计算机安全保密____-07身份认证.ppt

2020 2 12 1 2020 2 12 2 第七章身份认证 7 1认证的基本原理7 2认证协议7 3典型的认证应用 2020 2 12 3 7 1认证的基本原理 1身份认证概述认证 是对网络中的主体进行验证的过程 认证过程中用户必须提供他是谁的证明 授权 身份认证的过程证明了一个对象的身份 进而决定授权赋予该对象的权利是什么 审计 基于日志 核查责任 2020 2 12 4 7 1认证的基本原理 2020 2 12 5 7 1认证的基本原理 认证需要提供身份证明 认证与记账相关联 单向认证和双向认证 2020 2 12 6 7 1认证的基本原理 身份认证系统主要组成元件有三 认证服务器 存放使用者的私有密钥 认证方式及其他使用者认证的信息 认证系统用户端软件认证设备 来产生或计算密码的软硬件设备 2020 2 12 7 7 1认证的基本原理 对身份认证系统进行攻击 数据窃听 Sniffer 拷贝 重传修改和伪造 2020 2 12 8 7 1认证的基本原理 在计算机网络中 使用三种方法去验证主体身份 只有该主体了解的秘密 如口令 密钥 主体携带物品 如智能卡 只有该主体具有的特征或能力 如指纹 零知识认证 2020 2 12 9 7 1认证的基本原理 彩虹天地ikey 2020 2 12 10 7 1认证的基本原理 2口令机制账号 口令 身份认证账号代表网络系统中某人的身份 口令验证某人的身份 口令不坚固 2020 2 12 11 7 1认证的基本原理 3智能卡 IC卡 1974年法国人RolandMorono发明IC卡 将具有存储 加密及数据处理能力的集成电路模块封装于信用卡大小的塑料片基中 便构成了智能 IC 卡 2020 2 12 12 7 1认证的基本原理 IC卡可分几种 非加密卡 加密卡 CPU卡 非接触型射频卡 IC卡标准 ISO7816 2020 2 12 13 7 1认证的基本原理 IC卡特点信息保存期 2 10年信息存储量 几千个字节保密性 高耐用性 擦写次数1万次以上灵活性 带有智能性被动的存储介质 2020 2 12 14 7 1认证的基本原理 IC卡技术主要包括四个方面 芯片技术制卡技术相关设备技术应用系统集成技术 2020 2 12 15 7 1认证的基本原理 IC卡芯片生产厂家德SIEMENS美Motorola Atmel法Gemplus Solatic Schlumberger荷兰Philips 2020 2 12 16 7 1认证的基本原理 按安全级别分类 非加密存储卡逻辑加密存储卡CPU卡 2020 2 12 17 7 1认证的基本原理 按与终端设备连接方式分类接触式 符合ISO标准的8个触点相连 非接触式卡 则通过光或无线电波完成与读写设备之间的通讯 目前的技术已可达到100mm的距离 2020 2 12 18 7 1认证的基本原理 2020 2 12 19 7 1认证的基本原理 2020 2 12 20 7 1认证的基本原理 2020 2 12 21 7 1认证的基本原理 2020 2 12 22 7 1认证的基本原理 非加密存储卡当对卡中内容进行操作 读 写 擦除 时无需核对密码 2020 2 12 23 7 1认证的基本原理 逻辑加密卡具有防止对卡中信息随意改写功能的存储IC卡 当对加密卡进行操作时必须首先核对卡中密码 IC卡核对密码方式与磁卡的不同 它是将密码送入卡中 当核对正确时卡中送出一串正确应答信号 然后才能进行下一步操作 2020 2 12 24 7 1认证的基本原理 逻辑加密卡一般加密卡均有一个错误计数器 每核对密码错误一次 计数器加1 如4次错误 卡片自动锁死不有再次使用 这一特点在地提高了防止非法解密 因此这种卡片得到了广泛的推广和应用 尤其做为电子钱包 信息密码等十分适合 2020 2 12 25 7 1认证的基本原理 CPU卡CPU卡是一种具有微处理器芯片的IC卡 它的安全级别和存储容量比加密卡更高 CPU卡除了有数据存储器 EEPROM 外 还有处理器 工作存储器 RAM 程序存储器 ROM 等 2020 2 12 26 7 1认证的基本原理 智能卡认证机制挑战 响应认证时间 同步认证事件 同步认证 2020 2 12 27 7 