2012_7.认证技术.pptVIP

USBKey的安全特性（1/2） 1）双因子认证。 每一个USBKey都具有硬件PIN码保护，PIN码和硬件构成了用户使用USBKey的两个必要因素，即所谓“双因子认证”。 2）带有安全存储空间。 USBKey具有安全数据存储空间，可以存储数字证书、用户密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户私钥是不可导出的，杜绝了复制用户数字证书或身份信息的可能性 USBKey的安全特性（2/2） 3）硬件实现加密算法。 USBKey内置CPU或智能卡芯片，可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法，加解密运算在USBKey内进行，保证了用户密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。 4）便于携带，安全可靠。 如拇指般大的USBKey非常便于随身携带，并且密钥和证书不可导出; USBKey的硬件不可复制，更显安全可靠。 USBKey的工作原理 用户PIN码 验证成功后，客户端电脑将敏感的网上银行业务指令传输到USBKey中 客户端电脑 7 认证技术 认证的简介 口令认证 认证令牌 生物特征认证 认证方式的分类 认证的举例 认证活动一直贯穿于人类的学习与生活：新生入学时，学校要查看他们的入学录取通知书，这是学校对于学生的认证，以便识别你是张三而不是李四；去银行取钱时，要出示用户的存折卡，一般还要输入用户的密码，这是银行对储户的认证。上述情况都是认证活动在我们生活中的体现。简单说，信息认证也是对我们现实世界的数字模拟。 认证的需求和目的 问题的提出 身份欺诈。 认证的需求 某一成员（声称者）提交一个主体的身份并声称它是那个主体。 认证目的 使别的成员（验证者）获得对声称者所声称的事实的信任。 认证（Authentication）的作用 认证就是确认实体（或消息）是它所声明的。 认证是最重要的安全服务之一。认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务） 认证可以对抗假冒攻击的危险。 认证（Authentication）的作用 认证就是确认实体（或消息）是它所声明的。 认证是最重要的安全服务之一。认证服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务） 认证可以对抗假冒攻击的危险。 认证的两种情形 消息认证：鉴定某个指定的数据是否来源于某个特定的实体。 身份认证（身份识别）：指申请者向系统出示自己身份的证明过程，通常是获得系统服务所必需的第一道关卡；是证实主体的真实身份与其所声称的身份是否相符的过程。 身份认证系统的简介 一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。 另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足其要求。 一个安全的身份识别协议至少应满足以 下两个条件： 1.示证者A能向验证者B证明他的确是A。2.在示证者A向验证者B证明他的身份后，验证者B没有获得任何有用的信息，B不能模仿A向第三方证明他是A。 零知识的基本思想 A B C D 你向别人证明你知道某种事物或具有某种东西，而且别人并不能通过你的证明知道这个事物或这个东西，也就是不泄露你掌握的这些信息。 (1) V站在A点； (2) P进入洞中任一点C或D； (3) 当P进洞之后，V走到B点； (4) V叫P：(a)从左边出来，或(b)从右边出来； (5) P按要求实现(以咒语打开门)； (6) P和V重复执行 (1)～(5)共n次。 P不知道咒语，却仍然每次都能走对的概率是(1/2)n，当n足够大时，这个概率?0 身份认证的分类 所知: (what you know) 密码、口令等。 所有: (what you have) 身份证、护照、密钥盘、Usb Key等。 所是: (who you are) —— 根据独一无二的身体特征来证明你的身份。 指纹、笔迹、声音、虹膜、DNA等 口令（通行字） 散列口令认证 口令更改 散列口令 系统不存储明文。 明文不再网上传输。 根据摘要无法推出口令。 重放攻击 穷举攻击 改进方案（一） P K C P’ K C 每个口令只用一次 1 2 3 改进方案（二） 每个口令只用一次 1 3 口令更新 对于大部分系统而言，初始化时，系统管理员给每个用户指定一个的临时口令，认证数据库中保存临时口令的摘要。 用户口令应定期修改 口令更新的实现 口令小结 口令是当前最常用的认证方式 现代口令系统以质询/响应系统和散列密码算法为基础 明文口令不存储在任