网络安全概述_05认证技术基础答辩.ppt

第5讲 认证技术基础;1、 概述;标识、认证、授权和稽查 标识：一种能够确保主体（用户、程序获进程）就是它所宣称的那个实体的方法 认证：证明、确认标识的正确性 授权：认证通过后，对主体访问资源的能力的安排。是操作系统的核心功能。 稽查：对主体行为的审核和记录;2、 标识与认证;生物标识和认证;用于鉴别的生物特征;基于特征的生物认证方法需要遵守的几个标准; 生物认证的一个主要问题是扫描的结果或多或少都会与模板不同 系统接受冒名顶替者的概率称作错误匹配率FAR（错误接受率） 系统拒绝授权个人的概率称作错误不匹配率FRR（错误拒绝率） FAR与FRR相互制约;口令机制;对付外部泄露的措施 教育、培训； 严格组织管理办法和执行手续； 口令定期改变； 每个口令只与一个人有关； 输入的口令不再现在终端上； 使用易记的口令，不要写在纸上。;对付口令猜测的措施 教育、培训； 严格限制非法登录的次数； 口令验证中插入实时延迟； 限制最小长度，至少6~8字节以上 防止用户特征相关口令， 口令定期改变； 及时更改预设口令； 使用机器产生的口令。;有感知的口令;一次性口令;密码认证;存储卡;智能卡;3、 授权;授权方法;默认拒绝;4、 单点登录;脚本方式;Kerberos(科波罗斯);Kerberos认证过程（见图） 用户向AS认证 AS发送初时票证给用户 用户请求访问文件服务器 TGS使用会话迷药创建新票证 用户提取一个绘画迷药并将票证发给文件服务器;24;Kerberos弱点： 单点故障 必须实施处理大量信息 密钥需要暂时性的存在工作站上，存在威胁 会话密钥被解密后仍保留在缓存中，存在威胁 对密码猜测的字典攻击 密钥更新过程复杂;Sesame;认证过程 用户发送证书 AS发送令牌以与PAS通信 用户将令牌发给PAS，请求访问资源 PAS创建并发送PAC给用户 用户发送PAC向资源认证 （参见下图）;28;参考： /Class/wlaq/0552123202324687222.htm 和本章有关的一些问题解答： /Class/wlaq/index.html; ?;PKI：基于公钥密码体制的认证技术框架 MAC：消息认证 RSA：公钥密码算法 SHA：安全杂凑算法 DSS：数字签名标准 AS：认证服务器 CA：认证中心 RA：注册机构 RS：业务受理点 CRL：证书撤销列表 DES：数据加密标准 Recoverykey：私钥 Encryptedkey：密钥 ;PKI相关标准;一、认证基本概念;1、问题的提出;2、认证的种类;3、消息认证（1）;3、消息认证（2）; Hash函数(也称杂凑函数或杂凑算法)就是把任意长的输入消息串变化成固定长的输出串的一种函数。这个输出串称为该消息的杂凑值。 Hash函数主要用于完整性校验和提高数字签名的有效性,目前已有很多方案。这些算法都是伪随机函数,任何杂凑值都是等可能的。输出并不以可辨别的方式依赖于输入;在任何输入串中单个比特的变化,将会导致输出比特串中大约一半的比特发生变化。;一个安全的杂凑函数应该至少满足以下几个条件： ①输入长度是任意的; ②输出长度是固定的,根据目前的计算技术应至少取128bits长,以便抵抗生日攻击; ③对每一个给定的输入,计算输出即杂凑值是很容易的; ④给定杂凑函数的描述,找到两个不同的输入消息杂凑到同一个值是计算上不可行的，或给定杂凑函数的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。;4、身份认证（1）;4、身份认证（2）;5、认证协议（1）;5、认证协议（2）;二、身份认证基本情况;1、身份认证的作用;2、身份认证的分类（1）;2、身份认证的分类（2）;3、身份认证的组成（1）;3、身份认证的组成（2）;4、身份认证的要求;5、身份认证的实现途径; 简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。 无仲裁的数字签名 有仲裁的数字签名;普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自