身份认证

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Kerberos是一种秘密密钥网络认证协议,是由麻省理工 学院 (MIT) 开发一项身份认证业务,它的设计思想影响了以 后的很多的身份认证业务,它是使用数据加密标准DES加密 算法来进行加密和认证的,现在已发展到v5版本。 Kerberos设计的目的是解决在分布式网络环境下,服务 器如何对某台工作站接入的用户进行身份认证。 Kerberos认证系统包括一系列的服务。除了客户以外, Kerberos还包括三个服务器,它们是:认证服务器(AS),用 于在登录时验证用户的身份;凭据发放服务器((TGS),发放 “身份证明许可证”;服务提供服务器 (Server) ,客户请求 工作的实际执行者。
基于时间同步的动态口令机制的认证方式
时间同步方式的关键在于认证服务器和客户端的时 钟要保持同步,只有在两端时钟同步的情况下才能做 出正确的判断。一旦发生了时钟偏移,就需要进行时 钟校正。
基于事件同步的动态口令机制
又称Lamport方式或哈希链(Hash Chains)方式。 事件同步机制是以事件(例如使用次数或序列数)作为 变量。在初始化阶段选取一个口令PW和一个跌代数n, 及一个单向散列函数H,计算Y=Hn(PW)(Hn()表示进行 n次散列运算),把Y和 n的值存储于认证服务器上,客 户端计算Y’=Hn-1(PW),将计算结果提交给服务器,服务 器则计算 Z=H(Y’) ,并将 Z 值于服务器上保存的 Y 值进行 比较,如果 Z=Y ,则验证成功,然后用 Y’ 的值取代服务 器上保存的 Y值,同时将 n的值递减1。基于时间同步的 动态机制的认证过程如下图所示:
基于事件同步的动态口令机制的认证过程
基于事件同步的动态口令机制同样存在失去同步的 风险,如用户多次无目的的生成口令就会造成失步。对 于事件的失步,认证服务器可采用增大偏移量的方式进 行再同步,即服务器端自动向后推算一定次数的密码。
基于挑战/应答的动态口令机制
基于挑战/ 应答的动态口令机制属于异步方式,其 基本原理为:选择单向散列函数或加密算法作为口令 生成算法。当用户请求登录时,认证服务器产生一个 挑战码(通常是随机数)发送给用户;用户端将口令 (密钥)和挑战码作为单向散列函数的参数,进行散 列运算,得到的结果(即应答数)作为动态口令发送 给认证服务器。认证服务器用同样的单向散列函数做 验算即可验证用户身份。其认证过程如下图所示:
②利用字典攻击对 Kerberos 系统进行攻击是简单有效的, Kerberos防止口令猜测攻击的能力很弱, Kerberos协议 模型没有对口令提供额外的保护,攻击者可以收集大量 的许可证,通过计算和密钥分析进行口令猜测。当用户 选择的口令不够强时,就不能有效地防止口令猜测攻击。 ③ Kerberos 协议最初是设计用来提供认证和密钥交换的, 它不能用来进行数字签名,也不能提供非否认机制。
数字证书
数字证书是一段包含用户身份信息、用户公钥信息 以及身份验证机构数字签名的数据。身份验证机构的数 字签名可以确保证书信息的真实性,用户公钥信息可以 保证数字信息传输的完整性,用户的数字签名可以保证 数字信息的不可否认性。 通过使用数字证书,使用者可以得到如下保证: 信息除发送方和接收方外不被其它人窃取; 信息在传输过程中不被篡改; 发送方能够通过数字证书来确认接收方的身份; 发送方对于自己的信息不能抵赖: 信息自数字签名后到收到为止未曾作过任何修改,签发 的文件是真实文件。
动态口令机制是为了解决静态口令的不安全问题而 提出的,基本思想是用动态口令代替静态口令,其基本 原理是:在客户端登录过程中,基于用户的秘密通行短 语( Secure Pass Phrase , SPP) 加入不确定因素, SPP 和不确定因素进行变换(如使用 MD5 信息摘录 ) , 所得的结果作为认证数据(即动态口令 ) ,提交给认证 服务器。认证服务器接收到用户的认证数据后,以事先 预定的算法去验算认证数据,从而实现对用户身份的认 证。由于客户端每次生成认证数据都采用不同的不确定 因素值,保证了客户端每次提交的认证数据都不相同, 因此动态口令机制有效地提高了身份认证的安全性。
