第三章User Authentication（使用者身份辨识）.pptVIP

黃明祥 3.1 前言 使用者身份識別主要是要辨識某人是否為合法的系統使用者 識別非法使用者 識別冒用合法使用者 金融卡、汽車使用 使用者身份識別是使用者安全的第一道防線 3.5 使用者身份驗証處理過程 使用者身份識別系統 分成三個階段 1.註冊階段 2.進入系統階段 3.驗證階段 3.6 登入種類 依照「讀取資料終端設備單元」及「身份識別處理單元」之間距離及其連線媒介,分以下七種: 直接登入(Direct Logins)或本機登入 本地登入(Local Logins) 撥接登入(Dialup Logins) 遠端登入(Remote Logins) (Telnet) 網路芳鄰登入(Distributed Logins) 3.6 登入種類 網路登入(Network Logins) (FTP) 代理登入(Proxy Logins) 批次登入(Batch Logins) 子處理登入(Subprocess Logins) 3.7 各種通行密碼技術 直接儲存法 直接儲存法 直接儲存法 時戳法 亂數法 3.8 Kerberos身份識別系統 3.8 Kerberos身份識別系統 更安全的Kerberos使用者身份驗證系統 Homework 3 (2006/10/20) P85 第18題 1.用戶端發出「請求連線」訊息給主機系統。 2.主機系統回覆「請輸入使用者識別名稱及通行密碼」。 3.使用者輸入識別名稱及通行密碼後，連同用戶端電腦目前時　　　　　　　　　　　　　　　　　　　　　間：「使用者識別名稱、通行密碼、及目前通訊時戳」，以密文型式傳送給主機系統」 。 4.主機系統收到後，先做解密動作，得到原本使用者識別名稱、通行密碼、及目前通訊時戳。接著計算目前系統時間與通訊時戳之差值，是否在合理範圍內。若是，再進一步比對使用者識別名稱及通行碼。 使用時戳法有一嚴重問題，用戶端及伺服器端時間要一樣(同步) 通行密碼技術之分類： ?系統需要儲存通行密碼表(Password Table) ?直接儲存通行密碼法(Password) ?單向函數法(One-Way Function) ?通行密碼加密法(Password Encryption) ?通行密碼加鹽法(Password Salt) ?時戳法(Time-Stamp) ?亂數法(Nonce) ?系統不需要儲存通行密碼表 ?加密法 PW = Ek(ID) ?憑證法 1.用戶端發出「請求連線」訊息給主機系統。 2.主機系統回覆一亂數值r，並請輸入「使用者識別名稱及通行密碼」。 3.使用者輸入識別名稱及通行密碼後，連同收到的亂數值r，「使用者識別名稱、通行密碼、及亂數值r」，一起以密文型式傳送給主機系統。 4.主機系統收到後，先做解密動作，得到原本使用者識別名稱、通行密碼、及亂數值r。接著驗證此亂數值r是否與先前所傳送的相同。若是，再進一步比對使用者識別名稱及通行碼。 通行密碼技術之分類： ?系統需要儲存通行密碼表(Password Table) ?直接儲存通行密碼法(Password) ?單向函數法(One-Way Function) ?通行密碼加密法(Password Encryption) ?通行密碼加鹽法(Password Salt) ?時戳法(Time-Stamp) ?亂數法(Nonce) ?系統不需要儲存通行密碼表 ?加密法 PW = Ek(ID) ?憑證法 Kerberos是一套分散式的身分驗證系統，能夠在用戶端(Client)以及應用伺服器端(Server)間提供身分驗證的服務，並且達到機密性(confidentiality)與完整性(Integrity)的需求 採用DES (Data Encryption Standard)作為加密系統(對稱式) 其缺點為: 1.用戶端傳送給AS之通行密碼是以明文（未經加密處理）方式傳送，若遭截取其安全堪虞。 2.通行票僅能使用在一伺服器，當要到不同的伺服器（如印表機伺服器、Mail伺服器）要求提供服務時，則需重新向AS申請新的通行票。 簡單的Kerberos身份識別系統 1. 2. 3. IDC:用戶識別碼 PWC:通行密碼 IDS:伺服器識別碼 ADC:用戶端網路位址 Eks []:為用伺服器(S)的密鑰(KS)對[]內資料做加密 TicketCS:通行票 應用伺服器 (Server) 1. 2. 4. 5. 3. TicketTGS=EKTGS[IDC,ADC,IDTGS,TSTGS,LTTGS] TicketCS=EKCS[IDC,ADC,ID