身份认证讲义共48页文档
合集下载
第3章身份认证技术ppt课件
CA的数字签名提供了三个重要的保证:
▪ 第一,认证中有效的数字签名保证了认证信息的真 实性、完整性;
▪ 第二,因为CA是唯一有权使用它私钥的实体,任何 验证数字证书的用户都可以信任CA的签名,从而保 证了证书的权威性;
▪ 第三,由于CA签名的唯一性,CA不能否认自己所签 发的证书,并承担相口令的产生和验证过程
① 用户输入登录名和相关身份信息ID。
② 如果系统接受用户的访问,则给用户传送建立一次性口令所使用 的单向函数f及一次性密钥k,这种传送通常采用加密方式。
③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。第一次正式访问系统所传送的数据为(k,z)。
最新课件
24
❖ 数字证书的内容
❖ 为了保证CA所签发证书的通用性,目前数字证书格 式一般采用X.509国际标准。X.509的核心是建立存 放每个用户的公钥证书的目录(仓库)。用户公钥证 书由可信赖的CA创建,并由CA或用户存放于目录中 。
❖ 一个标准的X.509数字证书包含以下一些内容:(1)证 书的版本信息;(2)证书的序列号;(3)证书所使用 的签名算法;(4)证书的发行机构;(5)证书的有效 期;(6)证书所有人的名称;(7)证书所有人的公开 密钥;(8)证书发行者对证书的签名。
CRL分发点(CRLDistributionP最o新in课t件s)
27
服务器证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
▪ 第一,认证中有效的数字签名保证了认证信息的真 实性、完整性;
▪ 第二,因为CA是唯一有权使用它私钥的实体,任何 验证数字证书的用户都可以信任CA的签名,从而保 证了证书的权威性;
▪ 第三,由于CA签名的唯一性,CA不能否认自己所签 发的证书,并承担相口令的产生和验证过程
① 用户输入登录名和相关身份信息ID。
② 如果系统接受用户的访问,则给用户传送建立一次性口令所使用 的单向函数f及一次性密钥k,这种传送通常采用加密方式。
③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。第一次正式访问系统所传送的数据为(k,z)。
最新课件
24
❖ 数字证书的内容
❖ 为了保证CA所签发证书的通用性,目前数字证书格 式一般采用X.509国际标准。X.509的核心是建立存 放每个用户的公钥证书的目录(仓库)。用户公钥证 书由可信赖的CA创建,并由CA或用户存放于目录中 。
❖ 一个标准的X.509数字证书包含以下一些内容:(1)证 书的版本信息;(2)证书的序列号;(3)证书所使用 的签名算法;(4)证书的发行机构;(5)证书的有效 期;(6)证书所有人的名称;(7)证书所有人的公开 密钥;(8)证书发行者对证书的签名。
CRL分发点(CRLDistributionP最o新in课t件s)
27
服务器证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
第四章_身份认证.
口令机制
用户名 / 口令认证技术:最简单、最普遍的身份识别 技术,如:各类系统的登录等。 口令具有共享秘密的属性,是相互约定的代码,只有 用户和系统知道。例如,用户把他的用户名和口令送 服务器,服务器操作系统鉴别该用户。
口令有时由用户选择,有时由系统分配。通常情况下, 用户先输入某种标志信息,比如用户名和ID号,然后 系统询问用户口令,若口令与用户文件中的相匹配, 用户即可进入访问。 口令有多种,如一次性口令;还有基于时间的口令
认证系统用户端软件(Authentication Client Software)
认证系统用户端通常都是需要进行登陆(login)的设备或 系统,在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。 认证设备(Authenticator)
认证设备是使用者用来产生或计算密码的软硬件设备。
1.
