《网络安全》第十章-身份鉴别与认证.pptx

网络安全 CH10—身份鉴别与认证 1 目录（Contents） 2 AAA 用户对资源的访问过程: 认证（Authentication） 授权（Authorization） 审计/记账（Accounting） 3 引言 认证（Authentication）：在做任何动作之前必须要识别动作执行者的真实身份。又称为鉴别、确认。主要是通过标识符鉴别用户身份，防止攻击者假冒合法用户获取访问权限 授权（Authorization）：当用户身份被确认合法后，赋予该用户进行文件和数据等的操作权限，包括读、写、执行及从属权等 审计（Auditing）：每一个人都应该为自己所做的操作负责，所以在做完事情之后都要留下记录，以便核查责任 4 AAA机制 Authentication Authorization Accounting 认证 授权 记账/审计 5 AAA机制 几乎所有应用都支持身份识别的一些基本形式 用户名+密码 让大部分系统达到合理的安全性 主动检查不好的密码 教育用户选择好的密码 优先选择具有安全传输形式（如SSH，SSL）的应用 6 身份认证概述 身份认证：验证一个主体身份的真实性或证实某事件、某消息是否属实的过程，通过验证一个或多个参数的真实性和有效性，来验证被验证者是否名符其实 身份认证的方法有很多，如 基于被验证者所知道的（What you know,知识证明） 基于被验证者所拥有的（What you have,持有证明） 基于被验证者的生物特征（What you are,属性证明） 7 身份认证概述 简单口令认证—最常见，但也最不安全 基于密码学的口令认证 基于令牌的认证 基于生物特征的认证 8 基于口令的认证 基于单向函数的口令认证 9 口令更新 10 由Bellcore发行并在RFC1760中定义，是一个基于MD4、MD5的一次性口令生成方案 防止重放攻击 基于客户端/服务器模式 初始阶段，客户端和服务器必须设定相同的通行口令和一个迭代计数器 11 S/KEY一次性口令系统 客户初始化认证 12 S/KEY一次性口令系统 客户端 网络接入服务器 公共交换电话网PSTN 用口令“letmein”进行初始化 S/Key服务器 用口令“letmein”进行初始化 客户端计算一次性口令 13 S/KEY一次性口令系统 ①客户端将口令和种子链接在一起 ②客户端将链接后的口令和种子送入Hash函数进行序列号次迭代 ③生成的64比特的输出转化成可读格式（OTP） 网络接入服务器 公共交换电话网PSTN S/Key服务器 客户端 “letmein”+6 输出：HARD BITE LOAD HURT SAVE DEAD Hash函数 服务器认证一次性口令 14 S/KEY一次性口令系统 ①服务器上保存一个文件，该文件保存了每个用户上次登陆的一次性口令 ②服务器端将收到的一次性口令进行一次哈希运算，将结果与储存的一次性口令比较，如果一致，认证通过，并用新的OTP取代上次的OTP 网络接入服务器 公共交换电话网PSTN S/Key服务器 客户端 一次性口令经常和令牌卡结合起来。令牌卡又叫“智能卡”，里面有一个芯片和时钟，时钟和计算机的时钟同步。用户要进行认证，只需把智能卡插入，从屏幕上读出一次性口令，把口令正确地输入就可以了 用令牌卡实现一次性口令认证的例子: RSA公司的SecurID (/wiki/SecurID) Digital Pathways公司的SecureNet Key 15 一次性口令认证 基本思想：被认证方A通过密码学操作提供一个双方都知道的数值给认证方B，从而证明他的身份 最普遍的密码学认证手段：一次性口令 口令只能使用一次 思想：动态产生无法预测的口令，且口令只能用来访问系统一次 16 一次性口令认证 1992年Bellovin和Merritt提出的基于弱口令的密钥交换协议被称为加密密钥交换，简称为EKE 17 Bellovin-Merritt的EKE协议 Needham-Schroeder认证协议： 18 基于密码学的认证 指纹识别、视网膜识别、语音识别等多种生物识别技术 19 基于生物特征的认证 指纹 手掌、手型 视网膜、虹膜扫描 语音识别 面部扫描 动态签名 20 生物特征识别 第一类错误：错误拒绝率(FRR) 第二类错误：错误接受率(FAR) 交叉错判率(CER)：FRR=FAR的交叉点 CER用来反映系统的准确度 21 基于生理特征的认证系统的误判 % 安全性 FAR(II) FRR(I) CER 根据收到的数据包中包含的地址信息确认要访