身份鉴别的定义
定义:身份鉴别,又称为身份识别、身份认证。它是证实客户的真实身份与其所声称的身份是否相符的过程。
口令身份鉴别
固定口令(四)
注册环节:双因子认证
① 接收用户提供的口令pw(PIN);
② 生成用户的其它信息(证书等),存入磁卡(或芯片卡、门卡) 等,发放给用户;
③ 把口令信息pw等信息存入数据库的口令字段中。
登录环节:
① 接收用户提供的帐户名Dname、口令pw和证书等信息;
② 在帐户信息数据库中检查Dname的合法性,如果合法,则找出其对应的pw等信息;
③ 如果收到信息和存储数据相等,则认证成功,否则,认证失败。
口令认证
(一)共享列表一次口令
注册环节:
① 接收用户提供的口令列表{pw1 , pw2 , …, pwt };
② 每个口令分别生成口令信息:{si=F(pwi) |i=1,2,…,t} ;
③ 把口令信息{si |i=1,2,…,t} 存入数据库的口令字段中。 、
登录环节:第i次登录
① 接收用户提供的帐户名Dname和口令pwi ;
② 在帐户信息数据库中检查Dname的合法性,如果合法,则找出其对应的si ;
③ 生成临时口令信息:sri=F(pwi) ;
④ 如果sri 与si 相等,则认证成功,从列表中删除si ;否则,认证失败。
(二)顺序更新一次口令
注册环节:
① 接收用户提供的初始口令 pw1 ;
② 把口令信息pw1 存入数据库的口令字段中。
登录环节:第i次登录
① 接收用户提供的帐户名Dname和口令pwi ;以及下次认证口令的密文ci+1 = E pwi[pwi+1 ] ;
② 在帐户信息数据库中检查Dname的合法性,如果合法,则找出其对应的pwi ;
③如果两个口令相等,则认证成功,执行步骤④ ;否则,认证失败。
④ 解密得 pwi+1= D pwi[ci+1],覆盖数据库的口令字段中的pwi 。
身份鉴别协议
• 协议:是一系列步骤,它包括两方和多方,设计它的目的是要完成一项任务。
Ø 协议是从开始到结束的一个序列,每步必须依次执行
Ø 完成协议至少需要两个人
Ø 协议的目的是为了做一些事情
身份鉴别协议
1)对称密码技术的挑战应答协议
每对用户可预先共享一个密钥,Alice证明他知道共享密钥的方式有两种:
Ø Alice可以对明文挑战加密,得到正确密文(或对密文挑战解密,得到正确明文);
Ø Alice可以对挑战得到正确的认证码.
2)公钥密码技术的挑战-应答协议
Alice拥有一对公钥pkA 和私钥skA ,以及CA对其公钥的认证证书CA(A),她证明自己知道对应私钥的方法有两种 :
Ø Alice可以解密一个(用pkA 加密的)密文挑战,得到正确明文
Ø Alice可以对一个挑战进行数字签名,使其可以通过签名验证算法Ver(pkA, ·)