身份认证的概念

4.2.1　身份认证的概念

身份认证又叫身份识别，它是通信和数据系统正确识别通信用户或终端的个人身份的重要途径。比如银行的自动取款机（ATM）可将现款发放给经它正确识别的账号持卡人。对计算机的访问和使用、安全地区的出入和放行、出入境等都是以准确的身份识别为基础的。身份识别技术能使识别者让对方识别到自己的真正身份，确保识别者的合法权益。

身份认证是安全系统中的第一道关卡，如图4-6所示，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”——用户的身份。可见，身份认证在安全系统中的地位极其重要，是最基本的安全服务，其他的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统。

图4-6　身份认证的地位

1.身份认证的几个相关概念

为了保护网络资源及落实安全政策，需要提供可追究责任的机制。这里涉及三个概念：认证、授权及审计。

（1）认证（Authentication）　在做任何动作之前必须要有方法来识别动作执行者的真实身份。认证又称为鉴别、确认。身份认证主要是通过标识和鉴别用户的身份，防止攻击者假冒合法用户获取访问权限。

（2）授权（Authorization）　授权是指当用户身份被确认合法后，赋予该用户进行文件和数据等操作的权限。这种权限包括读、写、执行及从属权等。

（3）审计（Auditing）　每一个人都应该为自己所做的操作负责，所以在做完事情之后都要留下记录，以便核查责任。

在现实生活中，我们个人的身份主要是通过各种证件来确认的，例如身份证、户口本等。计算机网络信息系统中，各种资源（如文件、数据库、应用系统）也需要认证机制的保护，确保这些资源被应该使用的人使用。在大多数情况下，认证机制与授权和记账也紧密结合在一起。身份认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明。身份认证往往是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的失败。

身份认证分为单向认证和双向认证。如果通信的双方只需要一方被另一方鉴别身份，这样的认证过程就是一种单向认证。在双向认证过程中，通信双方需要互相认证对方的身份。

2.身份认证系统的组成

身份认证系统包含下列三项主要组成元件。

（1）认证服务器（Authentication Server）

负责进行使用者身份认证的工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的相关资讯。

（2）认证系统用户端软件（Authentication Client Software）

认证系统用户端通常都是需要进行登录（login）的设备或系统，在这些设备及系统中必须具备可以与认证服务器协同运作的认证协议。也在有些情况下，认证服务器与认证系统用户端软件是集成在一起的。

（3）认证设备（Authenticator）

认证设备是使用者用来产生或计算密码的软、硬件设备。

3.身份认证系统被攻击的方式

从用户角度来看，非法用户常采用以下手段对身份认证过程进行攻击。

（1）数据流窃听（Sniffer）　由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令。

（2）拷贝/重传　非法用户截获信息后再传送给接收者。

（3）修改或伪造　非法用户截获信息，替换或修改信息后再传送给接收者，或者非法用户冒充合法用户发送信息。

4.身份认证与其他技术的结合

适合于各种不同场合的认证交换机制有多种选择与组合。例如：当对等实体以及通信手段都可信任时，一个对等实体的身份可以通过口令来证实。该口令能防止出错，但不能防止恶意行为。相互鉴别可在每个方向上使用不同的口令来完成。

当每个实体信任它的对等实体但不信任通信手段时，抗主动攻击的保护能够由口令与加密联合提供，或由密码手段提供。防止重演攻击的需要双方握手（用保护参数），或时间标记（用可信任时钟）。带有重演保护的相互鉴别，使用三方握手就能达到。

当实体不信任（或感到它们将来可能不信任）它们的对等实体或通信手段时可以使用抗抵赖服务。使用数字签名机制和公证机制就能实现抗抵赖服务。这些机制可与上面所述的机制一起使用。