身份标识和认证技术|学习笔记

开发者学堂课程【云安全基础课 - 访问控制概述：身份标识和认证技术】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/495/detail/6643

身份标识和认证技术

内容介绍：

一、身份认证和标识的作用

二、鉴别和鉴别的类型

三、身份鉴别的方法

四、身份鉴别的技术

一、身份标识和标识的作用

1、标识的概念

主体唯一身份凭证( ldentity )的断言(Assertion )，是访问控制的起点之一，反映了工作职责、IT 属性以及人身属性。

2、标识的主要作用

访问控制和审计。访问控制就是通过标识来判断主体，也就是判断该用户是否能够进行相应的操作，如果没有正确的这个身份标识，就不能进行相关的操作，也就无法确定如何进行控制，第二就是审计的功能，通过标识来进行跟踪所有操作的参与者，参与者的任意动作都能被标识标记出来，这就是审计的作用。我们常见的标识在it系统之中有用户名、用户 ID 帐号，还有其他一些数字识别的信息都可以成立标识。

二、鉴别和鉴别类型

鉴主要是观察的意思，别是识别的意思。

1、鉴别的概念

客体确认主体是否是它所声明的，提供了关于某个主体身份的保证，某一主体确信与之打交道的主体正是所需要的主体。

2、需求

某一成员（声称者）提交一个主体的身份并声称它是那个主体

3、目的

使别的成员（验证者)获得对声称者所声称的事实的信任，通过系统的鉴别可以达到该目的，即通过了认证。

4、常见鉴别

口令、挑战-应答、生物特征鉴别

5、鉴别的类型

单向鉴别、双向鉴别、第三方鉴别。

单向鉴别：通信双方中只有一方像另一方进行鉴别

双向鉴别：通信双方互相进行鉴别

第三方鉴别：由一个可信的第三方来进行鉴别，像CBA就属于可信的第三方鉴别。根据远程和本地可以分为远程鉴别和本地鉴别两种。

本地鉴别：实体在本地环境的初始化鉴别

远程鉴别：连接到远程设备的实体鉴别远程鉴别和本地鉴别。

 

三、身份鉴别的方法

对用户身份标识的认证( Verifying )过程。

类型1∶你知道什么

类型2∶你拥有的什么

类型3∶你是什么或者你做什么多因素和双因素认证

身份鉴别的具体方法就是认证，即对用户身份标识的认证过程，这就是个IT中身份鉴别。

身份认证有三种类型，一种就是基于你所知道的，这是我们应用最多的，像密码、口令，还有相关知识等，都是所知道的；第二种类型是你拥有的，像身份证、信用卡、银行卡，并且知道密码就可以去取；第三种类型是你是什么或者你做了什么，这种类型更多是基于个人特征的，像指纹、声音、视网膜、虹膜的识别等基于生物特征的认证。

除此之外，还有多种类型的组合，像多因素或者是双因素认证，比如说你有什么和你知道什么的一种组合，可能你有密码，并且你还有身份证或是银行卡，此时就能取款了，实际上这就是一种双因素认证。

四、身份鉴别的技术

>基于口令的身份认证

l 口令是使用最广泛的身份鉴别方法

l 选择原则:易记、难猜测、抗分析能力强口令提供弱鉴别

l 面临的威胁:口令猜测、线路窃听、重放攻击

身份证技术有三种类型，一个是基于口令的，对基于口令的认证技术进行扩展。口令是使用最广泛的身份鉴别方法之一，口令的选择原则是要选择易记、但是难猜测且抗分析性强的。

口令在安全上会有几个问题，即面临的威胁有：第一个就是口令猜测，就是大家常说的暴力破解，给一个用户名张三儿，然后去猜123456、12345678等不断的去尝试，这就是口令猜测、口令破解；第二就是链路的窃听，我们知道在传输过程中的访问控制是主体访问客体的一个过程，口令猜测可以是针对主体提供的凭证的一种攻击，而链路上的窃听则属于针对访问过程的攻击；

第三个面临的问题就是重放，如果知道了密码，或者密码的密文被截取后，可以不断的去重放这个过程来完成认证，对系统来说，它一样能够鉴别成功。

例如下单时，如果系统存在漏洞，同一个单可以不断的去提交，在系统里面由于缺陷漏洞造成的同一个单不断去提交，就属于重放的攻击。

>基于生物特征的身份认证

每个人所具有的唯一生理特征∶

l 指纹

l 手掌手型

l 视网膜

l 虹膜

l 声音

l 语音

l 面部

l 签名

第二种身份认证的技术是基于生物特征的身份认证，这也是我们经常使用的身份认证方式。

每个人都有一个唯一的身份，里面罗列了很多个人信息，像指纹，在手掌上各种曲线交叉具有各种非常细微的特征；

还有像手掌的掌形、手掌的折痕、褶皱，以及各种包凸起、人手的形状等，这些都表示了手的几何特征；像视网膜、虹膜，扫描眼球之视网膜上会有血管儿的图案，这就是视网膜的扫描。

虹膜则是眼睛周围瞳孔周围的彩色部分，虹膜也有其独特的图案，有分叉的、有颜色的不同，还有环状的光环、褶皱的不同等等；那还有声音和语音的特征，像记录时候几个不同的单词，你的说话的速度、说话的语调、语音等，这些都属于语音识别方面的特征；还有人的面部，人脸的识别，脸部的骨骼结构、鼻梁、眼眶、额头、下额等不同的形状来区分每个人的生理特征；还有不同人的签名也是一个个人的身份特征，每个人写字的姿势都不一样，然后写出同一个字的流畅度也不一样，轻重也会不一样，所以这些都可以作为一个生命特征来进行身份认证。

>基于个人令牌的身份认证

集成电路卡(Integrated Circuit Card)称 IC 卡，其中镶嵌集成电路芯片。

IC 卡的分类：

IC 卡接口类型：

l 接触式 IC 卡

l 非接触式 IC 卡

l 双界面卡

嵌入集成电路芯片的形式和类型：

l 非加密存储卡

l 逻辑加密卡

l CPU 卡(又称智能卡)

第三种身份证技术是基于个人令牌的身份认证，这里面比较典型的有像集成电路卡，也就是我们常说的 IC 卡，IC 卡中可能还镶嵌了集成电路芯片。常见的 IC 卡有以下几类，有接触式的还有非接触式的，还有双界面的卡。

嵌入集成电路芯片的形状和类型可能也不同，有非加密存储卡，有逻辑加密卡，还有 cpu 卡(也就是现在我们使用最多的智能卡)。