身份认证技术19468PPT课件
合集下载
数字签名与身份认证ppt课件
3.认证过程
接收方收到(M,s)之后
(1)取得发送方的公钥(e,n)
(2)解密签名s:h=se mod n。
(3)计算消息的散列值H(M)。
(4)比较,如果h=H(M),表示签名有效;否则,签名无效。
如果消息M很短的时候,可以直接对M用公钥解密以验证签名的有效
性,可以表达为:Ver(M可,编s辑)=课件真PP〈T =〉M=se mod n
▪ 盲签名
图4-5 盲签名原理
可编辑课件PPT
19
4.1 数字签名技术
完全盲签名
签名者在文件上的签名是有效的,签名是其签署文件的证据。如果 把文件给签名者看,他可确信他签署过这份文件。但是,签名者不 能把签署文件的行为与签署了的文件相关联。即使他记下了他所做 的每一个盲签名,他也不能确定他在什么时候签署了该文件。
一是发送方的签名部分,对消息M签名,可以记作S=Sig(K, M),签字算法使用的密钥是秘密的,即是签字者的私钥。
二是接收方的认证部分,对签名S的验证可以记作Ver(M,S, K)— {真,假},认证算法使用的密钥是发送方(即签名者)的公钥。
可编辑课件PPT
2
4.1 数字签名技术
1.数字签名的特点 (1)信息是由签名者发送的; (2)信息自签发后到收到为止未曾做过任何修改; (3)如果A否认对信息的签名,可以通过仲裁解决A和B之间的争议 (4)数字签名又不同于手写签名: 数字签名随文本的变化而变化,手写签字反映某个人个性特征, 是不变的;数字签名与文本信息是不可分割的,而用手写签字是附 加在文本之后的,与文本信息是分离的。
通常一个用户拥有两个密钥对,另一个密钥对用来对数字签名 进行加密解密,一个密钥对用来对私有密钥进行加密解密。这种方 式提供了更高的安全性。
接收方收到(M,s)之后
(1)取得发送方的公钥(e,n)
(2)解密签名s:h=se mod n。
(3)计算消息的散列值H(M)。
(4)比较,如果h=H(M),表示签名有效;否则,签名无效。
如果消息M很短的时候,可以直接对M用公钥解密以验证签名的有效
性,可以表达为:Ver(M可,编s辑)=课件真PP〈T =〉M=se mod n
▪ 盲签名
图4-5 盲签名原理
可编辑课件PPT
19
4.1 数字签名技术
完全盲签名
签名者在文件上的签名是有效的,签名是其签署文件的证据。如果 把文件给签名者看,他可确信他签署过这份文件。但是,签名者不 能把签署文件的行为与签署了的文件相关联。即使他记下了他所做 的每一个盲签名,他也不能确定他在什么时候签署了该文件。
一是发送方的签名部分,对消息M签名,可以记作S=Sig(K, M),签字算法使用的密钥是秘密的,即是签字者的私钥。
二是接收方的认证部分,对签名S的验证可以记作Ver(M,S, K)— {真,假},认证算法使用的密钥是发送方(即签名者)的公钥。
可编辑课件PPT
2
4.1 数字签名技术
1.数字签名的特点 (1)信息是由签名者发送的; (2)信息自签发后到收到为止未曾做过任何修改; (3)如果A否认对信息的签名,可以通过仲裁解决A和B之间的争议 (4)数字签名又不同于手写签名: 数字签名随文本的变化而变化,手写签字反映某个人个性特征, 是不变的;数字签名与文本信息是不可分割的,而用手写签字是附 加在文本之后的,与文本信息是分离的。
通常一个用户拥有两个密钥对,另一个密钥对用来对数字签名 进行加密解密,一个密钥对用来对私有密钥进行加密解密。这种方 式提供了更高的安全性。
身份认证技术ppt课件
2 常见的生物特征识别方式
5.面部识别
面部识别是根据人的面部特征来进 行身份识别的技术,包括标准视频识别和热 成像技术两种。
标准视频识别是透过普通摄像头记录下 被拍摄者眼睛、鼻子、嘴的形状及相对位置 等面部特征,然后将其转换成数字信号,再 利用计算机进行身份识别。视频面部识别是 一种常见的身份识别方式,现已被广泛用于 公共安全领域。
虹膜识别通过对比虹膜图像特征之间的相似性 来确定人们的身份,其核心是使用模式识别、图像 处理等方法对人眼睛的虹膜特征进行描述和匹配, 从而实现自动的个人身份认证。英国国家物理实验 室的测试结果表明:虹膜识别是各种生物特征识别 方法中错误率最低的。
从普通家庭门禁、单位考勤到银行保险柜 、金融交易确认,应用后都可有效简化通行验证手 续、确保安全。如果手机加载“虹膜识别”,即使 丢失也不用担心信息泄露。机场通关安检中采用虹 膜识别技术,将缩短通关时间,提高安全等级。
