第四讲 身份鉴别
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全与保密
北京电子科技学院通信工程系
令牌的类型
认证令牌
挑战/响应 令牌
基于时间令牌
P A G E 31
网络安全与保密
北京电子科技学院通信工程系
挑战/应答令牌
P A G E 32
用户发送自己的id要求认证
服务器创建随机数明文传送给用户
用户用PIN开启令牌,输入服务器传过来的随机数,产生 一个输出作为口令
服务器收到口令后,用该用户的seed和随机数计算口令并 对比,完成认证
网络安全与保密
北京电子科技学院通信工程系
时间令牌
P A G E 33
直接用令牌产生口令,这里口令的产生使用了两个东西: 种子和令牌内置的时钟
发送用户id和口令到服务器 服务器同样使用时间和种子算出口令做对比,完成认证 服务器端可能会有时间不同步问题,比如用户用前一分钟
身份认证基本途径
基于你所知道的(What you know )
知识、口令、密码
基于你所拥有的(What you have )
身份证、信用卡、钥匙、智能卡、令牌、私钥等
基于你的个人特征(What you are)
指纹,笔迹,声音,手型,脸型,视网膜,虹膜
双因素、多因素认证
Peer-ID
Password Length
Password
PAP请求包格式
Code
Identifier Length
MsgLength
Message
PAP应答包格式
PAP简单且易于实现。
PAP存在很大的安全问题,用户的用户名和密码是以明码 的方式进行传送的,数据在从用户端发出到认证方接收到 的整个过程中毫无遮拦的暴露在线路上面。
的时钟产生的口令,而服务器已经是下一个时钟,因此服 务器验证的时候需要验证前一个时钟的结果,如果通过也 算认证成功 时间令牌的优点:不需要多次输入,也不需要令牌上有键 盘
网络安全与保密
北京电子科技学院通信工程系
口令管理
P A G E 34
口令管理
口令属于“他知道什么”这种方式,容易被窃取。
口令认证技术
简单口令认证 质询/响应认证 一次性口令认证(OTP)
Kerberos认证技术 基于公钥证书的身份认证 基于生物特征的身份认证
P A G E 14
网络安全与保密
北京电子科技学院通信工程系
提纲
引言-鉴别性服务 身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于生物特征的身份认证 AAA认证服务系统设计
北京电子科技学院通信工程系
认证令牌
一个物理设备 定时产生新的随机口令 服务器端和令牌能够保持口令同步
wenku.baidu.com
P A G E 27
网络安全与保密
北京电子科技学院通信工程系
令牌创建
P A G E 28
Server
Id = atul Seed = 615019191
用户记录生成
Seed = 615019191
Seed 认证令牌
Id Seed Jyoti 159010191 Amar 415901617 Atul 615019191
用户数据库
网络安全与保密
北京电子科技学院通信工程系
令牌的使用
P A G E 29
用户发送用令牌产生的一次性口令和用户id给服务器 服务器收到后,使用自己保存的该用户的seed计算出口令 对比两个口令完成身份鉴别
PAGE 3
鉴别:证实通信过程涉及的另一方确实具有他们所声称的 身份,确保通信是可信的。
数据起源鉴别:在通信实体之间没有预先交互的应用中提供对消 息起源的证实。
对等实体鉴别:在连接建立及数据传输阶段对对等实体的身份进 行证实(身份认证)。
安全机制:
鉴别交换:通过信息交换确信一个实体身份的机制(口令)。
口令的错误使用:
— 选择一些很容易猜到的口令; — 把口令告诉别人; — 把口令写在一个贴条上并把它贴在键盘旁边。
口令管理的作用:
— 生成了合适的口令 — 口令更新 — 能够完全保密
网络安全与保密
北京电子科技学院通信工程系
口令管理
P A G E 35
口令的要求:
包含一定的字符数; 和ID无关; 包含特殊的字符; 大小写; 不容易被猜测到。 跟踪用户所产生的所有口令,确保这些口令不相同, 定期更改其口令。 使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具
数字签名:附加在一个数据单元后面的数据,用来证明数据单元 的起源及完整性,以防伪造。
网络安全与保密
北京电子科技学院通信工程系
提纲
引言-鉴别性服务 身份认证概述 基于口令的身份认证 Kerberos 身份认证协议 基于生物特征的身份认证 AAA认证服务系统设计
PAGE 4
网络安全与保密
北京电子科技学院通信工程系
Message
PAP应答包格式
Code
1 Authenticate-Request 2 Authenticate-Ack 3 Authenticate-Nak
网络安全与保密
北京电子科技学院通信工程系
简单口令认证
P A G E 23
Code Identifier Length
Peer-ID Length
网络安全与保密
第4讲 网络安全身份认证
李兆斌 lzb@besti.edu.cn
© 北京电子科技学院通信工程系
提纲
引言-鉴别服务 身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于生物特征的身份认证 AAA认证服务系统设计
PAGE 2
网络安全与保密
北京电子科技学院通信工程系
鉴别
抗被动的威胁(窃听),口令不在网上明文传输
进行下列网络服sni务ffe的r 身份认证时, 口令传输哪些是明文传输, 源 哪些是加密传输:目的 Telnet,FTP,SMTP,SSH
PAGE 8
网络安全与保密
北京电子科技学院通信工程系
网络环境下对身份认证需求
PAGE 9
抵抗主动的威胁,比如阻断、伪造、重放,网络上传输的 认证信息不可重用
P A G E 15
网络安全与保密
北京电子科技学院通信工程系
安全口令认证系统设计内容
口令传输 口令验证 口令存储 口令管理
P A G E 16
