文档介绍:第4章身份认证
数字签名—私章手写签名(小规模,熟人社会)
身份认证—身份证户口本(大规模,商业社会)
计算机网络领域的身份认证是通过将一个证据与实体的绑定实现的。
身份认证是其他安全机制的基础访问控制、安全审计、入侵防范等安全机制
第4章身份认证
用户认证(计算机认证人)
认证协议(计算机认证计算机)
Kerberos*(难)
(重点)
公钥基础设施PKI (重点)
网络认证服务标准
用户认证
计算机认证人的身份:你是否是你声称的那个人?用户认证是对访问者授权的基础。
用户认证的依据
所知的信息:密码、口令
所有的物品:身份证、护照、智能卡等
所具有的独一无二的身体特征:指纹、DNA等
基于口令的认证
基于智能卡的认证
基于生物特征的认证
静态口令:最简单,最易实现,最容易理解和接受
技术角度,静态口令必须解决的问题(2)
口令存储:明文易受字典攻击->加密存储,存散列值
口令传输:客户机传送到服务器上,协商好的加密算法或单项散列函数。
基于静态口令的认证方式存在的安全问题(6)
单因素; 便于记忆口令的攻击容易; 截获;
口令文件;不同安全级别相同口令;
口令无法抵抗重放攻击;单向认证
改进:动态口令
动态口令:一次性口令。用户登录系统进行身份认证的过程中,送入计算机中的验证数据是动态变化,如时间,E(用户名+密码+时间),产生无法预测的动态口令,以提高登录过程的安全性。
动态口令产生方式(4)
共享一次性口令表
口令序列
挑战响应方式
时间-事件同步机制--电子令牌卡
动态口令的技术特点:动态性、随机性、一次性、方便性。
基于智能卡的认证▲
基于USB Key认证当前流行的智能卡身份认证技术。
USB Key结合了现代密码学技术智能卡技术和USB技术,特点
双因子认证:pin码和硬件
带有安全存储空间
硬件实现加密算法:USB中加解密
便于携带,安全可靠
USB Key身份认证包括方式:
基于挑战应答的双因子方式。密钥不在内存网络传输
基于数字证书的认证方式。PKI技术 CA签发,USBKey数字证书的存储介质,保证数字证书不被复制,实现所有数字证书的功能。
采用人体具有的唯一的、可靠地、终生稳定的生物特征为依据,采用计算机图像处理和模型识别技术实现身份认证。
指纹、声纹、虹膜、视网膜、脸型、掌纹等
基于生物特征的身份认证的优点(4)但成本高
指纹识别过程
图像采集
预处理
特征提取
模板保存
图像采集
预处理
特征提取
匹配
生物模板
注册
认证
认证协议
分布式的网络环境,为了通信安全都要求有初始的认证握手过程。
单向认证
双向认证
单向认证:通信双方只有一方认证另一方身份
基于对称加密的单向认证(2) B认证A
A
A
IDA
挑战R
E(KAB,R)
B
A
A
IDA
E(KAB,R)
R
B
基于对称加密的KDC干预的单向认证
A
1) IDA|| IDB || N1
2) E(KA,[KAB||IDB||N1||� E(KB,[KAB||IDA])])
3) E(KB,[KAB||IDA])
B
KDC
1) A->KDC : IDA|| IDB || N1
2) KDC->A: E(KA,[KAB||IDB||N1||E(KB,[KAB||IDA]) ])
3) A->B: E(KB,[KAB||IDA])
基于公钥加密的单向认证(2) B认证A