理论教育 身份认证:信息安全基础中的有效方法

身份认证:信息安全基础中的有效方法

时间:2023-11-24 理论教育 版权反馈
【摘要】:身份认证是某个人证明他是他所声称的那个人的过程。这是一种被认为并不强壮的认证方法,因为口令能够被各种各样的方法拦截或者窃取。这种把戏恰恰有效,因为只用口令来识别身份是非常不可靠的。遗憾的是,基于口令的身份认证是计算机早期最易于实现的方法,这种认证方法一直持续到今天还在使用。以下详细介绍目前使用的认证系统,包括:使用用户名和口令的认证系统,包括Kerberos。生物识别认证系统。

身份认证:信息安全基础中的有效方法

身份认证是某个人证明他是他所声称的那个人的过程。它由两个部分组成:一个公开的身份声明(通常是以用户名的形式,即用户ID),一个与身份结合在一起的秘密回应(如口令)。这个对身份认证的质询(Challenge)的秘密回应(Response)可以基于一个或多个因子:某个你知道的信息(如某个秘密词、短语或数字),某些你拥有的东西(如智能卡、ID标记或编码生成器),或者你的某个生理特征(如指纹视网膜)或行为特征(如步态、语音、笔迹等)。

口令(Password,有时也称密码)是一种通过只有你知道的信息来识别你的身份的方法,当然也是目前最常见的质询响应形式。口令认证是一种单因子认证(Single-factor Authentication)的例子。这是一种被认为并不强壮的认证方法,因为口令能够被各种各样的方法拦截或者窃取。例如,有人喜欢把口令写下来或者告诉别人,通过嗅探软件可以捕获系统或网上传输的明文口令,很多口令简单易猜。

想象一下,如果你只能通过事先商定的、写在纸上的秘密短语来识别你的朋友,而不是通过看他们的样子或听他们的声音。这会有多可靠呢?这种身份识别经常在谍战电影中出现,一个秘密特工使用一个口令冒充受害者将要见面但却从未见过的人。这种把戏恰恰有效,因为只用口令来识别身份是非常不可靠的。遗憾的是,基于口令的身份认证是计算机早期最易于实现的方法,这种认证方法一直持续到今天还在使用。

其他单因子认证方法要比口令认证好。令牌(Token)和智能卡(Smart Card)认证就比口令认证好,因为用户必须物理地持有它们。生理特征识别(Biometrics)使用传感器或扫描器识别个人身体某个部位的唯一特征。因为生理特征不能共享,用户必须在现场,所以要好于口令认证。但是,这些认证方法也存在缺点。令牌和智能卡可能被盗或丢失,生理特征也可以伪造。尽管如此,它们要比盗窃或获得口令困难得多。尽管口令是最常用的证明身份的方法,但它可能是最差的方法。

多因子认证使用两种或更多种验证身份的方法。认证因子包括:

(1)某个你知道的信息(如口令或PIN码)。

(2)某些你拥有的东西(如智能卡或者令牌)。

(3)你的某个生理特征(如指纹、视网膜)。(www.daowen.com)

(4)你的某个行为特征(如步态、语音、笔迹等)。

双因子认证(Two-Factor Authentication)是最常用的多因子认证形式,如一个通过液晶屏显示生成的数字口令(或者基于时间,或者基于序列)的令牌设备与一个口令相结合,一个智能卡与一个口令相结合。同样地,口令作为第二个认证因子不是一个很好的选择,但是它已经融入我们的技术和群体意识中,内置于所有的计算机系统中,并且实现起来方便、廉价。令牌或智能卡与生物识别相结合将会更加可靠,几乎不可能被攻破。

以下详细介绍目前使用的认证系统,包括:

(1)使用用户名和口令的认证系统,包括Kerberos。

(2)使用凭证或令牌的认证系统。

(3)生物识别认证系统。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