基于身份的身份识别方案不需要交换私钥或公钥,一般也不需要可信第三方TA的参与。即使需要,该可信第三方TA一般仅用于给第一次参与身份识别的用户颁发个性化的智能卡,TA把用户签名和加密所需信息放在卡中。
身份识别是网络通信中非常实用的一种技术。这一节中介绍的几种典型的身份识别方案都使用非对称密码体制来实现。以公钥密码体制为基础的加密、数字签名等应用都存在不同的安全隐患,在网络应用中使用前面几种身份识别协议容易受到各种形式的攻击。归纳起来,对身份识别这的攻击主要有以下几种。
1.冒充攻击
一个实体声称是另一个实体。这是最常见的一种攻击方式,对于最简单的口令认证方式,只要能获取别人的口令,就能轻而易举的冒充他人。
2.重放攻击
攻击者截获使用身份识别协议时传输的消息,在适当的时候再次使用,从而达到冒充他人的目的,这种攻击的最终目的是获取他人的特权或身份。为避免这类攻击,可在挑战应答认证的应答消息中嵌入目标身份信息。
3.交错攻击
攻击者把前面一次或多次执行协议时的消息有选择地组合在一起,伪装成他人将这些消息进行传送,以达到攻击的目的。为避免这类攻击,把协议运行中的所有消息都连接在一起。
4.反送攻击
正在执行的协议中,攻击者冒充通信双方中的某一方,把另一方发送过来的消息再发送回去。为避免这类攻击,在构造协议时尽量减少传送对称的消息或在挑战应答中嵌入目标身份信息。