信息系统安全机制-身份管理

B
B 收到数据以后，用A的公钥验证数字签名，从而确信的 确是从A 发送来的; 通过tA验证时效性，通过rA验证没有重发
签名的过程
双向认证(Two-Way Authentication)
1. A{ tA, rA, B, SgnData, EKUb[Kab] }
A
2. B{ tB, rB, A, rA , SgnData, EKUb[Kba] }
证书的安全性
任何具有CA公钥的用户都可以验证证书有效性 除了CA以外，任何人都无法伪造、修改证书
签名的过程
单向认证(One-Way Authentication)
A{ tA, rA, B, SgnData, EKUb[Kab] } A
tA: 时间戳 rA :Nonce， 用于监测报文重发的一个随机序列值 SgnData: 待发送的数据 EKUb[Kab] :用B的公钥加密的会话密钥
公共的工作站，只有简单的物理安全措施 集中管理、受保护的服务器 多种网络环境，假冒、窃听、篡改、重发等威胁
基于Needham-Schroeder认证协议，可信第三方 基于对称密钥密码算法,实现集中的身份认证和密 钥分配, 通信保密性、完整性
认证服务 票据发放服务（Ticket Granting Service） 票据（Ticket）
指纹
一些曲线和分叉以及一些非常微小的特征； 提取指纹中的一些特征并且存储这些特征信息：节省 资源，快速查询；
手掌、手型
手掌有折痕，起皱，还有凹槽； 还包括每个手指的指纹 ； 人手的形状（手的长度，宽度和手指）表示了手的几 何特征
生理特征介绍（续）
视网膜扫描
扫描眼球后方的视网膜上面的血管的图案；

多用户操作系统：

Windows2000、XP、Vista、NT； Unix SQL Server, DB2, Oracle, …

数据库：


Web应用 其他网络应用：MIS，ERP，…

都需要构建上述基础安全服务机制
信息系统安全基础机制

这些安全机制体现在基础的信息系统安全 标准中,是基准性的要求
身份认证
用户
用户
证书的结构 version
签名 算法
Serial number algorithm parameters Issuer name
Not Before Not After
有效期 主体的 公钥信息
Subject Name Algorithms parameters Key
V2扩展 V3扩展
基于口令的身份认证
质询/响应认证 （Challenge/Response） 一次性口令（OTP） 口令的管理
质询/握手认证协议（CHAP）
Challenge and Response Handshake Protocol Client和Server共享一个密钥
c
Login ,IDc IDc, R
OTP
OTP
OTP
/rfcs/rfc1760.html /rfc/rfc2289.txt
口令管理
口令管理
口令属于“他知道什么”这种方式，容易被窃 取。 口令的错误使用：
• 选择一些很容易猜到的口令； • 把口令告诉别人； • 把口令写在一个贴条上并把它贴在键盘旁边。
A验证B的证书路径: X2<<B>> , X1<<X2>>
提纲
身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证
生理特征介绍
每个人所具有的唯一生理特征
指纹，视网膜，声音，视网膜、虹膜、语音、面部、 签名等
TGS
共享密钥 相互注册 Kerberos AS
Server
TGS
提纲
身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证
基于X509公钥证书的认证
X509 认证框架 X509证书 基于公钥证书的认证过程 不同管理域的问题
双因素、多因素认证
身份认证的基本模型
申请者（Claimant） 验证者（Verifier） 认证信息AI（Authentication Information） 可信第三方(Trusted Third Party)
交换AI 申请AI 验证AI
申请AI
验证AI
常用的身份认证技术/协议
SAML – 安全断言标记语言
B
tA: 时间戳 rA :Nonce， 用于监测报文重发 SgnData: 待发送的数据 EKUb[Kab] :用B的公钥加密的会话密钥
不同信任域的问题
X1
X1<<X2>> X1<< X1 >> X2 X2<<X1>>
X1<<A>> A
X2<<B>> X2<< X2 >>
B
如果A 无法安全获得X2的公钥，则无法验 证B的证书 X2<<B>>的有效性 CA之间的交叉证书
信息系统安全技术体系发展




