网络安全概述之认证技术基础培训课件.pptVIP

;1、概述;标识、认证、授权和稽查

标识：一种能够确保主体（用户、程序获进程）就是它所宣称的那个实体的方法

认证：证明、确认标识的正确性

授权：认证通过后，对主体访问资源的能力的安排。是操作系统的核心功能。

稽查：对主体行为的审核和记录;2、标识与认证;生物标识和认证;用于鉴别的生物特征;基于特征的生物认证方法需要遵守的几个标准;生物认证的一个主要问题是扫描的结果或多或少都会与模板不同

系统接受冒名顶替者的概率称作错误匹配率FAR（错误接受率）

系统拒绝授权个人的概率称作错误不匹配率FRR（错误拒绝率）

FAR与FRR相互制约;口令机制;对付外部泄露的措施

教育、培训；

严格组织管理办法和执行手续；

口令定期改变；

每个口令只与一个人有关；

输入的口令不再现在终端上；

使用易记的口令，不要写在纸上。;对付口令猜测的措施

教育、培训；

严格限制非法登录的次数；

口令验证中插入实时延迟；

限制最小长度，至少6~8字节以上

防止用户特征相关口令，

口令定期改变；

及时更改预设口令；

使用机器产生的口令。;有感知的口令;一次性口令;密码认证;存储卡;智能卡;3、授权;授权方法;默认拒绝;4、单点登录;脚本方式;Kerberos(科波罗斯);Kerberos认证过程（见图）

用户向AS认证

AS发送初时票证给用户

用户请求访问文件服务器

TGS使用会话迷药创建新票证

用户提取一个绘画迷药并将票证发给文件服务器;Kerberos弱点：

单点故障

必须实施处理大量信息

密钥需要暂时性的存在工作站上，存在威胁

会话密钥被解密后仍保留在缓存中，存在威胁

对密码猜测的字典攻击

密钥更新过程复杂;Sesame;认证过程

用户发送证书

AS发送令牌以与PAS通信

用户将令牌发给PAS，请求访问资源

PAS创建并发送PAC给用户

用户发送PAC向资源认证

（参见下图）;参考：

/Class/wlaq/0552123202324687222.htm

和本章有关的一些问题解答：

/Class/wlaq/index.html;;PKI：基于公钥密码体制的认证技术框架

MAC：消息认证

RSA：公钥密码算法

SHA：安全杂凑算法

DSS：数字签名标准

AS：认证服务器

CA：认证中心

RA：注册机构

RS：业???受理点

CRL：证书撤销列表

DES：数据加密标准

Recoverykey：私钥

Encryptedkey：密钥

;;一、认证基本概念;1、问题的提出;2、认证的种类;3、消息认证（1）;3、消息认证（2）;;一个安全的杂凑函数应该至少满足以下几个条件：

①输入长度是任意的;

②输出长度是固定的,根据目前的计算技术应至少取128bits长,以便抵抗生日攻击;

③对每一个给定的输入,计算输出即杂凑值是很容易的;

④给定杂凑函数的描述,找到两个不同的输入消息杂凑到同一个值是计算上不可行的，或给定杂凑函数的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。;4、身份认证（1）;4、身份认证（2）;5、认证协议（1）;5、认证协议（2）;二、身份认证基本情况;1、身份认证的作用;2、身份认证的分类（1）;2、身份认证的分类（2）;3、身份认证的组成（1）;3、身份认证的组成（2）;4、身份认证的要求;5、身份认证的实现途径