(物联网信息安全)第4章物联网身份认证、访问控制与安全审计技术.ppt

　　　　　　4.1 身 份 认 证4.1.1 身份认证的概念与分类　　1. 身份认证的概念　　认证(Authentication)是指对主客体身份进行确认的过程。身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。身份认证的基本方法有三种：用户物件认证、有关信息确认和体貌特征识别。 　　2. 认证技术的类型　　(1) 消息认证： 　　(2) 用户身份认证： 　　在真实世界中对用户的身份认证的基本方法可以分为以下三种：　　(1) 根据已知的信息证明身份(what you know，你知道什么)；　　(2) 根据已拥有的东西证明身份(what you have，你有什么)；　　(3) 直接根据独一无二的身体特征来证明身份(who you are ，你是谁)，比如指纹、面貌等。 4.1.2 常用的身份认证方式　　1. 静态密码认证　　静态密码是最简单也是最常用的身份认证方法，它基于“你知道什么”的验证手段。用户的密码是由用户自己设定的，只有他自己才知道，因此只要能够输入正确的密码，计算机就认为他是这个用户。 　　2.? USB Key认证　　从技术角度看，客户证书USB Key是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，以确保网上交易的保密性、真实性、完整性和不可否认性。 　　基于USB Key的身份认证方式主要有两种应用模式：　　1) 基于冲击—响应的双因子认证方式　　2) 基于数字证书的认证方式 　　USB Key结合了现代密码学技术、智能卡技术和USB技术，是新一代身份认证产品，它具有以下特点：　　(1) 双因子认证。 　　(2) 带有安全存储空间。 　　(3) 硬件实现加密算法。 　　(4) 便于携带，安全可靠。 　　3. 动态口令认证　　1) 动态口令认证简介　　动态口令技术是一种让用户的密码按照时间或使用次数不断地动态变化，每个密码只能使用一次的技术，它是基于“你有什么”的验证手段。它采用一种称为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。 图4-1 动态口令牌 　　2) 动态口令的产生 　　(1) 口令生成算法。 　　(2) 时间同步。 　　3) 用户密钥的产生和分配　　用户密钥数据是动态口令产生的基础，因此必须在非常安全的情况下产生和分配：　　(1) 密钥的分配和产生由维护模块负责，当用户进行注册时，服务器随机产生用户的密钥，然后分发给用户(分发时最好是让用户亲自来取)，并在自己的数据库中进行保存，以供以后产生口令时使用。　　(2) 用户可以根据需要申请服务器重新产生密钥数据。　　(3) 为了安全起见，密钥数据的保存必须经过加密保存。 　　4) 动态口令身份认证过程　　(1) 客户向认证服务器发出请求，要求进行身份认证。　　(2) 认证服务器从用户数据库中查询该用户是否合法，若不合法，则不作进一步处理。　　(3) 认证服务器内部产生一个随机数，作为“提问”，发送给客户。　　(4) 客户将用户名字和随机数合并，使用单向Hash函数(例如MD5算法)生成一个字符串。　　(5) 客户端利用动态口令生成算法产生动态口令(利用时间对密钥加密并摘要)，利用自己的动态口令对这个字符串进行加密，然后将加密的结果作为应答传给服务器。 　　(6) 认证服务器根据当前的时间计算用户的动态口令，然后用该口令对所接收到的应答串进行解密。　　(7) 认证服务器利用解密结果与自己的计算结果(Hash值)进行比较，若相同(实则验证密钥)，则通过一次认证；否则认证失败。　　(8) 认证服务器通知客户认证成功或失败。以后的认证由客户不定时发起，过程中没有客户认证请求这一步。两次认证的时间间隔不能太短，否则就给网络、客户和认证服务器带来太大的开销，也不能太长，否则不能保证用户不被他人盗用IP地址，一般定为1～2分钟。 　　5) 常用动态口令机制　　(1) 基于时间同步的动态口令机制。 　　(2) 基于事件同步的动态口令机制。 　　(3) 基于挑战/应答的动态口令机制。 　　 　　6) 安全性分析　　(1) 信道窃听： 　　(2) 穷举尝试和字典攻击： 　　(3) 重放攻击： 　　(4) 中间人攻击： 　　(5) 口令泄露： 　　4．短信密码认证　　短信密码以手机短信的形式请求包含六位随机数的动态密码，身份认证系统将随机的六位密码以短信形式发送到客户的手机上，客户在登录或者交易认证时输入此动态密码，从而