存储容量大 、体积小而轻、保密性强、网络要 求低
数据可靠性高 IC卡防磁、防静电、防潮、耐温、 抗干扰能力强,一张IC卡片可重复读写十万次, 卡中数据可保存几十年。 IC卡读写操作通过电信号传输来完成,因而对计 算机的实时性、敏感性要求降低。内部数据保密 性、可靠性好,读写稳定可脱机工作,易于安装 维护,而磁卡系统离不开网络;
通常有三种方法验证主体身份。 1 )是只有该主体了解的秘密,如口令、密 钥; 2 )是主体携带的物品,如智能卡和令牌卡; 3 )是只有该主体具有的独一无二的特征或 能力,如指纹、声音、视网膜图或签字等。
单独用一种方法进行认证不充分
身份认证系统架构包含三项主要组成元件:
认证服务器(Authentication Server) 负责进行使用者身份认证的工作,服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
身份认证方法ppt课件
(2) 根据你所拥有的东西来证明你的身份 (what you have ,你有什么 ) ;
(3) 直接根据独一无二的身体特征来证明你的 身份 (who you are ,你是谁 ) ,比如指纹、面貌等。
在网络世界中手段与真实世界中一致,为了 达到更高的身份认证安全性,某些场景会将上面3 种挑选2中混合使用,即所谓的双因素认证。
.
动态口令牌(2Biblioteka 2).USB KEY(1/2)
基于USB Key的身份认证方式是近几年发展起 来的一种方便、安全的身份认证技术。它采用软 硬件相结合、一次一密的强双因子认证模式,很 好地解决了安全性与易用性之间的矛盾。USB Key 是一种USB接口的硬件设备,它内置单片机或智 能卡芯片,可以存储用户的密钥或数字证书,利 用USBKey内置的密码算法实现对用户身份的认证。 基于USB Key身份认证系统主要有两种应用模式: 一是基于冲击/响应(挑战/应答)的认证模式,二是 基于PKI体系的认证模式,目前运用在电子政务、 网上银行。
.
短信密码(1/3)
短信密码以手机短信形式请求包含 6位随机数的动态密码,身份认证系统 以短信形式发送随机的6位密码到客户 的手机上。客户在登录或者交易认证时 候输入此动态密码,从而确保系统身份 认证的安全性。它利用what you have方 法。
.
短信密码(2/3)
优点( 1)安全性 由于手机与客户绑定比较紧密,短信密码生成与使用场景是
动态口令牌是客户手持用来生成动态密码的终端,主流的是 基于时间同步方式的,每60秒变换一次动态口令,口令一次有效, 它产生6位动态数字进行一次一密的方式认证。
由于它使用起来非常便捷,85%以上的世界500强企业运用它 保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务 等领域。
(3) 直接根据独一无二的身体特征来证明你的 身份 (who you are ,你是谁 ) ,比如指纹、面貌等。
在网络世界中手段与真实世界中一致,为了 达到更高的身份认证安全性,某些场景会将上面3 种挑选2中混合使用,即所谓的双因素认证。
.
动态口令牌(2Biblioteka 2).USB KEY(1/2)
基于USB Key的身份认证方式是近几年发展起 来的一种方便、安全的身份认证技术。它采用软 硬件相结合、一次一密的强双因子认证模式,很 好地解决了安全性与易用性之间的矛盾。USB Key 是一种USB接口的硬件设备,它内置单片机或智 能卡芯片,可以存储用户的密钥或数字证书,利 用USBKey内置的密码算法实现对用户身份的认证。 基于USB Key身份认证系统主要有两种应用模式: 一是基于冲击/响应(挑战/应答)的认证模式,二是 基于PKI体系的认证模式,目前运用在电子政务、 网上银行。
.
短信密码(1/3)
短信密码以手机短信形式请求包含 6位随机数的动态密码,身份认证系统 以短信形式发送随机的6位密码到客户 的手机上。客户在登录或者交易认证时 候输入此动态密码,从而确保系统身份 认证的安全性。它利用what you have方 法。
.
