身份认证技术ppt课件.ppt
《身份认证技术ppt课件.ppt》由会员分享,可在线阅读,更多相关《身份认证技术ppt课件.ppt(70页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、身份认证技术在网络空间安全中身份认证技术在网络空间安全中的重要性及应用的重要性及应用本节主要内容身份认证技术概述1基于口令的身份认证2对称密码认证3非对称密码认证4生物认证技术5移动互联时代的认证技术6概述-信息的基础是身份认证v 数学家数学家、信息论的创始人仙农在题为、信息论的创始人仙农在题为“通讯的数学理论通讯的数学理论”的的论文中指出:论文中指出:“信息是用来消除随机不定性的东西信息是用来消除随机不定性的东西”。v 著名著名数学家、控制论的创始人维纳在指出数学家、控制论的创始人维纳在指出:“信息是人们适信息是人们适应外部世界并且使这种适应反作用于外部世界的过程中,同应外部世界并且使这种适
2、应反作用于外部世界的过程中,同外部世界进行交换的内容的名称。外部世界进行交换的内容的名称。” v 信息信息=确定性的内容的名称;内容的名称确定性的内容的名称;内容的名称=ID,确定性,确定性= Certainty身份认证是信息交互的基础身份认证是信息交互的基础(信息化的第一道门)(信息化的第一道门)概述-概念v概念概念 身份认证是网络安全的核心,其目的是防止未授权用户访问网络资源。 身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程v提供的安全服务提供的安全服务 作为访问控制服务的一种必要支持,访问控制服务的执行依赖于确知的身份 作为提供数据源认证的一种可能方法(当与数据完整性机制结
3、合起来使用时) 作为对责任原则的一种直接支持,如审计追踪中提供与某活动相联系的确知身份概述-身份认证基本途径v基于你所知道的(基于你所知道的(What you know ) 知识、口令、密码v基于你所拥有的(基于你所拥有的(What you have ) 身份证、信用卡、钥匙、智能卡、令牌等v基于你的个人特征(基于你的个人特征(What you are) 指纹,笔迹,声音,手型,脸型,视网膜,虹膜v双因素、多因素认证双因素、多因素认证 综合上述两种或多种因素进行认证。如ATM机取款需要银行卡+密码双因素认证概述-身份认证的基本模型v 身份认证系统一般组成:示证者,验证者,攻击者及可身份认证系统
4、一般组成:示证者,验证者,攻击者及可信第三方(可选)信第三方(可选)v 示证者(示证者(Claimant,也称申请者),也称申请者) 提出某种要求v 验证者(验证者(Verifier) 验证示证者出示的证件的正确性与合法性,并决定是否满足其要求。v 攻击者(攻击者(Attacker) 可以窃听或伪装示证者,骗取验证者的信任。概述-身份认证的基本模型v 可信第三方可信第三方(Trusted Third Party) 在必要时作为第四方出现 可参与调节纠纷v 认证信息认证信息AI(Authentication Information)申请AI验证AI申请AI验证AI交换AI概述-需求v唯一的身份标
5、识(唯一的身份标识(ID): v抗被动的威胁(窃听),口令不在网上明码传抗被动的威胁(窃听),口令不在网上明码传输输v抵抗主动的威胁,比如阻断、伪造、重放,网抵抗主动的威胁,比如阻断、伪造、重放,网络上传输的认证信息不可重用络上传输的认证信息不可重用源目的sniffer概述-需求v双向认证双向认证 域名欺骗、地址假冒等 路由控制v单点登录(单点登录(Single Sign-On) 用户只需要一次认证操作就可以访问多种服务v可扩展性的要求可扩展性的要求基于口令的身份认证1. 挑战挑战/响应认证响应认证 (Challenge/Response)2. 一次性口令(一次性口令(OTP, One-Tim
6、e Password)3. 口令的管理口令的管理挑战/应答认证协议(CHAP)vChallenge and Response Handshake ProtocolvClient和和Server共享一个密钥共享一个密钥Login ,IDcIDc, RIDc, MACcMAC=H(R,K)sMAC=H(R,K)比较MAC和MACOK / DisconnectMAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法v一次性口令机制确保在每次认证中所使用的口令不一次性口令机制确保在每次认证中所使用的口令不同,以对付重放攻击。同,以对付重放攻击。v确定口令的方法:确定口令的方法: (1)两端共同拥有
7、一串随机口令,在该串的某一位置保持同步; (2)两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步; (3)使用时间戳,两端维持同步的时钟。一次性口令认证(OTP)一次性口令认证(OTP)vS/Key vSecurIDTokenServerchallengeOTPPass phrase +challengeOTPhttp:/www.faqs.org/rfcs/rfc1760.htmlhttp:/www.ietf.org/rfc/rfc2289.txtOTPIDvSKEY验证程序验证程序 其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数R,计算机计算f(R), f( f(R)
8、, f( f( f(R) ),,共计算100次,计算得到的数为x1, x2 , x3 , x100,A打印出这样的表,随身携带,计算机将x101存在A的名字旁边。 第一次登录,键入x100 以后依次键入xi,计算机计算f(xi),并将它与xi+1比较。一次性口令认证(OTP)众人科技的介绍口令管理v口令管理口令管理 口令属于“他知道什么”这种方式,容易被窃取。 口令的错误使用: 选择一些很容易猜到的口令; 把口令告诉别人; 把口令写在一个贴条上并把它贴在键盘旁边。 口令管理的作用: 生成了合适的口令 口令更新 能够完全保密 口令管理v口令的要求:口令的要求: 包含一定的字符数; 和ID无关;
