网络与通信安全课程复习汇总3——身份认证

身份认证是信息安全中最前沿的一道防线，其他的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设

身份认证指的是对实体身份的证实，用以识别合法或者非法的实体，阻止非法实体假冒合法实体窃取或者访问网络资源

古人采取的身份认证方法

官府下发海捕文书并贴出悬赏告示

玄奘每经过一个国家都要倒换通关文牒

在契约上签字画押

给立功的将领发放免死金牌

出生时记下生辰八字和胎记

接头秘密暗号：天王盖地虎——小鸡炖蘑菇

书生临走时留下定情信物

手持尚方宝剑先斩后奏

阿里巴巴大喊芝麻开门

认证凭据

典型的身份认证机密(authentication credentials)

something you know，如口令、提问等

something you have，如令牌，智能卡，手机，身份证等

something you are，如指纹、DNA等

很多情况下需要双因素或多因素认证

What you know

静态口令(password)

基于口令的认证方式是较常用的一种技术。

用户在系统中注册自己的用户名和登录口令，存储在系统内部数据库中，这个口令一般是长期有效的，因此也称为静态口令。

基于静态口令的身份认证技术因其简单和低成本而得到了广泛使用。但这种方式存在严重的安全问题, 安全性仅依赖于口令，口令一旦泄露，用户就可能被假冒。

动态口令(one time password)

为克服静态口令带来的种种安全隐患，动态口令认证逐渐成为口令认证的主流技术。

用户每次登录系统的口令都不一样，具有“一次一密”的特点，有效保证了用户身份的安全性。

在银行支付、网上银行转账、交易时一般采用静态口令+动态口令双因素组合的方式进行认证，可以大大提高使用的安全性。

密保问题

密保问题通常用于静态密码的找回。

问题的内容通常由账号使用者自己决定。

密保问题应尽量避免选择大众化问题，如劳动节是哪天等，而应该选择一些较私密的问题，如我的小学校名等，这样才能较好的起到帐号保护的作用。

密保问题的答案通常很容易被熟人猜出，所以一般设置3个以上不同方向的问题。

图形验证

图形验证码主要用于区分用户是计算机还是人的全自动程序。基于CAPTCHA(全自动区分计算机和人类的图灵测试)设计。

图形验证码利用程序生成只有人类才能解答的评判问题，是现在很多网站必备的一种验证方式。

主要作用：防止暴力破解密码、刷票、论坛灌水，防止恶意注册大量无效用户等。

What you have

各类证照

如身份证、工作证、护照、驾照等。

由国家、行政单位、公司等发放，在一定范围内具有法律效力。

一般都包含持证人的面部信息，用于核查身份真实性。

存在伪造证件的情况。

各类卡片、USB-key

如银行卡、IC卡、电卡水卡、U盾等。

通过实体设备验证身份，以提供服务。

卡片都自带芯片、内存、基于密码学算法，不易破解、伪造。

丢失后容易被冒用且不同企业往往独立发卡，卡片数量过多。

手机(SIM卡)

目前智能手机发展迅速，已具备计算机的绝大多数功能。

个人的核心信息几乎全部都在手机中存储或可在手机中查询。

手机有逐渐取代证照、卡片的趋势。

丢失或更换SIM卡号码后处理比较麻烦。

What you are

生物认证的定义：基于个人独特的生理或行为特征进行自动身份认证的技术。

what you are? ——与生俱来，身体的各个部分拿来用。

what you do? ——后天习惯使然，无法轻易模仿伪造。

可以证明一个人的生物特征列举：

生物认证的优点：

（1）普遍性：生物认证所依赖的身体特征基本上是人人天生就有的。

（2）方便性：生物特征不会像口令或者磁卡那样容易被遗忘或者丢失。

（3）不可复制性：在一个活人身上伪造另一个人的生物特征是非常困难的。

（4）高安全性：人的生理或行为是人本身所固有的、独特且不容易改变的，不可以借给其他人使用的。

（5）生物认证技术能够提供主动监控技术。