护。重点关注在重点设备遗失情况下,终 端设备的身份信息、密钥、安全参数等关键信息不能被读取和破解, 从而保证整个网络系统的安全。
3
1 身份认证
基于PKI/WPKI轻量级认证
基于PKI/WPKI轻量级认证技术研究包括:
4
1 身份认证
新型身份认证
• 一般基于以下一个或几个因素:静态口令、用户所拥有的东西(如令 牌、智能卡等)、用户所具有的生物特征(如指纹、虹膜、动态签名 等)。在对身份认证安全性要求较高的情况下,通常会选择以上因素 中的两种从而构成“双因素认证”。
非对称密钥认证
• 非对称加密算法的认证要求认证双方的个人秘密信息(如口令)不用 在网络上传送,减少了认证的风险。这种认证方式通过请求认证者和 认证者之间对一个随机数作数字签名与验证数字签名的方法来实现。
12
2 访问控制分类
基于角色的访问控制
• 基于角色的访问控制模型中,权限和角色相关,角色是实现访问控制 策略的基本语义实体。用户被当作相应角色的成员而获得角色的权限。
基于属性的访问控制
• 基于属性的访问控制主要是针对面相服务的体系结构和开放式网络环 境,在这种环境中,要能够基于访问的上下文建立访问控制策略,处 理主体和客体的异构性和变化性。
统一身份认证及访问控制
统一身份认证及访问控制技术方案1.方案概述1.1. 项目背景随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。
系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题:1)如果每个系统都开发各自的身份认证系统将造成资源的浪费,消耗开发成本,并延缓开发进度;2)多个身份认证系统会增加整个系统的管理工作成本;3)用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗忘而导致的支持费用不断上涨;4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化;5)无法统一分析用户的应用行为;因此,对于有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少整个系统的成本。
单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关"的目标,方便用户使用。
1.2. 系统概述针对上述状况,企业单位希望为用户提供统一的信息资源认证访问入口,建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。
该系统具备如下特点:∙单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。
后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。
∙即插即用:通过简单的配置,无须用户修改任何现有B/S、C/S应用系统,即可使用。
解决了当前其他SSO解决方案实施困难的难题。
∙多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。
网络信息安全的访问控制与身份认证
网络信息安全的访问控制与身份认证网络信息安全一直以来都备受关注,随着互联网的快速发展和普及,信息的安全问题变得日益突出。
为了保护网络数据的安全,许多组织和机构都采取了各种措施,其中最常见和有效的措施之一就是访问控制与身份认证。
一、访问控制的概念及重要性访问控制是指在计算机网络中对访问请求者进行身份验证和权限控制,以确保只有合法用户可以获取到系统或网络中的资源。
它是保护网络安全的第一道防线,具有至关重要的意义。
访问控制能够确保只有经过身份认证的用户才能进入系统,防止未经授权的用户非法访问或篡改数据,从而保护网络数据的安全。