9、包含特殊的字符; 大小写; 不容易被猜测到。 跟踪用户所产生的所有口令,确保这些口令不相同, 定期更改其口令。 使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份: 网络管理员使用的工具:口令检验器 攻击者破获口令使用的工具:口令破译器 口令管理v口令产生器口令产生器 不是让用户自己选择口令,口令产生器用于产生随机的和可拼写口令。 v口令的时效口令的时效 强迫用户经过一段时间后就更改口令。 系统还记录至少5到10个口令,使用户不能使用刚刚使用的口令。v限制登录次数限制登录次数 免受字典式攻击或穷举法攻击 对称密码认证v基于对称密码算法的鉴别依靠一定协议下的数据加基于对称密码
10、算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密处理。通信双方共享一个密钥密钥(通常存储在硬件(通常存储在硬件中),该密钥在中),该密钥在询问询问应答协议应答协议中处理或加密信息中处理或加密信息交换。交换。v单向认证:仅对实体中的一个进行认证。单向认证:仅对实体中的一个进行认证。v双向认证:两个通信实体相互进行认证。双向认证:两个通信实体相互进行认证。对称密码认证-Kerberos 1. Kerberos 简介简介2. Kerberos 缺陷缺陷Kerberos 简介vKerberos 麻省理工学院为麻省理工学院为Athena 项目开发的项目开发的一个认证服务系统一个认证服务系统v目
11、标是把目标是把UNIX认证、记帐、审计的功能扩展到网认证、记帐、审计的功能扩展到网络环境:络环境: 公共的工作站,只有简单的物理安全措施 集中管理、受保护的服务器 多种网络环境,假冒、窃听、篡改、重发等威胁v基于基于Needham-Schroeder认证协议,可信第认证协议,可信第三方三方v基于对称密钥密码算法基于对称密钥密码算法,实现集中的身份认证和密实现集中的身份认证和密钥分配钥分配, 通信保密性、完整性通信保密性、完整性Kerberos的工作原理v 假设你要在一台电脑上访问另一个服务器(你可以发送假设你要在一台电脑上访问另一个服务器(你可以发送telnet或类似的或类似的登录请求)。你知
12、道服务器要接受你的请求必须要有一张登录请求)。你知道服务器要接受你的请求必须要有一张Kerberos的的“入场券入场券”。v 要得到这张入场券,你首先要向验证服务器(要得到这张入场券,你首先要向验证服务器(AS)请求验证。验证服)请求验证。验证服务器会创建基于你的密码(从你的用户名而来)的一个务器会创建基于你的密码(从你的用户名而来)的一个“会话密钥会话密钥”(就是一个加密密钥),并产生一个代表请求的服务的随机值。这个会话就是一个加密密钥),并产生一个代表请求的服务的随机值。这个会话密钥就是密钥就是“允许入场的入场券允许入场的入场券”。v 然后,你把这张允许入场的入场券发到授权服务器(然后,你
13、把这张允许入场的入场券发到授权服务器(TGS)。)。TGS物物理上可以和验证服务器是同一个服务器,只不过它现在执行的是另一个理上可以和验证服务器是同一个服务器,只不过它现在执行的是另一个服务。服务。TGS返回一张可以发送给请求服务的服务器的票据。返回一张可以发送给请求服务的服务器的票据。v 服务器或者拒绝这张票据,或者接受这张票据并执行服务。服务器或者拒绝这张票据,或者接受这张票据并执行服务。v 因为你从因为你从TGS收到的这张票据是打上时间戳的,所以它允许你在某个特收到的这张票据是打上时间戳的,所以它允许你在某个特定时期内(一般是八小时)不用再验证就可以使用同一张票来发出附加定时期内(一般是
14、八小时)不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。用。一个简单的认证对话C和和V都必须在都必须在AS中注册,共享密钥中注册,共享密钥KC,KV(1) C AS : IDc | Pc |IDV(2) ASC : Ticket(3) C V : IDc | Ticket Ticket=EKv(IDc| ADc | IDv)ASVC(1)(2)(3)C = ClientAS= Authentication ServerV = ServerIDc = identifier of
15、User on C IDv= identifier of VPc = password of user on CADc = network address of CKv = secret key shared bye AS and V | = concatention 问题一:明文传输口令问题二:每次访问都要输 入口令一个更加安全的认证对话v认证服务(认证服务(AS)v票据发放服务(票据发放服务(Ticket Granting Service)v票据(票据(Ticket) 是一种临时的证书,用tgs 或 应用服务器的密钥加密 TGS 票据 服务票据v加密:加密:一个更加安全的认证对话v问题一:
16、票据许可票据问题一:票据许可票据tickettgs的生存期的生存期 如果太大,则容易造成重放攻击 如果太短,则用户总是要输入口令v问题二:问题二: 如何向用户认证服务器v解决方法解决方法 增加一个会话密钥(Session Key)Authentication Dialog in higher secure levelAuthentication Dialog (Authenticate once for each log in)(1)C AS : IDC | IDtgs(2) ASC : EKcTicket tgs Tickettgs= EKtgs IDC| ADC | IDtgs| TS1|
17、Lifetime1Acquire the service ticket (once for each kind of service)(3) C TGS : IDC |IDv | Tickettgs(4) TGS C: Ticketv Ticket v = EKv IDC| ADC | IDV| TS2|Lifetime2Visiting Service(Once for each dialog)(5)C V : IDc | TicketvASVC(1)(2)(3)TGS(4)(5)The password is not transmitted via the internetTicket t
