第八章身份认证fo达rstudent.pptVIP

第三部分 安全技术与产品 第八章 身份认证 身份认证的定义 所谓身份认证(Authentication)就是证实客户的真实身份与其所声称的身份是否相符的过程 。 身份认证机制限制非法用户访问网络资源，是其他安全机制的基础。 一个安全系统的逻辑结构 身份认证是安全系统中的第一道关卡 身份认证的依据 －单机状态 依据用户所知道的东西（Something the user knows），如密码、口令等 依据用户拥有的东西（Something the user possesses），如身份证、护照、密钥盘等，最常见的是基于智能卡的认证 依据用户所具有的生物特征（Something the user is or How he behaves），如指纹、声纹、虹膜、DNA等 身份认证－网络环境 网络环境下的身份认证较为复杂，主要是要考虑到验证身份的双方一般都是通过网络而非直接交互，象根据指纹等手段就难以实现。同时大量的黑客随时随地都可能尝试向网络渗透，截获合法用户口令并冒名顶替以合法身份入网。所以目前一般采用高强度的密码认证协议技术来进行身份认证。 PPP中的认证协议 对于拨号连接，PPP（Point－to－Point Protocol）是最常用的借助于串行线或ISDN建立拨入连接的协议。 PPP中的认证机制包括PAP（Password Authentication Protocol）、CHAP（Challenge Handshake Protocol）和EAP（Extensible Authentication Protocol） PPP的CHAP协议 CHAP使用三次握手过程，在连接建立后，服务器发出Challenge消息到发起者，发起者以一次哈希函数计算值响应。服务器检查这个值，如果合法，得到认证，如果不合法，立刻中止连接。 RADIUS简介 RADIUS是由朗讯公司提出的客户/服务器安全协议，现已成为Internet的正式协议标准（RFC 2138、2139和2200），为众多网络设备制造商所支持，是当前流行的AAA（认证Authentication 、授权Authorization和计费Accounting)协议 RADIUS是网络接入服务器（NAS）和后台服务器（RADIUS服务器）之间的一个常见协议，它使得拨号和认证这两种功能放在两个分离的网络设备上，在RADIUS服务器上存放有用户名和它们相应认证信息的一个大数据库，能提供认证（认证用户名和密码）和向用户发送配置服务类别的详细信息。 RADIUS结构图 RADIUS的特点 RADIUS协议使用UDP作为传输协议。使用两个UDP端口分别用于认证（以及认证通过后对用户的授权）和计费：1812号是认证端口，1813号是计费端口。 RADIUS服务器能支持多种认证方法。当用户提交用户名和密码时，RADIUS服务器能支持PPP PAP（口令认证协议）或者CHAP（质询握手协议），UNIX Login和其它认证方法。 RADIUS认证过程1 接入服务器从用户那里获取用户名和口令（PAP口令或CHAP加密口令），将其同用户的一些其他信息（如主叫号码、接入号码、占用的端口等）打成RADIUS数据包向RADIUS服务器发送，通常称为认证请求包。 RADIUS认证过程2 RADIUS服务器收到认证请求包后，首先查看接入服务器是否已经登记，然后根据包中用户名、口令等信息验证用户是否合法。如果用户非法，则向接入服务器发送访问拒绝包；如果用户合法，那么RADIUS服务器会将用户的配置信息（如用户类型、IP地址等等）打包发送到接入服务器，该包称为访问接受包。 RADIUS认证过程3 接入服务器收到访问接受/拒绝包时，首先要判断包中的签名是否正确，如果不正确将认为收到了一个非法的包。如果签名正确，那么接入服务器会接受用户的上网请求，并用收到的信息对用户进行配置，授权（收到了访问接受包）；或者是拒绝该用户的上网请求（收到了访问拒绝包）。 Kerberos认证服务 引言 ?Kerberos: part of Project Athena at MIT ?Greek Kerberos: 希腊神话故事中一种三个头的狗，还有一个蛇形尾巴，是地狱之门的守卫 ?Modern Kerberos: 意指有三个组成部分的网络之门的保卫者。“三头”包括 认证(authentication) 计费(accounting) 审计(audit) Kerberos 系统应满足的要求 ? 安全：网络窃听者不能获得必要信息以假冒其它用户；Kerberos 应足够强壮以至于潜在的敌人无法找到它的弱点连接 ? 可靠：Kerberos 应高度可靠并且应借助于一个分布式服务器体系结构，使得一个系统能够备份另一个系