20世纪80年代中期,基于计算机保密模型(Bell＆Lapadula模 型)的基础上的 “可信计算机系统安全评价准则”(TCSEC) 20世纪90年代初，英、法、德、荷四国针对TCSEC准则只 考虑保密性的局限，联合提出了包括保密性、完整性、可 用性概念的“信息技术安全评价准则”(ITSEC) 20世纪90年代末六国七方(美国国家安全局和国家技术标准 研究所、加、英、法、德、荷)共同提出了“信息技术安全 评价通用准则”(CC for ITSEC) CC标准综合了国际上已有的评测准则和技术标准的精华， 给出了框架和原则要求。
是一种临时的证书，用tgs 或 应用服务器的密 钥加密 TGS 票据 服务票据
加密：
Kerberos V4 的认证过程
（2） （1） AS
（3）
请求ticketv Ticketv+会话密钥
TGS
（4）
（5） （6）
多管理域环境下的认证
Kerberos AS Client
3. 请求远程tickettgs
虹膜扫描
虹膜是眼睛中位于瞳孔周围的一圈彩色的部分； 虹膜有其独有的图案，分叉，颜色，环状，光环以及 皱褶；
语音识别
记录时说几个不同的单词，然后识别系统将这些单词 混杂在一起，让他再次读出给出的一系列单词。
面部扫描
人都有不同的骨骼结构，鼻梁，眼眶，额头和下颚形 状。
提纲
身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证
• 网络管理员使用的工具：口令检验器 • 攻击者破获口令使用的工具：口令破译器
口令管理
• 口令产生器
– 不是让用户自己选择口令，口令产生器用于 产生随机的和可拼写口令。
• 口令的时效
– 强迫用户经过一段时间后就更改口令。 – 系统还记录至少5到10个口令，使用户不能使 用刚刚使用的口令。
• 限制登录次数
Issuer unique name
subject unique name extensions
Algorithms parameters Encrypted
证书的结构
符号记法
CA<<A>> = CA {V,SN, AI, CA, TA, A, Ap} Y<<A>> 表示 证书权威机构Y 发给用户X的证书 Y{I} 表示Y 对I 的签名，由I 和用Y的私钥加密 的散列码组成
简单口令认证 质询/响应认证 一次性口令认证（OTP） Kerberos认证 基于公钥证书的身份认证 基于生物特征的身份认证
提纲
身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证
Web服务中的身份认证
基于XML的安全技术及标准
– XML签名 – XML加密 – XKMS－XML秘钥管理系统 – SAML－安全断言标记语言 – XACML－XML 访问控制标记语言
SAML – 安全断言标记语言
• SAML是一种基于XML的安全性标准，用 于在Internet不同的安全域中交换身份验 证和授权凭证。权限信息是通过声明主 体来传递的。 • SAML规范描述了SAML的4个主要成分， 分别为声明、请求和响应的协议、绑定 和配置文件。
X509 认证框架
• Certificate Authority
– 签发证书
签发证书、证书回收列表
• Registry Authority
– 验证用户信息的真实性
CA
签发
Directory
• Directory
– 用户信息、证书数据库 – 没有保密性要求
RA
申请
注册
查询
• 证书获取
– 从目录服务中得到 – 在通信过程中交换
– 免受字典式攻击或穷举法攻击
提纲
身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证
Kerberos 简介
Kerberos 麻省理工学院为Athena 项目开发的一个认 证服务系统 目标是把UNIX认证、记帐、审计的功能扩展到网络 环境：
MAC=H(R,K)
s
IDc, MAC
MAC’=H(R,K) OK / Disconnect 比较MAC’和MAC
MAC的计算可以基于Hash算, 对称密钥算法，公开 密钥算法
一次性口令认证（OTP）
• S/Key • SecurID
ID
challenge Server
s phrase + challenge Token
口令管理的作用：
• 生成了合适的口令 • 口令更新 • 能够完全保密
口令管理
• 口令的要求：
– – – – – – – – 包含一定的字符数； 和ID无关； 包含特殊的字符； 大小写； 不容易被猜测到。 跟踪用户所产生的所有口令，确保这些口令不相同， 定期更改其口令。 使用字典式攻击的工具找出比较脆弱的口令。许多安 全工具都具有这种双重身份：
– 用户只需要一次认证操作就可 以访问多种服务
• 可扩展性的要求
身份认证的基本途径
基于你所知道的（What you know ）
知识、口令、密码
基于你所拥有的（What you have ）
身份证、信用卡、钥匙、智能卡、令牌等
基于你的个人特征（What you are）
指纹，笔迹，声音，手型，脸型，视网膜， 虹膜
信息系统安全基础机制

支持多用户服务的信息系统之有效组织，依赖于 基础的安全机制，包括访问者身份鉴别（认证） 、对信息资源的访问授权和访问控制、对系统运 行包括被访问操作的日志审计、数据保护等 身份认证 访问控制 审计 数据保护：机密性、完整性、备份恢复
信息系统安全基础机制

典型支持多用户服务的信息系统
身份认证技术
孙建伟
北京理工大学软件学院
提纲


身份认证技术概述 基于口令的身份认证 Kerberos 身份认证协议 基于X509的身份认证 基于生物特征的身份认证 Web应用、Web服务中的身份认证
身份认证技术概述

信息系统安全基础机制 身份认证的需求 身份认证的基本模型 身份认证的途径 常用的身份认证技术



可信计算机系统评估准则（TCSEC） 可信网络解释 （TNI） 通用准则CC 《计算机信息系统安全保护等级划分准则》 信息安全保证技术框架 《信息系统安全保护等级应用指南》
网络环境下对身份认证的需求
唯一的身份标识（ID）:
uid，uid@domain DN: C=CN/S=Beijing /O=Tsinghua University/U=CS/ CN=Duan Haixin/Email=dhx@
抗被动的威胁（窃听），口令不在网上明 码传输
sniffer
源
目的
网络环境下对身份认证的需求
抵抗主动的威胁，比如阻断、伪造、重放, 网络上传输的认证信息不可重用
passwd 加密
$%@&)*=-~`^,{
解密
网络环境下对身份认证的需求
• 双向认证
– 域名欺骗、地址假冒等 – 路由控制
• 单点登录（Single Sign-On）