短信密码(2/3)
优点( 1)安全性 由于手机与客户绑定比较紧密,短信密码生成与使用场景是
动态口令牌是客户手持用来生成动态密码的终端,主流的是 基于时间同步方式的,每60秒变换一次动态口令,口令一次有效, 它产生6位动态数字进行一次一密的方式认证。
由于它使用起来非常便捷,85%以上的世界500强企业运用它 保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务 等领域。
第5章-身份认证-电子课件
2020/6/16
5
图5.1 身份认证的过程
2020/6/16
6
5.1.1身份认证技术的基本概念
3. 认证技术的类型 认证技术是用户身份鉴别确认的重要手段,也是网络系 统安全中的一项重要内容。从鉴别对象上可以分为两种:消 息认证和用户身份认证。
消息认证:用于保证信息的完整性和不可否认性。通常 用来检测主机收到的信息是否完整,以及检测信息在传递过 程中是否被修改或伪造。
2020/6/16
8
5.1.2基于信息秘密的身份认证
基于信息秘密的身份认证是根据双方共同所知道的秘密 信息来证明用户的身份(what you know),并通过对秘密 信息进行鉴别来验证身份。例如,基于口令、密钥、IP地址 、MAC地址等身份因素的身份认证。主要包括:
1.网络身份证 网络身份证即虚拟身份电子标识VIEID(Virtual identity electronic identification)技术。就是在网络上可以证明一 个人身份及存在的虚拟证件。VIEID是网络身份证的工具或 服务协议,也是未来互联网络基础设施的基本构成之一。
身份认证:鉴别用户身份。包括识别和验证两部分内容 。其中,识别是鉴别访问者的身份,验证是对访问者身份的 合法性进行确认。
2020/6/16
7
5.1.1身份认证技术的基本概念
4.常见的身份认证技术 在现实世界中,对用户的身份认证基本方法可以分为三种:
(1)基于信息秘密的身份认证:就是根据你所知道的信息 来证明你的身份(what you know你知道什么);
2020/6/16
18
5.1.4基于生物特征的身份认证
认证系统测量的生物特征是指唯一的可以测量或可自动 识别和验证的生理特征或行为方式。使用传感器或者扫描仪 来读取生物的特征信息,将读取的信息和用户在数据库中的 特征信息比对,如果一致则通过认证。
第7章身份认证-PPT文档资料
报文鉴别是为了确保数据的完整性和 真实性,对报文的来源、时间性及目 的地进行验证。
身份验证是验证进入网络系统者是否 是合法用户,以防非法用户访问系统
报文鉴别和身份验证可采用数字签名技 术及其他技术来实现。
鉴别过程通常涉及到加密和密钥交换。
加密可使用对称密钥加密、非对称密钥
加密或两种加密方式的混合。 鉴别的方式一般有用户帐户名/口令验证、 摘要算法验证、基于PKI(公钥基础设施) 验证等。
具体方法是:每当用户A要给B发送报文时,A先
通知B,B就给A发送一个随机数T,A在发送给B
的报文中加入 T ,那么 B 就可以通过验证在报文 中返回的T值来确认法中,由于T是在需要时产生的一
个变量,并且包含在报文正文中,所以只有在接 收方同时对报文内容进行鉴别时,这种方法才起 作用。
的一样,也要能经受住攻击。
报文鉴别的常用方法是使用信息摘要或
散列函数进行。
信息摘要是在任意大的信息中产生固定
长度的摘要,而其特性是无法找到两个
摘要相同的信息。因此,可以将比信息
小得多的摘要看作与完整信息是等同的。
报文的时间性验证
信息的时间性验证可使用报文鉴别码和电 子时间戳技术。 验证报文是否以发方传输的顺序被接收, 可采用这样的方法:假定时变量 T 是接收 方和发送方预先约定的,那么,只要在每 份报文中加入 T ,就可以建立起报文传输 顺序。
报文是按已传送的相同顺序收到的。
第一种确定由数字签名来完成,后两种确 定又分为报文内容和报文时间性验证。
报文的内容验证:
同加密一样,鉴别也需要一个好的鉴别
算法,但它的设计比加密算法要容易些。
鉴别算法也需要有一个保密密钥,整个
身份验证是验证进入网络系统者是否 是合法用户,以防非法用户访问系统
报文鉴别和身份验证可采用数字签名技 术及其他技术来实现。
鉴别过程通常涉及到加密和密钥交换。
加密可使用对称密钥加密、非对称密钥
加密或两种加密方式的混合。 鉴别的方式一般有用户帐户名/口令验证、 摘要算法验证、基于PKI(公钥基础设施) 验证等。
具体方法是:每当用户A要给B发送报文时,A先
通知B,B就给A发送一个随机数T,A在发送给B
