网络与信息安全-密码学基础-身份鉴别

网络与信息安全-密码学基础-身份鉴别

ID:37121131

大小:242.51 KB

页数:117页

时间:2019-05-18

网络与信息安全-密码学基础-身份鉴别_第1页
网络与信息安全-密码学基础-身份鉴别_第2页
网络与信息安全-密码学基础-身份鉴别_第3页
网络与信息安全-密码学基础-身份鉴别_第4页
网络与信息安全-密码学基础-身份鉴别_第5页
资源描述:

《网络与信息安全-密码学基础-身份鉴别》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、2002-2003年度北京大学工程硕士研究生课程网络与信息安全网络与信息安全第七讲第七讲身份鉴别身份鉴别王昭北京大学计算机系信息安全研究室wangzhao@cs.pku.edu.cn讨论议题•鉴别的基本概念•鉴别机制•鉴别与交换协议•典型鉴别实例鉴别Authentication•Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.Authenticityappliestoentitiessuchasusers,processes,systemsandinfor

2、mation.•鉴别就是确认实体是它所声明的。•鉴别是最重要的安全服务之一。鉴别服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务)•鉴别可以对抗假冒攻击的危险鉴别的需求和目的•鉴别需求:某一成员(声称者)提交一个主体的身份并声称它是那个主体。•鉴别目的:使别的成员(验证者)获得对声称者所声称的事实的信任。鉴别的两种情形•鉴别用于一个特定的通信过程,即在此过程中需要提交实体的身份。•实体鉴别(身份鉴别):某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份,不会和实体想要进行何种活动相联系。•数据原发鉴别:鉴定某

3、个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体,也不是为了允许实体执行下一步的操作而鉴别它的身份,而是为了确定被鉴别的实体与一些特定数据项有着静态的不可分割的联系。•在实体鉴别中,身份由参与某次通信连接或会话的远程参与者提交。•这种服务在连接建立或在数据传送阶段的某些时刻提供使用,使用这种服务可以确信(仅仅在使用时间内):一个实体此时没有试图冒充别的实体,或没有试图将先前的连接作非授权地重演。•在数据原发鉴别中,身份和数据项一起被提交,并且声称数据项来源于身份所代表的主体。这种服务对数据单元的重复或篡改不提供保护。数据原发鉴别数据原发鉴别

4、为声称者的身份是特定数据项的来源提供了保障。它不同于实体鉴别:声称者未必涉及在当前的通信活动中;数据项可能已经通过许多系统被重放,这些系统可能或没有被鉴别;数据项可能在途中被存储相当的周期。与完整性有关的数据原发鉴别必须确保自从数据项离开它的信源没有被修改。然而,数据原发鉴别未必能免遭数据项的复制、重排序或丢失。数据原发鉴别方法:1)加密:给数据项附加一个鉴别项,然后加密该结果2)封装或数字签名3)实体鉴别扩展:通过完整性机制将数据项和鉴别交换联系起来实体鉴别实现安全目标的方式1)作为访问控制服务的一种必要支持,访问控制服务的执行依赖于确知的身份(访问

5、控制服务直接对达到机密性、完整性、可用性及合法使用目标提供支持);2)作为提供数据起源认证的一种可能方法(当它与数据完整性机制结合起来使用时);3)作为对责任原则的一种直接支持,例如,在审计追踪过程中做记录时,提供与某一活动相联系的确知身份。实体鉴别分类(1)•实体鉴别可以分为本地和远程两类。–实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。–连接远程设备、实体和环境的实体鉴别。•本地鉴别:需要用户的进行明确的操作远程鉴别:通常将本地鉴别结果传送到远程。(1)安全(2)易用实体鉴别分类(2)•实体鉴别可以是

6、单向的也可以是双向的。–单向鉴别是指通信双方中只有一方向另一方进行鉴别。–双向鉴别是指通信双方相互进行鉴别。实体鉴别系统的组成•一方是出示证件的人,称作示证者P(Prover),又称声称者(Claimant)。•另一方为验证者V(Verifier),检验声称者提出的证件的正确性和合法性,决定是否满足要求。•第三方是可信赖者TP(Trustedthirdparty),参与调解纠纷。•第四方是攻击者,可以窃听或伪装声称者骗取验证者的信任。鉴别模型TPAB实体鉴别与消息鉴别的差别•实体鉴别一般都是实时的,消息鉴别一般不提供时间性。•实体鉴别只证实实体的身份,

7、消息鉴别除了消息的合法和完整外,还需要知道消息的含义。•数字签字是实现身份识别的有效途径。但在身份识别中消息的语义是基本固定的,一般不是“终生”的,签字是长期有效的。对身份鉴别系统的要求(1)验证者正确识别合法申请者的概率极大化。(2)不具有可传递性(Transferability)(3)攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度(4)计算有效性(5)通信有效性(6)秘密参数能安全存储*(7)交互识别*(8)第三方的实时参与*(9)第三方的可信赖性*(10)可证明的安全性实现身份鉴别的途径•三种途径之一或他们的组合(1)所知(Knowl

8、edge):密码、口令(2)所有(Possesses):身份证、护照、信用卡、钥匙(3)个人特

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。