指纹识别技术是目前最成熟且价格便 宜的生物特征识别技术。目前来说指纹识别的技 术应用最为广泛,人们不仅在门禁、考勤系统中 可以看到指纹识别技术的身影,市场上有了更多 指纹识别的应用:如笔记本电脑、手机、汽车、 银行支付都可应用指纹识别的技术。
2 常见的生物特征识别方式
2.静脉识别
静脉识别系统就是首先通过静脉识别 仪取得个人静脉分布图,从静脉分布图依据专 用比对算法提取特征值,通过红外线CCD摄像 头获取手背静脉的图像,将静脉的数字图像存 贮在计算机系统中,将特征值存储。静脉比对 时,实时采取静脉图,提取特征值,运用先进 的滤波、图像二值化、细化手段对数字图像提 取特征,同存储在主机中静脉特征值比对,采 用复杂的匹配算法对静脉特征进行匹配,从而 对个人进行身份鉴定,确认身份。全过程采用 非接触式。
第3章身份认证技术ppt课件
CA的数字签名提供了三个重要的保证:
▪ 第一,认证中有效的数字签名保证了认证信息的真 实性、完整性;
▪ 第二,因为CA是唯一有权使用它私钥的实体,任何 验证数字证书的用户都可以信任CA的签名,从而保 证了证书的权威性;
▪ 第三,由于CA签名的唯一性,CA不能否认自己所签 发的证书,并承担相口令的产生和验证过程
① 用户输入登录名和相关身份信息ID。
② 如果系统接受用户的访问,则给用户传送建立一次性口令所使用 的单向函数f及一次性密钥k,这种传送通常采用加密方式。
③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。第一次正式访问系统所传送的数据为(k,z)。
最新课件
24
❖ 数字证书的内容
❖ 为了保证CA所签发证书的通用性,目前数字证书格 式一般采用X.509国际标准。X.509的核心是建立存 放每个用户的公钥证书的目录(仓库)。用户公钥证 书由可信赖的CA创建,并由CA或用户存放于目录中 。
❖ 一个标准的X.509数字证书包含以下一些内容:(1)证 书的版本信息;(2)证书的序列号;(3)证书所使用 的签名算法;(4)证书的发行机构;(5)证书的有效 期;(6)证书所有人的名称;(7)证书所有人的公开 密钥;(8)证书发行者对证书的签名。
CRL分发点(CRLDistributionP最o新in课t件s)
27
服务器证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
▪ 第一,认证中有效的数字签名保证了认证信息的真 实性、完整性;
▪ 第二,因为CA是唯一有权使用它私钥的实体,任何 验证数字证书的用户都可以信任CA的签名,从而保 证了证书的权威性;
▪ 第三,由于CA签名的唯一性,CA不能否认自己所签 发的证书,并承担相口令的产生和验证过程
① 用户输入登录名和相关身份信息ID。
② 如果系统接受用户的访问,则给用户传送建立一次性口令所使用 的单向函数f及一次性密钥k,这种传送通常采用加密方式。
③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。第一次正式访问系统所传送的数据为(k,z)。
最新课件
24
❖ 数字证书的内容
❖ 为了保证CA所签发证书的通用性,目前数字证书格 式一般采用X.509国际标准。X.509的核心是建立存 放每个用户的公钥证书的目录(仓库)。用户公钥证 书由可信赖的CA创建,并由CA或用户存放于目录中 。
❖ 一个标准的X.509数字证书包含以下一些内容:(1)证 书的版本信息;(2)证书的序列号;(3)证书所使用 的签名算法;(4)证书的发行机构;(5)证书的有效 期;(6)证书所有人的名称;(7)证书所有人的公开 密钥;(8)证书发行者对证书的签名。
CRL分发点(CRLDistributionP最o新in课t件s)
27
服务器证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
身份认证方法ppt课件
(2) 根据你所拥有的东西来证明你的身份 (what you have ,你有什么 ) ;
(3) 直接根据独一无二的身体特征来证明你的 身份 (who you are ,你是谁 ) ,比如指纹、面貌等。
在网络世界中手段与真实世界中一致,为了 达到更高的身份认证安全性,某些场景会将上面3 种挑选2中混合使用,即所谓的双因素认证。
.
