认证技术4.pptVIP

质询/响应令牌（续2） 时间令牌 质询/响应令牌的缺陷： 用户认证必须准确地读取两个不同值（质询和响应） 正确地输入三个不一样的数值（PIN、质询、响应） 时间令牌是更容易的令牌 时间令牌的实现 时钟的同步 令牌时钟在生产过程时对其初始化并植入了校对因子。 令牌每60秒产生一个新的通行字。 认证服务器通过以服务器时钟为中心点，加上或减去几分钟的滑动窗口来尝试和查找认证通行码，同时调整时间偏移量。 如果通行码在内部窗口未获匹配，则在大窗口内查找，若匹配，用户需在输入一次确保用户不是伪造的，再次匹配，认证通过并同时调整时间偏移量，否则，认证不通过。 认证令牌小结 认证令牌主要有两种类型：质询/响应和时间令牌。 认证令牌引入了双因素认证的概念 质询/响应令牌看起来很像一个小计算器，有一个液晶显示屏（LCD）和一个小键盘。用户通过小键盘输入质询和PIN。令牌计算出响应并显示在液晶显示屏上，用户把响应输入到登录提示符下。 本质上，质询/响应令牌对种子数和质询一起进行散列运算生成一个伪随机数，然后截取该数的部分字符显示在液晶显示屏上。 质询/响应令牌和基于口令的质询/响应方案不同在于它需要对产生的伪随机数进行截取。 认证令牌小结（续） 时间令牌看起来好像一个小钥匙装饰物，只有液晶显示屏而没有小键盘。用户只要在登录提示符下输入PIN，紧接着输入令牌产生的伪随机数即可。 实质上，时间令牌维护着一个实时时钟，它的输出与种子数一起参加散列运算产生一个伪随机数，然后截取部分字符显示在液晶显示屏上。 时间令牌关键在于时钟同步、校对、窗口设置。 尽管我们在这里并没有涉及到，但是确实有一种用软件实现的令牌，运行在PC上，PDA和手机上等，可以把这些设备变成认证令牌。 X.509（数字证书） 的认证 A A {tA, rA, B, sign(rA,tA), EKUb(Kab)} X.509的单向认证 B A 1． A {tA, rA, B, sign(rA,tA), EKUb(Kab)} X.509的双向认证 B 2． B {tB, rB, A, rA, sign(rB,tB), EKUa(Kba)} 生物特征认证 虹膜识别技术 （眼睛中瞳孔内的织物状的各色环状物 ） 视网膜识别技术(激光照射眼球的背面以获得视网膜特征) 面部识别技术 声音识别技术 指纹识别技术 生物特征数据 生物统计学用于测定用户的一些物理特征。 系统在用户每次出示生物特征是采集到的特征数据是不同的。 生物认证并不是真正的匹配。 系统没有生物特征的完整记录，而只拥有一些典型特征数据。 生物认证的关键技术在于生物特征值的提取和匹配。 两个重要性能指标 错误接受率（False Accept Ratio，FAR） 衡量用户本应该遭到拒绝却被系统接受的可能性。 错误拒绝率（False Reject Ratio，FRR） 衡量用户本应该被系统接受却遭到拒绝的可能性。 生物特征认证的优点 易用的生物特征的解决方案。 一对一匹配 一对多匹配 基于安全的生物特征解决方案。 双因子认证 3因子认证 指纹一对多匹配举例 指纹应用举例 消息认证码 消息认证码（MAC，Messages Authentication Codes），是与密钥相关的的单向散列函数，也称为消息鉴别码或是消息校验和。 MAC与单向散列函数一样，但是还包括一个密钥。不同的密钥会产生不同的散列函数，这样就能在验证发送者的消息没有经过篡改的同时，验证是由哪一个发送者发送的。 消息认证码的实现过程 认证小结 口令不足以保护重要资源，但具有成本低、易实现等特点。 认证令牌，特别是时间令牌，是基于口令的强认证方式。 X.509（数字证书）的认证方式是安全的，但依赖于PKI平台。 生物特征认证是复杂的，成熟的，有较好的应用前景。 消息认证码MAC是安全和高效的。 讨论题 1。 根据所学内容，请为聊天室设计一个身份认证方案。 2。在可信第三方KDC（密钥管理中心）环境中，基于对称加密算法的协议，如何实现双向认证。 （提示：认证双方A和B同KDC都有共享密钥EA和EB） 谢 谢 ！ 上节的主要内容 逻辑安全的主要威胁及解决办法 PKI的含义 数字证书的内容 数字证书的验证 CRL（证书撤销列表）的结构 数字证书的应用 第六讲 认证技术 认证技术 认证的简介 口令认证 认证令牌 X.509认证 生物特征认证 消息认证码 认证的举例 认证活动一直贯穿于人类的学习与生活：新生入学时，学校要查看他们的入学录取通知书，这是学校对于学生的认证，以便识别你是张三而不是李四；去银行取钱时，要出示用户的存折卡，一般还要输入用户的密码，这是银行对储户的认证。上述情