第05章用户身份可鉴别性机制.ppt

章节介绍 5.1 网络安全中用户身份可鉴别性概述 5.2 用户身份可鉴别性机制的评价标准 5.3 用的网络身份证——数字证书 5.4 网络安全中用户身份可鉴别性机制与评价 5.5 AAA服务 5.6 用户身份鉴别实例分析——U盾 鉴别过程中涉及的对象 提供身份信息的被验证者，称为用户，用户端通常需要有进行登录的设备或系统 检验身份信息正确性和合法性的一方被称为认证服务器，服务器上存放用户的鉴别方式及用户的鉴别信息 提供仲裁和调节的可信的第三方 企图进行窃听和伪装身份的攻击者 认证设备，是用户用来产生或计算密码的软硬件设备 身份鉴别的基本思路 通过与用户的交互获得相关的身份信息，然后提交给认证服务器，后者将身份信息与存储在数据库里的身份信息进行核对处理，根据比较结果确认用户身份是否真实可信 注意：在鉴别中，要求用户身份标识必须唯一 用户身份可鉴别性机制的评价标准 鉴别需做到 验证者正确识别合法用户身份的概率极大 攻击者伪装骗取验证者信任的成功率极小 通过重放鉴别信息进行欺骗和伪装的成功率极小 容易出现的鉴别漏洞 服务器存放用户鉴别信息的用户数据库，防止被攻破，导致信息泄露 鉴别信息在网络传输的安全，防止被截获或重放 用户自己对鉴别信息的妥善保管，防止被盗和丢失等 公开密钥基础设施PKI PKI提供了一个框架，可以再该框架下实施基于加密的安全服务，加标准化，普适灵活，方便可靠，互操作性强而且透明。 实际应用： PGP Microsoft Certificate Server …… PKI之动机 公钥技术 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 方案：引入证书 通过证书把公钥和身份关联起来 密钥生命周期 PKI 定义：用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施 一个完整的PKI应该包括： 认证机构 证书库 证书注销 密钥备份和恢复 自动密钥更新 PKI中的证书 证书，有时称为cert PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 最常用的证书格式X.509 v3 X.509 为了在开放网络上实现远程的网络用户身份认证，ITU与1988年制订了认证体系标准：“开放性系统互连——目录服务：认证体系X.509” X.509 X.509定义了X.500目录项用户提供认证业务的一个框架，目录的作用是存放用户的公钥证书 X.509还定义了基于公钥证书的认证协议 X.509的最初发布日期是1988年，1993年对初稿进行了修订，1995年发布了第三版本。 X.509的基础是公钥密码体制和数字签名，但其中未特别指明使用哪种密码体制（建议RSA） X.509 在X.509中提到的证书必须符合下列特点： 所有可取得认证中心公钥的用户，可以认证任何由该认证中心签发的证书。 除认证中心本身外，其它任何人修改证书的动作都会被察觉、检测出来。 5.3.2 数字证书的内容 最简单的证书包含一个公开密钥、用户名称以及证书授权中心的数字签名。 一般情况下证书中还包括序号、起始日期、终止日期、发证机关的名称等信息 数字证书的内容 主体 申请数字证书的人或组织 主要任务 产生公/私密钥对 提出申请 提供与申请者相关的证明材料 CA签名的过程 CA首先要对证书的所有字段计算消息摘要 CA用自己的私钥加密消息摘要，构成CA的数字签名 证书机构将计算的数字签名作为数字证书的最后一个字段插入，相当于护照上的盖章、印章和签名 CA签名的过程 常见的证书吊销协议 Certificate Revocation List(CRL，证书吊销表) Online Certificate Status Protocol(OCSP 联机证书状态协议) Simple Certificate Validation protocol(SCVP，简单证书验证协议) 算法评价 优点 简单易用，在安全性要求不高的情况下易于实现 缺点： 易泄漏信息 口令相对固定 算法改进 易泄漏信息 数据库存放明文口令—加密或者变换形式 传输明文信息—加密（密钥的发布问题）、传输信息摘要等 口令固定—动态变化 短信息—防止重放攻击 复习 生成数字证书的参与方有哪几方？ 数字证书的生成步骤包括哪些？ 对数字证书的信任是由____、______、_____解决的？ 简述基于随机挑战的用户身份鉴别机制 基于鉴别令牌鉴别机制的分类 根据令牌的使用方法： 基于随机挑战的令牌用户鉴别机制 基于时间的令牌用户鉴别机制 基于随机挑战的令牌用户鉴别机制 步骤一：S生成令牌的随机种子，这个种子在令牌中存储，同时这个种子和用户名存储在服务器的用户数据库中