信息安全原理与技术ch06身份认证与访问控制.pptxVIP

信息安全原理与技术;第6章 身份认证与访问控制;6.1身份认证;图6.1身份认证是安全系统中的第一道关卡 ;单向认证和双向认证 软件认证和硬件认证 单因子认证和双因子认证 静态认证和动态认证 认证手段: 基于用户所知道的(what you know) 基于用户所拥有的(what you have) 基于用户本身的（生物特征如：语音特征、笔迹特征或指纹） ;6.1.1身份认证的基本方法 ;用户名/密码方式;IC卡认证方式;动态口令方式;生物特征认证方式;USB Key认证方式;6.1.2 常用身份认证机制 ;简单认证机制 ;口令认证过程： ??用户将口令传送给计算机； ②计算机完成口令单向函数值的计算； ③计算机把单向函数值和机器存储的值比较。 不足之处： 以明文方式输入口令容易泄密； 口令在传输过程中可能被截获； 口令以文件形式存储在认证方，易于被攻击者获取； 用户为了记忆的方便，访问多个不同安全级别的系统时往往采用相同的口令，使得攻击者也能对高安全级别系统进行攻击。 只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。;一次性口令(One-Time Password);基于DCE/Kerberos的认证机制;基于公共密钥的认证机制;基于挑战/应答的认证机制;基于挑战/应答的认证机制;提问-握手认证协议CHAP;（2）被认证方向认证方发回一个响应（response），该响应由单向散列函数计算得出，单向散列函数的输入参数由本次认证的标识符、秘诀（secret）和提问构成； （3）认证方将收到的响应与它自己根据认证标识符、秘诀和提问计算出的散列函数值进行比较，若相符则认证通过，向被认证方发送“成功”消息，否则，发送“失败”消息，断开连接。在双方通信过程中系统将以随机的时间间隔重复上述三步认证过程。 ;CHAP的优点 通过不断地改变认证标识符和提问消息的值来防止回放(playback)攻击。 利用周期性的提问防止通信双方在长期会话过程中被攻击。 虽然CHAP进行的是单向认证，但在两个方向上进行CHAP协商，也能实现通信双方的相互认证。 CHAP可用于认证多个不同的系统。 ;CHAP的不足 CHAP认证的关键是秘诀，CHAP的秘诀以明文形式存放和使用，不能利用通常的不可逆加密口令数据库。并且CHAP的秘诀是通信双方共享的，因此给秘诀的分发和更新带来了麻烦，要求每个通信对都有一个共享的秘诀，这不适合大规模的系统。 ;6.1.3 OpenID和OAuth认证协议;OpenID与OAuth;OAuth和OpenID的区别;OpenID协议的角色和标识;服务提供者RP(Relying Party) 支持使用OpenID登录的服务商，也就是用户要登录的网站。如LiveJournal、WikiSpaces等 身份标识页(Identity Page) 用户所拥有OpenID的URL地址以及其上所存放的文件 例如：在360网站上注册用户名为zhansan的用户希望登录美团网进行购物，则用户为zhangsan，360网站为身份提供者，而美团网是服务提供者。 ;OpenID的工作流程;(5)认证结束后，身份提供者将用户引导回服务提供者，同时返回的信息包含认证用户的结果判断，以及服务提供者需要的一些其它信息 。 (6)服务提供者判断返回信息的有效性，认证成功，用户即可使用相应的功能 OpenID的工作流程如图6.3所示;图 6.3 OpenID的工作流程 ;（1）终端用户请求登录RP网站，用户选择了以OpenID方式来登录。 （2）RP将OpenID的登录界面返回给终端用户。 （3）终端用户以OpenID登陆RP网站。 （4）RP网站对用户的OpenID进行标准化。OpenID以xri://、xri://$ip或者xri://$dns开头，先去掉这些符号；然后对如下的字符串进行判断，如果第一个字符是=、@、+、$、!，则视为标准的XRI，否则视为HTTP URL（若没有http,为其增加http://）。 ;（5）RP发现IDP，如果OpenID是XRI，就采用XRI解析，如果是URL，则用YADIS协议解析，若YADIS解析失败，则用HTTP发现。 （6）RP跟IDP建立一个关联。两者之间可以建立一个安全通道，用于传输信息并降低交互次数。 （7）IDP处理RP的关联请求。 （8）RP请求IDP对用户身份进行验证。 （9）IDP对用户认证，如请求用户进行登录认证。 （10）用户登录IDP。 ;（11）IDP将认证结果返回给RP。 （12）RP对IDP的结果进行分析。 （13）RP分析后，如用户合法，则返回用户认证成功，可以使用RP服务。;OpenID的交互流程如图6.4所示 ;O