第3章_身份鉴别技术.pptVIP

新华教育集团版权所有 课程名称：电子商务安全认证系统 新华教育集团版权所有 第3章　身份鉴别 本章目标 1.身份鉴别的基本概念 2.非密码的身份鉴别机制 3.基于密码算法的身份鉴别机制 4.Kerberos协议原理 3.1 身份鉴别的基本概念 3.1.1 身份鉴别的依据 3.1.2 身份鉴别的两种情形 3.1.1 身份鉴别的基本概念 鉴别(Authentication)也叫验证,是防止主动攻击的一种重要技术?就是验证用户身份的合法性和用户间传输信息的完整性与真实性? 3.1.2 身份鉴别的两种情形 1、实体鉴别：也称身份鉴别,使某一实体确信与之打交道的实体正是所需要的实体?例如验证申请进入网络系统者是否是合法用户,以防非法用户访问系统。 2、数据原发鉴别：数据源发鉴别用于鉴定某个指定的数据是否来源于某个特定的实体? 如采用数字签名技术就是数据原发鉴别的具体运用 3.2 身份鉴别机制 3.2.1 非密码的鉴别机制 3.2.2 基于密码算法的鉴别 3.2.1 非密码的鉴别机制 非密码的鉴别机制包括：口令机制、一次性口令机制、质询——应答机制、基于地址的机制、基于个人特征的机制。 1. 口令机制 口令机制又称作通行字机制，它是最广泛研究和使用的身份鉴别法。 在使用口令机制时，我们对付口令猜测的措施主要有： 1）严格限制非法登录的次数； 2）规定口令的最小长度，如至少6～8位以上； 3）防止用户特征相关口令； 4）确保口令定期改变； 5）取消安装系统时所用的预设口令； 6）使用机器产生的口令； 7）定期对用户和系统管理者进行安全意识教育、培训。 2. 一次性口令机制 两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步； 两端随机序列生成器在同一时间会产生相同的随机数。 典型运用：动态口令卡 3. 质询——应答机制 基于质询/应答方式的身份鉴别机制就是每次鉴别时鉴别服务器端都给客户端发送一个不同的“质询”字串，客户端程序收到这个“质询”字串后，做出相应的“应答”。鉴别过程为: 1、客户向鉴别服务器发出请求，要求进行身份鉴别; 　　 2、鉴别服务器从用户数据库中查询用户是否是合法的用户，若不 是，则不做进一步处理; 3、鉴别服务器内部产生一个随机数,作为“提问”，发送给客户 4、客户将用户名字和随机数合并，使用单向 Hash 函数生成一个 字节串作为应答; 5、鉴别服务器将应答字串与本机单向 HASH 函数的计算结果比 较，若二者相同，则通过一次鉴别，否则鉴别失败; 　　 4. 基于地址的机制 基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。 如基于IP的认证方式或基于MAC的认证方式 5. 基于个人特征的机制 通过识别用户的生理特征来认证用户的身份是安全性极高的身份认证方法。 例如有： （1）指纹识别； （2）声音识别； （3）手迹识别； （4）视网膜扫描； （5）手形及掌纹等。 3.2.2 基于密码算法的鉴别 基于密码的鉴别机制的基本原理是：因为声称者知道某一秘密密钥，从而使验证者相信，声称者正是其所声称的实体。 对称密码技术和非对称密码技术都可以被用来实现鉴别。 1. 基于对称密码算法的鉴别机制 声称者使用对称密钥加密或封装某一消息。如果验证者能成功地解密消息或验证封装是正确的，那么验证者相信，消息来自声称者。 2. 基于公开密码算法的鉴别机制 声称者使用他的私有密钥签署某一消息，验证者使用声称者的公开密钥验证签名。 如果签名能够被正确地验证，则验证者相信：声称者正是他所声称的实体。 3.3 Kerberos认证系统 本章总结 掌握身份鉴别的基本概念 掌握非密码的身份鉴别机制 掌握基于密码算法的身份鉴别机制 掌握Kerberos认证原理 了解零知识证明原理及其他常用身份鉴别协议  * 身份鉴别的依据可以分为三种： （1）用户所知道的某种信息（如：密码和口令） （2）用户拥有的某种物品（身份证、USK KEY） （3）用户具有的某种特征（指纹、DNA、脸型） 口令验证的识别过程： ①用户将口令传送给计算机； ②计算机完成口令单向函数值的计算； ③计算机把单向函数值和机器存储的值比较。 典型运用：计算机密码 Kerberos协议是80年代由MIT开发的一种协议。其命名是根据希腊神话中守卫冥王大门的长有三头的看门狗。 它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户；如果是，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密的基础上的。他采用可信任的第三方，密钥分发中心（K