网络安全课件-04网络安全身份认证设计(鉴别服务)20100920.ppt

第3讲 网络安全身份认证 乐德广计算机科学与工程学院常熟理工学院ledeguang@ 提纲 5.1 引言-鉴别性服务 5.2 身份认证技术概述 5.3 基于口令的身份认证 5.4 Kerberos 身份认证协议 5.5 基于X.509的身份认证 5.6 基于生物特征的身份认证 5.7 Windows系统身份认证设计 5.8 AAA认证服务系统设计 5.1 鉴别性 鉴别性：证实通信过程涉及的另一方确实具有他们所声称的身份，确保通信是可信的。 数据起源鉴别：在通信实体之间没有预先交互的应用中提供对消息起源的证实。 对等实体鉴别：在连接建立及数据传输阶段对对等实体的身份进行证实（身份认证）。 安全机制： 鉴别交换：通过信息交换确信一个实体身份的机制（口令）。 数字签名：附加在一个数据单元后面的数据，用来证明数据单元的起源及完整性，以防伪造。 提纲 5.1 引言-鉴别性服务 5.2 身份认证概述 5.3 基于口令的身份认证 5.4 Kerberos 身份认证协议 5.5 基于X.509的身份认证 5.6 基于生物特征的身份认证 5.7 Windows系统身份认证设计 5.8 AAA认证服务系统设计 5.2 身份认证简介 5.2.1身份认证场景 5.2.2身份认证需求 5.2.3身份认证途径 5.2.4身份认证基本模型 5.2.5身份认证设计基本要求 5.2.6身份认证技术 在网络环境系统中什么场景下有用到身份认证？ 操作系统登录 Windows Unix Linux 远程服务登录 Telnet FTP Email VPN 网络环境下对身份认证需求 防止网络欺骗： 身份假冒和欺诈 防止非法使用网络资源 防止非法浏览用户信息 网络环境下对身份认证需求 唯一的身份标识（ID）: uid，uid@domain DN (Distinguished Name): C=CN/S=Beijing /O=Tsinghua University/U=CS/ CN=Duan Haixin/Email=dhx@ 抗被动的威胁（窃听），口令不在网上明文传输 网络环境下对身份认证需求 抵抗主动的威胁，比如阻断、伪造、重放,网络上传输的认证信息不可重用 网络环境下对身份认证需求 单向认证 双向认证 域名欺骗、地址假冒等 路由控制 单点认证（Single Sign-On） 用户只需要一次认证操作就可以访问多种服务 可扩展性的要求 网络环境下对身份认证需求 本地多用户认证 Login：如何管理口令 远程用户认证 一次性 访问资源或者服务之前进行认证 多次访问资源或者服务 身份，获得credential 利用credential访问资源或者服务 身份认证基本途径 基于你所知道的（What you know ） 知识、口令、密码 基于你所拥有的（What you have ） 身份证、信用卡、钥匙、智能卡、令牌、私钥等 基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜 双因素、多因素认证 身份认证的基本模型 申请者（Claimant） 验证者（Verifier） 认证信息AI（Authentication Information） 可信第三方(Trusted Third Party) 身份认证的基本模型 假设A和B要进行通讯，A和B有一个共享的密钥Kab,如何利用这个密钥进行认证，并且商定一个会话密钥Ks 身份认证的基本模型 假设A和B要进行通讯，A和B与KDC各有一个共享密钥Ka和Kb, 如何利用这两个密钥进行认证，并且商定一个会话密钥Ks 身份认证设计基本要求 可识别率最大化 可欺骗率最小化 不可传递性 相互认证 第三方可信任 安全存储 成本最小化 计算有效性 节省通信带宽 常用的身份认证技术/协议 口令认证技术 简单口令认证 质询/响应认证 一次性口令认证（OTP） Kerberos认证技术 基于公钥证书的身份认证 基于生物特征的身份认证 回顾 身份认证-鉴别性 身份认证概述 应用场景 安全需求 途径与方法 基本模型 设计基本要求 身份认证技术 上讲回顾 网络安全中的“数据加密”。 网络安全服务：机密性 PBE（对称+H） PBE+SALT H（口令） 磁盘加密 文件系统加密 传输加密（对称+公钥） 提纲 5.1 引言-鉴别性服务 5.2 身份认证技术概述 5.3 基于口令的身份认证 5.4 Kerberos 身份认证协议 5.5 基于X.509的身份认证 5.6 基于生物特征的身份认证 5.7 Windows系统身份认证设计 5.8 AAA认证服务系统设计 安全口令认证系统设计内容 口令传输 口令验证 口令存储 口令管理 5.3 基于口令的身份认证 5.3.1 本地简单口令认证 5.3.2