挑战应答机制中的不确定 因素是由认证服务器产生的随 机数。由于每个随机数都是唯 一的,因此保证了每次产生的 应答数都不相同。 相比上两种 方式,挑战应答机制不会出现 失步的问题,安全性也更高, 但是它的使用过程繁琐,占用 通信带宽资源较多。
基Fra Baidu bibliotek挑战/应答的动态口令机制的认证过程
4、基于生物识别技术的认证方式
二、身份认证技术分类
一般地,在信息系统中,对于用户的身份认证手段, 身份认证技术 • 从是否使用硬件可以分为软件认证和硬件认证; • 从认证需要验证的条件可以分为单因子认证和双因子认 证; • 从认证信息可以分为静态认证和动态认证。 身份认证技术的发展,经历了从软件认证到硬件认 证,从单因子认证到双因子认证,从静态认证到动态认 证的过程。
生物识别技术主要是指通过可测量的身体或行为 等生物特征进行身份认证的一种技术。生物特征是指 唯一的可以测量或可自动识别和验证的生理特征或行 为方式。生物特征分为身体特征和行为特征两类。身 体特征包括:指纹、掌型、视网膜、虹膜、人体气味、 脸型、手的血管和 DNA 等;行为特征包括:签名、语 音、行走步态等。 目前部分学者将视网膜识别、虹膜识别和指纹识 别等归为高级生物识别技术;将掌型识别、脸型识别、 语音识别和签名识别等归为次级生物识别技术;将血 管纹理识别、人体气味识别、DNA识别等归为“深奥 的”生物识别技术。
根据被认证方赖以证明身份的认证信息不同,身份认 证技术可以分为: 1、基于秘密信息的身份认证技术 所谓的秘密信息指用户所拥有的秘密知识,如用 户ID、口令、密钥等。其中用户名/口令是最常用的方 式,也是一种极不安全的方式,口令设置通常过于简 单,易受到攻击,口令传输也带来很大风险,为解决 其安全传输,采用加密技术将其加密传输。 包括基于帐号和口令的身份认证、基于对称密钥 的身份认证、基于密钥分配中心 (KDC) 的身份认证、 基于公钥的身份认证、基于数字证书的身份认证等。
• • • • •
在多数的场合下,最广泛接受的证书格式是 X.509 标 准,使用最多的就是X.509v3标准。下面是X.509标准第三 版证书结构。证书结构一般是通过ASN1(Abstract Syntax Notation One,抽象语法符号)来描述和表示的。
X.509v3版本的证书结构
3、动态口令
④在分布式系统中,认证中心星罗棋布,域间会话密钥 的数量惊人,密钥的管理、分配和存储都是很严峻的问 题。
2、基于PKI的认证方式
公钥基础设施 PKI ,是一种运用非对称密码技术来实 施并提供安全服务的具有普适性的网络安全基础设施。它 采用了证书管理公钥,通过第三方的可信任机构认证中心, 把用户的公钥和用户的其他标识信息捆绑在一起,在 Internet上验证用户的身份,保证网上数据的安全传输。 PKI 的最基本元素是数字证书,所有安全操作都主要 是通过数字证书来实现。而核心的实施者是认证中心 CA , 它是 PKI 中不可缺少的一部分,具有权威性,是一个普遍 可信的第三方,主要向用户颁发数字证书。 PKI 体制的基 本原理是利用“数字证书”这一静态的电子文件来实施公 钥认证。
6、提供双向认证。
Kerberos认证过程
Kerberos 协议具体实现过程如上图,用户 C 要访问 目标服务器S,需要进行六次协议交换。 Kerberos的基 本原理是:在网络上建立一个集中保存用户名和密码的 认证中心KDC(包含AS和TGS),进行用户的身份验证 和授权。
Kerberos协议是当今比较重要的实用认证协议, 在分布式计算环境中得到了广泛的应用,相对于其他 身份认证协议而言,它有着安全性高和实用性高的特 点。 人们对其进行了大量的研究和改进,但如果把它 推广到现有的各种计算机通信网络作为一种标准使用, 仍存在一定的局限性,具体如下。 ①它是以对称加密算法 DES作为协议的基础,这就给 密钥的交换,密钥存储和密钥管理带来了安全上的隐 患。
在Kerberos中,在某一段时间内通信双方提交给对 方的身份”凭证“(ticket)是由KDC(密钥发放中心)生 成的,该凭证中包含有如下内容:
