4认证技术.ppt

个人令牌存在的物理形式(con.) NB: 记忆令牌只存储信息，不对信息进行处理，令牌上信息的读取和写入是用专门的读/写设备来完成的。 记忆令牌的最通用形式是磁卡。 通常用于计算机认证的记忆令牌是ATM卡，它是采用用户拥有什么(卡)和用户知道什么(身份识别码)的组合。 * * 华师汉口分校信息科学与技术学院 令牌认证(con.) 令牌的优点： 和身份识别码一起使用时比单独使用口令的机制更安全。 面临的问题： 需要专门的读取器。 令牌的丢失问题。 智能卡通过在令牌中采用集成电路以增加其功能,还需要用户提供身份识别码或口令等基于用户知道的知识的认证手段。 * * 华师汉口分校信息科学与技术学院 4.2.4 生物识别 采用的是生物特征识别技术，采用的是用户独特的生理特征来认证用户的身份: 生理属性(如指纹、视网膜识别等) 行为属性(如声音识别、手写签名识别等)。 * * 华师汉口分校信息科学与技术学院 优点： 比前两种认证技术有着更好的安全性 缺点： 技术还不是很成熟 实际使用过程中的稳定性不是很好 费用很高 * * 华师汉口分校信息科学与技术学院 课堂讨论(一)：个人特征的身份证明技术 华师汉口分校信息科学与技术学院 4.3 身份认证协议 一次一密机制 X.509认证协议 Kerberos认证协议 零知识身份识别 * * 华师汉口分校信息科学与技术学院 一次一密机制 主要有两种实现方式: 请求-应答方式 第一种方法,用户登录时系统随机提示一条信息,用户根据这一信息连同其个人化数据共同产生一个口令字,用户输入该口令字,完成一次登录过程,或者用户对这一条信息实施数字签名,发送给出验证者进行鉴别 另一种方法采用时钟同步机制,即根据这个同步时钟信息连同其个人化数据共同产生一个口令字 * * 华师汉口分校信息科学与技术学院 质询-回应协议 （1）A向B发送一个消息TA，表示想和B通话。 （2）B无法判断这个消息是来自A还是其他人，因此B回应一个质询RB。 RB是一个随机数。 （3）A用与B共享的密钥KAB加密RB，得到密文KAB(RB)，再发送给B；B收到密文KAB(RB)，用自己同样拥有的KAB加密RB，对比结果，如果相同就确认了A的身份。此时B已完成了对A的单向认证。 * * 华师汉口分校信息科学与技术学院 质询-回应协议 （4）A同样需要确定B的身份，于是发送一个质询RA给B。RA也是一个随机数。 （5）B用与A共享的密钥KAB加密RA，得到密文KAB (RA)，再发送给A；A收到密文KAB (RA)，用自己同样拥有的KAB加密RA，对比结果，如果相同就确认了B的身份，完成了双向认证。 （6）A确认B的身份之后，选取一个会话密钥KS，并且用KAB加密之后发送给B。 * * 华师汉口分校信息科学与技术学院 Kerberos——第三方认证 所谓第三方认证就是在相互不认识的实体之间提供安全通信 Kerberos认证系统 原是MIT(美国麻省理工学院)的Athena计划的一部分,原义为希腊神话中守护地狱之门的一只凶猛的三头狗,意喻该协议具有极其强大的安全性能。 近年来,较新的版本的扩充也支持了X.509认证。 基于X.509数字证书 是由国际标准化组织开发的众多标准中的一部分。 认证是基于公开密钥，或者非对称密码系统的。 * * 华师汉口分校信息科学与技术学院 Kerberos概述 网络上的Kerberos服务器起着可信仲裁者的作用，可提供安全的网络鉴别，允许个人访问网络中不同的机器。 基于对称密码学，与网络上的每个实体分别共享一个不同的秘密密钥，是否知道该秘密密钥便是身份的证明。 主要包括以下几个部分： 客户机（Client） 服务器（Server） 认证服务器（AS） 票据授予服务器（TGS） * * 华师汉口分校信息科学与技术学院 Kerberos组成 * * 华师汉口分校信息科学与技术学院 Kerberos概述(con.) Kerberos有一个所有客户和自己安全通信所需的秘密密钥数据库(KDC)，知道每个人的秘密密钥，能产生消息向每个实体证实另一个实体的身份。 Kerberos还能产生会话密钥，只供一个客户机和一个服务器使用，会话密钥用来加密双方的通信消息，通信完毕，会话密钥即被销毁。 Kerberos使用DES加密 Kerberos第4版提供非标准的鉴别模型，该模型的弱点是它无法检测密文的某些改变。 Kerberos第5版使用CBC模式。 * * 华师汉口分校信息科学与技术学院 Kerberos V4认证消息对话 * * 华师汉口分校信息科学与技术学院 (1) 客户登录到本地，向认证服务器(AS)发送一个服务请求，请求获得指定应用服务器的“凭证”①，所获凭证可直接用于应用服务器