动态口令牌(2Biblioteka 2).USB KEY(1/2)
基于USB Key的身份认证方式是近几年发展起 来的一种方便、安全的身份认证技术。它采用软 硬件相结合、一次一密的强双因子认证模式,很 好地解决了安全性与易用性之间的矛盾。USB Key 是一种USB接口的硬件设备,它内置单片机或智 能卡芯片,可以存储用户的密钥或数字证书,利 用USBKey内置的密码算法实现对用户身份的认证。 基于USB Key身份认证系统主要有两种应用模式: 一是基于冲击/响应(挑战/应答)的认证模式,二是 基于PKI体系的认证模式,目前运用在电子政务、 网上银行。
.
短信密码(1/3)
短信密码以手机短信形式请求包含 6位随机数的动态密码,身份认证系统 以短信形式发送随机的6位密码到客户 的手机上。客户在登录或者交易认证时 候输入此动态密码,从而确保系统身份 认证的安全性。它利用what you have方 法。
.
短信密码(2/3)
优点( 1)安全性 由于手机与客户绑定比较紧密,短信密码生成与使用场景是
动态口令牌是客户手持用来生成动态密码的终端,主流的是 基于时间同步方式的,每60秒变换一次动态口令,口令一次有效, 它产生6位动态数字进行一次一密的方式认证。
由于它使用起来非常便捷,85%以上的世界500强企业运用它 保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务 等领域。
(3) 直接根据独一无二的身体特征来证明你的 身份 (who you are ,你是谁 ) ,比如指纹、面貌等。
在网络世界中手段与真实世界中一致,为了 达到更高的身份认证安全性,某些场景会将上面3 种挑选2中混合使用,即所谓的双因素认证。
.
动态口令牌(2Biblioteka 2).USB KEY(1/2)
基于USB Key的身份认证方式是近几年发展起 来的一种方便、安全的身份认证技术。它采用软 硬件相结合、一次一密的强双因子认证模式,很 好地解决了安全性与易用性之间的矛盾。USB Key 是一种USB接口的硬件设备,它内置单片机或智 能卡芯片,可以存储用户的密钥或数字证书,利 用USBKey内置的密码算法实现对用户身份的认证。 基于USB Key身份认证系统主要有两种应用模式: 一是基于冲击/响应(挑战/应答)的认证模式,二是 基于PKI体系的认证模式,目前运用在电子政务、 网上银行。
.
短信密码(1/3)
短信密码以手机短信形式请求包含 6位随机数的动态密码,身份认证系统 以短信形式发送随机的6位密码到客户 的手机上。客户在登录或者交易认证时 候输入此动态密码,从而确保系统身份 认证的安全性。它利用what you have方 法。
.
