电子商务安全与保密-第5章 身份认证与访问控制.ppt

华南理工大学计算机学院本科课程－－电子商务安全与保密 大纲第五章 身份认证与访问控制 身份认证概念 身份认证又叫身份识别，它是通信和数据系统的正确识别通信用户或终端的个人身份的重要途径。身份认证是安全系统中的第一道关卡，如图4－4所示，用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。 基本的身份认证方法 物理认证方法 主体特征认证 视网膜扫描、声音验证、指纹识别器。 口令机制 口令是约定的代码，假设只有用户和系统知道。 智能卡 访问不但需要口令，也需要使用物理智能卡。 一次性口令 用户每次使用不同的口令，需要口令发生器设备。 基本的身份认证方法 PAP 协议（Password Authentication Protocol） 用于 PPP（点对点）协议的身份认证协议，明文口令传输。 CHAP 协议（Challenge Handshake Authentication Protocol） 不在网络上传送口令信息， 比 PAP 具有更强的安全性。 一次一密实现方式 请求-应答方式 验证者AS需要与客户端产生相同的口令字（或者验证用户签名）用于验证用户身份。 询问-应答式 验证者提出问题（通常是随机数），由识别者回答，然后验证身份真实性。 Schnorr协议，Okanmto协议，GQ协议 身份认证协议 —— Kerberos 是美国麻省理工学院（MIT）开发的一种身份鉴别服务。 “Kerberos”的本意是希腊神话中守护地狱之门的守护者。 Kerberos提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。 Kerberos建立的是一个实现身份认证的框架结构。 其实现采用的是对称密钥加密技术，而未采用公开密钥加密。 公开发布的Kerberos版本包括版本4和版本5。 Kerberos的设计思路（1） 基本思路： 使用一个（或一组）独立的认证服务器（AS —Authentication Server），来为网络中的客户提供身份认证服务； 认证服务器 (AS)，用户口令由 AS 保存在数据库中； AS 与每个服务器共享一个惟一保密密钥（已被安全分发）。 会话过程： (1) C ? AS: IDC || PC || IDV (2) AS ? C: Ticket (3) C ? V : IDC || Ticket Ticket = EKV[IDC || ADC || IDV] Kerberos的设计思路 （2） 问题： 用户希望输入口令的次数最少。但多次使用会导致安全性下降 口令以明文传送会被窃听。 解决办法 可重用票据（ticket reusable）。 引入票据许可服务器（TGS - ticket-granting server） 用于向用户分发服务器的访问票据 认证服务器 AS 并不直接向客户发放访问应用服务器的票据，而是由 TGS 服务器来向客户发放 观众－收款员－售票员－电影院检票员 Kerberos中的票据 两种票据 两种票据在认证过程中的使用 一、服务许可票据（Service granting ticket） 是客户要求服务时需要提供的票据； 用 TicketV 表示访问应用服务器 V 的票据。 TicketV 定义为 EKv [ IDC‖ADC‖IDV‖TS2‖LT2 ] Kerberos中的票据 两种票据 二、票据许可票据（Ticket granting ticket） 客户访问 TGS 服务器需要提供的票据，目的是为了申请某一个应用服务器的 “服务许可票据”； 票据许可票据由 AS 发放； 用 Tickettgs 表示访问 TGS 服务器的票据； Tickettgs 在用户登录时向 AS 申请一次，可多次重复使用； Tickettgs 定义为 EKtgs [ IDC‖ADC‖IDtgs‖TS1‖LT1 ] Kerberos V4认证过程示意图 Kerberos V4认证过程(1) 第一阶段，认证服务器的交互，用于获取票据许可票据： (1) C → AS ：IDC‖IDtgs‖TS1 (2) AS → C ：EKc [ KC,tgs‖IDtgs‖TS2‖LT2‖Tickettgs ] 其中：Tickettgs = EKtgs [ KC,tgs‖IDC‖ADC‖IDtgs‖TS2‖LT2] Kerberos V4认证过程(2) 第二阶段，票据许可服务器的交互，用于获取服务许可票据： (3) C → TGS ：IDV‖Tickettgs‖AUC (4) TGS → C ：EKc,tgs [ KC,V‖IDV‖TS4‖Tick