网络安全身份认证及其应用.pptx

8.1 引 言身份认证(身份识别与验证，Identification and Authentication)安全防御的第一道防线，用户获得访问权限的第一步访问控制的基础（第9章） 访问控制：识别和区分用户，然后赋予访问权限最小特权原理(Least Privilege Theorem)，系统中的每个主体执行授权任务时，仅被授予完成任务所必需的最小访问权限用户审计的基础（第9章） 用户审计：计算机系统活动与用户的关联（记录、分析和报告）8.2 身份认证的方法识别 Identification ：身份声明；验证 Authentication ：检验身份声明的有效性目前用来验证用户身份的方法有： 用户知道什么(如口令、个人身份号码(PIN)、密钥等)用户拥有什么(令牌，如ATM卡或智能卡等)用户是谁(生物特征，如声音、手写识别或指纹识别等) 8.2.1 基于用户知道什么的身份认证口令用户输入用户标识和口令(或PIN码)?系统对输入的口令与此前为该用户标识存储的口令进行比较?如果匹配，该用户就可得到授权并获得访问权优点：简单、普及、有效问题：容易被猜出；一用户，多服务器，多口令，不方便8.2.2 基于用户拥有什么的身份认证令牌记忆令牌(磁卡、ATM卡) 只存储信息，和身份识别码一起使用智能卡 采用内置微处理器，支持多种接口和协议8.2.3 基于用户是谁的身份认证 生物特征识别生理属性(如指纹、视网膜识别等)行为属性(如声音识别、手写签名识别等)高安全性不成熟，欠稳定，费用高8.3第三方认证 所谓第三方认证就是在相互不认识的实体之间提供安全通信。为互不认识的实体提供安全通信的保证。Kerberos认证系统：最早提出的第三方认证机制，依靠密钥技术（对称密码系统）X.509认证系统：由ISO开发，基于公开密钥（非对称密码系统），安全性更高，在分布式IA系统中更方便 8.3.1 Kerberos概述由麻省理工学院(MIT) 开发提供安全、可靠、透明、可伸缩的认证服务基于对称密码学(DES或其它算法)：服务器与每个实体分别共享一个不同的秘密密钥（对称的含义）；是否知道该秘密密钥便是实体身份的证明。Kerberos模型组成（图8-3箭头有误，正确的参见图8-4）：客户机（第一方）应用提供服务器（第二方）认证服务器(Authentication Server) ：可信仲裁者（第三方）依据密钥的身份认证（秘密密钥数据库(KDC)）会话密钥的产生和分发（用于客户机和Ticket-Granting Server的一次性通信）票据授予服务器(Ticket-Granting Server) 向已通过认证的用户发放用于获取服务的票据（向第二方，即应用提供服务器证明第一方的身份）域认证和资源访问TGS①请求一张票据②TGT返回给客户AuthenticationService (AS)③TGT, 发送请求应用服务器的票据④返回应用服务器票据KerberosTicket客户端GrantingService(TGS)⑤ 给应用服务器发送会话票据⑥(可选)发送身份确认消息给客户密钥分发中心(KDC)应用服务器图8-3 Kerberos组成图8-4 Kerberos认证消息交换过程 8.3.3 Kerberos基础结构和交叉领域认证认证服务器：管理用户有限?需要多个认证服务器领域(Realm)：某个特定认证服务器和在该服务器上注册的用户交叉领域认证：允许一个委托人(Principal)C向注册在另外一个域的应用服务器V证明C的身份支持交叉领域认证的条件：用户必须是在Kerberos系统注册的应用服务器接受Kerberos系统的认证权威不同领域的Kerberos服务器之间能够互相认证：互相注册，互相共享密钥。图8-5 交叉领域认证8.4 X.509ITU（国际电信联盟，标准制定组织）“开放性系统互连——目录服务：认证体系X.509”目录：维护用户信息数据库的服务器或分布式服务器集合，用户信息包括用户名到网络地址的映射和用户的其它属性（如用户的公钥证书） 。X.509：定义了X.500目录向用户提供认证的业务框架（不同等级的认证方法、证书的格式和管理、密钥的产生）定义了基于公钥证书的认证协议定义了基于公钥密码体制的数字签名机制X.509主要内容：简单认证(Simple Authentication)程序：使用最常见的口令(Password)认证，安全度较低强认证(Strong Authentication)程序：使用公开密钥密码技术，高安全度 密钥及证书管理：公开密钥管理以及证明密钥正确性的证书管理证书扩充及证书吊销列表扩充(Certificate and CRL Extensions) 8.4.1 认证协议——简单认证过程基于口令（用户与服务器共享口