它可以限制用户对系统资源的使用,确保系统只对有权限的用户开放。
二、身份认证的方式与技术1.用户名和密码认证这是最常见的身份认证方式之一,用户通过输入正确的用户名和密码来验证自己的身份。
系统根据用户输入的信息与数据库中存储的信息进行比对,如果匹配成功,则认证通过。
2.生物特征识别生物特征识别是一种身份认证技术,通过识别和验证人体生物特征(如指纹、虹膜、声音等)来确认用户的身份。
这种方式可以有效抵制密码泄露和盗用的风险。
3.数字证书认证数字证书认证是一种基于公钥加密的身份认证方式,依赖于密码学技术和数字证书基础设施。
用户通过数字证书来证明自己的身份,确保通信过程中的安全性和无法被篡改。
4.双因素认证双因素认证是将两种或多种身份认证方式结合在一起使用的方式,以提高认证的安全性。
常见的双因素认证方式包括密码加令牌、密码加指纹等。
三、网络访问控制的常用技术手段1.防火墙防火墙是一种常见的网络访问控制技术,它可以根据规则策略过滤网络数据包,限制网络访问。
防火墙能够保护网络内部的资源免受未经授权的访问和攻击。
2.网络隔离网络隔离是通过物理或逻辑手段将不同的网络环境分割开来,避免未经授权的访问。
不同的网络环境可以根据安全级别的不同进行分割,确保敏感数据不被外部网络访问。
3.访问控制列表(ACL)访问控制列表是一种用于设置网络设备(如路由器、交换机)访问权限的技术手段。
网站访问控制与身份鉴别技术
网站访问控制与身份鉴别技术随着互联网的快速发展,网站的访问控制和身份鉴别变得越来越重要。
保护网站的安全性和用户的隐私,确保只有授权用户能够访问敏感信息和功能,成为每个网站管理员和开发人员的首要任务。
本文将介绍一些常用的网站访问控制与身份鉴别技术。
一、基本概念1. 网站访问控制网站访问控制是指通过设置权限和规则,对用户访问网站的行为进行限制和管理的过程。
它可以根据用户的身份、角色、IP地址、时间等条件来对用户的访问进行控制,从而保证只有授权用户可以进行访问。
2. 身份鉴别技术身份鉴别技术是指通过验证用户提供的身份信息,确定用户的真实身份的过程。
常用的身份鉴别技术包括密码验证、双因素认证、生物识别技术等,这些技术可以有效地防止非法用户冒充他人身份进行访问。
二、常用的网站访问控制技术1. 用户名和密码验证用户名和密码验证是目前最常见的身份鉴别方式。
用户在注册时输入用户名和密码,然后在登录时再次输入相同的用户名和密码进行验证。
这种方式简单、快捷,但安全性相对较低,容易被破解。
2. 双因素认证双因素认证是指在用户名和密码验证的基础上,再增加一层身份验证的方式。
比如,在输入用户名和密码后,系统会向用户发送一条验证码,用户需要输入正确的验证码才能完成登录。
这种方式提高了安全性,但增加了用户的操作步骤。
3. 生物识别技术生物识别技术是指通过识别用户的生物特征,如指纹、面容、声纹等,来验证用户的身份。
这种方式比较安全,因为生物特征是独一无二的,不可伪造。
但是,生物识别技术还存在一定的误识别率和实施成本较高的问题。
三、网站访问控制与身份鉴别技术的应用场景1. 金融机构网站金融机构的网站通常涉及大量的敏感信息和资产,如用户的财务数据、交易记录等。
为了保护用户的利益和数据的安全,金融机构需要采用较为严格的访问控制和身份鉴别技术,确保只有经过授权的用户才能访问相关信息。
2. 政府机关网站政府机关的网站通常包含着大量的公共信息和行政数据,如政策法规、办事指南等。
计算机网络安全技术与应用教学配套课件彭新光第3章身份认证与访问控制
3.1.1 身份标识与鉴别概念
• 身份认证的目的就是要确认用户身份,用户必须提供他 是谁的证明。
• 身份标识就是能够证明用户身份的用户独有的生物特征 或行为特征,此特征要求具有唯一性,如用户的指纹、 视网膜等生物特征及声音、笔迹、签名等行为特征;或 他所能提供的用于识别自己身份的信息,如口令、密码 等。
