《物联网信息安全》_第2章 4信息认证技术2)-认证的实现m.pptxVIP

认证与鉴定

认证活动又称为鉴别，是证明某人或对象身份的过

程，是认证者对被认证者

的确定的过程。

鉴定是判定识别个体的过程，

在现实世界，我们通过这个

人的生物特征，将他与其他

个体区别开来，比如DNA信息、虹膜、指纹等。

数字世界中，信息安全所能提供的安全方案也是对我们现实生活的模拟。;

使用钥匙打开房间门锁才能进入，是门锁对家庭成员的认证。这就象在数字世界中，我们使用用户名和口令。;

认证的目的

目的一一是验证信息的发送者是合法的，

而不是冒充的，即实体认证，包括信源、

信宿的认证和识别；

目的

二是验证消息的完整性，验证数据在

传输和存储过程中是否被篡改、重放或延迟等。;

在网络中，认证是

我们使用远程服务的前提。

认证贯穿与网络服

务的全部过程中。;

客户认证

一般基于源地

址而不是基于用户的访问授权的认证;

身份识别

利用事物本身的属性进行认证，比如个体的指纹、虹膜、DNA等个体特征。;

3.5.1认证的具体实现原理

1.使用验证者与共同知道的信息方式：

用户与口令方式

■用户名与口令是最简单的认证方式

■明文口令是最简洁的数据传输，保护口令不被泄密可以在用户和认证系统之间进行加密。;

3.5.1认证的具体实现原理

■单一加密形式下的用户名与口令传输方式适合的应用环境

■(a)用户终端可以直接连接认证系

■(b)认证数据库不为非法用户所获得。

■认证数据库通常情况下不会直接存放用户的口令，可以存放口令的hash值或是加密值。;

用户名与口令的认证实现方式

■用户将口令使用认证系统的公钥加密后传输给认证系统，认证系统对加密数据解密后得到口令，对此数据做hash(或是加密),将这一结果与数据库中的值做比较，若数据匹配，则是合法用户，否则不是。;

用户名与口令的认证实现方式;

口令数据库的加密存储

数据加密

口令存储

数据解密数据加密

比较hash结果是否相同;

挑战/应答式(质询/响应式)口令(1/2)

挑战/应答式(质询/响应式)口令

■是目??口令认证机制的基础。

■其原理适用于令牌与智能卡的认证。

■认证一个用户可以等同地证明这个用户拥有某个私钥，由于认证系统知道用户的公钥，因此可以选取一个随机数字发送给用户，用户收到后使用自己的私钥进行加密，然后传递给认证系统，认证者使用用户的公钥进行解密，然后比较解密结果是否等于随机数字。;

质询数据(接受挑战的随机数字)输入终端

计算数据数据计算

比较hash结果是否相同

挑战应答式;

挑战/应答式(质询/响应式)口令(1/2)

■口令一般并不是以明文的形式存在和使用，而是采用一些加强的处理之后才使用的。

■对口令加密：对口令的加密算法必须是单向的，

即只能加密，不能解密。在验证用户的口令时，

验证方用单向函数加密，并与存储的密文相比较，若相等，则确认用户的身份有效，否则确认用户身份无效。

■一次性口令：使用一次性口令作为身份认证方法，使得中途截获口令变得毫无意义。由于要产生大量的一次性口令，所以必须采用专用的设备来产生口令。;

中国菇行

中国保行MkroaoftlesternetLxplorer

中国银行;

挑战/应答式(质询/响应式)口令(1/2)

认证

服务器;

口令认证机制存在的弊端

■(1)口令的更新

(2)口令的记忆

(3)口令的概率分布

■人们使用的口令并非均匀随机地分布在可能的密钥空间。多数人出于方便的考虑，类似于A6KX853H这样随机、安全的密码总是很难进入到我们的数字生活中。;

口令认证机制存在的弊端

■假设非法者能够破译系统或是通过其他途径获得口令数据库，虽然口令数据库是口令的hash值，不能够逆向计算求得。

■但是，Mallory完全可以利用现有的口令字典计算那些现有口令的hash值，然后对二者进行比较，从而找到合适的匹配值。;

抵抗字典式攻击的办法

■在口令的后面添加由计算机产生的随机字符串，记为salt,然后把计算得到的hash值和salt值同时存储到数据中。

■如果随机数字salt取的符合一定要求，比如随机性能、长度等，能在一定程度上限制上述攻击。;

补充说明一

■安全的实现是有代价的。

■多数服务器在进行认证时只是存放用于进行用户识别的用户ID和口令特征的静态认证列表。

■这种方式的优点是配置简洁方便，缺点是破解者能够花费较小的代价获得口令列表。;

补