1认证的基本原理 1 挑战 响应认证 2020 2 12 28 7 1认证的基本原理 2 时间 同步认证 需要服务器端与客户端时间同步 2020 2 12 29 7 1认证的基本原理 2 时间 同步认证 需要服务器端与客户端时间同步 2020 2 12 30 7 1认证的基本原理 3 事件同步认证 密码序列 动态密码 基于事件同步认证技术是把变动的数字序列 事件序列 作为密码产生器的一个运算因子 与用户的私有密钥共同产生动态密码 这里的同步是指每次认证时 认证服务器与密码卡保持相同的事件序列 2020 2 12 31 7 1认证的基本原理 2020 2 12 32 7 1认证的基本原理 2020 2 12 33 7 1认证的基本原理 JAVA卡是一种可以运行JAVA程序的接触式微处理器IC卡 卡中运行的程序叫Applet Applet可以动态装载到JAVA卡上 JAVA卡的API为IC卡制定了一个JAVA语言特殊子集 JAVA卡的出现使智能卡的编程变得既快又简单 其应用程序可以在任何支持JAVA卡API的IC卡上运行 2020 2 12 34 7 1认证的基本原理 4生物特征认证用于认证的生物特征应具有 普遍性唯一行稳定性易采集性可接受性 2020 2 12 35 7 1认证的基本原理 应用生物特征是别身份的关键步骤 采集 特征提取编码 解码匹配认证 2020 2 12 36 7 1认证的基本原理 1 指纹独特性稳定性方便性 2 掌纹 3 视网膜血管图 2020 2 12 37 7 1认证的基本原理 4 虹膜 5 面孔 6 声音 7 笔迹 8 红外温谱图 9 步态识别 10 DNA 2020 2 12 38 7 1认证的基本原理 四个月大的人类胎儿已经形成指纹 1686年马尔丕哥教授运用当时新发明的显微镜观察手指 发现指纹都是从手指顶端的圆环和螺旋线中引出来的 1858年英国驻印度的行政长官威廉赫胥尔要求居民不但要在契约上签字 还要按上指纹印 1877年廉赫胥尔把指纹作为鉴定和识别犯人的工具 并在自己管辖的省内推广 2020 2 12 39 7 1认证的基本原理 1889年英国 自然 杂志发表了福尔茨医生的论文 指出一个人的指纹是终生不变而且是不可能更改的 1905年英国伦敦破获的一起凶杀案 被认为是世界上第一个用指纹来确定罪犯的案例 警视厅探员福克斯则是第一个运用指纹破案的人 2020 2 12 40 7 1认证的基本原理 指纹识别 2020 2 12 41 7 1认证的基本原理 Logware公司的i LoqTM协议保证了指纹识别模块与硬盘控制器之间的通信安全性 使用128位Blowfish算法加密文件 该硬盘与所有病毒防范软件 后备公用程序及分区管理软件等兼容 2020 2 12 42 7 1认证的基本原理 指纹处理匹配运算的全过程在 盘 上进行 一块盘只有一个主用户 主用户添加自己的指纹硬盘加锁 主用户可以添加 管理以及删除授权用户 其他用户在被授权后要添加自己的指纹 2020 2 12 43 7 1认证的基本原理 2020 2 12 44 7 1认证的基本原理 2020 2 12 45 7 1认证的基本原理 不依赖于操作系统 主板BIOS 应用程序和磁盘系统 断电或拔掉USB接口线后硬盘自动加锁 对恶意或错误的身份认证限制检测次数 使用专用屏幕保护 自动加锁硬盘 可对Email附件具有加密的功能 具有有效的备份机制和分区管理 主用户有最高的使用权限 2020 2 12 46 7 1认证的基本原理 2020 2 12 47 7 1认证的基本原理 2020 2 12 48 7 1认证的基本原理 2020 2 12 49 7 1认证的基本原理 2020 2 12 50 7 1认证的基本原理 2020 2 12 51 2020 2 12 52 7 1认证的基本原理 眼部识别器 2020 2 12 53 7 1认证的基本原理 每个人的血管排布格局都不同 测试 血管排布格局 验证使用者的身份 2020 2 12 54 2020 2 12 55 2020 2 12 56 2020 2 12 57 2020 2 12 58 2020 2 12 59 2020 2 12 60 2020 2 12 61 7 1认证的基本原理 