短信密码(2/3)
优点( 1)安全性 由于手机与客户绑定比较紧密,短信密码生成与使用场景是
动态口令牌是客户手持用来生成动态密码的终端,主流的是 基于时间同步方式的,每60秒变换一次动态口令,口令一次有效, 它产生6位动态数字进行一次一密的方式认证。
由于它使用起来非常便捷,85%以上的世界500强企业运用它 保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务 等领域。
《身份鉴别技术》课件
身份鉴别技术的优缺点
优点
提供了更高的安全性和准确性,便于快速验证身份。
缺点
可能涉及个人隐私保护和技术成本等问题。
身份鉴别技术的未来
1
发展趋势
随着技术的不断进步,身份鉴别技术将更智能化、便捷化和个性化。
2
可能出现的问题
随着技术应用的普及,可能面临着数据安全、滥用和误认等问题。
3
可能的解决方案
通过加强技术安全、法律法规和隐私保护来解决身份鉴别技术可能出现的问题。
《身份鉴别技术》PPT课 件
身份鉴别技术是现代社会中至关重要的一部分。本课件将介绍身份鉴别技术 的定义、分类以及未来的发展趋势。
什么是身份鉴别技术?
身份鉴别技术是一种通过验证个体身份的方法。它可以应用于各种场景,为别技术的分类
基于证据的鉴别技术
通过收集有效证据,如身份证明、信用记录和银行账户信息,来进行身份鉴别。
结论
身份鉴别技术在现代社会中具有重要意义。随着技术的发展,我们可以期待更智能、更便捷、更安全的身份鉴 别解决方案的出现。
基于行为的鉴别技术
通过分析和识别个体的行为模式,如用户名和密码,手势认证技术,来进行身份鉴别。
基于生物特征的鉴别技术
通过识别和比对个体的生物特征,如人脸、指纹、虹膜、行为和声纹等,来进行身份鉴别。
基于证据的鉴别技术
基于证据的鉴别技术涉及使用身份证明、信用记录、银行账户信息和其他证 明性文件等证据来验证个体的身份。
基于行为的鉴别技术
基于行为的鉴别技术通过个体的行为模式来进行身份鉴别。这包括使用用户 名和密码、聚合认证技术,以及手势识别技术(如摇一摇、划一划)等。
基于生物特征的鉴别技术
基于生物特征的鉴别技术采用个体的独特生物特征来进行身份鉴别。这包括 人脸识别、指纹识别、虹膜识别、行为特征识别和声纹识别等。
第八章身份认证技术 《网络基础与信息安全》课件
8.1.2 常用的身份认证方式
1.静态密码方式 静态密码方式是指以用户名及密码认证的方 式,是最简单最常用的身份认证方法。每个用户 的密码由用户自己设定,只有用户本人知道。只 要能够正确输入密码,计算机就认为操作者是合 法用户。实际上,很多用户为了方便起见,经常 用生日、电话号码等具有用户自身特征的字符串 作为密码,为系统安全留下隐患。同时,由于密 码是静态数据,系统在验证过程中需要在网络介 质中传输,很容易被木马程序或监听设备截获。 因此,用户名及密码方式是安全性比较低的身份 认证方式。
8.1.2 常用的身份认证方式
4.生物识别技术 生物识别技术是指通过可测量的生物信息和行 为等特征进行身份认证的一种技术。认证系统测量 的生物特征征和行为特征两类。身体特征 包括指纹、掌形、视网膜、人体气味、脸形、手的 血管和DNA等;行为特征包括签名、语音、行走步态 等。
8.1.2 常用的身份认证方式
3.USB Key 认证 近几年来,USB Key认证方式得到了广泛应用。 主要采用软硬件相结合、一次一密的强双因素(两种 认证方法)认证模式,很好地解决了安全性与易用性 之间的矛盾。以一种USB接口的硬件设备,内置单片 机或智能卡芯片,可存储用户的密钥和数字证书,利 用其内置的密码算法实现对用户身份的认证。其身份 认证系统主要有两种认证模式:基于冲击/响应模式 和基于PKI体系的认证模式。
8.1.3 身份认证系统概述
(3)双因素安全令牌及认证系统
