第五章身份认证与访问控制.ppt

身份认证与访问控制 提纲 5.1 身份认证技术概述 5.2 基于口令的身份认证 5.3 Kerberos 身份认证协议 5.4 基于X509的身份认证 5.5 基于生物特征的身份认证 5.1 身份认证简介 5.1.1身份认证的需求 5.1.2身份认证的基本模型 5.1.3身份认证的途径 5.1.4常用的身份认证技术 认证的基本原理 在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。 认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员，某个组织的代理、某个软件过程（如交易过程）。 认证( authentication )是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization )不同。 三种方法验证主体身份 1）只有该主体了解的秘密，如口令、密钥； 2）主体携带的物品，如智能卡和令牌卡； 3）只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜图或签字等。 注意：单独用一种方法进行认证不充分 身份认证系统架构 认证服务器(Authentication Server) 负责进行使用者身份认证的工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的信息。 认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login)的设备或系统，在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。 认证设备(Authenticator) 认证设备是使用者用来产生或计算密码的软硬件设备。 网络环境下对身份认证的需求 唯一的身份标识（ID）: uid，uid@domain DN: C=CN/S=Beijing /O=Tsinghua University/U=CS/ CN=Duan Haixin/Email=dhx@ 抗被动的威胁（窃听），口令不在网上明码传输 网络环境下对身份认证的需求 抵抗主动的威胁，比如阻断、伪造、重放,网络上传输的认证信息不可重用 网络环境下对身份认证的需求 双向认证 域名欺骗、地址假冒等 路由控制 单点登录（Single Sign-On） 用户只需要一次认证操作就可以访问多种服务 可扩展性的要求 身份认证的基本途径 基于你所知道的（What you know ） 知识、口令、密码 基于你所拥有的（What you have ） 身份证、信用卡、钥匙、智能卡、令牌等 基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜 双因素、多因素认证 身份认证的基本模型 申请者（Claimant） 验证者（Verifier） 认证信息AI（Authentication Information） 可信第三方(Trusted Third Party) 常用的身份认证技术/协议 简单口令认证 质询/响应认证 一次性口令认证（OTP） Kerberos认证 基于公钥证书的身份认证 基于生物特征的身份认证 提纲 5.1 身份认证技术概述 5.2 基于口令的身份认证 5.3 Kerberos 身份认证协议 5.4 基于X509的身份认证 5.5 基于生物特征的身份认证 5.2 基于口令的身份认证 5.2.1安全与不安全的口令 5.2.2质询/响应认证 （Challenge/Response） 5.2.3 一次性口令（OTP） 5.2.4口令的管理 安全与不安全的口令 1 安全的口令 UNIX系统口令密码都是用8位(新的是13位)DES算法进行加密的，即有效密码只有前8位，所以一味靠密码的长度是不可以的。 安全的口令要求： 1) 位数6位。 2) 大小写字母混合。 3)字母与数字混合。 4) 口令有字母、数字以外的符号。 基于智能卡的身份认证 质询/握手认证协议（CHAP） Challenge and Response Handshake Protocol Client和Server共享一个密钥 一次性口令 （OTP：One TimePassword） 在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以对付重放攻击。确定口令的方式： 1）声称者与验证者两端共同拥有一串随机口令，在该串的某一位置保持同步。用于人工控制环境中。 2）两端共同使用一个随机序列生成器，在序列生成器的初态保持同步。 3）使用时戳，两端维持同步的时钟。 一次性口令认证（OTP） S/Key SecurID 口令管理 口令管理 口令属于“他知道什么”这种方式，容易被窃取。 口令的错误使用： 选择一些很容易猜到的口令； 把口令告诉别人； 把口令写在一个贴条