NTTDoCoMo开发出一种不需要发声的语音识别系统 演示中能地识别出研究人员口形发出的元音 2020 2 12 62 语音识别的发展历史 1962年IBM做出第一台型号为7772的商用语音输出装置 1984年第一套基于大型计算机的语音识别系统面世 每个计算过程持续数分钟 大约能够识别五千个英文单词 1986年Tangora4样机通过专用微处理器第一次在台式机上能够实时处理和编辑语言 该系统已经包含有上下文检测功能 1990年DragonSystems公司做出第一套美国版本的Dragon语音识别系统 2020 2 12 63 语音识别的发展历史 1992年采用C S模型的Tangora技术 使用AIX操作系统的IBMRS 6000系统 在OS 2工作站上进行语音输入 1993年IBM做出售价为1000美元的纯粹PC机语音识别系统 Philips做出可进行连续语音识别的软件 1995年在CeBIT上IBM展示了一种带有医药学和法律学专业词汇的VoiceType语音识别系统 2020 2 12 64 语音识别的发展历史 1997年Philips推出C S解决方案SpeechMagic Lernout Hauspie公司开发出英文版的语音识别软件 1998年 IBM Dragon Lernout Hauspie和Philips公司相继推出了它们产品的个人版本 2020 2 12 65 7 2认证协议 1基于口令的认证固定口令一次性口令口令在许多情况下是明码形式 2020 2 12 66 7 2认证协议 针对固定口令攻击 网络数据流窃听认证信息截取 重放字典攻击穷举攻击窥探社交工程垃圾搜索 2020 2 12 67 7 2认证协议 口令猜中概率公式 P L R SL 口令生命周期R 进攻者单位时间内猜测不同口令次数S 所有可能口令的数目 2020 2 12 68 7 2认证协议 为降低猜中的概率 缩短口令使用寿命 降低进攻者单位时间内猜测尝试口令的次数 增加集合口令的数目 提高口令的字符个数 2020 2 12 69 7 2认证协议 安全口令 位数 6位增加口令强度 长度 混合 大小写把数字无序地加在字母中间使用非常用符号选择很难破译的加密算法 硬件解密技术 限制口令尝试次数 系统中只保存口令的加密形式 2020 2 12 70 7 2认证协议 对口令需要 审计管理找出弱口令控制弱口令 2020 2 12 71 7 2认证协议 基于口令的认证 基于单向函数 系统内只存放单向函数的值 不存储口令 掺杂口令 用一随机字符串与口令连接 再用单向函数计算 再将随机字符串的值和单向函数运算结果存入主机 SKEY 一次性口令 2020 2 12 72 7 2认证协议 一次性口令 OTP OneTimePassword 在登录过程中加入不确定因素 使每次登录过程中传送的信息都不相同 以对付重放攻击 进行口令认证的双方共同拥有一串随机口令 在该串的某一位置保持同步 适用于人工控制环境中 进行口令认证的双方共同使用一个随机序列生成器 使用相同的 种子 保持同步 进行口令认证的双方维持时钟同步 使用时间戳 2020 2 12 73 7 2认证协议 一次性口令的生成方式 使用TokenCard 硬件 计算一次性口令 使用挑战 回答方式时 该卡配有数字按键 输入挑战值 使用时间同步方式时 该卡每隔一段时间就重新计算口令 卡上还可带有PIN码保护装置 SoftToken 软件 某些软件能够限定用户登录的地点 2020 2 12 74 7 2认证协议 增加基于口令认证的安全性 利用时延 使用 生僻 口令 避免暴露无效用户 一次性口令 2020 2 12 75 7 2认证协议 2基于对称密码的认证1978年 Needham和Schroeder双向身份认证 密钥分发中心 KDC 是可信任机构 2020 2 12 76 7 2认证协议 1 A KDC A欲与B通信 明文消息中含大随机数Ra A KDC A B Ra 2 KDC A 使用KDC和A的共享密钥Ka加密消息 A与B的会话密钥Ks Ra B的名字 只有B看得懂的许可证Ekb Ks A Kb是KDC与B的共享密钥 KDC A Eka Ra B Ks Ekb Ks A 3 A B 发许可证Ekb Ks A 2020 2 12 77 7 2认证协议 4 B