1)E-Securer的组成:E-Securer由安全身份认证服务器、 安全令牌、认证代理、认证应用开发包等组成。 ①安全身份认证服务器主要提供数据存储、AAA服务、认证 管理等功能,是整个认证系统的核心部分。 ②双因素安全令牌(Securer Key)用于生成用户当前登录 的动态口令,是安全身份认证的最直接体现。动态口令采用 了可靠设计,可抵御恶意用户读取其中的重要信息。 ③安装有认证代理(Authentication Agent)的被保护系统, 通过认证代理向认证服务器发送认证请求,从而可保证系统 身份认证的安全。系统提供简单、易用的认证API开发包供 开发人员使用,有助于应用系统的快速集成与定制。
《身份认证技术》课件
总结词
随着网络应用的普及,身份认证技术 的安全性问题日益突出,如何保障用 户身份的安全和隐私成为关键。
详细描述
身份冒用、信息泄露等安全威胁不断 涌现,需要采取有效的技术手段来提 高身份认证的安全性,如采用强密码 策略、多因素认证等。
隐私保护问题
总结词
在身份认证过程中,如何平衡用户隐私和安全是一个重要的问题,需要采取措 施保护用户的个人信息。
详细描述
通过匿名化处理、加密传输等技术手段,可以在保障用户隐私的同时,提高身 份认证的安全性。
用户体验问题
总结词
用户体验是影响身份认证技术应用的重要因素,如何简化认证流程、提高认证效率是关 键。
详细描述
可以采用单点登录、生物识别等技术手段,提高认证效率和用户体验,降低用户的使用 门槛和抵触感。
05
交易安全
在用户进行支付或提交敏感信息时,通过身份认证技术确保交易的 安全性。
个性化服务
根据用户的身份和偏好,提供个性化的服务和推荐。
政府机构应用
电子政务
通过身份认证技术,政府机构可以确保只有授权人员 能够访问政务系统和数据。
公共服务
为公民提供安全的在线服务渠道,如社保、公积金查 询等。
监管执法
在监管执法过程中,通过身份认证技术核实相关人员 的身份和权限。
金融行业应用
网上银行
通过身份认证技术,确保客户在访问网上银行时 身份的真实性和安全性。
移动支付
在用户进行移动支付时,通过身份认证技术验证 用户身份,确保交易的安全性。
证券交易
在证券交易平台上,通过身份认证技术核实用户 的身份和权限,确保交易的合规性和安全性。
04
身份认证技术的挑战与解决方案
安全性问题
随着网络应用的普及,身份认证技术 的安全性问题日益突出,如何保障用 户身份的安全和隐私成为关键。
详细描述
身份冒用、信息泄露等安全威胁不断 涌现,需要采取有效的技术手段来提 高身份认证的安全性,如采用强密码 策略、多因素认证等。
隐私保护问题
总结词
在身份认证过程中,如何平衡用户隐私和安全是一个重要的问题,需要采取措 施保护用户的个人信息。
详细描述
通过匿名化处理、加密传输等技术手段,可以在保障用户隐私的同时,提高身 份认证的安全性。
用户体验问题
总结词
用户体验是影响身份认证技术应用的重要因素,如何简化认证流程、提高认证效率是关 键。
详细描述
可以采用单点登录、生物识别等技术手段,提高认证效率和用户体验,降低用户的使用 门槛和抵触感。
05
交易安全
在用户进行支付或提交敏感信息时,通过身份认证技术确保交易的 安全性。
个性化服务
根据用户的身份和偏好,提供个性化的服务和推荐。
政府机构应用
电子政务
通过身份认证技术,政府机构可以确保只有授权人员 能够访问政务系统和数据。
公共服务
为公民提供安全的在线服务渠道,如社保、公积金查 询等。
监管执法
在监管执法过程中,通过身份认证技术核实相关人员 的身份和权限。
金融行业应用
网上银行
通过身份认证技术,确保客户在访问网上银行时 身份的真实性和安全性。
移动支付
在用户进行移动支付时,通过身份认证技术验证 用户身份,确保交易的安全性。
证券交易
在证券交易平台上,通过身份认证技术核实用户 的身份和权限,确保交易的合规性和安全性。
04
身份认证技术的挑战与解决方案
安全性问题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上传输的认证信息不可重用
sniffer
源
目的
8
.
