文档介绍:1 第5章身份认证计算机系统安全 2一、认证的基本原理在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。认证是对网络中的主体进行验证的过程,用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如交易过程)。认证( authentication ) 是证明一个对象的身份的过程。与决定把什么特权附加给该身份的授权( authorization ) 不同。 3 ?问题的提出?身份欺诈?鉴别需求: 某一成员(声称者)提交一个主体的身份并声称它是那个主体。?鉴别目的: 使别的成员(验证者)获得对声称者所声称的事实的信任。 4一、认证的基本原理一、认证的基本原理通常有三种方法验证主体身份。 1)是只有该主体了解的秘密,如口令、密钥; 2)是主体携带的物品,如智能卡和令牌卡; 3)是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜图或签字等。单独用一种方法进行认证不充分 5 一个成熟的身份认证系统应该具有以下特征: 一个成熟的身份认证系统应该具有以下特征: 1 1、验证者正确识别对方的概率极大。、验证者正确识别对方的概率极大。 2 2、攻击者伪装以骗取信任的成功率极小。、攻击者伪装以骗取信任的成功率极小。 3 3、通过重放攻击进行欺骗和伪装的成功率极小。、通过重放攻击进行欺骗和伪装的成功率极小。 4 4、实现身份认证的算法计算量足够小。、实现身份认证的算法计算量足够小。 5 5、实现身份认证所需的通信量足够小。、实现身份认证所需的通信量足够小。 6 6、秘密参数能够安全存储。、秘密参数能够安全存储。 7 7、对可信第三方的无条件信任。、对可信第三方的无条件信任。 8 8、可证明安全性。、可证明安全性。 6 计算机系统采取的身份认证方法有很多??比如口令认证、比如口令认证、??智能卡认证、智能卡认证、??基于生物特征的认证、基于生物特征的认证、??双因素认证、双因素认证、??基于源地址的认证、基于源地址的认证、??数字证书和安全协议等。数字证书和安全协议等。 7 身份认证系统架构包含三项主要组成元件: 认证服务器(Authentication Server) 负责进行使用者身份认证的工作,服务器上存放使用者的私有密钥、认证方式及其他使用者认证的信息。认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login) 的设备或系统,在这些设备及系统中必须具备可以与认证服务器协同运作的认证协定。认证设备(Authenticator) 认证设备是使用者用来产生或计算密码的软硬件设备。 8 1)口令机制用户名/口令认证技术:最简单、最普遍的身份识别技术,如: 各类系统的登录等。口令具有共享秘密的属性,是相互约定的代码,只有用户和系统知道。例如,用户把他的用户名和口令送服务器,服务器操作系统鉴别该用户。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和 ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令;还有基于时间的口令 9 2)数字证书这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。非对称体制身份识别的关键是将用户身份与密钥绑定。 CA(Certificate Authority) 通过为用户发放数字证书(Certificate) 来证明用户公钥与用户身份的对应关系。第5讲认证 10 验证者向用户提供一随机数;用户以其私钥 KS 对随机数进行签名,将签名和自己的证书提交给验证方;验证者验证证书的有效性,从证书中获得用户公钥 KP ,以 KP 验证用户签名的随机数。