影响口令的因素(续)
• 拥有人(ownership):被授权使用该口令的人,用于身 份识别的个人口令只能由具有该身分的人拥有。
• 输入(entry):输入是指系统用户为了验证自己的身份输 入口令的适当方式。
• 存储(storage):在口令使用期限内存放口令的适当方式。 • 传输(transmission):口令由输入处传送到验证处的适
3.1.2 身份认证的过程
• 身份认证的过程根据身份认证方法的不同而不同。 • 身分认证的方法
基于信息秘密的身份认证 基于物理安全性的身份认证 基于行为特征的身份认证 利用数字签名的方法实现身份认证
基于信息秘密的身份认证过程
基于信息秘密的身份认证一般是指依赖 于所拥有的东西或信息进行验证。
• 口令认证 • 单向认证 • 双向认证
或使用所需的某项功能。
口令认证(续)
这种方法有如下缺点:
• 其安全性仅仅基于用户口令的保密性,而用户 口令一般较短且容易猜测,因此这种方案不能 抵御口令猜测攻击。
• 攻击者可能窃听通信信道或进行网络窥探,口 令的明文传输使得攻击者只要能在口令传输过 程中获得用户口令,系统就会被攻破。
单向认证
• 通信的双方只需要一方被另一方鉴别身周期(authentication period):在一次数据访问过
• 相比较而言,后一种的安全系数较低,密码容易被遗忘 或被窃取,身份可能会被冒充。
网络信息安全的安全认证与访问控制
网络信息安全的安全认证与访问控制在当今信息技术高度发达的时代,网络的普及与应用已经成为了我们生活的一部分。
然而,网络的使用也带来了一系列的安全问题。
为了确保网络中的信息能够得到保护,网络信息安全的安全认证与访问控制变得至关重要。
1. 安全认证的重要性网络信息安全认证是指通过身份验证和授权等方式,确保网络中的用户或者设备可信且安全地访问系统和资源。
安全认证的主要目的是防止未经授权的用户访问敏感信息,从而保护网络的机密性、完整性和可用性。
2. 安全认证的方法(1)口令认证:用户通过输入正确的账号和密码进行身份验证。
这种方法简单且易于实施,但是容易受到暴力破解等攻击。
(2)生物特征认证:通过扫描指纹、面部识别或者声音识别等方式,将用户的生物特征与预先录入的特征进行对比来进行认证。
这种方法较为安全,但也存在技术成本高的问题。
(3)硬件令牌认证:用户通过携带的硬件令牌进行身份验证。
这种方法可以提供物理层面的保护,但容易丢失或者被盗用。
3. 访问控制的重要性访问控制是指对网络中的资源进行管理和控制,以确保只有授权的用户才能够访问需要的资源。
通过访问控制,可以避免未经授权的用户进行恶意操作,从而保护网络的安全。
4. 访问控制的方法(1)身份验证:用户在进行资源访问之前,需要进行身份验证。
只有通过身份验证的用户才能够继续访问资源。
(2)访问权限控制:在用户通过身份验证之后,根据其所属的用户组或角色,为其授予相应的访问权限。
只有拥有访问权限的用户才能够访问指定的资源。
(3)访问审计:对用户的访问进行审计,记录其访问的时间、地点以及访问的资源等信息。
这可以帮助管理员对用户的操作进行监控和追踪,及时发现异常行为。
总结:网络信息安全的安全认证与访问控制在保护网络资源的安全中起着至关重要的作用。
通过合适的安全认证方式,可以确保用户的身份可信;通过访问控制,可以控制用户对资源的访问,保护网络的机密性和完整性。
在网络应用中,我们应该重视安全认证与访问控制,为网络信息的安全提供有效保障。
网络信息安全的身份认证与访问控制
网络信息安全的身份认证与访问控制随着互联网的迅猛发展,网络信息安全问题日益成为人们关注的焦点。
在网络世界中,用户的身份认证和访问控制是确保网络安全的重要环节。
本文将探讨网络信息安全的身份认证和访问控制的意义、现状以及相关技术和措施。
