一、标识(Identification)就是系统要标识用户的身份,并为每个用户取一个系统可以识别的内部名称——用户标识符。用户标识符必须是唯一的且不能被伪造,防止一个用户冒充另一个用户。
二、鉴别过程主要用以识别用户的真实身份,鉴别操作总是要求用户具有能够证明他身份的特殊信息,并且这个信息是秘密的或独一无二的,任何其他用户都不能拥有它。
三、身份认证的基本途径包括:基于你所知道的、基于你所拥有的、基于你的个人特征三种。
四、对身份认证过程中攻击主要有三种:
1)数据流窃听(Sniffer):由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。
2)拷贝/重传:非法用户截获信息,然后再传送给接收者。
3)修改或伪造:非法用户截获信息,替换或修改信息后再传送给接收者,或者非法用户冒充合法用户发送信息。
五、身份认证的目的是验证信息收发方是否持有合法的身份认证符(口令、密钥和实物证件等)。身份认证的基本模型包括:申请者,申请身份验证;验证者,检验申请者证件的正确性和合法性,决定是否满足要求;认证信息,申请者申请验证的信息;可信第三方,参与调解纠纷。
六、质询/响应认证是一种一次性口令模式,也是目前使用最多的一种机制。智能卡应用中的工作过程:
1)认证请求。客户机首先向服务器发出请求,服务器提示用户输入用户 ID 等信息。
2)质询。服务器选择一个一次性随机数 X 发送给客户端的智能卡。服务器根据用户 ID 取出对应的密钥 K 后,利用发送给客户机的随机串 X,在服务器上用加密引擎进行运算,得到运算结果 Es。
3)响应。智能卡根据输入的随机串 X 与智能卡内的密钥 K 使用加密引擎运算,得到一个运算结果 Ec,此运算结果将作为认证的依据发送给服务器。
4)验证结果。服务器比较两运算结果 Es 和 Ec 是否相同,若相同,则为合法用户。
七、根据不确定因子的产生方式一次性口令可以分为几种常见的模式:口令序列、时间同步、事件同步、质询/响应(Challenge/Response)方案等。
八、对口令的安全保护包括:1)选取口令的原则,使用随机产生的口令,避免使用弱口令;2)正确地使用口令,缩短口令的有效期;3)增强系统对口令的安全保护,安全地保存指令,系统管理员对用户账户要按照资费等加以控制,增加口令认证的信息量。
九、所谓生物识别技术,就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特征和行为特征来进行个人身份的坚定。本质是模式识别。
十、生物识别的三大优势:不容易被遗忘或丢失;不容易被伪造或被盗;可以随时携带,随时使用。
十一、公钥基础设施 PKI(Public Key Infrastructure)是解决信任和加密问题的基本解决方案。PKI 的本质就是实现了大规模网络中的公钥分发问题,建立了大规模网络中的信任基础。概括地说,PKI 是创建、管理、存储、分发和撤销基于公钥证书所需要的一套硬件、软件、策略和过程的集合。
十二、PKI 为开放的网络环境提供的四项基本安全服务:认证,确认发送者和接受者的真实身份;数据完整性,确保数据在传输过程中不能被有意或无意的修改;不可抵赖性,通过验证,确保发送方不能否认其发送消息;机密性,确保数据不能被非授权的第三方访问。