概述-需求
❖ 双向认证
▪ 域名欺骗、地址假冒等 ▪ 路由控制
❖单点登录(Single Sign-On)
▪ 用户只需要一次认证操作就可以访 问多种服务
❖ 可扩展性的要求
.
9
基于口令的身份认证
1. 挑战/响应认证 (Challenge/Response) 2. 一次性口令(OTP, One-Time Password) 3. 口令的管理
❖ 著名数学家、控制论的创始人维纳在指出:“信息是人们适 应外部世界并且使这种适应反作用于外部世界的过程中,同 外部世界进行交换的内容的名称。”
❖ 信息=确定性的内容的名称;内容的名称=ID,确定性= Certainty
身份认证是信息交互的基础 (信息化的第一道门)
3
.
概述-概念
❖ 概念
▪ 身份认证是网络安全的核心,其目的是防止未授权 用户访问网络资源。
▪ 口令管理的作用:
• 生成了合适的口令 • 口令更新 • 能够完全保密
16
.
口令管理
❖ 口令的要求:
▪ 包含一定的字符数; ▪ 和ID无关; ▪ 包含特殊的字符; ▪ 大小写; ▪ 不容易被猜测到。 ▪ 跟踪用户所产生的所有口令,确保这些口令不相同, ▪ 定期更改其口令。 ▪ 使用字典式攻击的工具找出比较脆弱的口令。许多安全
.
13
一次性口令认证(OTP)
❖ SKEY验证程序
▪ 其安全性依赖于一个单向函数。为建立这样的系统A输入 一随机数R,计算机计算f(R), f( f(R)), f( f( f (R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存 在A的名字旁边。
工具都具有这种双重身份:
• 网络管理员使用的工具:口令检验器 • 攻击者破获口令使用的工具:口令破译器
17
.
口令管理
❖ 口令产生器
▪ 不是让用户自己选择口令,口令产生器用于产生随机的 和可拼写口令。
❖ 口令的时效
▪ 强迫用户经过一段时间后就更改口令。 ▪ 系统还记录至少5到10个口令,使用户不能使用刚刚使用
▪ 第一次登录,键入x100
▪ 以后依次键入xi,计算机计算f(xi),并将它与xi+1比较。
14
.
众人科技的介绍
15
.
口令管理
❖ 口令管理
▪ 口令属于“他知道什么”这种方式,容易被窃取。 ▪ 口令的错误使用:
• 选择一些很容易猜到的口令; • 把口令告诉别人; • 把口令写在一个贴条上并把它贴在键盘旁边。
10
.
挑战/应答认证协议(CHAP)
❖Challenge and Response Handshake Protocol
❖ Client和Server共享一个密钥
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
MAC’=H(R,K) 比较MAC’和MAC
身份认证技术在网络空间安全中 的重要性及应用
本节主要内容
1
身份认证技术概述
2
基于口令的身份认证
3
对称密码认证
4
非对称密码认证
5
生物认证技术
6
移动互联时代的认证技术
2
.
概述-信息的基础是身份认证
❖ 数学家、信息论的创始人仙农在题为“通讯的数学理论”的 论文中指出:“信息是用来消除随机不定性的东西”。
5
.
概述-身份认证的基本模型
❖ 身份认证系统一般组成:示证者,验证者,攻击者及可 信第三方(可选)
❖ 示证者(Claimant,也称申请者) ▪ 提出某种要求
❖ 验证者(Verifier) ▪ 验证示证者出示的证件的正确性与合法性,并决定是 否满足其要求。
❖ 攻击者(Attacker) ▪ 可以窃听或伪装示证者,骗取验证者的信任。
MAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法
11
.
一次性口令认证(OTP)
❖ 一次性口令机制确保在每次认证中所使用的口令不 同,以对付重放攻击。
❖ 确定口令的方法:
(1)两端共同拥有一串随机口令,在该串的某一位置保持 同步; (2)两端共同使用一个随机序列生成器,在该序列生成器 的初态保持同步; (3)使用时间戳,两端维持同步的时钟。
.
