04 身份认证技术整理.ppt

第四章 身份认证 Authentication 提纲 4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证 4.1 身份认证简介 4.1.1身份认证的需求 4.1.2身份认证的基本模型 4.1.3身份认证的途径 4.1.4常用的身份认证技术 网络环境下对身份认证的需求 唯一的身份标识（ID）: uid uid@domain DN: C=CN/S=Beijing /O=Tsinghua University/U=CS/ CN=Duan Haixin/Email=dhx@ 抗被动的威胁（窃听），口令不在网上明码传输 网络环境下对身份认证的需求 抵抗主动的威胁，比如阻断、伪造、重放,网络上传输的认证信息不可重用 网络环境下对身份认证的需求 双向认证 域名欺骗、地址假冒等 路由控制 单点登录（Single Sign-On） 可扩展性的要求 身份认证的基本途径 基于你所知道的（What you know ） 知识、口令、密码 基于你所拥有的（What you have ） 身份证、信用卡、钥匙、智能卡、令牌等 基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜 双因素、多因素认证 身份认证的基本模型 申请者（Claimant） 验证者（Verifier） 认证信息AI（Authentiction） 可信第三方(Trusted Third Party) 常用的身份认证技术/协议 简单口令认证 质询/响应认证 一次性口令认证（OTP） Kerberos认证 基于公钥证书的身份认证 基于生物特征的身份认证 提纲 4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证 4.2 基于口令的身份认证 4.2.1质询/响应认证 （Challenge/Response） 4.2.2 一次性口令（OTP） 4.2.3 口令的管理 质询/握手认证协议（CHAP） Challenge and Response Handshake Protocol Client和Server共享一个密钥 一次性口令认证（OTP） S/Key SecurID 口令管理 口令管理 口令属于“他知道什么”这种方式，容易被窃取。 口令的错误使用： 选择一些很容易猜到的口令； 把口令告诉别人； 把口令写在一个贴条上并把它贴在键盘旁边。 口令管理的作用： 生成了合适的口令 口令更新 能够完全保密 口令管理 口令的要求： 包含一定的字符数； 和ID无关； 包含特殊的字符； 大小写； 不容易被猜测到。 跟踪用户所产生的所有口令，确保这些口令不相同， 定期更改其口令。 使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份： 网络管理员使用的工具：口令检验器 攻击者破获口令使用的工具：口令破译器 口令管理 口令产生器 不是让用户自己选择口令，口令产生器用于产生随机的和可拼写口令。 口令的时效 强迫用户经过一段时间后就更改口令。 系统还记录至少5到10个口令，使用户不能使用刚刚使用的口令。 限制登录次数 免受字典式攻击或穷举法攻击 提纲 4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证 4.3 Kerberos 认证技术 4.3.1 Kerberos 简介 4.3.2 Kerberos V4 4.3.3 Kerberos V5 4.3.4 Kerberos 缺陷 Kerberos 简介 Kerberos 麻省理工学院为Athena 项目开发的一个认证服务系统 目标是把UNIX认证、记帐、审计的功能扩展到网络环境： 公共的工作站，只有简单的物理安全措施 集中管理、受保护的服务器 多种网络环境，假冒、窃听、篡改、重发等威胁 基于对称密钥密码算法 实现集中的身份认证和密钥分配 通信保密性、完整性 Kerberos 身份认证过程 一个简单的认证对话 一个更加安全的认证对话 Kerberos V4 Kerberos V5 一个简单的认证对话 （1） C ?AS : IDc || Pc ||IDv （2） AS?C : Ticket （3） C ?V : IDc || Ticket Ticket=EKv(IDc|| ADc || IDv) 一个更加安全的认证对话 问题一：票据许可票据tickettgs的生存期 如果太大，则容易造成重放攻击 如果太短，则用户总是要输入口令