身份鉴别术份鉴别技术.pptVIP

对付外部泄露的措施 教育、培训 严格组织管理方法和执行手续 口令定期改变 每个口令只与一个人有关 输入的口令不再现在终端上 使用易记的口令，不要写在纸上 8.2 基于口令的身份鉴别技术 该方案的主要缺陷是： 只能保护在多台计算机上使用相同口令或在同一计算机上使用同一口令的不同用户。 基本的对付危及验证者的措施 使用单向函数 对付窃听及危及验证者的措施 使用单向函数 验证码 定义：将一串随机产生的数字或符号，生成一幅图片，在图片里加入一些干扰像素，由用户肉眼识别其中的验证码信息，输入表单提交到网站进行验证，验证成功后才能使用某项功能。 目的： 防止用户利用机器人自动注册，登陆，灌水。 有效防止某一特定注册用户用特定程序暴力破解方式进行不断的登陆尝试。 第8章 身份鉴别技术 */63 */63 第1章 密码学概述 第2章 古典密码技术 第3章 分组密码 第4章 公钥密码体制 第5章 散列函数与消息鉴别 第6章 数字签名技术 第7章 密钥管理技术 第8章 身份鉴别技术 第9章 序列密码 第10章 密码技术应用 课程主要内容 第8章 身份鉴别技术 本章学习目标： 掌握身份鉴别的基本原理 了解基于口令的身份鉴别 了解生物特征鉴别技术 了解零知识证明原理 8.1 身份鉴别原理 鉴别分为实体鉴别和数据原发鉴别。 实体鉴别也叫身份鉴别，是证明或确认某一实体（如，人、设备、计算机系统、应用和进程等）所声称的身份的过程。 身份鉴别的基本的原理是把声称者提供的信息与某些保存下来的可以代表其的信息进行比对，以达到鉴别的目的。 数据原发鉴别用于证明数据的出处或来源。 身份鉴别的方式 8.1 身份鉴别原理 根据鉴别信息的不同，身份鉴别有多种方式： 验证实体已知什么，如口令或通行短语。 验证实体拥有什么，如通行证、智能IC卡。 验证实体不可改变的特性，如指纹、声音等生物学测定得来的标识特征。 相信可靠的第三方建立的鉴别（递推）。 身份鉴别的要素 8.1 身份鉴别原理 各种实系统的实体在很多情况下需要鉴别与被鉴别。某一实体伪称是另一实体的行为被称作假冒。鉴别机制可用来对抗假冒威胁。 身份鉴别涉及两类实体 声称者(被鉴别方)和验证者(鉴别方) 身份鉴别通过鉴别双方在鉴别过程对鉴别信息进行验证而完成。 身份鉴别是保证信息系统安全的重要措施。 身份鉴别的方向 8.1 身份鉴别原理 身份鉴别可以是单向的也可以是双向的。 单向鉴别是指通信双方中只有一方鉴别另一方，在单向身份鉴别中，一个实体充当声称者；另一个实体充当验证者。 双向身份鉴是指指通信双方相互鉴别。实体双方同时充当声称者和验证者。双向鉴别可在两个方向上使用相同或不同的鉴别机制。 身份鉴别的分类 8.1 身份鉴别原理 非密码的身份鉴别机制 基于密码算法的鉴别 采用对称密码算法的机制 采用公开密码算法的机制 采用密码校验函数的机制 零知识证明协议 基本口令鉴别协议 8.2 基于口令的身份鉴别技术 系统事先保存每个用户的二元组信息，即用户身份信息和口令。这种口令信息是明文的或仅经过简单加密的。 口令鉴别协议（password authentication protocol，PAP)鉴别一般在通信连接建立阶段进行，在数据传输阶段不进行PAP鉴别。 基本口令鉴别协议的优缺点 8.2 基于口令的身份鉴别技术 优点：简单有效，实用方便，费用低廉，使用灵活。一般的系统（如Unix，Windows NT，NetWare等）都提供了对口令鉴别的支持。 缺点： 口令容易向外部泄露 易于猜测的弱口令 线路窃听 危及验证者 重放 对付线路窃听的措施 引入散列函数 salt机制 一次性口令（OTP） 引入散列函数的口令鉴别协议 引入散列函数 该方案的主要缺陷是：利用已知的散列函数，攻击者很容易构造一张p与q对应的表（称为口令字典），表中的p是猜测的口令，尽可能包含各种可能的口令值，q是p的散列值。然后攻击者通过拦截鉴别信息q，利用口令字典就能以很高的概率获得声称者的口令，这种攻击方式称为字典攻击。 8.2 基于口令的身份鉴别技术 引入散列函数 Salt机制称为加盐机制（salt称为盐，实际上是一串随机字符串）。加盐就是在进行散列运算时，增加salt字符串的输入，通过salt和口令混合加密得出散列值。可以看出，加入随机字符串（盐）后，将使得字典攻击的实施变得困难。 8.2 基于口令的身份鉴别技术 加salt机制 加salt机制的鉴别交互示意图 OTP（One-Time Password）是一次性口令机制，主要目的是确保在每次鉴别