的报文中加入 T ,那么 B 就可以通过验证在报文 中返回的T值来确认法中,由于T是在需要时产生的一
个变量,并且包含在报文正文中,所以只有在接 收方同时对报文内容进行鉴别时,这种方法才起 作用。
的一样,也要能经受住攻击。
报文鉴别的常用方法是使用信息摘要或
散列函数进行。
信息摘要是在任意大的信息中产生固定
长度的摘要,而其特性是无法找到两个
摘要相同的信息。因此,可以将比信息
小得多的摘要看作与完整信息是等同的。
报文的时间性验证
信息的时间性验证可使用报文鉴别码和电 子时间戳技术。 验证报文是否以发方传输的顺序被接收, 可采用这样的方法:假定时变量 T 是接收 方和发送方预先约定的,那么,只要在每 份报文中加入 T ,就可以建立起报文传输 顺序。
报文是按已传送的相同顺序收到的。
第一种确定由数字签名来完成,后两种确 定又分为报文内容和报文时间性验证。
报文的内容验证:
同加密一样,鉴别也需要一个好的鉴别
算法,但它的设计比加密算法要容易些。
鉴别算法也需要有一个保密密钥,整个
第3讲 身份认证
定时间内是不变的,而且可重复使用。
– 极易被网上嗅探劫持、重放攻击
口令认证
一次性口令技术
– 20世纪 80年代初,美国科学家 Leslie Lamport 首 次提出了一次性口令( OTP)的思想,即用户 每次登录系统时使用的口令是变化的。 – 实现方法有多种
一次性密码本 发送口令短信 挑战-应答方式 ……
身份认证方式
USB Key认证
– 基于USB Key身份认证系统主要有两种应用
模式:
基于挑战/应答的认证方式
基于PKI体系的认证方式
USB Key认证
USB Key认证-挑战/应答认证
认证请求(用户名)
USB Key认证
USB Key认证-挑战/应答认证
客户端通过USB 接口将随机数 发送给USBKey
口令验证
2、算法输入中包括通信双方共享的 密钥K
口令认证
动态口令实现技术一
– 通信双方事先共享密钥K,以登录时间作为变动因子 1、根据用户名查找 1、获取系统当前时间 T 数据库,得到该用户 2、R=F(T,K) 认证请求(用户名,R=F(T,K)) 的K
用 户
2、获取当前时间T' 基于时间同步的动态口令实现技术 3、R'=F(T',K)
利用生物特征进行身份验证
− 利用你的生物特征进行身份验证
• 指纹,虹膜,头盖图、DNA等
人的指纹
指纹签到机
利用生物特征进行身份验证
− 利用你的生物特征进行身份验证
• 指纹,虹膜,头盖图、DNA等
虹膜识别:用穿 透性很强的激光 束照在视网膜上 ,得到唯一的眼 睛背面的血管模 式
五 %$!*! · · · · · ·
– 极易被网上嗅探劫持、重放攻击
口令认证
一次性口令技术
– 20世纪 80年代初,美国科学家 Leslie Lamport 首 次提出了一次性口令( OTP)的思想,即用户 每次登录系统时使用的口令是变化的。 – 实现方法有多种
一次性密码本 发送口令短信 挑战-应答方式 ……
身份认证方式
USB Key认证
– 基于USB Key身份认证系统主要有两种应用
模式:
基于挑战/应答的认证方式
基于PKI体系的认证方式
USB Key认证
USB Key认证-挑战/应答认证
认证请求(用户名)
USB Key认证
USB Key认证-挑战/应答认证
客户端通过USB 接口将随机数 发送给USBKey
口令验证
2、算法输入中包括通信双方共享的 密钥K
口令认证
动态口令实现技术一
– 通信双方事先共享密钥K,以登录时间作为变动因子 1、根据用户名查找 1、获取系统当前时间 T 数据库,得到该用户 2、R=F(T,K) 认证请求(用户名,R=F(T,K)) 的K
用 户
2、获取当前时间T' 基于时间同步的动态口令实现技术 3、R'=F(T',K)
利用生物特征进行身份验证
− 利用你的生物特征进行身份验证
• 指纹,虹膜,头盖图、DNA等
人的指纹
指纹签到机
利用生物特征进行身份验证
− 利用你的生物特征进行身份验证
• 指纹,虹膜,头盖图、DNA等
虹膜识别:用穿 透性很强的激光 束照在视网膜上 ,得到唯一的眼 睛背面的血管模 式
五 %$!*! · · · · · ·
信息安全课件--04身份认证
身份认证的应用场景
1
金融业场景
2
银行、证券等金融机构需要确保客户身
份及交易安全。
3
医疗保健场景
4
电子病历、在线健康咨询等需要确保医 疗信息安全。
电子商务场景
在线购物平台、支付系统等需要准确身 份认证。
保险业场景
