《部分身份认证》PPT课件.ppt
《《部分身份认证》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《部分身份认证》PPT课件.ppt(55页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、身份认证本节内容1.身份认证的概念2.身份认证的方法3.身份认证的模型4.典型身份认证协议5.其他身份认证产品1.1身份认证的概念身份认证一般是通过对被认证对象的一个或多个参数进行验证,从而确定被认证对象是否有效。身份认证是整个安全系统的第一道关卡,如果它被攻破,则整个安全系统将处于危险之中。身份认证3大概念:认证(authentication):在进行任何操作之前必须有有效的方法来识别操作执行者的真实身份。授权(authorization):是指当用户通过认证后赋予该用户操作文件和数据的权限,这些权限包括读、写、执行、从属权等。审计(auditing):每一个用户在做完某一个操作后,系统都有
2、相应的记录,以便核查。授权数据库资源数据库访问监控器安全管理员用户身份认证访问控制2.身份认证的方法1.口令认证2.智能卡认证3.生物认证2.1口令认证口令认证是最基本的认证方法,该认证过程是由用户先在系统中注册自己的用户名和密码,然后登陆系统时输入用户名密码即可。2.2智能卡认证口令认证的缺点在于无法识别口令拥有着是否为真实用户,并且口令易被盗用,所以出现了智能卡认证方式。智能卡是一种个人持有物,它的作用类似于钥匙,用于启动电子设备。使用比较多的是一种嵌有磁条的塑料卡,磁条上记录有用于机器识别的个人信息。这类卡通常和个人识别号(PIN)一起使用。这类卡易于制造,而且磁条上记录的数据也易于转录
3、,因此要设法防止仿制。另一种是电子口令卡,如U盾或者动态电子口令卡。2.3生物认证生物识别依据人类自身所固有的生理特征。生理特征与生俱来,多为先天性的,如指纹、眼睛虹膜、脸像等。正是因为这些别人很难具有的个人特征可以作为个人身份识别的重要依据。生物识别因此包括指纹识别、虹膜识别、脸像识别、掌纹识别、声音识别、签名识别、笔迹识别、手形识别、步态识别及多种生物特征融合识别等诸多种类,其中,虹膜虹膜和指纹指纹识别被公认为最可靠的生物识别方式。3.身份认证的模型无论哪种身份认证模式,都牵扯一个问题,就是密码如何在认证的过程中进行保密,根据这一要求结合目前的密码体制,一共产生了以下几种认证模型。基于对称
4、密码的单向认证模型基于非对称密码的单向认证模型基于非对称密码的双向认证模型3.1基于对称密码的单向认证模型这个模型下有两种方式,一种是密码(即口令)以明文方式发送,一种是密码不发送,而是以一种挑战应答的方式进行。直接发送用户名和密码到服务器直接发送用户名和密码到服务器 验证该用户与密码是否验证该用户与密码是否与数据库中的相匹配与数据库中的相匹配特点:认证过程简单,容易实现,但服务器中口令以明文特点:认证过程简单,容易实现,但服务器中口令以明文方式出现,同时口令在网络上传输容易暴露。经典认证协方式出现,同时口令在网络上传输容易暴露。经典认证协议议PAP。发送登陆请求,携带用户名发送登陆请求,携带
5、用户名 服务器验证用户名有效后,生成随机服务器验证用户名有效后,生成随机挑战字符串,以明文方式送回客户机挑战字符串,以明文方式送回客户机数据库中存数据库中存储用户的密储用户的密码以哈西值码以哈西值形式出现形式出现客户机用用户口令的哈西函数值作为加密随机挑战字客户机用用户口令的哈西函数值作为加密随机挑战字符串的密钥,将加密后的随机挑战字符串发回服务器符串的密钥,将加密后的随机挑战字符串发回服务器服务器用数据库中该用户密钥的哈西值解密,如果能成功解服务器用数据库中该用户密钥的哈西值解密,如果能成功解密,并且内容与原来的一致,则可以认定用户登陆有效密,并且内容与原来的一致,则可以认定用户登陆有效特点
6、:认证过程较为简单,认证数据库中的密码以密文形特点:认证过程较为简单,认证数据库中的密码以密文形式出现,不易暴露,在网络上口令没有真正传输,杜绝了式出现,不易暴露,在网络上口令没有真正传输,杜绝了泄露的危险。经典认证协议泄露的危险。经典认证协议CHAP。3.2基于非对称密码的单向认证模型由于非对称密钥密码体制的先天优势,在认证中也被很好的加以利用。发送登陆请求,携带用户名发送登陆请求,携带用户名 服务器验证用户名有效后,生成随机服务器验证用户名有效后,生成随机挑战字符串,以明文方式送回客户机挑战字符串,以明文方式送回客户机数据库中存储用数据库中存储用户的注册公钥户的注册公钥客户机用用户私钥加密
