身份认证技术(课件PPT)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
概述-身份认证的基本模型
❖ 身份认证系统一般组成:示证者,验证者,攻击者及可 信第三方(可选)
❖ 示证者(Claimant,也称申请者) ▪ 提出某种要求
❖ 验证者(Verifier) ▪ 验证示证者出示的证件的正确性与合法性,并决定是 否满足其要求。
❖ 攻击者(Attacker) ▪ 可以窃听或伪装示证者,骗取验证者的信任。
的口令。
❖限制登录次数
▪ 免受字典式攻击或穷举法攻击
18
对称密码认证
❖基于对称密码算法的鉴别依靠一定协议下的数据加 密处理。通信双方共享一个密钥(通常存储在硬件 中),该密钥在询问—应答协议中处理或加密信息 交换。
❖单向认证:仅对实体中的一个进行认证。 ❖双向认证:两个通信实体相互进行认证。
19
1. Kerberos 简介 2. Kerberos 缺陷
一次性口令认证(OTP)
❖ SKEY验证程序
▪ 其安全性依赖于一个单向函数。为建立这样的系统A输入 一随机数R,计算机计算f(R), f( f(R)), f( f( f (R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存 在A的名字旁边。
工具都具有这种双重身份:
• 网络管理员使用的工具:口令检验器 • 攻击者破获口令使用的工具:口令破译器
17
口令管理
❖口令产生器
▪ 不是让用户自己选择口令,口令产生器用于产生随机的 和可拼写口令。
❖口令的时效
▪ 强迫用户经过一段时间后就更改口令。 ▪ 系统还记录至少5到10个口令,使用户不能使用刚刚使用
10
挑战/应答认证协议(CHAP)
❖Challenge and Response Handshake Protocol
❖ Client和Server共享一个密钥
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
MAC’=H(R,K) 比较MAC’和MAC
输 ❖ 抵抗主动的威胁,比如阻断、伪造、重放,网
络上传输的认证信息不可重用
sniffer
源
目的
概述-需求
❖ 双向认证
▪ 域名欺骗、地址假冒等 ▪ 路由控制
❖单点登录(Single Sign-On)
▪ 用户只需要一次认证操作就可以访 问多种服务
❖ 可扩展性的要求
基于口令的身份认证
1. 挑战/响应认证 (Challenge/Response) 2. 一次性口令(OTP, One-Time Password) 3. 口令的管理
身份认证技术在网络空间安全中 的重要性及应用
本节主要内容
1
身份认证技术概述
2
基于口令的身份认证
3
对称密码认证
4
非对称密码认证
5
生物认证技术
6
移动互联时代的认证技术
2
概述-信息的基础是身份认证
❖ 数学家、信息论的创始人仙农在题为“通讯的数学理论”的 论文中指出:“信息是用来消除随机不定性的东西”。
▪ 口令管理的作用:
• 生成了合适的口令 • 口令更新 • 能够完全保密
16
口令管理
❖口令的要求:
▪ 包含一定的字符数; ▪ 和ID无关; ▪ 包含特殊的字符; ▪ 大小写; ▪ 不容易被猜测到。 ▪ 跟踪用户所产生的所有口令,确保这些口令不相同, ▪ 定期更改其口令。 ▪ 使用字典式攻击的工具找出比较脆弱的口令。许多安全
❖ 著名数学家、控制论的创始人维纳在指出:“信息是人们适 应外部世界并且使这种适应反作用于外部世界的过程中,同 外部世界进行交换的内容的名称。”
❖ 信息=确定性的内容的名称;内容的名称=ID,确定性= Certainty
身份认证是信息交互的基础 (信息化的第一道门)
3
概述-概念
❖ 概念
▪ 身份认证是网络安全的核心,其目的是防止未授权 用户访问网络资源。
MAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法
11
一次性口令认证(OTP)
❖一次性口令机制确保在每次认证中所使用的口令不 同,以对付重放攻击。
❖确定口令的方法:
(1)两端共同拥有一串随机口令,在该串的某一位置保持 同步; (2)两端共同使用一个随机序列生成器,在该序列生成器 的初态保持同步; (3)使用时间戳,两端维持同步的时钟。
▪ 第一次登录,键入x100 ▪ 以后依次键入xi,计算机计算f(xi),并将它与xi+1比较。
14
众人科技的介绍
15
口令管理
❖ 口令管理
▪ 口令属于“他知道什么”这种方式,容易被窃取。 ▪ 口令的错误使用:
• 选择一些很容易猜到的口令; • 把口令告诉别人; • 把口令写在一个贴条上并把它贴在键盘旁边。
概述-身份认证基本途径
❖基于你所知道的(What you know )
▪ 知识、口令、密码
❖基于你所拥有的(What you have )
▪ 身份证、信用卡、钥匙、智能卡、令牌等
❖基于你的个人特征(What you are)
▪ 指纹,笔迹,声音,手型,脸型,视网膜,虹膜
❖双因素、多因素认证
▪ 综合上述两种或多种因素进行认证。如AΒιβλιοθήκη BaiduM机取款需要 银行卡+密码双因素认证
6
概述-身份认证的基本模型
❖ 可信第三方(Trusted Third Party) ▪ 在必要时作为第四方出现 ▪ 可参与调节纠纷
❖ 认证信息AI(Authentication Information)
申请AI
交换AI
验证AI
申请AI
验证AI
7
概述-需求
❖ 唯一的身份标识(ID): ❖ 抗被动的威胁(窃听),口令不在网上明码传
▪ 身份认证是指证实客户的真实身份与其所声称的身 份是否相符的过程
❖ 提供的安全服务
▪ 作为访问控制服务的一种必要支持,访问控制服务 的执行依赖于确知的身份
▪ 作为提供数据源认证的一种可能方法(当与数据完 整性机制结合起来使用时)
▪ 作为对责任原则的一种直接支持,如审计追踪中提 供与某活动相联系的确知身份
12
一次性口令认证(OTP)
❖ S/Key ❖ SecurID
Pass phrase + challenge
OTP Token
ID challenge
OTP
Server OTP
http://www.faqs.org/rfcs/rfc1760.html http://www.ietf.org/rfc/rfc2289.txt
概述-身份认证的基本模型
❖ 身份认证系统一般组成:示证者,验证者,攻击者及可 信第三方(可选)
❖ 示证者(Claimant,也称申请者) ▪ 提出某种要求
❖ 验证者(Verifier) ▪ 验证示证者出示的证件的正确性与合法性,并决定是 否满足其要求。
❖ 攻击者(Attacker) ▪ 可以窃听或伪装示证者,骗取验证者的信任。
的口令。
❖限制登录次数
▪ 免受字典式攻击或穷举法攻击
18
对称密码认证
❖基于对称密码算法的鉴别依靠一定协议下的数据加 密处理。通信双方共享一个密钥(通常存储在硬件 中),该密钥在询问—应答协议中处理或加密信息 交换。
❖单向认证:仅对实体中的一个进行认证。 ❖双向认证:两个通信实体相互进行认证。
19
1. Kerberos 简介 2. Kerberos 缺陷
一次性口令认证(OTP)
❖ SKEY验证程序
▪ 其安全性依赖于一个单向函数。为建立这样的系统A输入 一随机数R,计算机计算f(R), f( f(R)), f( f( f (R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存 在A的名字旁边。
工具都具有这种双重身份:
• 网络管理员使用的工具:口令检验器 • 攻击者破获口令使用的工具:口令破译器
17
口令管理
❖口令产生器
▪ 不是让用户自己选择口令,口令产生器用于产生随机的 和可拼写口令。
❖口令的时效
▪ 强迫用户经过一段时间后就更改口令。 ▪ 系统还记录至少5到10个口令,使用户不能使用刚刚使用
10
挑战/应答认证协议(CHAP)
❖Challenge and Response Handshake Protocol
❖ Client和Server共享一个密钥
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
MAC’=H(R,K) 比较MAC’和MAC
输 ❖ 抵抗主动的威胁,比如阻断、伪造、重放,网