理赔、保险购买等需要准确识别用户身 份。
结论
身份认证在信息安全中起着至关重要的作用,保护个人隐私和敏感数据。 通过采用双重认证、多重认证等措施,用户可以进行安全的身份认证。
信息安全课件--04身份认 证
这是一份关于信息安全中身份认证的课件,旨在介绍身份认证的重要性以及 常见的认证方式和安全性问题。
身份认证简介
身份认证是确认用户或实体是否是其声称的真实身份的过程。它可以确保安全性和数据保护。 主要的身份认证分类包括密码认证、证书认证、生物特征认证和网页认证。
常见的身份认证方式最常见的 认证方式。
生物特征认证
根据用户的生物特征,如指纹、面部识别等进 行身份验证。
证书认证
使用数字证书来验证用户的身份,提供更高的 安全性。
网页认证
通过网页上的登录功能进行身份验证,常用于 网站登录。
身份认证的安全性问题
1 密码认证存在的问题
容易被猜测、盗取或者忘记,用户需要采取 额外的安全措施。
2 证书认证存在的问题
证书的私钥可能会被盗取,或者证书的颁发 机构受到攻击。
3 生物特征认证存在的问题
生物特征可能被模拟、伪造或者无法准确识 别。
4 网页认证存在的问题
容易受到网络攻击,如密码破解、跨站脚本 攻击等。
身份认证的加强措施
双重认证
用户需要提供两种或多种不同 的身份验证因素,增强安全性。
3章身份认证
录中的匹配,就允许访问。
10
提高基于口令的身份认证的安全性方法
(1)提高用户口令的质量
– 好的口令应该是用户容易记忆,而其他人难以猜中的 – ① 限制口令的最短长度,使口令长度至少为6~8个可打印字符,这
是在便于记忆和难于猜中之间的一种折衷; – ② 使用口令短语达到加长口令,并且难以猜测的目的; – ③ 使用辅助的计算机程序来生成“随机”的口令; – ④ 使用评价口令安全性的程序来帮助选择口令,这又包括事后的口
28
3.4.3 专用的身份认证协议
1.Schnorr身份认证协议 2.Okamoto身份认证协议 3.Guillou-Quisquater身份认证协议 4.Feige-Fiat-Shamir身份认证协议 5.简化的Feige-Fiat-Shamir身份认证协议
29
1.Schnorr身份认证协议
基于Zp*中的离散对数问题 由可信第三方(Trusted Authentication, TA)、示证者P
示证者保存列表(X1、X2、…、Xn),验证者保存(P, Xn+1)。
② 验证过程:示证者P第一次登录时把用户名P和口令Xn发送给验
证验证者者,用验X证n者代计替算Xnf+(1X,n)而,P并则与在X列n+1表比(较X1,、二X2者、相…同、则Xn通)中过删。去之最后
后则一计项算Xf(Xn。n-1在),下并一与次X登n比录较时,,二示者证相者等送则用通户过名。P以和此Xn类-1,推验,证直者到 示证者把列表中的所有数字都使用完毕。当列表为空时,示证者 P需要重新初始化。
– 限定口令的使用期限 – 强制要求用户定期改变口令
15
例:UNIX系统下基于口令的身份认证
盐(salt)
10
提高基于口令的身份认证的安全性方法
(1)提高用户口令的质量
– 好的口令应该是用户容易记忆,而其他人难以猜中的 – ① 限制口令的最短长度,使口令长度至少为6~8个可打印字符,这
是在便于记忆和难于猜中之间的一种折衷; – ② 使用口令短语达到加长口令,并且难以猜测的目的; – ③ 使用辅助的计算机程序来生成“随机”的口令; – ④ 使用评价口令安全性的程序来帮助选择口令,这又包括事后的口
28
3.4.3 专用的身份认证协议
1.Schnorr身份认证协议 2.Okamoto身份认证协议 3.Guillou-Quisquater身份认证协议 4.Feige-Fiat-Shamir身份认证协议 5.简化的Feige-Fiat-Shamir身份认证协议
29
1.Schnorr身份认证协议
基于Zp*中的离散对数问题 由可信第三方(Trusted Authentication, TA)、示证者P
示证者保存列表(X1、X2、…、Xn),验证者保存(P, Xn+1)。
② 验证过程:示证者P第一次登录时把用户名P和口令Xn发送给验
证验证者者,用验X证n者代计替算Xnf+(1X,n)而,P并则与在X列n+1表比(较X1,、二X2者、相…同、则Xn通)中过删。去之最后
后则一计项算Xf(Xn。n-1在),下并一与次X登n比录较时,,二示者证相者等送则用通户过名。P以和此Xn类-1,推验,证直者到 示证者把列表中的所有数字都使用完毕。当列表为空时,示证者 P需要重新初始化。
