消息认证与身份认证的方法(PPT57张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
3.口令的管理:
➢ 系统中用户与口令的存储如下:
• 将用户的口令用单向散列函数计算出摘要值 • 去除口令代码,仅将摘要和与之相对应的用户ID存入
系统
➢检验时
• 用户输入用户名与口令 • 系统随即计算口令的哈希值,如果与存储在系统内的
摘要值相匹配,用户则可以通过
2022/3/23
华师汉口分校信息科学与技术学院
2022/3/23
华师汉口分校信息科学与技术学院
4
4.1.3 消息认证的模式
1 单向认证 2 双向认证
2022/3/23
华师汉口分校信息科学与技术学院
5
4.1.4 认证函数
❖ (1)信息加密函数:用完整信息的密文作为对信 息的认证。(公钥算法和对称加密算法均可用于验 证)
❖ (2)信息认证码MAC:对信源消息的一个编码。 ❖ (3)散列函数:一个公开的函数,它将任意长的
❖访问控制通常要求计算机系统能够识别和区分用 户 , 而 且 通 常 是 基 于 最 小 特 权 原 理 (Least Privilege Theorem)。
2022/3/23
华师汉口分校信息科学与技术学院
11
身份认证的方法(con.)
❖ 识别是用户向系统提供声明身份的方法,验证则是 建立这种声明有效性的手段。
7
消息验证码MAC (con.)
方法一: ❖A 和 B 共享一个密钥K(其它人均不知) ❖A 计算散列值 MAC= H( M, K) , 附在M之后
发送给B .
▪ MAC= MD5( M+K)
❖B 收到M 和H (M,K) 之后计算 H(M,K) 并与 收到的MAC比较
A
MAC M
MAC= H(M,K)
2022/3/23
华师汉口分校信息科学与技术学院
3
4.1.2 消息认证的方法
❖ 信息的来源
▪ 信息源和宿的认证可使用数字签名技术和身份识别 技术
❖ 信息的完整性
▪ 消息认证码(MAC) ▪ 篡改检测码(MDC)
❖ 信息的序号和时间:目的是阻止消息的重放攻击
➢流水作业号 ➢链接认证符 ➢随机数认证法 ➢数字时戳
B
MAC’= H(M,K)
2022/3/23
华师汉口分校信息科学与技术学院
8
消息验证码MAC (con.)
方法二:(对称加密用于验证信息完整性) ❖A 和 B 共享一个密钥K
❖A 计算散列值 Hash= H( M) , 用密钥K和对称加密 算法DES加密该散列值
▪ MAC= DESK( MD5(M) )
17
4.一次性口令:
▪ 一次性口令系统允许用户每次登录时使用不同的口 令。系统在用户登录时给用户提供一个随机数,用 户将这个随机数送入口令发生器,口令发生器以用 户的密钥对随机数加密,然后用户再将口令发生器 输出的加密口令送入系统。系统再进行同样方法计 算出一个结果,比较两个结果决定是否该身份有效。
❖ 口令系统的运作:
➢ 需要用户输入用户标识和口令(或PIN码) ➢ 系统对输入的口令与此前为该用户标识存储的口令
进行比较 ➢ 如果匹配,该用户就可得到授权并获得访问权。
2022/3/23
华师汉口分校信息科学与技术学院
14
① 用户输入名字和口令
Web服务器
② 客户发送名字和口令
④ 服务器对已经认 证用户进行授权
③ 服务器使用口令来认证用户身份
2022/3/23
华师汉口分校信息科学与技术学院
15
1.口令认证的过程:
(1)为用户分配唯一的ID标识 (2)计算机系统将用户的身份标识和相应的口令存
入口令列表,其中口令保密,身份标识可以公开
2.口令选择的原则
易记、不易猜中、不易分析
2022/3/23
华师汉口分校信息科学与技术学院
➢用户拥有什么
• 令牌,如ATM卡或智能卡等
➢个人特征
• 生物特征,如声音识别、手写识别或指纹识别等
2022/3/23
华师汉口分校信息科学与技术学院
13
4.2.2 口令认证
❖ 最普通的身份认证形式是用户标识(ID)和口令 (Password) 的组合
❖ 口令认证是基于知识的传统口令技术,仅仅依赖 于用户知道什么的事实
4 认证技术
华师汉口分校信息科学与技术学院
目录
1. 消息认证 2. 身份认证的方法 3 .身份认证协议
2022/3/23
华师汉口分校信息科学与技术学院
2
4.1 消息认证
4.1.1 消息认证的概念
➢ 消息认证是指使意定的接收者能够检验收到的消息 是否真实的方法。
➢验证的内容包括
• 消息的源和宿 • 消息的完整性 • 消息的序号和时间
▪ 在登录过程中加入不确定因素,使每次登陆过程中 传送的信息都不同,以提高登录过程安全性。(如 现在的网络系统登陆时需要输入验证码)
信息映射成一个固定长度的信息。
2022/3/23
华师汉口分校信息科学与技术学院
6
消息认证码MAC
A MAC= H(M)
Mቤተ መጻሕፍቲ ባይዱC
M
B
MAC= H(M)
A MAC M MAC= H(M)
C
MAC’ M’
B
M=M’ MAC’= H(M’)
MAC’= H(M’)
2022/3/23
华师汉口分校信息科学与技术学院
❖B 收到M 和MAC 之后用K和DES算法解密出散列 值,并与由M算得的散列值作比较
K
M
h
H
E
MAC
M MAC
2022/3/23
华师汉口分校信息科学与技术学院
9
4.2 身份认证的方法
4.2.1 身份认证的概念 ❖ 身份认证又称身份识别,是通信和数据系统正确
识别通信用户或终端的个人身份的重要途径
❖ 当前用于身份识别的技术方法主要有:所知、所 有、生物特征以及多种方法技术的交互使用等。
2022/3/23
华师汉口分校信息科学与技术学院
10
身份认证的方法(con.)
❖对用户来看,身份认证是用户获得对计算机系统 或网络的访问权限的第一步。
❖对计算机系统来看,身份认证是安全防御的第一 道防线,是防止非授权用户或进程进入计算机系 统的有效安全保障措施。
❖ 身份认证即身份识别与验证(I&A),是大多数访问 控制的基础,也是建立用户审计能力的基础。
❖ 计算机系统识别用户依赖的是系统接收到的验证 数据:
▪ 收集验证数据问题 ▪ 安全传输数据问题 ▪ 怎样知道使用计算机系统的用户就是当初验证通过
的用户问题
2022/3/23
华师汉口分校信息科学与技术学院
12
身份认证的方法(con.)
❖ 目前用来验证用户身份的方法有:
➢用户知道什么
• 秘密,如口令、个人身份号码(PIN)、密钥等