3、身份鉴别的任务
计算机系统中的身份鉴别技术一般涉及两方面的内容,即识别和验证。识别信息一般是非秘密的,而验证信息必须是秘密的。所谓“识别”,就是要明确访问者是谁,即识别访问者的身份,且必须对系统中的每个合法用户都有识别能力。要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符,通过唯一标识符ID,系统可以识别出访问系统的每一个用户。所谓“验证”,是指在访问者声明自己的身份(向系统输入它的标识符)后,系统必须对它所声明的身份进行验证,以防假冒,实际上就是证实用户的身份。验证过程中用户必须出具能够证明他的身份的特殊信息,这个信息是秘密的,任何其他用户都不能拥有。只有识别与验证过程都正确后,系统才会允许用户访问系统资源。 4、身份鉴别技术
身份鉴别技术包括:囗令机制、智能卡和主体特征鉴别。囗令机制是用户和系统相互约定的代码,智能卡是用户进入系统的硬件认证设备,主体特征鉴别是利用人体的生物特征(包括:指纹、虹膜、脸部和掌纹等)进行认证。 5、身份鉴别的过程
用户认证系统主要是通过数字认证技术确认用户的身份,从而提供相应的服务。决定身份真实性的身份鉴别过程包括如下两个步骤: (1)为实体赋予身份,并绑定身份,决定身份的表现方式 身份的赋予必须由具有更高优先权的实体进行。这些被充分信任的实
16
体可通过类似于驾照检查或指纹验证等办法,来确定实体的真实性,随后赋予真实实体相应的身份信息。
(2)通信与鉴别 对实体的访问请求,必须鉴别其身份。认证的基本模式可分为3类: ① 用户到主机。 ② 点对点认证。
③ 第三方的认证:由充分信任的第三方提供认证信息。 6、基于生理特征的识别技术 (1)指纹识别
指纹是指手指末梢乳突纹凸起形成的纹线图案,其稳定性、唯一性早已获得公认。目前指纹识别技术主要是利用指纹纹线所提供的细节特征(即纹线的起、终点、中断处、分叉点、汇合点、转折点)的位置、类型、数目和方向的比对来鉴别身份。 (2)虹膜识别
虹膜是指位于瞳孔和巩膜间的环状区域,每个人虹膜上的纹理、血管、斑点等细微特征各不相同,且一生中几乎不发生变化。 (3)视网膜识别
人体的血管纹路也是具有独特性的。人的视网膜上血管的图样可以利用光学方法透过人眼晶体来测定。 (4)面部识别
面部识别技术通过对面部特征和它们之间的关系(眼睛、鼻子和嘴的位置以及它们之间的相对位置)来进行识别。
17
(5)手形识别
手形识别技术主要是利用手掌、手指及手指各关节的长、宽、厚等三维尺寸和连接特征来进行身份鉴别。 (6)红外温谱图
人的身体各个部位都在向外散发热量,而每个人的生物特征都不同,从而导致其发热强度不同。 (7)语音识别
语音识别利用说话者发声频率和幅值的不同来辨识身份。 语音识别大体分两类:一是依赖特定文字识别;另一种是不依赖特定文字识别,即说话者可随意说任何词语,由系统找出说话者发音中具有共性的特征进行识别。
(8)味纹识别
人的身体是一种味源,人类的气味虽然会受到饮食、情绪、环境、时间等因素的影响和干扰,其成分和含量会发生一定的变化,但作为由基因决定的那一部分气味——味纹却始终存在,而且终生不变,可以作为识别任何一个人的标记。 (9)基因DNA识别
脱氧核糖核酸DNA存在于一切有核的动(植)物中,生物的全部遗传信息都储存在DNA分子里。 由于不同的人体细胞中具有不同的DNA分子结构,且在整个人类范围内具有唯一性和永久性,因此除了对双胞胎个体的鉴别可能失去它应有的功能外,这种方法具有绝对的权威性和准确性。
18
7、PKI的概念
(1)PKI的定义 PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。 PKI是一个为综合数字信息系统提供广泛需要的加密和数字签名服务的基础设施,其主要职责是管理密钥和证书,建立和维护一个值得信任的网络环境。PKI能够为跨越各种领域的广泛应用提供加密和数字签名服务。 PKI是由认证机构、策略和技术标准、必要的法律组成。
8、PKI原理
其基本原理是:由一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地存放起来。使用中,甲方可以用乙方的公钥对数据进行加密并传送给乙方,乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起,由权威机构认证、发放和管理。 9、PKI的安全服务功能
PKI的主要功能是提供身份认证、机密性、完整性和不可否认性服务。
① 身份认证。信息的接收者应该能够确认信息的来源,使得交易双方的身份不能被入侵者假冒或伪装。
② 机密性。确保一个计算机系统中的信息和被传输的信息仅能被授权读取的各方得到。
19
③ 信息的完整性。信息的完整性就是防止非法篡改信息,例如修改、复制、插入和删除等。
④ 信息的不可否认性。不可否认用于从技术上保证实体对他们行为的诚实,即参与交互的双方都不能事后否认自己曾经处理过的每笔业务。 10、PKI的目的
? 从广义上讲,任何提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,能够为用户建立起一个安全的网络运行环境,使用户能够在多种应用环境下方便地使用加密和数字签名技术,从而确保网上数据的机密性、完整性、有效性。
11、PKI的实体构成
从广义上讲,PKI体系是一个集网络建设、软硬件开发、信息安全技术、策略管理和相关法律政策为一体的大型的、复杂的、分布式的综合系统。一个典型、完整、有效的PKI系统至少应由以下部分组成:认证中心CA、证书库(Certificate Repository,CR)、应用程序接口(Application Programming Interface,API)、密钥备份及恢复系统和证书废除系统、客户端证书处理系统。除此之外,一个PKI系统的运行少不了证书的申请者和证书信任方的参与。 12、PKI的系统功能 (1)证书申请和审批 (2)产生、验证和分发密钥
20