安全认证体系.pptVIP

安全认证体系 本节内容 1身份认证与认证体系 2身份认证协议 3数字证书与认证机构 4安全认证体系及其实施标准 1身份认证与认证体系 1.1身份认证的概念 1.2身份认证的方法 1.3身份认证体系 1.1身份认证的概念 身份认证一般是通过对被认证对象的一个或多个参数进行验证，从而确定被认证对象是否有效。 身份认证是整个安全系统的第一道管卡，如果它被攻破，则整个安全系统将处于危险之中。 身份认证3大概念： 认证（authentication）：在进行任何操作之前必须有有效的方法来识别操作执行者的真实身份。 授权（ authorization ）：是指当用户通过认证后赋予该用户操作文件和数据的权限，这些权限包括读、写、执行、从属权等。 审计（auditing）：每一个用户在做完某一个操作后，系统都有相应的记录，以便核查。 1.2身份认证的方法 1：口令认证 其识别过程如下： ①用户将口令传送给计算机； ②计算机完成口令单向函数值的计算； ③计算机把单向函数值和机器存储的值比较。 持证认证 持证（token）是一种个人持有物，它的作用类似于钥匙，用于启动电子设备。 使用比较多的是一种嵌有磁条的塑料卡，磁条上记录有用于机器识别的个人信息。这类卡通常和个人识别号(PIN) 一起使用。这类卡易于制造，而且磁条上记录的数据也易于转录，因此要设法防止仿制。 生物识别 生物识别依据人类自身所固有的生理或行为特征。生理特征与生俱来，多为先天性的，如指纹、眼睛虹膜、脸像等；行为特征则是习惯使然，多为后天性的，如笔迹、步态等。正是因为这些别人很难具有的个人特征可以作为个人身份识别的重要依据。 生物识别因此包括指纹识别、虹膜识别、脸像识别、掌纹识别、声音识别、签名识别、笔迹识别、手形识别、步态识别及多种生物特征融合识别等诸多种类，其中，虹膜和指纹识别被公认为最可靠的生物识别方式。 1.3身份认证体系 目前国际上普遍采用的基于PKI的数字证书的解决方案。 数字证书：用于保存和验证用户的公钥的电子文件。 CA：即合法的第三方发放电子证书的机构，该机构隶属于PKI管理。 X509：即数字证书的标准，用于解决数字证书的通用问题。 2身份认证协议 4.2.0 身份认证协议的基本功能 4.2.1 身份认证的常用机制 4.2.2实际应用中常见认证协议 2.0 身份认证协议的基本功能 身份认证存在用户到系统以及系统到系统两种认证方式，但不论哪种都需要准确无误的识别对方的身份。 而身份认证协议是用来对被验证方和验证方之间与验证有关的数据通信进行管理，此类协议均需要建立在某一种网络通信协议环境之上。 身份认证协议要满足的基本条件 识别者A能够向验证者B证明他的确是A。 在识别者A向验证者B证明身份后，验证者B不能获得A的任何有用信息，B也不能够模仿A向第三方证明他是A。 2.1身份认证的常用机制（分类） 按照方向分类： 单向认证：即只需要访问者提供合法信息，并不验证提供服务者的身份。 双向认证：即需要访问者和被访问者分别向对方提供各自的合法身份信息。 按照使用的密码技术分类： 基于对称密码的认证 基于非对称密码的认证（基于公钥的） 注：常见的是将上述两类技术进行混合使用的协议。 基于对称密码的双向认证 参与者：A B KDC，其中KDC是密钥分发中心，Ra、Rb是一次性随机数，保密密钥Ka和Kb分别是A和KDC、B和KDC之间共享的密钥，Ks是由KDC分发的A与B的会话密钥。 A告诉KDC想与B通信，明文消息中包含一个大的随机数Ra(防止重放)。 KDC发送一个使用A和他之间共享的密钥Ka加密的消息，消息包括由KDC分发的A与B的会话密钥Ks，A的随机数Ra，B的名字，一个只有B能看懂的许可证。A的随机数Ra保证了该消息是新的而不是攻击者重放的，B的名字保证了第一条明文消息中的B未被更改，许可证使用B和KDC之间共享的密钥Kb加密。 A将许可证发给B。 B解密许可证获得会话密钥Ks，然后产生随机数Rb，B向A发送使用刚获取到的密钥加密的随机消息，从而证明他就是B（因为只有对方的密钥和A的一致才能解密） A向B发送收到的B发来的随机消息，以证明是真正的A与B通信。 以上完成了双向认证，并同时实现了秘密通信。 基于公钥密码的双向认证协议 参与者：A B 公钥管理中心（暂称KDC） 步骤：A通知KDC要和B通信。 A从KDC得到B的公钥。 A向B提出通信要求，并向B发送一个随机数列Ra，使用B的公钥加密通信过程。 B得到A发来的信息，得知A想与之通信，随即向KDC询问A的公钥。 B从KDC得到A的公钥。 B将这段消息和一个随机数列Rb和Ra用A的公钥加密发给A。 A接收后寻找到Ra，A回答B的Rb，B收到验证通过，双方验证完毕。 基于