一、身份认证的意义身份认证是建立在数字身份的基础上,通过一系列的验证过程确认用户的真实身份。
身份认证的意义在于:首先,保护个人隐私。
在网络世界中,个人信息容易泄露,身份认证机制能够降低身份被冒用的风险,确保个人信息的安全。
其次,预防犯罪行为。
网络上存在各种各样的犯罪行为,如网络诈骗、网络盗窃等。
通过身份认证,可以减少非法操作、降低犯罪活动的发生。
第三,维护网络秩序。
身份认证机制可以对用户进行有效管理和监控,确保网络资源的合理分配和使用。
二、身份认证的现状目前,网络中常用的身份认证方式包括密码认证、生物识别认证和数字证书认证等。
首先,密码认证是最常用的身份认证方式之一。
用户通过设置独立密码来验证身份。
然而,单一密码容易被猜测或者被恶意破解,存在安全隐患。
其次,生物识别认证通过人体的特征信息(如指纹、虹膜等)来确认身份。
生物识别认证具有高度的安全性和便利性,但成本较高,实施难度较大。
最后,数字证书认证通过公钥加密来验证身份,具有较高的安全性。
然而,数字证书的申请和管理过程相对复杂,需要专业知识。
三、访问控制的意义访问控制是指在网络中对用户进行权限管理和控制,对用户的访问进行限制和监控。
访问控制的意义在于:首先,保护敏感信息。
在网络中,存在大量的敏感信息,如商业机密、个人隐私等。
访问控制可以限制非授权用户对敏感信息的访问,减少信息泄露的风险。
其次,防止未授权入侵。
非法入侵是网络安全中的常见问题,通过访问控制可以对非法入侵进行监控和阻止,提高网络的安全性。
第三,保障系统的正常运行。
访问控制可以限制用户对系统资源的使用,防止资源被滥用和耗尽,保障系统的正常运行。
四、访问控制的技术和措施针对网络的身份认证和访问控制,目前有多种技术和措施可供选择:首先,多因素认证是一种提高认证安全性的有效方式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 口令认证
• 单向认证
• 双向认证
口令认证
• 口令认证是鉴别用户身份最常见也是最简单的方法。 • 系统为每一个合法用户建立一个用户名并设置相应的口令。
• 当用户登录系统或使用某项功能时,提示用户输入自己的 用户名和口令。
• 系统核对用户输入的用户名、口令与系统内已有的合法用
户的用户名和口令对是否匹配。
3.1.1 身份标识与鉴别概念
• 身份认证的目的就是要确认用户身份,用户必须提供他 是谁的证明。 • 身份标识就是能够证明用户身份的用户独有的生物特征 或行为特征,此特征要求具有唯一性,如用户的指纹、 视网膜等生物特征及声音、笔迹、签名等行为特征;或
他所能提供的用于识别自己身份的信息,如口令、密码 等。
3.2 口令认证方法
• 口令又称个人识别码或通信短语,通过输入口令 进行认证的方法便称为基于口令的认证方式。
• 口令认证是最常用的一种认证技术。目前各类计
算资源主要靠固定口令的方式来保护。
3.2.1
口令管理
• 口令管理是一个非常重要而且非常费时间的任务。 • 用户不仅试图要创造一个不同的口令,而且要记住他们。 • 系统管理员要花费很多时间来存储用户创造的口令或帮助
单向认证
• 通信的双方只需要一方被另一方鉴别身份。
• 口令核对法实际也可以算是一种单向认证,只是 这种简单的单向认证还没有与密钥分发相结合。 • 与密钥分发相结合的单向认证主要有两类方案: 一类采用对称密钥加密体制,需要一个可信赖的 第三方,通常称为KDC(密钥分发中心)或AS (认证服务器),由这个第三方来实现通信双方 的身份认证和密钥分发;另一类采用非对称密钥 加密体制,无需第三方参与。
3.1.2
身份认证的过程
• 身份认证的过程根据身份认证方法的不同而不同。
• 身分认证的方法 基于信息秘密的身份认证 基于物理安全性的身份认证 基于行为特征的身份认证 利用数字签名的方法实现身份认证
基于信息秘密的身份认证过程