络上传输的认证信息不可重用
sniffer
源
目的
概述-需求
❖ 双向认证
▪ 域名欺骗、地址假冒等 ▪ 路由控制
❖单点登录(Single Sign-On)
▪ 用户只需要一次认证操作就可以访 问多种服务
❖ 可扩展性的要求
基于口令的身份认证
1. 挑战/响应认证 (Challenge/Response) 2. 一次性口令(OTP, One-Time Password) 3. 口令的管理
身份认证技术在网络空间安全中 的重要性及应用
本节主要内容
1
身份认证技术概述
2
基于口令的身份认证
3
对称密码认证
4
非对称密码认证
5
生物认证技术
6
移动互联时代的认证技术
2
概述-信息的基础是身份认证
❖ 数学家、信息论的创始人仙农在题为“通讯的数学理论”的 论文中指出:“信息是用来消除随机不定性的东西”。
▪ 口令管理的作用:
• 生成了合适的口令 • 口令更新 • 能够完全保密
16
口令管理
❖口令的要求:
▪ 包含一定的字符数; ▪ 和ID无关; ▪ 包含特殊的字符; ▪ 大小写; ▪ 不容易被猜测到。 ▪ 跟踪用户所产生的所有口令,确保这些口令不相同, ▪ 定期更改其口令。 ▪ 使用字典式攻击的工具找出比较脆弱的口令。许多安全
❖ 著名数学家、控制论的创始人维纳在指出:“信息是人们适 应外部世界并且使这种适应反作用于外部世界的过程中,同 外部世界进行交换的内容的名称。”
❖ 信息=确定性的内容的名称;内容的名称=ID,确定性= Certainty
身份认证是信息交互的基础 (信息化的第一道门)
3
概述-概念
❖ 概念
▪ 身份认证是网络安全的核心,其目的是防止未授权 用户访问网络资源。
MAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法
11
一次性口令认证(OTP)
❖一次性口令机制确保在每次认证中所使用的口令不 同,以对付重放攻击。
❖确定口令的方法:
(1)两端共同拥有一串随机口令,在该串的某一位置保持 同步; (2)两端共同使用一个随机序列生成器,在该序列生成器 的初态保持同步; (3)使用时间戳,两端维持同步的时钟。
▪ 第一次登录,键入x100 ▪ 以后依次键入xi,计算机计算f(xi),并将它与xi+1比较。
14
众人科技的介绍
15
口令管理
❖ 口令管理
▪ 口令属于“他知道什么”这种方式,容易被窃取。 ▪ 口令的错误使用:
• 选择一些很容易猜到的口令; • 把口令告诉别人; • 把口令写在一个贴条上并把它贴在键盘旁边。
概述-身份认证基本途径
❖基于你所知道的(What you know )
▪ 知识、口令、密码
❖基于你所拥有的(What you have )
▪ 身份证、信用卡、钥匙、智能卡、令牌等
❖基于你的个人特征(What you are)
▪ 指纹,笔迹,声音,手型,脸型,视网膜,虹膜
❖双因素、多因素认证
▪ 综合上述两种或多种因素进行认证。如AΒιβλιοθήκη BaiduM机取款需要 银行卡+密码双因素认证
6
概述-身份认证的基本模型
❖ 可信第三方(Trusted Third Party) ▪ 在必要时作为第四方出现 ▪ 可参与调节纠纷
❖ 认证信息AI(Authentication Information)
申请AI
交换AI
验证AI
申请AI
验证AI
7
概述-需求
❖ 唯一的身份标识(ID): ❖ 抗被动的威胁(窃听),口令不在网上明码传
▪ 身份认证是指证实客户的真实身份与其所声称的身 份是否相符的过程
❖ 提供的安全服务
▪ 作为访问控制服务的一种必要支持,访问控制服务 的执行依赖于确知的身份
▪ 作为提供数据源认证的一种可能方法(当与数据完 整性机制结合起来使用时)
▪ 作为对责任原则的一种直接支持,如审计追踪中提 供与某活动相联系的确知身份
12
一次性口令认证(OTP)
❖ S/Key ❖ SecurID
Pass phrase + challenge
OTP Token
ID challenge
OTP
Server OTP
http://www.faqs.org/rfcs/rfc1760.html http://www.ietf.org/rfc/rfc2289.txt