网络安全05-认证技术（二）.pptVIP

网络安全 认证技术 身份认证的概念 身份认证是计算机及网络系统识别操作者身份的过程 计算机网络是一个虚拟的数字世界，用户的身份信息是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权 现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份 保证操作者的物理身份与数字身份相对应 身份认证的功能 信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问 身份认证是整个信息安全体系的基础 用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据 防火墙、入侵检测、VPN、安全网关等安全技术建立在身份认证之上 针对数字身份进行权限管理，解决数字身份能干什么的问题 身份认证的分类 用户与主机之间的认证 – 认证人的身份 单机状态下的身份认证 计算机验证人的身份：你是否是你声称的那个人？ 人的存储和计算能力有限 记忆高数量的密码密钥困难 执行密码运算能力有限 主机与主机之间的认证 – 通信的初始认证握手 网络环境下的身份认证 计算机验证计算机 计算机存储和计算能力强大 能存储高数量的密码和密钥 能够快速地进行密码运算 认证人的身份 认证人的身份 所知 (what you know) 密码、口令 所有 (what you have) 身份证、护照、智能卡等 所是 (who you are) 指纹、DNA等 用户名/密码方式 用户设定密码，计算机验证 易泄露 用户经常用有意义的字符串作为密码 用户经常把密码抄在一个自己认为安全的地方 密码是静态的数据，每次验证过程使用的验证信息都是相同的，易被监听设备截获 用户名/密码方式一种是极不安全的身份认证方式 可以说基本上没有任何安全性可言 IC卡认证 IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据，可以认为是不可复制的硬件 IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份 IC卡硬件的不可复制可以保证用户身份不会被仿冒 IC卡中读取的数据还是静态的 通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息 动态口令 1 是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。 专用硬件：动态令牌 内置电源、密码生成芯片和显示屏 密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上 认证服务器采用相同的算法计算当前的有效密码 用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认 动态口令 2 优点 每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件 一次一密，每次登录过程中传送的信息都不相同，以提高登录过程安全性 缺点 动态令牌与服务器端程序的时间或次数必须保持良好的同步 使用不便 生物特征认证 采用每个人独一无二的生物特征来验证用户身份 指纹识别、虹膜识别等 生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份 受到现在的生物特征识别技术成熟度的影响 USB Key认证 近几年发展起来的一种方便、安全、经济的身份认证技术 软硬件相结合 一次一密 USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证 可使用以上几种技术保护USB Key本身的安全 特点比较 安全握手协议的基本思想 网络环境中的认证 分布式的网络环境 大量客户工作站和分布在网络中的服务器 服务器向用户提供各种网络应用和服务 用户需要访问分布在网络不同位置上的服务 服务器的安全 服务器需要通过授权来限制用户对资源的访问 授权和访问控制是建立在用户身份认证基础上的 通信安全都要求有初始认证握手的要求 单向认证 只有通信的一方认证另一方的身份，而没有反向的认证过程 电子邮件 不要求发送方和接收方同时在线 邮件接收方对发送方进行认证 单向认证不是完善的安全措施，可以非常容易地冒充验证方，以欺骗被验证方 原始的单向认证技术 基于密码技术的单向认证 不再发送明文的用户名和密码，而是基于“挑战 – 响应”方式 符号 f(KAlice-Bob, R)：使用Alice和Bob的共享秘密、按照某种规则对R做密码变换 KAlice-Bob{R}：使用KAlice-Bob作为共享密钥，基于秘密密钥算法对R进行加密 h(KAlice-Bob, R)：计算R和KAlice-Bob的哈希值 [R]Alice：Alice使用私钥对数据R签名 {R}Alice：使用Alice的公钥对数据R加密 基于共享秘密的单向认证技术 - 1 基于共享秘密的单向认证技术 - 2 基于共享秘