第3章数字签名与认证(免费阅读).pptVIP

第三章 数字签名与认证 Outline 数字签名概述 单向散列函数 认证技术 Outline 数字签名概述 单向散列函数 认证技术 Outline 数字签名概述 单向散列函数 认证技术 Thanks you！ 3、认证技术 认证的定义 　认证:（Authentication）??在计算机安全性中，对用户身份或用户访问对象的资格的验证。它不同于授权，授权是指根据用户身份提供相应的操作权限。 Authentication merely ensures that the individual is who he or she claims to be, but says nothing about the access rights of the individual. 第三章 数字签名与认证 3、认证技术 为什么需要安全认证？ 互联网困境 用户身份的不可预知性、资源赋予使用者的权限约束性决定了在计算机安全领域中要实现认证。 第三章 数字签名与认证 3、认证技术 如何实现安全认证？ 基本方法和工具是密码学原理：特别是对称密码体制和公钥密码体制在有关数字签名、信息完整性、抗否认性等方面的应用。 第三章 数字签名与认证 3、认证技术 基本的身份认证方法 主体特征认证 视网膜扫描、声音验证、指纹识别器。 口令机制 口令是约定的代码，假设只有用户和系统知道。 智能卡 访问不但需要口令，也需要使用物理智能卡。 一次性口令 用户每次使用不同的口令，需要口令发生器设备。 PAP 协议（Password Authentication Protocol） 用于 PPP（点对点）协议的身份认证协议，明文口令传输。 CHAP 协议（Challenge Handshake Authentication Protocol） 不在网络上传送口令信息， 比 PAP 具有更强的安全性。 第三章 数字签名与认证 3、认证技术 指纹识别 第三章 数字签名与认证 3、认证技术 虹膜识别 第三章 数字签名与认证 3、认证技术 1） Kerberos身份验证 Kerberos是一种网络身份验证协议，Kerberos要解决的问题是：在一个开放的分布式网络环境中，如果工作站上的用户希望访问分布在网络中服务器上的服务和数据时，我们希望服务器能对服务请求进行鉴别，并限制非授权用户的访问。 第三章 数字签名与认证 3、认证技术 1） Kerberos身份验证 第三章 数字签名与认证 整个Kerberos系统由认证服务器AS、票据许可服务器TGS、客户机和应用服务器四部分组成。 3、认证技术 1） Kerberos身份验证 第三章 数字签名与认证 基本思路： 使用一个（或一组）独立的认证服务器（AS —Authentication Server），来为网络中的客户提供身份认证服务； 认证服务器 (AS)，用户口令由 AS 保存在数据库中； AS 与每个服务器共享一个惟一保密密钥（已被安全分发）。 1） Kerberos身份验证 第三章 数字签名与认证 两种票据 票据许可票据（Ticket granting ticket） 客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 AS 发放； 用 Tickettgs 表示访问 TGS 服务器的票据； Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用； 服务许可票据（Service granting ticket） 是客户访问服务业务时需要提供的票据； 用 TicketV 表示访问应用服务器 V 的票据。 3、认证技术 1） Kerberos身份验证 第三章 数字签名与认证 3、认证技术 2） 公开密钥基础设施PKI 第三章 数字签名与认证 PKI就是通过使用公开密钥技术和数字证书来提供网络信息安全服务的基础设施，是在统一的安全认证标准和规范基础上提供在线身份认证、证书认证CA（Certificate Authority）、数字证书、数字签名等服务。 3、认证技术 2） 公开密钥基础设施PKI 第三章 数字签名与认证 a） 数字证书 数字证书（Digital Certificate）是由权威机构CA发行的一种权威性的电子文档，是网络环境中的一种身份证，用于证明某一用户的身份以及其公开密钥的合法性。 数字证书原理是基于公开密钥体制。 3、认证技术 2） 公开密钥基础设施PKI 第三章 数字签名与认证 a） 数字证书 John Doe 755 E. Woodlawn Urbana IL 61801 BD 08-06