文档介绍:身份认证技术
第一页,共70页。
本节主要内容
身份认证技术概述
1
基于口令的身份认证
2
对称密码认证
3
非对称密码认证
4
生物认证技术
5,计算机将x101存在A的名字旁边。
第一次登录,键入x100
以后依次键入xi,计算机计算f(xi),并将它与xi+1比较。
一次性口令认证(OTP)
第十四页,共70页。
众人科技的介绍
第十五页,共70页。
口令管理
口令管理
口令属于“他知道什么”这种方式,容易被窃取。
口令的错误使用:
选择一些很容易猜到的口令;
把口令告诉别人;
把口令写在一个贴条上并把它贴在键盘旁边。
口令管理的作用:
生成了合适的口令
口令更新
能够完全保密
第十六页,共70页。
口令管理
口令的要求:
包含一定的字符数;
和ID无关;
包含特殊的字符;
大小写;
不容易被猜测到。
跟踪用户所产生的所有口令,确保这些口令不相同,
定期更改其口令。
使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份:
网络管理员使用的工具:口令检验器
攻击者破获口令使用的工具:口令破译器
第十七页,共70页。
口令管理
口令产生器
不是让用户自己选择口令,口令产生器用于产生随机的和可拼写口令。
口令的时效
强迫用户经过一段时间后就更改口令。
系统还记录至少5到10个口令,使用户不能使用刚刚使用的口令。
限制登录次数
免受字典式攻击或穷举法攻击
第十八页,共70页。
对称密码认证
基于对称密码算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密钥(通常存储在硬件中),该密钥在询问—应答协议中处理或加密信息交换。
单向认证:仅对实体中的一个进行认证。
双向认证:两个通信实体相互进行认证。
第十九页,共70页。
对称密码认证-Kerberos
1. Kerberos 简介
2. Kerberos 缺陷
第二十页,共70页。
Kerberos 简介
Kerberos 麻省理工学院为Athena 项目开发的一个认证服务系统
目标是把UNIX认证、记帐、审计的功能扩展到网络环境:
公共的工作站,只有简单的物理安全措施
集中管理、受保护的服务器
多种网络环境,假冒、窃听、篡改、重发等威胁
基于Needham-Schroeder认证协议,可信第三方
基于对称密钥密码算法,实现集中的身份认证和密钥分配, 通信保密性、完整性
第二十一页,共70页。
Kerberos的工作原理
假设你要在一台电脑上访问另一个服务器(你可以发送telnet或类似的登录请求)。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。
要得到这张入场券,你首先要向验证服务器(AS)请求验证。验证服务器会创建基于你的密码(从你的用户名而来)的一个“会话密钥”(就是一个加密密钥),并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。
然后,你把这张允许入场的入场券发到授权服务器(TGS)。TGS物理上可以和验证服务器是同一个服务器,只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。
服务器或者拒绝这张票据,或者接受这张票据并执行服务。
因为你从TGS收到的这张票据是打上时间戳的,所以它允许你在某个特定时期内(一般是八小时)不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。
第二十二页,共70页。
一个简单的认证对话
C和V都必须在AS中注册,共享密钥KC,KV
(1) C AS : IDc || Pc ||IDV
(2) ASC : Ticket
(3) C V : IDc || Ticket
Ticket=EKv(IDc|| ADc || IDv)
AS
V
C
(1)
(2)
(3)
C = Client�AS= Authentication Server�V = Server�IDc = identifier of User on C �IDv= identifier of V�Pc = password of user on C�ADc = network address of C�Kv = secret key shared bye AS and V �|| = concatention
问题一:明文传输口令
问题二:每次访问都要输� 入口令
第二十三页,共70页。
一个更加安全的认证对话
认证