第4章 身份鉴别.pptx

第4章 身份鉴别身份鉴别(Authentication)解决你是谁的问题身份鉴别包括身份标识(Identification)和身份鉴别(Authentication)两部分身份标识，即确定你是谁并签发一个身份凭证，如身份证、用户名/口令、数字证书身份鉴别，即根据你提交的身份凭证，验证确定你就是你声称的人，而不是假冒者不同的身份标识手段，确定了不同的身份鉴别方法、技术身份鉴别中验证的用户特定信息用户所知道的特定信息，如口令、密码用户所拥有或持有的特定信息，如动态口令令牌、USB Key用户所具有的个人特征，如指纹、虹膜、面像身份鉴别技术、方案或协议身份鉴别技术，指最基本、基础的技术身份鉴别方案或协议，指在技术上构建的具体方式和流程常用的身份鉴别技术用户名/口令静态口令普通方式挑战、响应方式动态口令密码技术对称密钥非对称密钥生物特征指纹、虹膜、面像用户名/口令身份鉴别普通静态口令身份鉴别用户名/口令用户名/口令普通静态口令身份鉴别用户名/口令散列值用户名/口令散列值挑战-响应式静态口令身份鉴别用户名/口令挑战-响应式静态口令身份鉴别用户端用户名/口令请求登录返回随机串用随机串和口令生成散列值(HMAC)提交用户名及散列值从数据库获取用户口令用之前返回的随机串和获取的口令生成散列值，比较是否相同允许或拒绝用户访问静态口令的安全性口令复杂难记忆，用户常采用简单的口令，如个人的生日、电话，易于被猜测、破解，如通过社会工程学破解易于被木马监听若口令采用明文方式传输，则易于被截获若口令以明文保存在数据库中，则容易遭受来自外部和内部的攻击、窃取静态口令的特点优点操作使用简单用户不需要额外装置缺点不安全动态口令身份鉴别基于时间的动态口令基于挑战码的动态口令手机一次性口令动态口令系统的组成应用系统动态口令令牌动态口令服务器动态口令系统的组成应用系统动态口令令牌种子密钥动态口令服务器种子密钥动态口令令牌与动态口令服务器之间共享一个秘密，称为动态口令种子密钥基于时间的动态口令身份鉴别从某个参考时间点开始，将时间分成一个个的时间段，如按1秒、15秒、30秒，并给每个时间段编号………用系统动态口令令牌种子密钥动态口令服务器种子密钥基于时间的动态口令身份鉴别请求访问应用系统要求身份鉴别动态口令令牌种子密钥动态口令服务器种子密钥基于时间的动态口令身份鉴别应用系统动态口令令牌种子密钥动态口令服务器动态口令令牌用当前时刻对应的时间段所对应的编号和种子密钥采用单向不可逆函数(如散列函数)生成一个字节串，并将字节串转化为可显示的字符，即动态口令种子密钥基于时间的动态口令身份鉴别用户输入用户名/动态口令到登录客端应用系统动态口令令牌种子密钥动态口令服务器种子密钥基于时间的动态口令身份鉴别提交用户名/动态口令应用系统动态口令令牌种子密钥动态口令服务器种子密钥基于时间的动态口令身份鉴别应用系统动态口令令牌请求动态口令验证种子密钥动态口令服务器种子密钥基于时间的动态口令身份鉴别应用系统动态口令令牌种子密钥动态口令服务器动态口令服务器利用用户的种子密钥和同样的方式生成动态口令，并比较待验证的动态口令和自己生成的动态口令是否相同种子密钥基于时间的动态口令身份鉴别应用系统动态口令令牌返回验证结果种子密钥动态口令服务器种子密钥基于时间的动态口令身份鉴别拒绝或允许用户访问应用系统动态口令令牌种子密钥动态口令服务器种子密钥基于时间的动态口令的时间同步问题动态口令令牌与动态口令服务需尽可能的时间同步无法保证完全同步，动态口令服务在验证口令不成功时，需要在误差范围内考虑可能的备选时间段序号基于挑战码的动态口令生成应用系统动态口令令牌种子密钥动态口令服务器种子密钥基于挑战码的动态口令生成请求登录应用系统要求身份鉴别并返回随机字串动态口令令牌种子密钥动态口令服务器种子密钥基于挑战码的动态口令生成应用系统动态口令令牌种子密钥动态口令服务器用户将返回的随机串字输入到动态口令令牌种子密钥基于挑战码的动态口令生成应用系统动态口令令牌种子密钥动态口令服务器动态口令令牌用返回的随机字串、种子密钥和单向不可逆函数(如散列函数)生成一个字节串，并将字节串转化为可显示的字符，即动态口令种子密钥基于挑战码的动态口令生成用户输入用户名/动态口令到登录客户端应用系统动态口令令牌种子密钥动态口令服务器种子密钥基于挑战码的动态口令生成提交用户名/动态口令应用系统动态口令令牌种子密钥动态口令服务器种子密钥基于挑战码的动态口令生成动态口令令牌请求动态口令验证请求中包含返回给用户的随机串种子密钥动态口令服务器种子密钥基于挑战码的动态口令生成应用系统动态口令令牌种子密钥动态口令服务器动态口令服务器使用用户的种子密钥和返回到用户的随机串用同样的方式生成动态口令，并比较待验证的动态口令和自己生成的动态口令是否相