第7章证书系统与身份认证.pptVIP

第7章 证书系统与身份确认 第7章 证书系统与身份确认 7.1 认证与身份证明 7.2 Kerberos 7.1 认证与身份证明 通信和数据系统的安全性取决于确认用户或终端的身份 传统的身份证明：通过检验“物”和“人” 电子的身份证明：个人识别号 (PIN, Personal Identification Number) 7.1 认证与身份证明 身份证明系统的组成 示证者(申请者)，出示证件的人，提出某种要求 验证者，检验示证者的证件的正确性和合法性，决定是否满足其要求 可信赖者，调解示证者和验证者之间可能发生的纠纷 攻击者，通过窃听等手段，伪装示证者骗取验证者的信任 身份证明与消息认证的差别： 消息认证不提供时间性；身份证明具有实时性 消息认证除证实消息的合法性、完整性外，还需要知道消息内容；身份证明通常证实身份本身 7.1 认证与身份证明 身份证明系统的要求 验证者正确识别合法示证者的概率极大化 不具可传递性，验证者B不可能重用示证者A提供给他的信息 攻击者伪装示证者欺骗验证者成功的概率小到可以忽略，特别是要能抗已知密文攻击 计算有效性，实现身份证明所需的计算量小 通信有效性，实现身份证明所需通信次数和数据量小 秘密参数安全存储 7.1 认证与身份证明 以下4条是某些身份识别系统提出的要求： 交互识别，有些应用中要求双方互相进行身份认证 第三方的实时参与，如在线的公钥检索服务、个人身份证查询 第三方的可信赖性 可证明安全性 7.1 认证与身份证明 身份证明的基本分类 身份证实： 对个人身份进行肯定或否定。一般方法是将输入的个人信息与卡上或库存中的信息进行比较，得出结论。认证信息一般是经过公式和算法运算后所得的结果。 身份识别： 一般方法是输入个人信息，经处理提取成模板信息，试着在数据库中搜索找出一个与之匹配的模板，而后给出结论。例如，人的指纹、虹膜、相貌、DNA等 7.1 认证与身份证明 实现身份证明的基本途径 所知(Knowledge)：个人所知道或掌握的知识，如密码、生日、数字、文字等 所有(Possesses)：个人所具有的东西，如身份证、护照、信用卡、钥匙等 个人特征(Characteristics)：如指纹、笔迹、声音、手型、脸型、血型、视网膜、虹膜、DNA以及个人一些习惯性动作等特征 7.1 认证与身份证明 身份证明系统的质量指标 拒绝率(FRR, False Rejection Rate)，合法用户遭拒绝的概率或虚报率，Ⅰ型错误率 漏报率(FAR, False Acceptance Rate)，非法用户伪造身份成功的概率， Ⅱ型错误率 为保证系统良好的服务质量，要求Ⅰ型错误率要足够小 为保证系统的安全性，要求要求Ⅱ型错误率要足够小 两个指标是矛盾的、此消彼长。要考虑性价比。 7.1 认证与身份证明 通行字（口令）认证系统 通行字（Password，口令、护字符）： 一种根据已知事物验证身份的方法，也是一种研究和使用最广的身份验证法 易记 难于被别人猜中或发现 抗分析能力强 7.1 认证与身份证明 通行字的控制措施 系统消息：显示系统信息的文字尽量减少 限制试探次数 通行字有效期 双通行字系统：对于敏感信息还需输入另外的口令 最小长度 封锁用户系统：对于长期不用的帐号封锁 根通行字的保护：root系统管理员用户 系统生成通行字 通行字的检验：保证口令不易被破解 7.1 认证与身份证明 通行字的安全存储 对于用户的通行字多以加密形式存储（Basic） 许多系统可以存储通行字的单向杂凑值（Digest） 个人特征的身份证明技术 生物统计学 终生不变的个人特征：DNA、视网膜、虹膜、指纹 目前已经商业化的技术：手书签字验证、指纹验证、语音验证、视网膜图样验证、虹膜图样验证、脸型验证等 7.2 Kerberos Kerberos是一种典型的用于客户机和服务器认证的认证体系协议，是一种基于对称密码体制(单钥密码体制)的安全认证服务系统。 美国麻省理工学院MIT的Athena计划的一个部分。Kerberos分为认证(Authentication)、计账(Accounting)和审计(Audit)三个部分 本书只介绍认证部分 Kerberos的认证中心服务任务被分配到两个相对独立的“认证服务器AS”和“票据授权服务器TGS”上 7.2 Kerberos 为了与其他服务的用户相区别，Kerberos用户统称为Principle(动因)，动因可以是用户，也可以是某项服务。 7.2 Kerberos Kerberos域内认证 7.2 Kerberos 第1个阶段：客户Client向AS申请得到注册许可证TTGS（Client?AS） (1)Client→AS {IDClient, IDTGS, time