第六章 身份认证.pptVIP

公钥加密体制 * * AS A B 2. 1. IDA|| IDB 3. 4. 6 7 End! * 111 * * 传统的身份证明： 一般是通过检验“物”的有效性来确认持该物的的身份。徽章、工作证、信用卡、驾驶执照、身份证、护照等，卡上含有个人照片(易于换成指纹、视网膜图样、牙齿的X适用的射像等)。 信息系统常用方式： 用户名和口令 * * * * 基于智能卡的身份认证 第5讲 认证 USB Key认证方式 优点： 便于携带、使用方便、成本低廉、安全可靠性很高 ，被认为将会成为身份认证的主要发展方向。 缺点： 安全性不如生物特征认证。 6.2 常用身份认证机制 简单认证机制 基于DCE/Kerberos的认证机制 基于公共密钥的认证机制 基于挑战/应答的认证机制 Ch6-身份认证与访问控制 * * 简单认证机制 口令认证 一次性口令(One-Time Password) Ch6-身份认证与访问控制 * * 口令认证 口令认证过程： ①用户将口令传送给计算机； ②计算机完成口令单向函数值的计算； ③计算机把单向函数值和机器存储的值比较。 不足之处： 以明文方式输入口令容易泄密； 口令在传输过程中可能被截获； 口令以文件形式存储在认证方，易于被攻击者获取； 用户为了记忆的方便，访问多个不同安全级别的系统时往往采用相同的口令，使得攻击者也能对高安全级别系统进行攻击。 只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。 一次性口令(One-Time Password) 一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。 确定口令的方法 两端共同拥有一串随机口令，在该串的某一位置保持同步； 两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步； 使用时戳，两端维持同步的时钟。 Ch6-身份认证与访问控制 * * 基于Kerberos的认证机制 Ch6-身份认证与访问控制 * * 图6.2 认证双方与Kerberos的关系 Kerberos是一种被证明为非常安全的双向身份认证技术。Kerberos既不依赖用户登录的终端，也不依赖用户所请求的服务的安全机制，它本身提供了认证服务器来完成用户的认证工作。 Kerberos的身份认证强调了客户机对服务器的认证；而其它产品，只解决了服务器对客户机的认证。 基于公共密钥的认证机制 使用符合X.509的身份证明 使用这种方法必须有一个第三方的授权证明（Certificates of Authority, CA）中心为客户签发身份证明。客户和服务器各自从CA获取证明，并且信任该授权证明中心。 优点:是非常安全的用户认证形式。 缺点：实现起来比较复杂，要求通信的次数多，而且计算量较大。 Ch6-身份认证与访问控制 * * 基于挑战/应答的认证机制 每次认证时认证服务器端都给客户端发送一个不同的挑战字串，客户端程序收到这个挑战字串后，做出相应的应答。 典型的认证过程为： （1) 客户向认证服务器发出请求，要求进行身份认证； （2) 认证服务器从用户数据库中查询用户是否是合法的用户，若不是，则不做进一步处理； Ch6-身份认证与访问控制 * * 基于挑战/应答的认证机制 （3) 认证服务器内部产生一个随机数，作为提问，发送给客户； （4) 客户将用户名字和随机数合并，使用单向Hash函数（例如MD5算法）生成一个字节串作为应答； （5) 认证服务器将应答串与自己的计算结果比较，若二者相同，则通过一次认证；否则，认证失败； （6) 认证服务器通知客户认证成功或失败。 Ch6-身份认证与访问控制 * * 提问-握手认证协议CHAP CHAP（Challenge Handshake Authentication Protocol）采用的是挑战/应答方法，它通过三次握手（3-way handshake）方式对被认证方的身份进行周期性的认证。 认证过程： （1）在通信双方链路建立阶段完成后，认证方（authenticator）向被认证方（peer）发送一个提问（challenge）消息； Ch6-身份认证与访问控制 * * （2）被认证方向认证方发回一个响应（response），该响应由单向散列函数计算得出，单向散列函数的输入参数由本次认证的标识符、秘诀（secret）和提问构成； （3）认证方将收到的响应与它自己根据认证标识符、秘诀和提问计算出的散列函数值进行比较，若相符则认证通过，向被认证方发送“成功”消息，否则，发送“失败”消息，断开连接。在双方通信过程中系统将以随机的时间间隔重复上