第四章第热烈三部分身份认证.pptVIP

身份认证 本节内容 1.身份认证的概念 2.身份认证的方法 3.身份认证的模型 4.典型身份认证协议 5.其他身份认证产品 1.1身份认证的概念 身份认证一般是通过对被认证对象的一个或多个参数进行验证，从而确定被认证对象是否有效。 身份认证是整个安全系统的第一道关卡，如果它被攻破，则整个安全系统将处于危险之中。 身份认证3大概念： 认证（authentication）：在进行任何操作之前必须有有效的方法来识别操作执行者的真实身份。 授权（ authorization ）：是指当用户通过认证后赋予该用户操作文件和数据的权限，这些权限包括读、写、执行、从属权等。 审计（auditing）：每一个用户在做完某一个操作后，系统都有相应的记录，以便核查。 2.身份认证的方法 口令认证 智能卡认证 生物认证 2.1口令认证 口令认证是最基本的认证方法，该认证过程是由用户先在系统中注册自己的用户名和密码，然后登陆系统时输入用户名密码即可。 2.2智能卡认证 口令认证的缺点在于无法识别口令拥有着是否为真实用户，并且口令易被盗用，所以出现了智能卡认证方式。 智能卡是一种个人持有物，它的作用类似于钥匙，用于启动电子设备。使用比较多的是一种嵌有磁条的塑料卡，磁条上记录有用于机器识别的个人信息。这类卡通常和个人识别号(PIN) 一起使用。这类卡易于制造，而且磁条上记录的数据也易于转录，因此要设法防止仿制。 另一种是电子口令卡，如U盾或者动态电子口令卡。 2.3生物认证 生物识别依据人类自身所固有的生理特征。生理特征与生俱来，多为先天性的，如指纹、眼睛虹膜、脸像等。正是因为这些别人很难具有的个人特征可以作为个人身份识别的重要依据。 生物识别因此包括指纹识别、虹膜识别、脸像识别、掌纹识别、声音识别、签名识别、笔迹识别、手形识别、步态识别及多种生物特征融合识别等诸多种类，其中，虹膜和指纹识别被公认为最可靠的生物识别方式。 3.身份认证的模型 无论哪种身份认证模式，都牵扯一个问题，就是密码如何在认证的过程中进行保密，根据这一要求结合目前的密码体制，一共产生了以下几种认证模型。 基于对称密码的单向认证模型 基于非对称密码的单向认证模型 基于非对称密码的双向认证模型 3.1基于对称密码的单向认证模型 这个模型下有两种方式，一种是密码（即口令）以明文方式发送，一种是密码不发送，而是以一种挑战应答的方式进行。 3.2基于非对称密码的单向认证模型 由于非对称密钥密码体制的先天优势，在认证中也被很好的加以利用。 3.3基于非对称密码的双向认证模型 虽然单向认证适合较多的场合，但用户无法验证服务器的真伪。随着今年来钓鱼攻击的泛滥，用户越来越多的希望能够验证服务器的真伪，此时就需要用到双向认证了。 双向认证中，使用基于数字证书的非对称双向认证是最为常见的，但为了验证服务方证书需要使用到KDC，由KDC来充当可信第三方。 4.典型身份认证协议 基于对称单向认证 PAP CHAP Kerberos v4 可基于非对称单、双向认证或对称单项的 数字证书 EAP 802.1X Kerberos v5 4.1 PAP（口令验证协议） PAP认证是为PPP协议专门开发的一种认证协议，旨在解决拨号用户身份口令验证的问题。 该协议的特点是： 认证进程只在双方通信链路建立时进行，如果认证成功，在通信过程中不再进行认证，如果失败，则直接中断链路。 PAP的用户名和口令是以明文方式发送的，这样容易被协议分析软件捕获。 PAP认证中，大小写是敏感的。 目前各类宽带接入均使用该方式。 4.2 CHAP（质询握手协议） Chap协议认证比PAP更加安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法生成的随机序列，也被称为“挑战字符串”，同时身份认证可以随时进行，包括在双方正常的通信过程中，以便可以定时更换会话密钥。这样即使非法用户能够截获一次会话密钥，该密码也会在一定时间后失效。 sent [LCP EchoReq id=0x0 magic=0x4e7189cf] sent [CHAP Challenge id=0x3d 5c5af631bda942643bf02fdc998bedfbb0, name = ] 上边认证方发出了个一个challenage（挑战），并给出了认证方的服务器名 rcvd [LCP Ident id=0x2 magic=0x4551745b MSRASV5.10] rcvd [LCP Ident id=0x3 magic=0x4551745b MSRAS-0-PC-201003141949] rcvd [LCP EchoRep id=0x0 magic=0x4551745b] rcvd [CHAP Response id=0x3d a732d