第三章 信息加密及认证.ppt

* 如果函数H有2m个可能输出，那么对某个输入x，y，有H(x) = H(y)）的概率存在时： * 3）数字签名能验证某个合法实体与数据（行为）之间的关系，所以对于数字签名来说，发送方不能抵赖、接收方不能伪造，而身份认证却不一定具备这些特点。 4）身份认证技术的实现可能需要使用数字签名技术。 3.8 身份认证技术 * 身份认证的分类 计算机认证人的身份 用户认证 单机状态下的身份认证 计算机认证计算机的身份 认证协议 网络环境下的身份认证 身份认证系统架构包含三项主要组成元件： 认证服务器(Authentication Server) 负责进行使用者身份认证的工作，服务器上存放使用者的私有密钥、认证方式及其他使用者认证的信息。 认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login)的设备或系统，在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。 认证设备(Authenticator) 认证设备是使用者用来产生或计算密码的软硬件设备 身份认证系统 * 基于口令的身份认证 * 口令生成主要有两种方式：用户自己定义和由系统自动随机产生。 基于口令认证方法的优点在于：一般的系统如Unix、Windows NT、NetWare等都提供了对口令认证的支持，应用对象广泛，使用简单 用户设定静态密码，计算机验证 技术层面 口令存储 密文方式存储 UNIX—DES Windows—HASH 口令传输：一般采用CS模式，加密口令或散列函数运算后传输 安全问题 静态，暴力破解 传输过程容易被截获 系统中用户口令以文件形式存储，攻击者易获取文件信息 无法抵御重放攻击 只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。 静态口令 动态口令 是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。 用户进行认证时候，除输入账号和静态密码之外，必须要求输入动态密码，只有通过系统验证，才可以正常登录或者交易，从而有效保证用户身份的合法性和唯一性。动态口令最大的优点在于，用户每次使用的口令都不相同，使得不法分子无法仿冒合法用户的身份。 动态口令 动态口令产生方式 共享一次性口令表：口令集合，每个口令使用一次。 口令序列：口令为一个单向的前后相关的序列，系统只用记录第 N个口令。用户用第N－1个口令登录时，系统用单向算法算出第N个口令与自己保存的第N个口令匹配，以判断用户的合法性。由于N是有限的，用户登录N次后必须重新初始化口令序列。 挑战/响应：用户要求登录时，系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统，系统用同样的方法做验算即可验证用户身份 时间/事件同步：以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法 动态口令的生成设备 Token Card（令牌卡）用类似计算器的小卡片计算一次性口令。对于挑战/回答方式，该卡片配备有数字按键，便于输入挑战值；对于时间/事件同步方式，该卡片每隔一段时间就会重新计算口令；有时还会将卡片作成钥匙链式的形状，某些卡片还带有PIN保护装置。 Soft Token（软件令牌）用软件代替硬件，某些软件还能够限定用户登录的地点 动态口令 * 卡式令牌 时间、事件令牌 挑战应答型令牌 动态口令 优点 每次使用的密码必须由动态令牌产生，只有合法用户才持有该硬件 一次一密，每次登录过程中传送的信息都不相同，以提高登录过程安全性 缺点 动态令牌与服务器端程序的时间或次数必须保持良好的同步 双因子是指其中一个因子是只有用户本身知道的密码，它可以是个默记的个人认证号或口令；另一个因子是只有该 用户拥有的外部物理实体-智能安全存储介质，将这两个因子相结合的成为双因子身份认证。 如USB Key认证 近几年发展起来的一种方便、安全、经济的身份认证技术 软硬件相结合 一次一密 USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证 工行叫U盾，农行叫K宝，建行叫网银盾，光大银行叫阳光网盾 双因子身份认证 * 双因子身份认证 * 双因子身份认证的主要优点为： ① 存储的信息无法复制。 ② 具有双重口令保护机制和完备的文件系统管理功能。 ③ 某些智能安全存储介质还允许设置PIN猜测的最大值，以防止口令攻击 生物特征认证技术 * 生物特征认证技术利用人体所固有的、唯一的、可靠稳定的生理特征或行为特征来进行个人身份认证或识别，因而有更好的安全性、可靠性和有效性。