身认证2.pptVIP

信息安全的研究内容 身份认证 为了保护网络资源、落实安全政策，需要提供可追究责任的机制，这里涉及到三个概念：认证、授权和审计。 （1）认证（Authentication）是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员、某个组织的代理、某个软件过程（如交易过程）。 （2）授权（Authorization）是指当用户身份被确认合法后，赋予该用户进行文件和数据等操作的权限。 （3）审计（Auditing） 每个人都应该为自己所做的操作负责，所以在做完事情之后都要留下记录，以便核查责任。 身份认证概述 一、认证的基本概念 在现实生活中，我们个人的身份主要是通过各种证件来确认的，比如：身份证、户口本等。 认证是对网络中的主体进行验证的过程，用户必须提供他是谁的证明，他是某个雇员，某个组织的代理、某个软件过程（如交易过程）。 认证( authentication )是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization )不同 身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。 身份认证概述 二、网络环境下对身份认证的需求 唯一的身份标识（ID）: uid，uid@domain DN: C=CN/S=Beijing /O=Tsinghua University/U=CS/ CN=Duan Haixin/Email=dhx@ 抗被动的威胁（窃听），口令不在网上明码传输 身份认证概述 二、网络环境下对身份认证的需求 抵抗主动的威胁，比如阻断、伪造、重放,网络上传输的认证信息不可重用 身份认证概述 二、网络环境下对身份认证的需求 双向认证 单点登录（Single Sign-On） 用户只需要一次认证操作就 可以访问多种服务 身份认证概述 三、身份认证的物理基础 基于你所知道的（What you know ） 知识、口令、密码 身份认证概述 三、身份认证的物理基础 基于你所拥有的（What you have ） 身份证、信用卡、钥匙、智能卡、令牌等 身份认证概述 三、身份认证的物理基础 基于你的个人特征（What you are） 指纹，笔迹，声音，手型，脸型，视网膜，虹膜 生物识别方法，利用用户独特的生理特征（指纹、眼膜、手写签名等）来认证用户身份。 ##基于智能卡的身份认证 ?##基于生物特征的身份认证 身份认证概述 身份的零知识证明 最小泄露证明 某个协议向V证明P的确掌握某些信息，但V无法推断出这些信息是什么，称P实现了最小泄露证明 要满足两个性质： P几乎不可能欺骗V：如果P知道证明，他可以使V以极大的概率相信他知道证明；如果P不知道证明，则他使得V相信他知道证明的概率几乎为零； V几乎不可能知道证明的知识，特别是他不可能向别人重复证明过程。 零知识证明 如果V除了知道P能够证明某一事实外，不能够得到其他任何知识，称P实现了零知识证明 满足第三个条件：V无法从P那里得到有关证明的知识。 身份认证概述 五、身份认证协议的分类 按照认证的方向分类 单向认证协议 双向认证协议 按照使用的密码技术分类 基于对称密码的认证协议 基于公钥密码的认证协议 身份认证概述 五、身份认证协议的分类 双向认证协议 是最常用的协议 就是使通信双方都相互确认对方的身份，适用于双方都在线的情况。 基于认证的密钥交换核心问题有两个 保密性 时效性 身份认证概述 五、身份认证协议的分类 单向认证协议 不需要双方相互认证，只需一方确认另一方的身份 。 适用于一方在线的情况 。一方在向对方证明自己身份的同时，即可发送数据；另一方收到后，首先验证发送方的身份，如果身份有效，就 可以接受数据 身份认证概述 五、身份认证协议的分类 基于对称密码的双向认证协议 是指认证过程采用双方事先共用的密钥。  A→KDC：IDA║IDB║N1； KDC→ A：EKa[KS║IDB║ N1 ║EKb[KS║IDA ]]； A→B： EKb[KS║IDA] ； B→A： EKS[N2] ； A→B： EKS[f(N2)] ； 身份认证概述 五、身份认证协议的分类 基于公钥密码的双向认证协议 是指认证过程中通信双方都必须知道对方的公钥。 A→KDC：IDA║IDB； KDC→ A：EKRauth[IDB║KUb]； A→B： EKUb[Na║IDA] ； B→KDC：IDB║IDA║ EKUauth[Na] ； KDC→ B：EKRauth[IDA║KUa] ║EKUb [EKRauth[Na║ KS║ IDA║IDB ]]； B→A： EKUa [EKRauth[Na║ KS║ IDA║IDB ] Nb] ； A→B： EKS[Nb] ； 身份认证概述 六、身份认