网络安全原理与应用 第3章 身份验证技术及应用.ppt

2007-10-8 第3章 身份验证技术及应用基本概念 沈苏彬 南京邮电大学 信息网络技术研究所 关键知识点 身份验证是安全控制技术的第一步，也是最为关键的一步！如果身份验证出现错误，则无法分清敌友，也就无安全可言。 报文身份验证不同于人类身份验证。 报文摘要技术和报文验证码技术是目前较为有效的报文身份验证技术。 主要内容 身份验证基本概念 报文身份验证 身份验证协议 Kerberos身份验证系统 公钥基础设施PKI 身份验证基本概念 身份验证的作用 身份验证技术分类 身份验证内容 身份验证方式 身份验证的作用 身份验证的作用是鉴别真伪，它是安全控制系统的第一步，身份验证包括：身份标识和身份验证。 当前因特网缺乏安全性：主要问题是只有身份标识，没有身份验证的能力 链路层的标识：MAC地址缺乏身份验证 网络层实体，有标识（地址），无身份验证 传送层实体标识＝网络层标识＋端口号 身份验证发展历史* 通信安全技术中的身份验证技术：安全身份验证协议 其技术源于第二次世界大战期间防空系统识别友军和敌军飞机“质问－应答”身份验证协议。 计算机安全技术中的身份验证技术主要体现在口令系统和数字签名系统。 Unix系统身份验证 NT系统身份验证 网络系统身份验证* 网络系统身份验证技术是通信系统身份验证技术与计算机系统身份验证技术的结合 网络安全中，通常也采用安全身份验证协议，验证接入网络的用户身份。例如IETF标准化协议中的CHAP协议就是典型的“质问－应答”身份验证协议。 口令系统依然是网络安全中采用的一种身份验证的方法，特别是对网络应用系统而言，口令系统是最基本的身份验证系统。 身份验证技术分类 网络安全中的身份验证技术可分成两大类：人机交互类和报文传递类 人机交互类身份验证主要是识别作为使用者, 人, 的身份，验证过程中可以由人直接参与。 计算机安全系统中的身份验证技术通常是人机交互类身份验证技术 网络安全系统中涉及人机交互的网络应用系统的身份验证也是属于人机交互类身份验证 身份验证技术分类(续) 报文传递类身份验证主要识别接收对方报文的真实性，验证过程中人无法直接参与。 通信系统中的身份验证属于报文传递类身份验证 网络安全系统中报文传递系统的身份验证机制属于报文传递类身份验证. 报文传递类身份验证不涉及人机交互, 这是通过程序设置的身份验证过程. 网络环境下的身份验证既包括人机交互类身份验证, 也包括报文传递类身份验证. 身份验证内容 身份验证技术可以根据身份验证的内容不同分成： 基于知识的身份验证， 基于标志的身份验证， 以及基于特征的身份验证。 这样，身份验证的内容可以包括：被验证者掌握的“知识”，被验证者拥有的“标志”，以及被验证者唯一具有的“特征”。 身份验证内容(续1) 对于身份验证技术, 主要利用以下三项内容验证身份 What do you know? 例如口令系统 What do you have? 例如标识卡系统 What are you? 例如指纹识别系统 身份验证内容(续2) 基于知识的身份验证，也就是根据被验证者“知道什么”确定其身份。例如计算机安全系统中的口令系统，就是一种基于知识的身份验证技术。这种身份验证最容易掌握，也最容易被假冒。 在人机交互类身份验证技术中，基于知识的身份验证机制主要是指用户登录口令系统； 在报文传递类身份验证技术中，基于知识的身份验证机制主要是指基于“保密字”的报文验证码技术。 身份验证内容(续3) 基于标志的身份验证，也就是根据被验证者“拥有什么”确定其身份。只要被验证者拥有具有“标志”意义的物品，例如银行发行的信用卡，或者登录计算机系统的智能卡等。 在人机交互类身份验证技术中，基于标志的身份验证机制主要指采用身份识别卡的计算机或者网络登录系统。 在报文传递类身份验证技术，基于标志的身份验证机制主要指采用密钥的报文验证码技术。 身份验证内容(续4) 基于特征的身份验证，也就是根据被验证者“是什么”确定其身份。这种被验证者的“特征”通常是指不可假冒的、可以唯一标识被验证者的特征。 在人机交互类身份验证技术中，基于特征的身份验证机制主要是指人体眼虹验证系统，以及指纹验证系统。 在报文传递类身份验证技术中，基于特征的身份验证机制主要是指基于“接入设备特征（例如CPU序列号）”的报文验证码技术。 身份验证内容(续5) 以上介绍了3中身份验证的内容也可以简称为：“所知(对应英文What you know)”、“所有(What you have)”和“所是(What you are)”。 由于单项内容难以保证身份验证的安全性，通常采用多项内容组合的方法进行身份验证。 例如采用“所知”＋“所有”进行身份验证，持有身份标识卡的用户不仅需要插入标识卡，还需要输入口令。 例如采用“所知”＋“