《身份认证》PPT课件 (2)

• 报文鉴别：报文鉴别是指在两个建立通信联系的用户之间，每个
用户对收到的信息验证其真伪，以保证所收到的信息是真实的。 • 报文鉴别又称完整性校验，在银行业称为消息认证，在OSI安全模型中称为封装
。
• 报文鉴别过程必须确定以下三个内容：
✓ 报文是由指定的发送方产生的； ✓ 报文内容没有被修改过； ✓ 报文是按已传送的相同顺序收到的。
Βιβλιοθήκη Baidu
感谢下 载
• 身份验证的方法有：口令验证、个人持证验证和个人特征验证三类。
✓ 口令法最简单，系统开销也小，但其安 全性也最差；
✓ 持证为个人持有物，如钥匙、磁卡、智 能卡等。它比口令法安全性好，但验证 系统比较复杂。磁卡常和PIN一起使用；
✓ 以个人特征进行验证时，可有多种技 术为验证机制提供基础，如指纹识别 、声音识别、血型识别、视网膜识别 等。个人特征方法验证的安全性最好 ，但验证系统相应地也最复杂。
• 第一种确定由数字签名来完成，后两种确定又分为报文内容和报文时间性验证。
报文的内容验证：
• 同加密一样，鉴别也需要一个好的鉴别算法，但它的设计比加密算法要容易些。 鉴别算法也需要有一个保密密钥，整个鉴别过程的安全性完全取决于密钥的安全 性。鉴别算法的强度要求与加密算法的一样，也要能经受住攻击。
• 报文鉴别的常用方法是使用信息摘要或散列函数进行。 • 信息摘要是在任意大的信息中产生固定长度的摘要，而其特性是无法找到两个摘
• 身份验证一般涉及两个过程，一个是识别，一个是验证。 • 识别是指要明确访问者是谁，即要对网络中的每个合法用户都有识别能力。要保
证识别的有效性，必须保证能代表用户身份的识别符的惟一性。
• 验证就是指在访问者声明自己的身份后，系统要对他所申明的身份进行验证， 以防假冒。
• 识别信息一般是非秘密的，如信用卡上的用户名、身份证号码等；而验证信息 一般是秘密的，如信用卡的密码。
✓ 报文鉴别是为了确保数据的完整性和 真实性，对报文的来源、时间性及目 的地进行验证。
✓ 身份验证是验证进入网络系统者是否 是合法用户，以防非法用户访问系统
• 报文鉴别和身份验证可采用数字签名技术及其他技术来实现。
• 鉴别过程通常涉及到加密和密钥交换。加密可使用对称密钥加密、非对称密钥加 密或两种加密方式的混合。
• 鉴别的方式一般有用户帐户名/口令验证、摘要算法验证、基于PKI(公钥基础设施 )验证等。
• 验证、授权和访问控制都与网络实体安全有关。虽然用户身份只与验证有关， 但很多情况下还讨论授权和访问控制。
• 授权和访问控制都是在成功的验证之后进行的。 • 目前验证使用的技术有：数字签名、报文验证和身份验证。
要相同的信息。因此，可以将比信息小得多的摘要看作与完整信息是等同的。
报文的时间性验证
• 信息的时间性验证可使用报文鉴别码和电子时间戳技术。 • 验证报文是否以发方传输的顺序被接收，可采用这样的方法：假定时变量T是接收方
和发送方预先约定的，那么，只要在每份报文中加入T，就可以建立起报文传输顺序 。
• 具体方法是：每当用户A要给B发送报文时，A先 通知B，B就给A发送一个随机数T，A在发送给B的 报文中加入T，那么B就可以通过验证在报文中返 回的T值来确认报文是否是按正确顺序接收的。 在这种方法中，由于T是在需要时产生的一个变 量，并且包含在报文正文中，所以只有在接收方 同时对报文内容进行鉴别时，这种方法才起作用 。
7 鉴别与认证技术
7.1 鉴别技术概述
• 网络安全系统的一个重要方面是防止非法用 户对系统的主动攻击，如伪造信息、篡改信 息等。
• 鉴别(Authentication 也叫验证)是防止主动 攻击的重要技术。鉴别的目的就是验证一个 用户身份的合法性和用户间传输信息的完整 性与真实性。
• 鉴别包括报文鉴别和身份验证。