身份认证-计算机安全保密.ppt

2006-9-1 第七章身份认证 7.1 认证的基本原理 7.2 认证协议 7.3 典型的认证应用 7.1 认证的基本原理 1 身份认证概述 认证：是对网络中的主体进行验证的过程；认证过程中用户必须提供他是谁的证明。 授权：身份认证的过程证明了一个对象的身份，进而决定授权赋予该对象的权利是什么。 审计：基于日志，核查责任。 7.1 认证的基本原理 7.1 认证的基本原理 认证需要提供身份证明； 认证与记账相关联； 单向认证和双向认证。 7.1 认证的基本原理 身份认证系统主要组成元件有三： 认证服务器：存放使用者的私有密钥、认证方式及其他使用者认证的信息。 认证系统用户端软件 认证设备：来产生或计算密码的软硬件设备。 7.1 认证的基本原理 对身份认证系统进行攻击： 数据窃听(Sniffer) 拷贝/重传 修改和伪造 7.1 认证的基本原理 在计算机网络中，使用三种方法去验证主体身份： 只有该主体了解的秘密，如口令，密钥； 主体携带物品，如智能卡； 只有该主体具有的特征或能力，如指纹，零知识认证。 7.1 认证的基本原理 7.1 认证的基本原理 2 口令机制 账号+口令=身份认证 账号代表网络系统中某人的身份；口令验证某人的身份。 口令不坚固。 7.1 认证的基本原理 3 智能卡(IC卡) 1974年法国人Roland Morono发明IC卡。 将具有存储、加密及数据处理能力的集成电路模块封装于信用卡大小的塑料片基中，便构成了智能(IC)卡。 7.1 认证的基本原理 IC卡可分几种： 非加密卡； 加密卡； CPU卡； 非接触型射频卡。 IC卡标准：ISO7816 7.1 认证的基本原理 IC卡特点 信息保存期：2-10年 信息存储量：几千个字节 保密性：高 耐用性：擦写次数1万次以上 灵活性:带有智能性 被动的存储介质 7.1 认证的基本原理 IC卡技术主要包括四个方面： 芯片技术 制卡技术 相关设备技术 应用系统集成技术。 7.1 认证的基本原理 IC卡芯片生产厂家 德SIEMENS 美Motorola、Atmel 法 Gemplus、Solatic、 Schlumberger 荷兰Philips 7.1 认证的基本原理 按安全级别分类: 非加密存储卡 逻辑加密存储卡 CPU卡 7.1 认证的基本原理 按与终端设备连接方式分类 接触式：符合ISO标准的8个触点相连； 非接触式卡；则通过光或无线电波完成与读写设备之间的通讯，目前的技术已可达到100mm的距离。 7.1 认证的基本原理 7.1 认证的基本原理 7.1 认证的基本原理 7.1 认证的基本原理 7.1 认证的基本原理 非加密存储卡 当对卡中内容进行操作（读/写/擦除）时无需核对密码； 7.1 认证的基本原理 逻辑加密卡 具有防止对卡中信息随意改写功能的存储IC卡； 当对加密卡进行操作时必须首先核对卡中密码。 IC卡核对密码方式与磁卡的不同，它是将密码送入卡中，当核对正确时卡中送出一串正确应答信号，然后才能进行下一步操作。 7.1 认证的基本原理 逻辑加密卡 一般加密卡均有一个错误计数器，每核对密码错误一次，计数器加1，如4次错误，卡片自动锁死不有再次使用。 这一特点在地提高了防止非法解密，因此这种卡片得到了广泛的推广和应用，尤其做为电子钱包、信息密码等十分适合。 7.1 认证的基本原理 CPU卡 CPU卡是一种具有微处理器芯片的IC卡，它的安全级别和存储容量比加密卡更高。 CPU卡除了有数据存储器(EEPROM)外，还有处理器、工作存储器(RAM)、程序存储器(ROM)等。 7.1 认证的基本原理 智能卡认证机制 挑战/响应认证 时间/同步认证 事件/同步认证 7.1 认证的基本原理 (1)挑战/响应认证 7.1 认证的基本原理 (2)时间/同步认证,需要服务器端与客户端时间同步。 7.1 认证的基本原理 (2)时间/同步认证,需要服务器端与客户端时间同步。 7.1 认证的基本原理 (3)事件同步认证，密码序列，动态密码。 基于事件同步认证技术是把变动的数字序列(事件序列)作为密码产生器的一个运算因子，与用户的私有密钥共同产生动态密码。 这里的同步是指每次认证时，认证服务器与密码卡保持相同的事件序列。 7.1 认证的基本原理 7.1 认证的基本原理 7.1 认证的基本原理 JAVA卡是一种可以运行JAVA程序的接触式微处理器IC卡，卡中运行的程序叫 Applet。 Applet可以动态装载到JAVA卡上。 JAVA卡的API为IC卡制定了一个JAVA语言特殊子集。 JAVA卡的出现使智能卡的编程变得既快又简单，其应用程序可以在任何支持JAVA卡API 的IC卡上运行。 7.1 认证的基本原理 4 生物特征认证 用于认证的生物特征应具有： 普遍性 唯一