7、随机挑战字符串,将加密后的客户机用用户私钥加密随机挑战字符串,将加密后的随机挑战字符串发回服务器随机挑战字符串发回服务器服务器用数据库中该用户公钥解密,如果能成功解密,并且服务器用数据库中该用户公钥解密,如果能成功解密,并且内容与原来的一致,则可以认定用户登陆有效内容与原来的一致,则可以认定用户登陆有效特点:加密方式较为复杂,但安全性很高,用户的私特点:加密方式较为复杂,但安全性很高,用户的私钥可以数字证书的形式出现,如数字证书智能卡、钥可以数字证书的形式出现,如数字证书智能卡、U盾等。盾等。3.3基于非对称密码的双向认证模型虽然单向认证适合较多的场合,但用户无法验证服务器的真伪。随着今年来钓
8、鱼攻击的泛滥,用户越来越多的希望能够验证服务器的真伪,此时就需要用到双向认证了。双向认证中,使用基于数字证书的非对称双向认证是最为常见的,但为了验证服务方证书需要使用到KDC,由KDC来充当可信第三方。KDCKDC中存储有所中存储有所有用户的公钥有用户的公钥发起登陆请求,发起登陆请求,索要索要B的公钥的公钥将将B的公钥返的公钥返回给回给A,并用,并用KDC的私钥的私钥签名签名用用A的私钥加密挑战字符串,连同登陆申请发送到的私钥加密挑战字符串,连同登陆申请发送到B索要索要A的公钥的公钥将将A的公钥返的公钥返回给回给B,并用,并用KDC的私钥的私钥签名签名用用A的公钥解密挑战字符,可证明的公钥解密
9、挑战字符,可证明A的身份,准许登陆的身份,准许登陆用用B的私钥加密挑战字符串,连同验证请求发回给的私钥加密挑战字符串,连同验证请求发回给A A用用B的公钥解密挑战字符串,对比原先发出的,可证明的公钥解密挑战字符串,对比原先发出的,可证明B的身份的身份4.典型身份认证协议基于对称单向认证PAPCHAPKerberosv4可基于非对称单、双向认证或对称单项的数字证书EAP802.1XKerberosv54.1PAP(口令验证协议)PAP认证是为PPP协议专门开发的一种认证协议,旨在解决拨号用户身份口令验证的问题。该协议的特点是:认证进程只在双方通信链路建立时进行,如果认证成功,在通信过程中不再进行
10、认证,如果失败,则直接中断链路。PAP的用户名和口令是以明文方式发送的,这样容易被协议分析软件捕获。PAP认证中,大小写是敏感的。目前各类宽带接入均使用该方式。某品牌宽带路由器PAP认证信息:2010-04-0418:20:19开始进行PPPoE拨号(建立在wan1/eth1).Connectedto00:30:88:12:66:2cviainterfaceeth1Usinginterfaceppp0Connect:ppp0eth1PAP用户名密码验证成功peerfromcallingnumber00:30:88:12:66:2Cauthorized本地IP地址远程网关地址首选DNS服务器地址
11、备选DNS服务器地址4.2CHAP(质询握手协议)Chap协议认证比PAP更加安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法生成的随机序列,也被称为“挑战字符串”,同时身份认证可以随时进行,包括在双方正常的通信过程中,以便可以定时更换会话密钥。这样即使非法用户能够截获一次会话密钥,该密码也会在一定时间后失效。用户名用户名口令口令 随机数随机数用户名用户名随机数随机数 口令口令发送用户名发送用户名发送随机数发送随机数MD5密码生成器密码生成器MD5摘要值摘要值MD5密码生成器密码生成器MD5摘要值摘要值发送发送MD5摘要值摘要值验证是否相同验证是否相同是是双方通信双方通信否否释放
12、链路释放链路sentLCPEchoReqid=0 x0magic=0 x4e7189cfsentCHAPChallengeid=0 x3d,name=上边认证方发出了个一个上边认证方发出了个一个challenage(挑战),并给出了认证方的服务器名(挑战),并给出了认证方的服务器名rcvdLCPIdentid=0 x2magic=0 x4551745bMSRASV5.10rcvdLCPIdentid=0 x3magic=0 x4551745bMSRAS-0-PC-201003141949rcvdLCPEchoRepid=0 x0magic=0 x4551745brcvdCHAPResponse
13、id=0 x3d,name=ppp1此处登陆方回应了这个挑战,并提供了登陆用户名此处登陆方回应了这个挑战,并提供了登陆用户名sentCHAPSuccessid=0 x3dAccessgranted提示验证通过peerfromcallingnumber00:04:E2:8B:2C:19authorized指出对端用来进行拨号的物理网卡的MAC地址,电信局就是通过这个地址控制用户开路由的!4.3KerberosKerberos协议是80年代由MIT麻省理工学院开发的一种协议(希腊神话中守卫地狱大门的长有三个头的看门狗的名字)Kerberos是为TCP/IP网络设计的可信第三方鉴别协议.网络上的Ke
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 部分身份认证 部分 身份 认证 PPT 课件
限制150内