1.2　身份認證基礎(chǔ)知識

1.2.1　身份認證概述

身份認證常被用于通信雙方相互確認身份，以保證通信的安全，它是證實被認證對象是否屬實和是否有效的一個過程。身份認證是信息安全的第一道防線，對信息系統(tǒng)的安全有著重要的意義，是信息安全體系的基礎(chǔ)環(huán)節(jié)。互聯(lián)網(wǎng)的廣泛性和開放性使得非法用戶可以借機進行破壞，他們很容易偽造和盜用用戶的身份。因此，有效、可信的身份認證手段是確保整個安全系統(tǒng)可信的基礎(chǔ)。

身份認證技術(shù)的基本思想是通過驗證被認證對象的某一特殊屬性，來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、證書、數(shù)字簽名，或者像指紋、聲音、視網(wǎng)膜這樣的生理特征。當(dāng)前，網(wǎng)絡(luò)上流行的身份認證技術(shù)主要有基于口令的認證、基于智能卡認證、動態(tài)口令認證、生物特性認證、USB Key認證等，這些認證技術(shù)并非單獨使用，有很多認證過程同時使用了多種認證機制。

1.2.2　身份認證的方式

身份認證技術(shù)根據(jù)不同的側(cè)重點可以有多種劃分方式。我們根據(jù)認證方法將身份認證技術(shù)大致分類如下：

（1）基于賬號和口令的用戶身份認證。系統(tǒng)給每個提出申請的用戶分配一個具有唯一性的標識ID，用戶設(shè)定自己的口令PW。用戶要注冊進入系統(tǒng)時，向系統(tǒng)提交標識ID和PW，系統(tǒng)根據(jù)ID檢索口令表得到相應(yīng)的口令PW。如果兩個PW一致，就認為是合法用戶并接受用戶，否則用戶被拒絕。基于賬號和口令的身份認證技術(shù)具有成本低、易實現(xiàn)、用戶界面友好等特點，所以目前該技術(shù)被一般的計算機系統(tǒng)廣泛采用。

（2）基于對稱密鑰／公開密鑰的用戶身份認證。數(shù)據(jù)在信道中的傳輸一般都會采取對稱密鑰／公開密鑰加密措施，以保證數(shù)據(jù)傳輸過程中的安全性。在傳統(tǒng)的對稱密鑰密碼體制中，加密與解密方法相同，密鑰管理較不方便，密碼體制單一且容易被攻擊或竊取。使用基于公開密鑰的身份認證技術(shù)，可以很好地解決對稱加密過程中密鑰無法安全共享的這一問題，它可以減輕因密鑰管理不善而帶來的安全威脅。公開密鑰密碼體制的加密和解密是由通信雙方使用不同的兩個密鑰來實現(xiàn)的。

（3）基于KDC的身份認證。在基于對稱密鑰加密的身份認證協(xié)議中，需要認證雙方共享一個對稱密鑰，但是隨著系統(tǒng)中用戶逐漸增多，密鑰數(shù)量會逐漸變得龐大。當(dāng)用戶的數(shù)量較大時，密鑰的數(shù)量增長很快，也就意味著密鑰的管理很難，并且增加了密鑰存儲的危險性，降低了身份認證的安全性。為了減輕密鑰管理的難度并且降低密鑰的安全風(fēng)險，可增加一個如密鑰分配中心（KDC, Key Distributed Center）這樣的可靠中介機構(gòu)來保存和分發(fā)密鑰。一般的KDC的工作原理如圖1-5所示。

其中，K_a是A與KDC之間的對稱密鑰，K_b是B與KDC之間的對稱密鑰，K_ab是由KDC頒發(fā)的A與B之間的對稱密鑰，KDC給出的K_a(K_ab,A)等稱為通知單ticket。常見的基于KDC的身份認證協(xié)議有Needham-Schroeder協(xié)議、擴展的Needham-Schroeder協(xié)議和Otway-Rees認證方法等。

（4）基于數(shù)字證書的用戶身份認證。公開密鑰認證方式中的關(guān)鍵問題是確保公開密鑰的真實性。現(xiàn)今流行的一個解決的辦法是采用數(shù)字證書的方式來保證實體公開密鑰的真實性。證書由實體的身份標識、公開密鑰、對身份標識和公開密鑰的數(shù)字簽名以及其他附加信息構(gòu)成，數(shù)字證書由可信第三方來制作和頒發(fā)。其認證原理如圖1-6所示。

在A與B進行相互認證時，首先A需獲得B的數(shù)字證書C_b，并使用可信第三方的公開密鑰對C_b的簽名進行驗證，通過后生成會話密鑰K_s，然后用B的公開密鑰對自己的身份標識A和K_s進行加密得到PK_b(A,K_s)，并將結(jié)果和自己的證書C_a一并發(fā)送給B方。B接收到信息后，同樣利用可信第三方提供的公開密鑰對證書C_a的簽名進行驗證，然后對PK_b(A,K_s)進行解密，再利用A的公開密鑰對自己的身份標識B和K_s進行加密，將結(jié)果PK_a(B,K_s)返回給A。A接收后對其進行解密，驗證K_s，完成身份認證，構(gòu)建會話密鑰K_s。以后雙方的交互就能建立在此會話密鑰基礎(chǔ)上進行。

（5）基于生物特征的用戶身份認證。生物特征識別技術(shù)是通過計算機利用人體所固有的生理特征或行為特征（如指紋、手形或視網(wǎng)膜等）來進行的個人身份鑒別。目前生物認證技術(shù)已被廣泛使用，包括指紋識別、語音識別以及視網(wǎng)膜識別等。與傳統(tǒng)的身份鑒別手段相比，基于生物特征的用戶身份認證技術(shù)具有以下優(yōu)點：不易遺忘或者丟失；防偽性能較好；與擁有者具有絕對相關(guān)性。

PKI是以公開密鑰技術(shù)為基礎(chǔ)并提供安全服務(wù)的安全機制。它提供公鑰加密和數(shù)字簽名的功能，并且對密鑰和數(shù)字證書進行管理。本節(jié)重點闡述了密碼學(xué)基礎(chǔ)與身份認證相關(guān)理論：首先介紹了對稱密鑰加密技術(shù)和公開密鑰加密技術(shù)，然后介紹了單向散列函數(shù)算法與數(shù)字簽名的原理，最后詳細介紹了身份認證相關(guān)的理論與幾種常見的身份認證方式。這些都是PKI技術(shù)的基礎(chǔ)。