- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
? 信息=确定性的内容的名称;内容的名称=ID,确定性= Certainty
身份认证是信息交互的基础 (信息化的第一道门)
www.people2000.net
概述-概念
? 概念
?身份认证是网络安全的核心,其目的是防止未授权 用户访问网络资源。
?身份认证是指证实客户的真实身份与其所声称的身 份是否相符的过程
?知识、口令、密码
?基于你所拥有的( What you have )
?身份证、信用卡、钥匙、智能卡、令牌等
?基于你的个人特征( What you are )
?指纹,笔迹,声音,手型,脸型,视网膜,虹膜
? 双因素、多因素认证
?综合上述两种或多种因素进行认证。如ATM 机取款需要 银行卡+密码双因素认证
MAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法
一次性口令认证(OTP)
? 一次性口令机制确保在每次认证中所使用的口令不 同,以对付重放攻击。
? 确定口令的方法:
(1)两端共同拥有一串随机口令,在该串的某一位置保持 同步; (2)两端共同使用一个随机序列生成器,在该序列生成器 的初态保持同步; (3)使用时间戳,两端维持同步的时钟。
?口令管理的作用:
? 生成了合适的口令 ? 口令更新 ? 能够完全保密
口令管理
? 口令的要求:
?包含一定的字符数; ?和ID无关; ?包含特殊的字符; ?大小写; ?不容易被猜测到。 ?跟踪用户所产生的所有口令,确保这些口令不相同, ?定期更改其口令。 ?使用字典式攻击的工具找出比较脆弱的口令。许多安全
一次性口令认证(OTP)
? SKEY 验证程序
?其安全性依赖于一个单向函数。为建立这样的系统A输入 一随机数R,计算机计算f(R), f( f(R)), f( f( f (R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存 在A的名字旁边。
一次性口令认证(OTP)
? S/Key ? SecurID
Pass phrase + challenge
OTP Token
ID challenge
OTP
Server OTP
http://www.faqs.org/rfcs/rfc1760.html http://www.ietf.org/rfc/rfc2289.txt
身份认证技术在网络空间安全中 的重要性及应用
本节主要内容
1
身份认证技术概述
2
基于口令的身份认证
3
对称密码认证
4
非对称密码认证
5
生物认证技术
6
移动互联时代的认证技术
概述-信息的基础是身份认证
? 数学家、信息论的创始人仙农在题为“通讯的数学理论”的 论文中指出:“信息是用来消除随机不定性的东西”。
? 著名数学家、控制论的创始人维纳在指出:“信息是人们适 应外部世界并且使这种适应反作用于外部世界的过程中,同 外部世界进行交换的内容的名称。”
工具都具有这种双重身份:
? 网络管理员使用的工具:口令检验器 ? 攻击者破获口令使用的工具:口令破译器
口令管理
? 口令产生器
?不是让用户自己选择口令,口令产生器用于产生随机的 和可拼写口令。
? 口令的时效
?强迫用户经过一段时间后就更改口令。 ?系统还记录至少5到10个口令,使用户不能使用刚刚使用
的口令。
概述-身份认证的基本模型
? 身份认证系统一般组成:示证者,验证者,攻击者及可 信第三方(可选)
? 示证者(Claimant,也称申请者) ?提出某种要求
? 验证者(Verifier) ?验证示证者出示的证件的正确性与合法性,并决定是 否满足其要求。
? 攻击者(Attacker) ?可以窃听或伪装示证者,骗取验证者的信任。
?第一次登录,键入x100
?以后依次键入xi,计算机计算f(xi),并将它与xi+1比较。
众人科技的介绍
www.people2000.net
口令管理
? 口令管理
?口令属于“他知道什么”这种方式,容易被窃取。 ?口令的错误使用:
? 选择一些很容易猜到的口令; ? 把口令告诉别人; ? 把口令写在一个贴条上并把它贴在键盘旁边。
? 限制登录次数
?免受字典式攻击或穷举法攻击
对称密码认证
? 基于对称密码算法的鉴别依靠一定协议下的数据加 密处理。通信双方共享一个 密钥(通常存储在硬件 中),该密钥在 询问—应答协议 中处理或加密信息 交换。
? 单向认证:仅对实体中的一个进行认证。 ? 双向认证:两个通信实体相互进行认证。
1. Kerberos 简介 2. Kerberos 缺陷
? 提供的安全服务
?作为访问控制服务的一种必要支持,访问控制服务 的执行依赖于确知的身份
?作为提供数据源认证的一种可能方法(当与数据完 整性机制结合起来使用时)
?作为对责任原则的一种直接支持,如审计追踪中提 供与某活动相联系的确知身份
概述-身份认证基本途径
?基于你所知道的( What you know )
挑战/应答认证协议(CHAP)
?Challenge andΒιβλιοθήκη BaiduResponse Handshake Protocol
? Client 和Server 共享一个密钥
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
MAC'=H(R,K) 比较MAC' 和MAC
概述-身份认证的基本模型
? 可信第三方(Trusted Third Party) ?在必要时作为第四方出现 ?可参与调节纠纷
? 认证信息AI(Authentication Information)
申请AI
交换AI
验证AI
申请AI
验证AI
概述-需求
?唯一的身份标识( ID): ? 抗被动的威胁(窃听),口令不在网上明码传
输 ? 抵抗主动的威胁,比如阻断、伪造、重放,网
络上传输的认证信息不可重用
sniffer
源
目的
概述-需求
? 双向认证
?域名欺骗、地址假冒等 ?路由控制
?单点登录( Single Sign-On )
?用户只需要一次认证操作就可以访 问多种服务
? 可扩展性的要求
基于口令的身份认证
1. 挑战/响应认证 (Challenge/Response ) 2. 一次性口令( OTP, One-Time Password ) 3. 口令的管理
