1.身份认证系统的组成
一个身份认证系统一般由三方组成:一方是示证者,即出示证件的人,又称作申请者,提出某种要求;另一方是验证者,查验示证者提出的证件的正确性和合法性;第三方是攻击者,能够偷听和假装示证者,骗得验证者的信赖。认证系统也会有第四方,即可信赖者。此类技术为身份认证技术,又称作身份辨认、实体认证、身份证明等。
2.对身份认证系统的要求
(1)验证者最大概率正确辨认合法示证者。
(2)不具可传递性,验证者不能重复使用示证者提供的信息来假装示证者,而骗得其他人的验证,得到他人信赖的目的。
(3)能抗攻击者在截获到示证者和验证者通讯下假装示证者诈骗验证者,即攻击者假装示证者欺骗验证者成功的可能性要最尽可能小。
(4)计算有效性,为完成身份证明所需的计算量要小。
(5)可证明安全性。
(6)第三方的可信赖性。
(7)有些应用中要求两边能相互进行身份认证。
(8)第三方的实时参与。
(9)重要机密参数能安全存储。
(10)通讯有效性,为完成身份证明所需通讯次数和数据量要小。
2)身份认证技术和数字签名技术
身份认证技术和数字签名技术密切相关,但二者又有差异:
(1)认证答应收发两边相互验证其真实性,数字签名则答应第三者验证。
(2)关于数字签名来说,发送方不能否认,接收方不能假造,可由仲裁进行调停,而认证不一定具有这些功能。
(3)两者都是保证数据真实性的安全措施。
(4)认证一般是根据收发共享的保密数据,以证明被鉴别目标的真实性:而用于验证签名的数据是公开的。
(5)数字签名技术是完成身份认证技术的一个途径,认证技术的完成可能需要使用数字签名技术。但在身份辨认中信息的语义根本上是固定的,身份验证者根据规定对申请者的申请进行接收或者拒绝。
(6)数字签名则应当是长期有效的,未来仍能够启用,但身份辨认一般不是长期有效的。
身份认证的根本分类
1.身份证明
要回答“你是否是你所宣称的你?”即只对个人身份进行辨别。一般是输入个人信息,经公式和算法运算所得的成果与从卡上或库中存的信息经公式和算法运算所得成果进行比较,得出定论。
2.身份辨认要回答“我是否知道你是谁?”一般办法是输入个人信息,经处理提取成模板信息,试着在存储数据库中查找找出一个与之匹配的模板,然后给出定论。例如,断定一个人是否曾有前科的指纹查验系统。明显,身份辨认要比身份证明难得多。