网络安全与保密
北京电子科技学院通信工程系
基于口令的身份认证
本地简单口令认证 简单口令认证协议(PAP) 质询/响应认证协议(CHAP) 口令的管理
passwd
加密
$%@&)*=-~`^,{
解密
网络安全与保密
北京电子科技学院通信工程系
网络环境下对身份认证需求
单向认证 双向认证
域名欺骗、地址假冒等 路由控制
单点认证(Single Sign-On)
用户只需要一次认证操作就可以访问多种服 务
可扩展性的要求
网络安全与保密
北京电子科技学院通信工程系
P A G E 12
网络安全与保密
北京电子科技学院通信工程系
身份认证设计基本要求
可识别率最大化 可欺骗率最小化 不可传递性 相互认证 第三方可信任 安全存储 成本最小化
计算有效性 节省通信带宽
网络安全与保密
北京电子科技学院通信工程系
P A G E 13
常用的身份认证技术/协议
MAC’=H(R,K) 比较MAC’和MAC
MAC的计算可以基于Hash算法, 对称密钥算法,公开密钥算
法
网络安全与保密
北京电子科技学院通信工程系
质询/握手认证协议(CHAP)
Code
Identifier
Length
ValueSize
Value Name
CHAP口令请求和应答包格式
P A G E 25
网络环境下对身份认证需求
唯一的身份标识(ID):
uid,uid@domain DN (Distinguished Name): C=CN/S=Beijing /O=Tsinghua
University/U=CS/ CN=Duan Haixin/Email=dhx@cernet.edu.cn
有这种双重身份:
— 网络管理员使用的工具:口令检验器 — 攻击者破获口令使用的工具:口令破译器
网络安全与保密
北京电子科技学院通信工程系
口令管理
P A G E 36
口令产生器
不是让用户自己选择口令,口令产生器用于产生随机的和可拼写 口令。
Code Identifier Length Message
Code
1 2 3 4
CHAP认证结果响应包格式
Challenge Response Success Failure
网络安全与保密
北京电子科技学院通信工程系
质询/握手认证协议(CHAP)
Code
Identifier
Length
服务器端 (Server)
网络安全与保密
北京电子科技学院通信工程系
简单口令认证
P A G E 22
Code Identifier Length
Peer-ID Length
Peer-ID
Password Length
Password
PAP请求包格式
Code
Identifier Length
MsgLength
P A G E 10
网络环境下对身份认证需求
本地多用户认证
Login:如何管理口令
远程用户认证
一次性
— 访问资源或者服务之前进行认证
多次访问资源或者服务
— 身份,获得credential — 利用credential访问资源或者服务
网络安全与保密
北京电子科技学院通信工程系
P A G E 11
Winlogon
P A G E 19
GINA
LSA
msv1_0
网络安全与保密
SAM
北京电子科技学院通信工程系
简单口令认证
Linux本地登录认证
网络安全与保密
帐户
查询/etc/passwd
合法帐户?
密码
加密算法(Hash)
否
查询/etc/shadow
密码正确?
否
是
认证通过
退出
北京电子科技学院通信工程系
ValueSize
Value Name
CHAP口令请求和应答包格式
P A G E 26
Code Identifier Length Message
CHAP认证结果响应包格式
CHAP对PAP进行了改进,不再直接通过链路发送明文口 令,而是使用挑战口令以哈希算法对口令进行加密,安全 性比PAP高。
网络安全与保密
网络安全与保密
北京电子科技学院通信工程系
质询/握手认证协议(CHAP)
P A G E 24
Challenge and Response Handshake Protocol:RFC1994
三次握手认证
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
P A G E 20
简单口令认证
P A G E 21
PAP(Password Authentication Protocol):RFC1334
口令认证协议 两次握手验证过程 用户名和密码以明文(不加密的)形式发送到远程访问服务器
请求信息(用户名,密码)
客户端 (Client)
验证结果(Ack/Nak)
身份认证简介
身份认证场景 身份认证需求 身份认证途径 身份认证基本模型 身份认证设计基本要求 身份认证技术
PAGE 5
网络安全与保密
北京电子科技学院通信工程系
在网络环境系统中什么场景下有用到身份认证?
PAGE 6
操作系统登录
Windows Unix Linux
远程服务登录
Telnet FTP Email VPN
网络安全与保密
北京电子科技学院通信工程系
应对令牌遗失
P A G E 30
在产生口令时,要求令牌使用者输入正确的PIN值
引入PIN值后,形成了多因素认证: 你知道的(例如PIN,password) 你拥有的(例如令牌、信用卡) 你本身的特征(例如声音,指纹)
口令是单因素认证(一个因素:口令),而令牌是双因素 认证(PIN和令牌)
P A G E 17
网络安全与保密
北京电子科技学院通信工程系
简单口令认证
本地简单口令认证
帐户
查询帐户/口令信息表 系统已知合法帐户 的密码 比较
P A G E 18
口令
网络安全与保密
口令是否正确? 否 认证没通过
是 认证通过
北京电子科技学院通信工程系
简单口令认证
Windows本地登录认证
网络接入服务
Internet 校园网 企业内部网
在线交易
网上银行 电子证券 电子商务
网络安全与保密
北京电子科技学院通信工程系
网络环境下对身份认证需求
防止网络欺骗:
身份假冒和欺诈
防止非法使用网络资源 防止非法浏览用户信息
PAGE 7
网络安全与保密
北京电子科技学院通信工程系