– 限定口令的使用期限 – 强制要求用户定期改变口令
15
例:UNIX系统下基于口令的身份认证
盐(salt)
05身份认证48页文档
认证设备(Authenticator)
认证设备是使用者用来产生或计算密码的软硬件设备。8
1)口令机制
用户名/口令认证技术:最简单、最普遍的身份识别 技术,如:各类系统的登录等。
口令具有共享秘密的属性,是相互约定的代码,只有 用户和系统知道。例如,用户把他的用户名和口令送 服务器,服务器操作系统鉴别该用户。
7
身份认证系统架构包含三项主要组成元件:
认证服务器(Authentication Server)
负责进行使用者身份认证的工作,服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
认 证 系 统 用 户 端 软 件 ( Authentication Client Software)
认证系统用户端通常都是需要进行登陆(login)的设备或 系统,在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。
3、口令容易在输入的时候被攻击者偷窥,而且用户 无法及时发现。
简单和安全是互相矛盾的两个因素。
14
5)双因素认证
• 身份认证有三个要素, 所知道的内容:需要使用者记忆身份认证内
容,例如密码和身份证号等。 所拥有的物品:使用者拥有的特殊认证加强
机制,例如智能卡,射频卡,磁卡等物理 设备。 所具备的特征:使用者本身拥有的惟一特征, 例如指纹、人脸、声音等
12
第5讲 认证
4)主体特征认证
目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。
例如:系统中存储了他的指纹,他接入网络时, 就这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式。
认证设备是使用者用来产生或计算密码的软硬件设备。8
1)口令机制
用户名/口令认证技术:最简单、最普遍的身份识别 技术,如:各类系统的登录等。
口令具有共享秘密的属性,是相互约定的代码,只有 用户和系统知道。例如,用户把他的用户名和口令送 服务器,服务器操作系统鉴别该用户。
7
身份认证系统架构包含三项主要组成元件:
认证服务器(Authentication Server)
负责进行使用者身份认证的工作,服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
认 证 系 统 用 户 端 软 件 ( Authentication Client Software)
认证系统用户端通常都是需要进行登陆(login)的设备或 系统,在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。
3、口令容易在输入的时候被攻击者偷窥,而且用户 无法及时发现。
简单和安全是互相矛盾的两个因素。
14
5)双因素认证
• 身份认证有三个要素, 所知道的内容:需要使用者记忆身份认证内
容,例如密码和身份证号等。 所拥有的物品:使用者拥有的特殊认证加强
机制,例如智能卡,射频卡,磁卡等物理 设备。 所具备的特征:使用者本身拥有的惟一特征, 例如指纹、人脸、声音等
12
第5讲 认证
4)主体特征认证
目前已有的设备包括:视网膜扫描仪、声音验 证设备、手型识别器等。安全性高。
例如:系统中存储了他的指纹,他接入网络时, 就这就防止他以假的指纹或其它电子信息 欺骗系统),只有指纹相符才允许他访问系统。 更普通的是通过视网膜膜血管分布图来识别, 原理与指纹识别相同,声波纹识别也是商业系 统采用的一种识别方式。
第十二章身份认证讲义资料
2020/9/2返2 回首页
身份认证: 用户必须提供他是谁的证明,
这种证实客户的真实身份与其所声称的身 份是否相符的过程是为了限制非法用户访 问网络资源,
它是其他安全机制的基础。
2020/9/22
2020/9/22
12.2 单机状态下的身份认证
单机状态下的用户登录计算机,一般有以下 几种形式验证用户身份:
2020/9/22
(3)是网络接入服务器(NAS)和后台服务器 (RADIUS服务器,有DB)之间的一个常见协 议,使得拨号和认证放在两个分离网络设备上。 2. RADIUS结构图
2020/9/22
2020/9/22
3. RADIUS的特点 (1)使用UDP作为传输协议,两个UDP端口分别