基于信息秘密的身份认证一般是指依赖 于所拥有的东西或信息进行验证。
第三章 身份认证与访问控制
第三章
身份认证与访问控制
3.1 身份标识与鉴别
3.1.1 身份标识与鉴别概念 3.1.2 身份认证的过程
3.2 口令认证方法
3.2.1 口令管理 3.2.2 脆弱性口令
3.3 生物身份认证
3.3.1 指纹身份认证技术 3.3.2 视网膜身份认证技术 3.3.3 语音身份认证技术
• 如果匹配,则该用户的身份得到了认证,用户便可以登陆 或使用所需的某项功能。
口令认证(续)
这种方法有如下缺点:
• 其安全性仅仅基于用户口令的保密性,而用户
口令一般较短且容易猜测,因此这种方案不能
抵御口令猜测攻击。 • 攻击者可能窃听通信信道或进行网络窥探,口 令的明文传输使得攻击者只要能在口令传输过 程中获得用户口令,系统就会被攻破。
常用口令管理策略
• 所有活动账号都必须有口令保护; • 口令输入时不应将口令的明文显示出来,应该采取掩盖措 施,如输入的字符用“*”取代;
• 口令不能以明文形式保存在任何电子介质中;
• 可以在PGP或强度相当的加密措施的保护下将口令存放在 电子文件中;
• 口令最好能够同时含有字母和非字母字符;
• 口令不能在工作组中共享,以保证可以通过用户名追查到 具体责任人;
用户恢复忘记的口令。
• 在保护敏感信息的过程中,许多公司都需要用户提供口令 或其他信物才能进入网络资源或应用程序。
• 密码是最简单的口令管理系统,类似个人通讯录,仅仅提 供个人登录应用系统,服务器或网络的密码查询维护功能, 起到了帮助记忆众多口令的作用。
口令的存储
直接明文存储口令 • 直接明文存储口令是指将所有用户的用户名和口令 都直接存储于数据库中,没有经过任何算法或加密
第三章
身份认证与访问控制
3.4 访问控制
3.4.1 访问控制概念 3.4.2 自主访问控制 3.4.3 强制访问控制
3.5 本章知识点小结
3.1
身份标识与鉴别
身份标识与鉴别服务的目的在于保证消 息的可靠性。在只有一条消息的情况下,验
证服务的功能就是要保证信息接收方接收的
消息确实是从它声明的来源发出的。实现身 份认证的主要方法包括口令、数字证书、基 于生物特征(如指纹、声音、虹膜、视网膜 等)的认证。
源应由信息安全人员和系统管理员选择决定,可以是用户、 信息安全人员或自动口令生成器。
• 分配(distribution):将新口令发送给拥有者以及口令系
统的适当方式。
影响口令的因素(续)
• 拥有人(ownership):被授权使用该口令的人,用于身 份识别的个人口令只能由具有该身分的人拥有。 • 输入(entry):输入是指系统用户为了验证自己的身份输 入口令的适当方式。 • 存储(storage):在口令使用期限内存放口令的适当方式。 • 传输(transmission):口令由输入处传送到验证处的适 当方式。
• 相比较而言,后一种的安全系数较低,密码容易被遗忘
或被窃取,身份可能会被冒充。
3.1.1 身份标识与鉴别概念(续)
• 鉴别是对网络中的主体进行验证的过程,证实
用户身份与其声称的身份是否相符。 • 通常有三种方法验证主体身份:
由该主体了解的秘密,如口令、密钥 主体携带的物品,如智能卡和令牌卡 只有该主体具有的独一无二的特征或能力,如指 纹、声音、视网膜或签字等
抽取特征:用户在需要验证身份时,与识别系统进行交互, 设备提取用户的生物信息特征。 比较:用户的生物信息特征与特征模板中的数据进行比较。
匹配:如果匹配,则用户通过身份验证。
基于智能卡的身份认证机制
• 基于智能卡的身份认证机制在认证时认证方要求一个硬件 如智能卡(智能卡中往往存有秘密信息,通常是一个随机 数),只有持卡人才能被认证。 • 可以有效的防止口令猜测。
• 认可周期(authentication period):在一次数据访问过 程中,从通过认证到需要下一次重新认证之间的最大时间。
