(第章身份认证技术.pptVIP

第四章 身份认证技术 （1）保密性 （2）真实性 信息的真实性：对信息的来源进行验证； 身份的真实性：对信息发送方的身份进行验证，以确保信息由合法的用户发出； （3）完整性 防止非法用户对信息进行无意或恶意的修改、插入，防止信息丢失等。 （4）不可否认性 防止信息发送方在发出信息后又加以否认；防止接收方在收到信息后又否认曾收到过此信息及篡改信息。 （1）保密性 （2）真实性 身份的真实性 信息的真实性 （3）完整性 （4）不可否认性 4.1 身份认证的方法 4.1.2 口令认证 不安全口令的分析 安全口令的建议 典型的安全口令：一次性口令 一次性口令的原理 一次性口令的产生和验证过程 一次性口令系统实例 4.1.3 持证认证 4.1.4 生物识别认证 二、指纹识别技术 指纹取像的几种技术和特点 三、语音识别技术 语音识别的过程 四、虹膜识别技术 从实用角度而言，一个安全的身份认证协议至少应满足以下两个条件： 1. A能向验证者B证明他的确是A； 2. 在A向验证者B证明他的身份后，验证者B不能获得A的任何有用信息，B不能模仿A向第三方证明他是A。 4.2.1 一次一密机制 4.2.2 X.509公钥认证协议 数字证书是由大家共同信任的第三方认证中心 (CA)颁发的，CA有权利签发并废除证书并且对证书的真实性负责。 数字证书的内容 为了保证CA所签发证书的通用性，目前数字证书格式一般采用X.509国际标准。X.509的核心是建立存放每个用户的公钥证书的目录 (仓库)。用户公钥证书由可信赖的CA创建，并由CA或用户存放于目录中。 一个标准的X.509数字证书包含以下一些内容:(1)证书的版本信息；(2)证书的序列号；(3)证书所使用的签名算法；(4)证书的发行机构；(5)证书的有效期；(6)证书所有人的名称；(7)证书所有人的公开密钥；(8)证书发行者对证书的签名。 4.2.3 Kerberos认证协议 Kerberos的组成 4.2.4 零知识身份识别协议 Kerberos提供三种安全等级。 1) 只在网络开始连接时进行认证，认为连接建立起来后的通信是可靠的。认证式网络文件系统使用此种安全等级。 2) 安全消息传递：对每次消息都进行认证工作，但是不保证每条消息不被泄露。 3) 私有消息传递：不仅对每条消息进行认证，而且对每条消息进行加密。Kerberos在发送密码时就采用私有消息模式。 Kerberos的认证过程　P75 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 通过认证操作，用户C和服务器V互相验证彼此的身份，并且拥有只有C和V两者知道的会话密钥Kc,v，以后的通信都可以通过会话密钥得到保护。 AS TGS DB 用户C 服务器V Kerberos Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 其基本思想是：被认证方P掌握某些秘密信息，P希望让认证方V相信他确实掌握那些信息，但又不想让V知道那些信息。 被认证方P掌握的秘密信息可以是某些长期没有解决的猜想问题的证明，也可以是缺乏有效算法的难题解法。信息的本质是可以验证的，可以通过具体的步骤来检测它的正确性。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2 2 2 2 2 2 2 2 2 2 2 * * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 安全需求分析 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 安全需求分析 加密技术 信息认证 身份认证 数字签名 认证技术 数字证书 Evaluation only. Created with Aspose.Slide