4
概述-身份认证基本途径
❖基于你所知道的(What you know )
▪ 知识、口令、密码
❖基于你所拥有的(What you have )
▪ 身份证、信用卡、钥匙、智能卡、令牌等
❖基于你的个人特征(What you are)
▪ 指纹,笔迹,声音,手型,脸型,视网膜,虹膜
❖ 双因素、多因素认证
▪ 综合上述两种或多种因素进行认证。如ATM机取款需要 银行卡+密码双因素认证
12
.
一次性口令认证(OTP)
❖ S/Key ❖ SecurID
Pass phrase + challenge
OTP Token
ID challenge
OTP
Server OTP
/rfcs/rfc1760.html
/rfc/rfc2289.t身 份是否相符的过程
❖ 提供的安全服务
▪ 作为访问控制服务的一种必要支持,访问控制服务 的执行依赖于确知的身份
▪ 作为提供数据源认证的一种可能方法(当与数据完 整性机制结合起来使用时)
▪ 作为对责任原则的一种直接支持,如审计追踪中提
供与某活动相联系的确知身份
的口令。
❖ 限制登录次数
▪ 免受字典式攻击或穷举法攻击
18
.
对称密码认证
❖ 基于对称密码算法的鉴别依靠一定协议下的数据加 密处理。通信双方共享一个密钥(通常存储在硬件 中),该密钥在询问—应答协议中处理或加密信息 交换。
❖ 单向认证:仅对实体中的一个进行认证。 ❖ 双向认证:两个通信实体相互进行认证。
6
.
概述-身份认证的基本模型
❖ 可信第三方(Trusted Third Party) ▪ 在必要时作为第四方出现 ▪ 可参与调节纠纷
❖ 认证信息AI(Authentication Information)
申请AI
交换AI
验证AI
申请AI
验证AI
7
.
概述-需求
❖ 唯一的身份标识(ID): ❖ 抗被动的威胁(窃听),口令不在网上明码传输 ❖ 抵抗主动的威胁,比如阻断、伪造、重放,网络
sniffer
源
目的
8
.
概述-需求
❖ 双向认证
▪ 域名欺骗、地址假冒等 ▪ 路由控制
❖单点登录(Single Sign-On)
▪ 用户只需要一次认证操作就可以访 问多种服务
❖ 可扩展性的要求
.
9
基于口令的身份认证
1. 挑战/响应认证 (Challenge/Response) 2. 一次性口令(OTP, One-Time Password) 3. 口令的管理
❖ 著名数学家、控制论的创始人维纳在指出:“信息是人们适 应外部世界并且使这种适应反作用于外部世界的过程中,同 外部世界进行交换的内容的名称。”
❖ 信息=确定性的内容的名称;内容的名称=ID,确定性= Certainty
身份认证是信息交互的基础 (信息化的第一道门)
3
.
概述-概念
❖ 概念
▪ 身份认证是网络安全的核心,其目的是防止未授权 用户访问网络资源。
▪ 口令管理的作用:
• 生成了合适的口令 • 口令更新 • 能够完全保密
16
.
口令管理
❖ 口令的要求:
▪ 包含一定的字符数; ▪ 和ID无关; ▪ 包含特殊的字符; ▪ 大小写; ▪ 不容易被猜测到。 ▪ 跟踪用户所产生的所有口令,确保这些口令不相同, ▪ 定期更改其口令。 ▪ 使用字典式攻击的工具找出比较脆弱的口令。许多安全
.
13
一次性口令认证(OTP)
❖ SKEY验证程序
▪ 其安全性依赖于一个单向函数。为建立这样的系统A输入 一随机数R,计算机计算f(R), f( f(R)), f( f( f (R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存 在A的名字旁边。
工具都具有这种双重身份:
• 网络管理员使用的工具:口令检验器 • 攻击者破获口令使用的工具:口令破译器
17
.