用于认证(及认证后的授权)和计费。1812号 是认证端口,1813号是计费端口。
例如F(x)=gx mod p就是一个单向散列函数,这 里p是一个大质数,g是p的原根。
2020/9/22
系统在口令文件中为每个用户存储帐号和散列 值对,当用户登录输入口令x,系统计算F(x), 然后与相应散列值进行比对,成功即允许登录。
优点:黑客即使得到了口令文件,通过散列值 想要计算出原始口令在计算上也是不可能的。
就可以得到全体人员的口令。 比如攻击者可以设法得到一个低优先级的帐号
和口令,进入系统后得到明文存储口令的文件, 这样他就可以得到全体人员的口令。
2020/9/22
2. Hash散列存储口令 散列函数的目的是为文件、报文或其他分组
数据产生“指纹”。散列函数H必须具有性质:
• H能用于任何长度的数据分组; • H产生定长的输出; • 对任何给定的x,H(x)要相对容易计算; • 对任何给定的码h,寻找x使得H(x)=h在计算
身份认证: 用户必须提供他是谁的证明,
这种证实客户的真实身份与其所声称的身 份是否相符的过程是为了限制非法用户访 问网络资源,
它是其他安全机制的基础。
2020/9/22
2020/9/22
12.2 单机状态下的身份认证
单机状态下的用户登录计算机,一般有以下 几种形式验证用户身份:
2020/9/22
(3)是网络接入服务器(NAS)和后台服务器 (RADIUS服务器,有DB)之间的一个常见协 议,使得拨号和认证放在两个分离网络设备上。 2. RADIUS结构图
2020/9/22
2020/9/22
3. RADIUS的特点 (1)使用UDP作为传输协议,两个UDP端口分别
用于认证(及认证后的授权)和计费。1812号 是认证端口,1813号是计费端口。
例如F(x)=gx mod p就是一个单向散列函数,这 里p是一个大质数,g是p的原根。
2020/9/22
系统在口令文件中为每个用户存储帐号和散列 值对,当用户登录输入口令x,系统计算F(x), 然后与相应散列值进行比对,成功即允许登录。
优点:黑客即使得到了口令文件,通过散列值 想要计算出原始口令在计算上也是不可能的。
就可以得到全体人员的口令。 比如攻击者可以设法得到一个低优先级的帐号
和口令,进入系统后得到明文存储口令的文件, 这样他就可以得到全体人员的口令。
2020/9/22
2. Hash散列存储口令 散列函数的目的是为文件、报文或其他分组
数据产生“指纹”。散列函数H必须具有性质:
• H能用于任何长度的数据分组; • H产生定长的输出; • 对任何给定的x,H(x)要相对容易计算; • 对任何给定的码h,寻找x使得H(x)=h在计算
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
| 5/3/2020
3
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
身份认证通常是通过某种复杂的身份认证协议来实现,身 份认证协议是一种特殊的通信协议,它定义参与认证服务 的所有通信方在身份认证过程中需要交换的所有消息的格 式、消息的次序以及消息的语义等。通常采用密码学技术 来实现认证信息的存储与传输的安全
典型的身份认证协议涉及 ✓示证者(Prover) ✓验证者(Verifier) ✓攻击者(Attacker) ✓在某些情况下,还涉及可信赖的第三方TTP
| 5/3/2020
4
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
身份认证模型
✓A user can identify himself towards a system by
身份认证简介
身份认证协议的要求 ✓验证者正确识别合法的示证者的概率极大 ✓攻击者欺骗示证者(验证者)骗取信任的成功率极小 ✓计算有效性,为实现身份认证所需计算量尽可能小 ✓通信有效性,为实现身份认证所需通信次数和交互的数据量尽可能
小
✓秘密参数能安全地存储 ✓双向认证,通信双方能互相认证对方的身份 ✓通信双方(多方)发生争执时,可由TTP解决争执 ✓可证明安全性
为解决静态口令的诸多问题,安全专家提出了一 次性口令(One Time Password)技术。基本思想是 在网上传送的口令只使用一次。一次性口令系统主 要是为抵制重放攻击而设计的。
| 5/3/2020
11
© 广东省信息安全技术重点实验室
Sun Yat-sen University
基于口令的身份认证
Sun Yat-sen University