(1)客户和服务器的身份信息; (2)下一阶段通信双方使用的临时加密密钥——会话密钥 (Session Key);
(3)证明客户拥有会话密钥的身份认证者(Authenticator) 信息——防止攻击者再次使用同一凭证;
2、基于信物的身份认证技术 主要有基于信用卡、智能卡、令牌的身份认证等。 智能卡也叫令牌卡,实质上是IC卡的一种。智能卡的 组成部分与一台“普通”的电脑是相同的;包括作为智能 部件的微处理器、存储器、输入 / 输出部分和软件资源。 为了更好地提高性能,通常会有一个分离的加密处理器。 程序和通用加密算法存放在ROM中。
身份认证
主要内容
一、身份认证的定义 二、身份认证技术分类 三、几种主要的身份认证技术 四、身份认证产品 五、身份认证技术的发展趋势
一、定义
身份认证是指计算机及网络系统确认操作者身份的 过程。也就是证实用户的真实身份与其所声称的身份是 否符合的过程。 在计算机网络这个虚拟的数字世界中,一切信息包 括用户的身份信息都是由一组特定的数据表示,计算机 只能识别用户的数字身份,给用户的授权也是针对用户 数字身份进行的。如何保证以数字身份进行操作的访问 者就是这个数字身份的合法拥有者,即如何保证操作者 的物理身份与数字身份相对应,就成为一个重要的安全 问题。身份认证技术的诞生解决了这个问题。
(4)时间标记(Timestamp),以检测重放攻击。
为了提高安全性能,一个Kerberos凭证只能在一段 有限时间按——凭证的生命期内有效,生命期过后,凭 证自动失效,以后通信必须从KDC那里重新获得凭证。
1、请求凭据许可证; 2、凭据许可证; 3、请求服务凭据; 4、服务凭据; 5、请求服务;
基于时间同步的动态口令机制
基于时间同步( Time Synchronization )的动态 口令机制的特点是选择单向散列函数作为认证数据的 生成算法,以种子密钥和时间值作为单向散列函数的 输入参数。由于时间值是不断变化的,因此散列函数 运算所得的认证数据也在不断变化,保证了每次产生 的认证数据不相同。基于时间同步的动态口令机制的 认证过程如下图所示:
PKI的系统结构
(1)RA(注册中心):认证中心CA的延伸部分,与CA在逻辑 上是一个整体。它本身并不签发证书,只负责接收用户的 用户注册和申请鉴别,审核用户的身份,并决定是否同意 CA给申请者签发数字证书。
(2) CA(认证中心):证书的签发机构,它是PKI的核心,是 PKI应用中权威的、可信任的、公正的第三方机构。它对 任何一个主体的公钥进行公证,通过签发证书将主体与公 钥进行捆绑,负责确认身份和创建数字证书以建立一个身 份和一对公/私密钥间的联系。 (3)证书发布库:证书的集中存放地,提供公众查询。证书 库可以是关系数据库,也可以是目录 (目录服务器 ) 、响应 器等。通常用作 PKI 组成部分的证书库是目录,有时是 X.500 的目录,更常见的是 LDAP(Light Directory Access Protocol轻量目录访问协议)目录。
3、基于生物特征的身份认证技术 基于生理特征 (如指纹、声音、虹膜)的身份认证和基 于行为特征(如步态、签名)的身份认证等。
三、几种主要的身份认证方式
1、基于Kerberos的认证方式 2、基于PKI的认证方式 3、基于动态口令的认证方式 4、基于生物识别技术的认证方式
1、基于Kerberos的认证方式
(4)密钥备份与恢复系统:对用户的解密密钥进行备份。 如 果用户的解密私钥丢失,则密文无法解密,造成数据丢失, 密钥的备份与恢复应由可信机构来完成,只能针对解密私 钥,签名私钥不能备份。
(5)证书撤销处理系统:证书在有效期之内由于某种原因要 作 废 、 终 止 使 用 时 , 通 过 证 书 撤 销 列 表 CRL(Certificate Revocation List)来实现,CRL一般存放在目录系统中。 (6) API(应用接口系统 ):为各种各样的应用提供安全、一 致、可信任的方式与PKI交互,确保所建立起来的网络环境 安全可靠并降低管理成本。
相关文档
最新文档