A B解密许可证得到与A的会话密钥匙Ks 再产生一个随机数Rb 将Eks Rb 发给A B A Eks Rb 5 A B Eks Rb 1 之后 A B开始使用Ks加密通信 2020 2 12 78 7 2认证协议 2基于对称密码的认证 2020 2 12 79 7 2认证协议 1987年修正了安全漏洞 防止重放攻击 加入了时间戳 1997年 GavinLowe提出Denning Sacco协议的改进版 2020 2 12 80 7 2认证协议 3基于公钥密码的认证双方已知对方公钥ISO认证的基本步骤 1978年Needham和Schroeder公开密钥认证协议 不知对方公钥 借助第三方公钥库 Denning Sacco认证 2020 2 12 81 7 2认证协议 4零知识身份认证如不传输信息也能证明身份 就需要零知识证明技术 Theproofofzeroknowledge 使用零知识证明技术 被认证方掌握某些秘密信息 想设法让认证方相信他确实掌握那些信息 但又不想让认证方知道那些秘密信息 2020 2 12 82 7 2认证协议 解释零知识证明的洞穴问 有一个洞 设P知道咒语 可打开C和D之间的秘密门 不知道者都将走入死胡同中 那么P如何向V出示证明 使V相信P知道这个秘密 但又不告诉V有关咒语 2020 2 12 83 7 2认证协议 2020 2 12 84 7 2认证协议 5 基于哈希链技术的身份认证Lamport于1981年提出了利用传统的单向哈希函数实现类似于公钥密码系统的认证机制 在该协议中利用一串单向哈希函数形成哈希链 哈希链具有如下形式 h0 R h1 R h2 R hn 1 R hn R h 是哈希函数 R是随机数h0 R Rhi R h hi 1 R 1 i n 2020 2 12 85 7 2认证协议 身份认证系统中 A在自己的终端上生成随机数R 随后生成哈希链 A将hn R 作为公钥存放在服务器端 当用户第i次登录时 1 i n 用户A将hn i R 与自己的身份A发送给服务器 服务器根据A的身份从数据库中取出hn i 1 R 并比较与h hn i R 是否相同 对于合法用户用hn i R 更新数据库中的hn i 1 R 2020 2 12 86 7 2认证协议 此系统中用户每次登录系统时 都使用哈希链中不同的值 根据哈希函数的性质 窃听者无法根据截获到的hn i 1 R 计算出h hn i R 服务器端的人员也无法假冒A登录到服务器上使用服务器提供的服务 2020 2 12 87 7 2认证协议 6 远程用户拨号认证服务RADIUS认证协议RemoteAuthenticationDialInUserService RADIUSRADIUS协议是由朗讯 Lucent 实验室开发的基于C S模式的拨号用户身份认证协议 定义了网络访问服务器NAS和集中存放认证信息的RADIUS服务器之间传输认证 授权和配置信息的标准 2020 2 12 88 7 2认证协议 RADIUS服务器为网络接入服务的服务器 NAS 提供集中的认证服务 该系统中NAS作为客户端请求RADIUS服务器对接入用户进行认证 认证过程中 拨号用户传送用户名和口令等认证信息到接入服务器 接入服务器把用户的用户名和口令 访问端口等信息作为 接入请求 发送到RADIUS服务器 其中用户口令使用对称密钥算法加密 2020 2 12 89 7 2认证协议 RADIUS服务器通过接入服务器的ID 端口号等信息来验证接入服务器及用户的合法性 必要时采用挑战 应答方式进一步要求用户进行认证 RADIUS支持代理功能和漫游功能 代理功能可以提供RADIUS认证和计费数据包的转发功能 通过代理功能用户可以漫游到别的RADIUS服务器进行认证 2020 2 12 90 认证技术的发展趋势 1 生物认证2 多因素认证有效地结合各种单因素认证技术 可以达到最佳的投入产出比 目前应用例子有 基于Web的口令认证与手机短信确认相结合双因素认证 多种生物特征的多数据融合与识别技术也将是未来的研究方向 2020 2 12 91 认证技术的发展趋势 3 属性认证把认证技术与访问授权相结合 可有效地实现用户身份认证和权限的管理与分配 属性认证技术把基于属性证书的授权方案和认证技术相结合 