18、gs can be reused, multiple services can be applied with one ticket tgsAuthentication in Multiple Administrative Domains EnvironmentClientASTGSKerberosASTGSKerberosServer1. Apply for local Tickettgs2. Local Tickettgs3. Apply for remote tickettgsShare the encryption keyMutual registration 4. Remote ti
19、cket tgs5.Apply for remote service ticket6.Remote service ticket7.Apply for remote servicesThe Defects of Symmetric algorithmsv The both parties of the communication use the same encryption key, the security cannot be guaranteed. v The security of symmetric algorithms depends on the encryption key.
20、If the key is lost, the whole encryption system will be invalid. An unique key needs to be used when a pair of users use the symmetric algorithm. That makes a huge amount of keys. The management of these keys becomes a heavy burden and in the meantime generate very high cost. Public Key Infrastructu
21、rev In this Infrastructure, the claimer needs to prove his identity by providing the encryption key. This could be realized by sign a message with his encryption key. The message could include a duplicate value to defend the replay attacks. v The verifier needs to have the encryption key of the clai
22、mer, while the claimer needs to have the private key only known and used by himself. PKI AuthenticationvREVIEW-PKI1、Cause the security problem of the public key distribution A basic challenge/response protocol could be built based on the public key system, but the both party must know the public key
23、 of the other party in advance. If the public key is not secured, can the parties of the communication exchange the public key via the internet? In the open network environment, such as Internet, how to ensure that the public key of party B acquired by party A is really belongs to party B?2、Possible
24、 attacks The middle attack ABAttackerHPublic key ofAttacker HPublic Key of BEncryption data of Hs public keyEncryption data of Bs public keyPKI AuthenticationvReview-PKI3、Generation The core concept of PKI (Public Key Infrastructure) is to establish the trusted third party, who is participated in th
25、e distribution of the public key. The PKIX (Internet X.509 Public Key Infrastructure) is the PKI standard maker . PKIX uses X.509v3 public key certifications. PKI Authentication -X.509 Protocolv X.509 protocol of ITU-T is issued in 1988,revised in1993, and the third version is drafted in1995, named
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 身份 认证 技术 ppt 课件
限制150内