口令管理
❖ 口令产生器
▪ 不是让用户自己选择口令,口令产生器用于产生随机的 和可拼写口令。
❖ 口令的时效
▪ 强迫用户经过一段时间后就更改口令。 ▪ 系统还记录至少5到10个口令,使用户不能使用刚刚使用
▪ 第一次登录,键入x100
▪ 以后依次键入xi,计算机计算f(xi),并将它与xi+1比较。
14
.
众人科技的介绍
15
.
口令管理
❖ 口令管理
▪ 口令属于“他知道什么”这种方式,容易被窃取。 ▪ 口令的错误使用:
• 选择一些很容易猜到的口令; • 把口令告诉别人; • 把口令写在一个贴条上并把它贴在键盘旁边。
10
.
挑战/应答认证协议(CHAP)
❖Challenge and Response Handshake Protocol
❖ Client和Server共享一个密钥
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
MAC’=H(R,K) 比较MAC’和MAC
身份认证技术在网络空间安全中 的重要性及应用
本节主要内容
1
身份认证技术概述
2
基于口令的身份认证
3
对称密码认证
4
非对称密码认证
5
生物认证技术
6
移动互联时代的认证技术
2
.
概述-信息的基础是身份认证
❖ 数学家、信息论的创始人仙农在题为“通讯的数学理论”的 论文中指出:“信息是用来消除随机不定性的东西”。
5
.
概述-身份认证的基本模型
❖ 身份认证系统一般组成:示证者,验证者,攻击者及可 信第三方(可选)
❖ 示证者(Claimant,也称申请者) ▪ 提出某种要求
❖ 验证者(Verifier) ▪ 验证示证者出示的证件的正确性与合法性,并决定是 否满足其要求。
❖ 攻击者(Attacker) ▪ 可以窃听或伪装示证者,骗取验证者的信任。
MAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法
11
.
一次性口令认证(OTP)
❖ 一次性口令机制确保在每次认证中所使用的口令不 同,以对付重放攻击。
❖ 确定口令的方法:
(1)两端共同拥有一串随机口令,在该串的某一位置保持 同步; (2)两端共同使用一个随机序列生成器,在该序列生成器 的初态保持同步; (3)使用时间戳,两端维持同步的时钟。
.
4
概述-身份认证基本途径
❖基于你所知道的(What you know )
▪ 知识、口令、密码
❖基于你所拥有的(What you have )
▪ 身份证、信用卡、钥匙、智能卡、令牌等
❖基于你的个人特征(What you are)
▪ 指纹,笔迹,声音,手型,脸型,视网膜,虹膜
❖ 双因素、多因素认证
▪ 综合上述两种或多种因素进行认证。如ATM机取款需要 银行卡+密码双因素认证
12
.
一次性口令认证(OTP)
❖ S/Key ❖ SecurID
Pass phrase + challenge
OTP Token
ID challenge
OTP
Server OTP
/rfcs/rfc1760.html
/rfc/rfc2289.t身 份是否相符的过程
❖ 提供的安全服务
▪ 作为访问控制服务的一种必要支持,访问控制服务 的执行依赖于确知的身份
▪ 作为提供数据源认证的一种可能方法(当与数据完 整性机制结合起来使用时)
▪ 作为对责任原则的一种直接支持,如审计追踪中提
供与某活动相联系的确知身份
的口令。
❖ 限制登录次数
▪ 免受字典式攻击或穷举法攻击
18
.
对称密码认证
❖ 基于对称密码算法的鉴别依靠一定协议下的数据加 密处理。通信双方共享一个密钥(通常存储在硬件 中),该密钥在询问—应答协议中处理或加密信息 交换。
❖ 单向认证:仅对实体中的一个进行认证。 ❖ 双向认证:两个通信实体相互进行认证。
6
.
概述-身份认证的基本模型
❖ 可信第三方(Trusted Third Party) ▪ 在必要时作为第四方出现 ▪ 可参与调节纠纷
❖ 认证信息AI(Authentication Information)
申请AI
交换AI
验证AI
申请AI
验证AI
7
.
概述-需求
❖ 唯一的身份标识(ID): ❖ 抗被动的威胁(窃听),口令不在网上明码传输 ❖ 抵抗主动的威胁,比如阻断、伪造、重放,网络