• 严重的缺陷:系统只认卡不认人,而智能卡可能丢失,拾 到或窃得智能卡的人很容易假冒原持卡人的身份。 • 综合前面提到的两类方法,即认证方既要求用户输入一个 口令,又要求智能卡。
基于行为特征的身份认证过程
• 基于行为特征的身份认证过程指通过识别行为的
特征进行验证。 • 常见的验证模式有语音认证、签名识别等。利用 签名实现的身份认证是属于模式识别认证的范畴, 其过程也必然遵循模式识别的基本步骤。
过程。
• 这种存储方法风险很大,任何人只要得到了存储口
令的数据库,就可以得到全体用户的用户名及口令,
冒充用户身份。
口令的存储(续)
哈希散列存储口令
• 哈希散列函数的目的是为文件、报文或其他分组数据产生 “指纹”。
• 从加密学的角度讲,一个好的散列函数H必须具备如下性质: H的输入可以是任意长度的; H产生定长的输出;对于任何 给定的x, H(x)的计算要较为容易;对于任何给定的码h,要 寻找x,使得H(x)=h在计算上是不可行的,称为单向性;对 于任何给定的分组x,寻找不等于x的y, 使得H(x)=H(y)在计 算上是不可行的,称为弱抗冲突;寻找对任何的(x,y)对, 使得H(x)=H(y)在计算上是不可行的,称为强抗冲突。
• 模式识别的工作原理:首先是构造一个签名鉴别
系统,然后进行签名的鉴别。
模式识别的过程
签名鉴别系统的构造过程 • 设计和建立包含用户身份信息的数据库;
• 收集用户的真实签名和伪造签名;
• 对用户的真实签名和伪造签名进行训练,从而
建立签名知识库,作为今后进行鉴别的依据。
签名鉴别系统的鉴别过程
• 用户注册:从签名数据库中调出用户所宣称的人的参考签名。
3.2.2
脆弱性口令
• 跟踪系统的登陆过程,发现口令的计算是非常脆弱
的。 • 口令的脆弱性一般体现在两个方面:登陆时候的口 令加密算法的脆弱和数据库存储的口令加密算法的 脆弱。
• 因此在设计口令时要考虑到影响口令的因素。
影响口令的因素
• 长度范围(length range):可以被接受的各种口令长度 值,用最小和最大长度值表示。 • 成份(composition):一系列用于组成口令的合法字符。 • 使用期限(lifetime):使用期限是一个口令被允许使用的 最长时间段。 • 来源(source):产生或选择口令的合法实体,口令的来
• 出鉴别结果,即拒绝或接受。
利用数字签名实现身份认证
• 数字签名是通过一个单向函数对要传送的报文进行处理得到 的用以认证报文来源并核实报文是否发生变化的一个字母数 字串。数字签名主要有3种应用广泛的方法:RSA签名、 DSS签名和Hash签名。 • Hash签名是最主要的数字签名方法:报文的发送方从明文 中生成一个128比特的散列值(数字摘要),发送方用自己的 私钥对这个散列值进行加密,形成发送方的数字签名。该数 字签名将作为附件和报文一起发送给接收方。报文的接收方 从接收到的原始报文中计算出128比特的散列值(数字摘要),
3.1.1 身份标识与鉴别概念(续)
鉴别服务通常分为:
• 对等实体鉴别服务:用于两个开放系统同等层中的实体 建立连接或数据传输阶段,对对方实体的合法性、真实 性进行确认。这里的实体可以是用户或进程。 • 数据源认证服务:用于确保数据发自真正的源点,防止 假冒。认证或鉴别的过程是为了限制非法用户的访问权 限,防止其非法访问网络资源,提高网络信息的安全性。 它是其他一切安全机制的基础。
• 数据获取:通过扫描仪或手写板等设备获得签名数据。 • 预处理:包括去噪声、平滑原始数据等。对于离线签名来说, 还要进行图像的二值化、细化或轮廓提取等工作。 • 抽取:从预处理之后的数据中,选择和提取出能够充分反映 签名的书写风格与个性,同时又相对稳定的特征。 • 比较:根据从被鉴别签名中抽取出的特征,采用某种识别方 法与从第一步中得到的参考签名的相应特征进行比较。