第7章证书系统与身份确认讲述.ppt

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第7章证书系统与身份确认讲述

第7章 证书系统与身份确认 本章内容: 7.1 认证与身份证明 7.2 Kerberos 7.1.1 身份证明系统的组成和要求 身份证明系统的组成-----一般由3方组成: 一方是出示证件的人,即示证者。提出某要求。 另一方为验证者,检验示证者提出的证件的准确性和和合法性决定是否满足其要求。 可信赖者,用于调解纠纷。(可信第三方)。 这类技术被称之为:身份证明技术,又称识别、实体认证、身份证实。 注意:实体认证与消息认证的区别。 实体认证:实时的、只证实实体本身 消息认证:不提供时间性。除证明消息的合法性、完整性外、还要知道消息的含义。 对身份证明系统的要求 验证者正确识别合法示证者的概率极大化 不具可传递性 攻击者伪装示证者欺骗验证者成功概率可以忽略 计算有效性 通信有效性 秘密参数安全存储 交互识别(有些应用中要求双方互相识别) 第三方的实时参与 第三方的可信赖性 可证明安全 注后四条是某些身份识别系统所要求的 数字签名可实现身份识别。 7.1.2 身份证明的基本分类 可分为两大类: 身份证实 对个人身份进行肯定或否定。 一般方法是:将输入的个人信息与卡上或库存中的信息进行比较,得出结论。 身份识别 对个人身份进行识别。 一般方法是:输入个人信息,经处理提取模板信息,试着在在存储数据库中搜索找出一个与之匹配的模板,而后得出结论。 身份识别比身份证明困难 7.1.3 实现身份证明的基本途径 7.1.3 实现身份证明的基本途径 身份证明系统的质量指标:合法用户遭拒绝的概率,即拒绝率FRR(Ⅰ型错误率),或虚报率,以及非法用户伪造身份成功的概率(漏报率F AR,Ⅱ型错误率 ) 。 为保证系统有良好的服务,要求其Ⅱ型错误率要足够小。 设计中除考虑安全外,还要考虑经济性和用户的方便性。 7.1.4 通行字(口令)认证系统 通行字:是一种根据已知事物验证身份的方法。 选择原则: 易记 难以被别人猜中或发现 抗分析能力强 防止泄露:(可加密) 口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。 口令有多种,如一次性口令;还有基于时间的口令。 7.1.4 通行字(口令)认证系统 通行字的控制措施 系统消息 限制试探次数 通行字有效期 双通行字系统 最小长度 封锁用户系统 根通行字的保护 系统生成通行字 通行字的检验 7.1.4 通行字(口令)认证系统 通行字的存储 通行字的安全存储有以下两种方式: 以加密形式存储 许多系统可以存储通行字的哈希值。 通行字(口令)认证系统的特点 7.1.5 个人特征的身份证明技术 高级的身份验证是根据被授权用户的个人特征来进行确认。 目前已有的技术包括:手书签证验证、指纹验证、语音验证、视网虹膜图样验证、脸型验证等。 7.2 Kerberos 7.2.1 Kerberos概述 是一种典型的用于客户机和服务器认证的认证体系协议。 是一种基于对称密码体制的安全认证服务系统。 为网络通信提供可信第三方服务的面向系统的认证机制。 通过中心认证服务,并应用传统的加密方法,在客户机和服务器之间构起一个安全桥梁。 7.2 Kerberos 为网络通信提供可信第三方服务的面向系统的认证机制 : 每当用户C申请得到某服务程序S的服务时,用户和服务程序会首先向Kerberos要求认证对方的身份,认证建立在用户和服务程序对Kerberos信任基础上。在申请认证时,C和S都是Kerberos认证服务的用户,为了和其它服务的用户区别,Kerberos用户统称为当事人(principle),principle可以是用户或者某项服务 7.2 Kerberos系统的组成 7.2.2 Kerberos的认证过程 7.2.2 Kerberos的认证过程 域内认证:3个阶段,共6个步骤。 第1阶段:客户Client向AS申请得到注册许可证 第2阶段:客户Client从TGS得到所请求服务的服务许可证Ts 第3阶段:客户利用许可证Ts向服务器Server 申请服务。 7.2.2 Kerberos的认证过程 域间认证:4个阶段,共8个步骤。P106 第1阶段:Client和AS间的认证 第2阶段: Client和 TGS间的认证 第3阶段: Client和域外的TGS认证 第4阶段: Client和域外的Server认证 7.2.3 Kerberos的局限性 时间同步: 重放攻击 认证域间的信任 系统程序的安全性和完整性 口令猜测攻击 密钥的存储 2006年10月 5.Kerberos的局限性从攻击的角度来看,大致有几个方面的问题?( C ) A

文档评论(0)

441113422 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档