目录
身份认证技术概述 基于口令的身份认证
✓简单的口令认证 ✓一次性口令认证(OTP)
Kerberos身份认证协议 基于X.509的身份认证
| 5/3/2020
1
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
身份认证是网络安全中最前沿的一道防线,是最 基本的安全服务,其他的安全服务都要依赖于它。 一旦身份认证系统被攻破,那么系统的所有安全措 施将形同虚设。
的身份认证
✓单纯的身份认证身份认证和密钥建立(Key establishment)的结合
[P1363工作组于2000年开始制定IEEE P1363.2标准,即基于口令的 公钥密码技术,重点讨论Password-authenticated Key Agreement Protocol ]
| 5/3/2020
| 5/3/2020
9
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
随着信息安全技术的不断发展,身份认证技术也经历了从 简单到复杂的发展过程。 ✓单机环境下的身份认证网络环境下的身份认证 ✓静态口令的身份认证动态(一次性)口令的身份认证 ✓只有通信双方参与的身份认证引入可信第三方的身份认证 ✓基于对称密码体制的身份认证(Kerberos)基于公钥密码体制(PKI)
proving knowledge of authentication credentials
| 5/3/2020
5
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
典型的身份认证机密(authentication credentials)
✓实体所知道的或掌握的知识(something you know,知识
10
© 广东省信息安全技术重点实验室
Sun Yat-sen University
基于口令的身份认证
最简单的身份认证方式是采用用户名/静态口令方 式,它是最基本也是最经济实用的认证方式
✓目前各类计算资源主要靠静态口令的方式来保护,客户
方直接把口令以明文的形式传给服务器,服务器直接保 存用户的口令或者保存口令的哈希值以进行验证,例如 大多数Unix系统和FTP,Telnet等协议采用在服务器上保 存口令的哈希值
| 5/3/2020
7
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
事实上,每一个身份认证协议都具有自己的应用 范围,并非每个身份认证协议都必须满足以上要求。 在不同的应用环境,有不同的安全风险,我们可针 对具体环境设计不同特征的认证协议,以较小的代 价将安全风险的某一方面降低到可接受的范围
身份认证指的是对实体身份的证实,用以识别合 法或者非法的实体,阻止非法实体假冒合法实体窃 取或者访问网络资源
| 5/3/2020
2
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证与消息认证的差别
身份认证一般要求实时性,消息认证通常不提供 实时性;
身份认证只证实实体的身份,消息认证除了要证 实报文的合法性和完整性外,还需要知道消息的含 义。
| 5/3/2020
8
© 广东省信息安全技术重点实验室
Sun Yat-sen University
身份认证简介
在网络环境下,由于认证信息需通过在网上传输,攻击者 可能对身份认证系统发起以下的攻击 ✓窃听(Eavesdropping) ✓猜测攻击(Guessing) ✓中间人攻击(Man-in-the-Middle) ✓重放攻击(Replay) ✓攻击认证服务器(Compromised server) ✓密码分析攻击(Cryptanalysis) ✓社交工程(Social engineering) ✓… …
自从L. Lamport于1981年最早提出利用哈希函数设计OTP 以来,各种OTP协议纷纷被提出,如CHAP,EAP等
目前OTP的实现机制主要有 ✓挑战/应答(Challenge/Response):用户要求登录时,系统产生一个
证明),如口令
✓实体所持有的物件(something you have,持有证明),
如令牌,智能卡
✓实体的生物特征(something you are,属性证明),如指
纹、视网膜、DNA
双因素或多因素认证
| 5/3/2020
6
© 广东省信息安全技术重点实验室
Sun Yat-sen University