身份认证及kerberos.pptVIP

身份认证和Kerberos认证协议 网络环境下的身份认证 在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。 而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。 如何保证操作者的物理身份与数字身份相对应？ 实现身份证明的基本途径 身份认证的实现 认证 身份认证技术分为：常规的“口令”代码认证、动态口令认证、生物技术(指纹、虹膜、面容等)认证、通过第三方发放的数字证书(CA)认证等。 常规的“口令”代码认证是计算机系统的早期身份认证产品， 因其“口令”的静态特性和重复使用性，存在易窃取、易猜测、易破解等安全缺陷，是一种弱身份认证系统，只能用于安全等级要求较低的信息系统。 动态口令认证、生物技术认证和数字证书认证是强身份认证系统，可用于政府、金融、企业等重要信息系统的安全认证。 单机状态下的身份认证 在单机状态下，信息系统用户登录到计算机，一般使用以下几种认证方式： 账户/口令方式 IC卡认证方式 生物特征认证方式 1、账户/口令认证方式 账户/口令认证方式是基于“what you know”的认证手段。方法的内涵是： 用户账号（也称用户标识UserID）+口令（Password）=某人的身份 在安全性要求不高的情况下还在广泛地应用，目前的口令机制大体上可分成两种： ①明文式口令：由用户自己确定一个一般由数字和字母组合而成的字符串，要尽量避免使用单词、姓名、生日、电话号码等易被猜出或者易被字典式攻击的字符组合。 ②计算式口令：可以在一定程度上解决口令文件丢失或泄密问题。用的口令不是直接存放在信息系统中，而是经过了某种数学计算后才存放到系统中，而从存放的内容不可能推算出原始的口令。 比如口令为一个字符串组合X，存放的结果内容是Y，而Y=F(X),这里的F是一个单项散列函数（也称Hash函数），想要从得到的Y计算出X几乎是不可能的。而从X却很容易计算得到Y，与事先存放在口令文件中的Y相比较，就可以确定登录的是否为合法用户。 实际上，由于口令是静态的数据，在认证过程中需要在计算机内存中和网络中传输，而每次认证使用的认证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此在保密程度要求稍高一些的地方，账户/口令方式已经被认为是一种极不安全的身份认证方式。 2、 IC卡认证方式 IC卡基本原理 软件就是指带MPU的智能IC卡中所实现的IC卡系统监控程序或IC卡操作系统，而IC卡操作系统则更为完善、复杂。 一个典型的操作系统可以按OSI模型分成物理层（1层）、数据传输层（数据链路层/2层）、应用协议层（应用层/7层）三层。每一层由一个或几个相应的功能模块予以实施。 3、生物特征认证方式 所谓生物特征识别技术是指通过计算机利用人体所固有的特征或行为来进行个人身份鉴定。常用的生物特征包括面相、虹膜、指纹、掌纹、声音等。 与传统的身份鉴定手段相比，基于生物特征识别的身份认证技术具有以下优点：一是不易遗忘或丢失；二是防伪性能好，不易伪造或被盗；三是“随身携带”，随时随地可以使用。 指纹识别认证 指纹的三个特性是指纹识别技术的基础，即分别指的是： （1）每个人的指纹形状终身不变 （2）每个人的指纹各不相同 （3）指纹的触物留痕 指纹扫描技术大体可以分为两类：确认系统，如AFIS（自动指纹确认系统）和核对系统，这两种系统关键的区别在指纹模板。核对系统同样需要获取指纹图像，但这种技术并不保存完整的指纹图像，它只是通过一些算法处理，把指纹的一些特定的数据保存在一个相对较小的模板（250-1000字节）中。 指纹识别技术算法的工作原理为：当一个高质量的图像被拾取后，它必须被转换成一个有用的格式。如果图像是灰度图像，相对较浅的部分会被舍弃，而相对较深的部分被变成了黑色。嵴的像素由5到8个被缩细到一个像素，这样就能精确定位嵴断点和分岔了。 虹膜识别认证 虹膜是环绕在瞳孔四周有色彩的部分。每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构。 每一个人的虹膜各不相同，一个人的左眼和右眼就可能不一样，即使是双胞胎的虹膜也可能不一样。 人的虹膜在出生后6-18个月成型后终生不再发生变化。 虹膜识别的工作流程 虹膜技术的优点：　　识别精度高，错误率小于百万分之一；　　稳定性好，两岁后虹膜终生不变，受损害的可能性小；　　采集相对方便； 虹膜技术的缺点：　　很难将图像获取设备的尺寸小型化；　　需要昂贵的摄像头聚焦，一个这样的摄像头的最低价为