第04章身份认证要点.pptVIP

第4章 身份认证 数字签名—私章 手写签名（小规模，熟人社会） 身份认证—身份证 户口本(大规模，商业社会) 计算机网络领域的身份认证是通过将一个证据与实体的绑定实现的。 身份认证是其他安全机制的基础?访问控制、安全审计、入侵防范等安全机制 第4章 身份认证 4.1 用户认证（计算机认证人） 4.2 认证协议（计算机认证计算机） 4.3 Kerberos*（难） 4.4 X.509认证服务 (重点) 4.5 公钥基础设施PKI （重点） 4.1 用户认证 计算机认证人的身份：你是否是你声称的那个人？用户认证是对访问者授权的基础。 用户认证的依据 所知的信息：密码、口令 所有 的物品：身份证、护照、智能卡等 所具有的独一无二的身体特征：指纹、DNA等 4.1.1 基于口令的认证 4.1.2 基于智能卡的认证 4.1.3 基于生物特征的认证 4.1.1基于口令的认证 静态口令：最简单，最易实现，最容易理解和接受 技术角度，静态口令必须解决的问题（2） 口令存储：明文易受字典攻击-加密存储，存散列值 口令传输:客户机传送到服务器上，协商好的加密算法或单项散列函数。 基于静态口令的认证方式存在的安全问题（6） 单因素； 便于记忆口令的攻击容易； 截获； 口令 文件；不同安全级别相同口令； 口令无法抵抗重放攻击；单向认证 改进：动态口令 动态口令：一次性口令。用户登录系统进行身份认证的过程中，送入计算机中的验证数据是动态变化，如时间，E(用户名+密码+时间)，产生无法预测的动态口令，以提高登录过程的安全性。 动态口令产生方式（4） 共享一次性口令表 口令序列 挑战响应方式 时间-事件同步机制--电子令牌卡 动态口令的技术特点：动态性、随机性、一次性、方便性。 4.1.2 基于智能卡的认证▲ 基于USB Key认证 当前流行的智能卡身份认证技术。 USB Key结合了现代密码学技术 智能卡技术和USB技术，特点 双因子认证：pin码和硬件 带有安全存储空间 硬件实现加密算法：USB中加解密 便于携带，安全可靠 USB Key身份认证包括方式： 基于挑战应答的双因子方式。 密钥不在 内存 网络传输 基于数字证书的认证方式。PKI技术 CA签发，USBKey数字证书的存储介质，保证数字证书不被复制，实现所有数字证书的功能。 4.1.3基于生物特征的认证 采用人体具有的唯一的、可靠地、终生稳定的生物特征为依据，采用计算机图像处理和模型识别技术实现身份认证。 指纹、声纹、虹膜、视网膜、脸型、掌纹等 基于生物特征的身份认证的优点（4）但成本高 指纹识别过程 4.2 认证协议 分布式的网络环境，为了通信安全都要求有初始的认证握手过程。 4.2.1 单向认证 4.2.2 双向认证 4.2.1单向认证 单向认证：通信双方只有一方认证另一方身份 基于对称加密的单向认证（2） B认证A 4.2.2双向认证 用于通信双方的相互认证,认证的同时可以协商会话密钥 必威体育官网网址性和及时性是密钥交换的重要问题。必威体育官网网址性用户标识和会话密钥；及时性防备消息重放。 重放攻击方法（4） 对付重放攻击方法：序列号 时间戳: 不适合于面向连接 挑战/应答：不适合于无连接 4.2.2-基于对称加密的双向认证 4.2.2-基于公钥加密的双向认证 （１）中N1是A认证B挑战； （２）中N1使Ａ确信Ｂ的身份，Ｎ２是Ｂ认证Ａ的挑战 （３）中Ｎ２是Ｂ确信Ａ的身份 （４）（５）实现对称密码Ｋｓ的密钥分配 4.3 Kerberos * Kerberos：1980s, 美国 MIT 提出，一种基于对称密钥、在开放网络上实施双向身份认证的服务 Kerberos为TCP/IP网络设计的可信第三方认证协议，利用可信第三方（ Kerberos 服务器）进行集中认证，具有安全、可靠、透明性，可伸缩特点。 Kerberos v4 and v5 ：v4用户量大 4.3.1 Kerberos版本4 4.3.2 Kerberos版本5* 4.3.1 Kerberos版本4 Kerberos通过一个集中的认证服务器KDC来负责用户对服务器的认证和服务器对用户的认证。 Kerberos实现：包括运行在网络中某个安全节点的密钥分发中心（KDC，又称为认证服务器）和一个函数库，各需要认证用户身份的分布式应用程序调用函数库实现对用户的认证。 Kerberos设计目标：用户能够用用户名和口令登录工作站，工作站基于用户名生成密钥，用密钥和KDC联系，代替用户获得远程资源使用授权。 4.3.1 Kerberos版本4 1 Kerbros配置 2 服务认证交换：获得会话密钥和TGT 3 服务授权门票交换：请求访问远程资源 4 客户服务器认证交换：访问远程资源