可解决完全分布式的网络环境中的身份认证与细粒度的权限分配问题 2020 2 12 92 7 3典型的认证应用 1Kerberos认证Kerberos是古希腊神话里的一条多头狗 Kerberos提供了一种在开放网络环境下进行身份认证的方法 假设在网络环境中存在3种威胁 用户可以访问特定的工作站并伪装成该工作站用户 用户可以改动工作站的网络地址伪装成该其它工作站 用户可以根据数据交换窃取信息 并使用重发攻击服务器 2020 2 12 93 7 3典型的认证应用 Kerberos认证身份不依赖于主机操作系统的认证 不信任主机地址 不要求网络中的主机保障物理上的安全 在网络中 除Kerberos服务器外 其它都是危险区 Kerberos把身份认证工作集中于身份服务器 2020 2 12 94 7 3典型的认证应用 Kerberos认证服务由两个独立服务器完成 认证服务器AS票据服务器TGS它们同时连结并维护一个中央数据库中的用户口令 标识等信息 2020 2 12 95 7 3典型的认证应用 Kerberos由四部分组成 认证服务器AS票据服务器TGS客户Client服务器ServerKerberos使用两种凭证 它们使用不同的私钥加密 票据 Ticket 鉴别码 Authentication 2020 2 12 96 7 3典型的认证应用 2020 2 12 97 7 3典型的认证应用 2020 2 12 98 7 3典型的认证应用 票据 Ticket 用于安全地在认证服务器和用户服务器之间传递用户身份信息 也传递附加信息来保证Ticket用户必须是Ticket中制定的用户 Ticket生成后可以多次使用 鉴别码 Authentication 提供信息与Ticket中的信息进行比较 一起保证用户就是Ticket制定的用户 鉴别码只在一次服务中使用 当客户向服务器申请服务时 重新生成鉴别码 2020 2 12 99 7 3典型的认证应用 1 C请求票据许可票据用户登录服务器 认证服务器AS 用户名 票据服务器TGS名 时间戳 2020 2 12 100 7 3典型的认证应用 2 AS发放票据许可证和会话密钥 用户会话密钥是用户与TGS之间的密钥KC tgs创建一个票据许可票据TickettgsTickettgs包括 用户名 TGS服务名 用户地址 当前时间 有效时间 会话密钥KC TGS 并使用Ktgs加密 Kc是基于用户密码的 只有用户和AS知道的密钥 2020 2 12 101 7 3典型的认证应用 2020 2 12 102 7 3典型的认证应用 3 C请求服务器票据用户从TGS处得到服务器票据TicketsC TGS IDs Tickettgs Authenticationc这里 Tickettgs Ektgs kc tgs IDC ADC IDTGS Lifetime2 Authenticationc Ekc tgs IDC ADC IDTGS TS3 2020 2 12 103 7 3典型的认证应用 4 TGS发放服务器票据和会话密钥TGS得到请求后用私有密钥ktgs和会话密钥kc tgs解密Tickettgs和Authenticationc 从而确定用户身份后 生成C和S间的会话密钥Ktc s 并生成C申请得到S服务的票据Tickets 包括C和S间的会话密钥 并发给用户 2020 2 12 104 7 3典型的认证应用 5 C请求服务C向S发送Tickets和Authenticationc其中包含会话密钥 2020 2 12 105 7 3典型的认证应用 2020 2 12 106 7 3典型的认证应用 2X 509认证X 509还定义了基于使用公开密钥证书的可选认证协议 X 509认证可分为 一路单向认证二路双向认证三路双向认证 2020 2 12 107 方正Apabi文档防扩散解决方案 防止重要电子文档的非授权扩散 且授权是可 召回 的 为电子文档的泄密提供了追查依据 适用于共享 e mail附件 网站发布等文档管理方式 同一文档对不同人的使用权限不同 体现管理层次 为机密电子文档的管理提供了一套有效的管理办法 解决了信息系统使用方便性和安全可控的难点 2020 2 12 108 方正Apabi文档防扩散解决方案 ApabiMak