第四讲-身份鉴别PPT课件.ppt

第4讲网络安全身份认证 李兆斌lzb 提纲 引言 鉴别服务身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于生物特征的身份认证AAA认证服务系统设计 鉴别 鉴别 证实通信过程涉及的另一方确实具有他们所声称的身份 确保通信是可信的 数据起源鉴别 在通信实体之间没有预先交互的应用中提供对消息起源的证实 对等实体鉴别 在连接建立及数据传输阶段对对等实体的身份进行证实 身份认证 安全机制 鉴别交换 通过信息交换确信一个实体身份的机制 口令 数字签名 附加在一个数据单元后面的数据 用来证明数据单元的起源及完整性 以防伪造 提纲 引言 鉴别性服务身份认证概述基于口令的身份认证Kerberos身份认证协议基于生物特征的身份认证AAA认证服务系统设计 身份认证简介 身份认证场景身份认证需求身份认证途径身份认证基本模型身份认证设计基本要求身份认证技术 在网络环境系统中什么场景下有用到身份认证 操作系统登录WindowsUnixLinux远程服务登录TelnetFTPEmailVPN 网络接入服务Internet校园网企业内部网在线交易网上银行电子证券电子商务 网络环境下对身份认证需求 防止网络欺骗 身份假冒和欺诈防止非法使用网络资源防止非法浏览用户信息 网络环境下对身份认证需求 唯一的身份标识 ID uid uid domainDN DistinguishedName C CN S Beijing O TsinghuaUniversity U CS CN DuanHaixin Email dhx 抗被动的威胁 窃听 口令不在网上明文传输 源 目的 sniffer 进行下列网络服务的身份认证时 口令传输哪些是明文传输 哪些是加密传输 Telnet FTP SMTP SSH 网络环境下对身份认证需求 抵抗主动的威胁 比如阻断 伪造 重放 网络上传输的认证信息不可重用 加密 解密 passwd 网络环境下对身份认证需求 单向认证双向认证域名欺骗 地址假冒等路由控制单点认证 SingleSign On 用户只需要一次认证操作就可以访问多种服务可扩展性的要求 网络环境下对身份认证需求 本地多用户认证Login 如何管理口令远程用户认证一次性访问资源或者服务之前进行认证多次访问资源或者服务身份 获得credential利用credential访问资源或者服务 身份认证基本途径 基于你所知道的 Whatyouknow 知识 口令 密码基于你所拥有的 Whatyouhave 身份证 信用卡 钥匙 智能卡 令牌 私钥等基于你的个人特征 Whatyouare 指纹 笔迹 声音 手型 脸型 视网膜 虹膜双因素 多因素认证 身份认证设计基本要求 可识别率最大化可欺骗率最小化不可传递性相互认证第三方可信任安全存储成本最小化计算有效性节省通信带宽 常用的身份认证技术 协议 口令认证技术简单口令认证质询 响应认证一次性口令认证 OTP Kerberos认证技术基于公钥证书的身份认证基于生物特征的身份认证 提纲 引言 鉴别性服务身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于生物特征的身份认证AAA认证服务系统设计 安全口令认证系统设计内容 口令传输口令验证口令存储口令管理 基于口令的身份认证 本地简单口令认证简单口令认证协议 PAP 质询 响应认证协议 CHAP 口令的管理 简单口令认证 本地简单口令认证 简单口令认证 Windows本地登录认证 简单口令认证 Linux本地登录认证 简单口令认证 PAP PasswordAuthenticationProtocol RFC1334口令认证协议两次握手验证过程用户名和密码以明文 不加密的 形式发送到远程访问服务器 简单口令认证 Code1Authenticate Request2Authenticate Ack3Authenticate Nak 简单口令认证 PAP简单且易于实现 PAP存在很大的安全问题 用户的用户名和密码是以明码的方式进行传送的 数据在从用户端发出到认证方接收到的整个过程中毫无遮拦的暴露在线路上面 质询 握手认证协议 CHAP ChallengeandResponseHandshakeProtocol RFC1994三次握手认证 c MAC H R K s MAC H R K 比较MAC 和MAC MAC的计算可以基于Hash算法 对称密钥算法 公开密钥算法 质询 握手认证协议 CHAP Code1Challenge2Response3Success4Failure 质询 握手认证协议 CHAP CHAP对PAP进行了改进 不再直接通过链路发送明文口令 而是使用挑战口令以哈希算法对口令进行加密 安全性比PAP高 认证令牌 一个物理设备定时产生新的随机口令服务器端和令牌能够保持口令同步 令牌创建 令牌的使用 用户发送用令牌产生的一次性口令和用户id给服务器服务器收到后 使用自己保存的该用户的seed计算出口令对比两个口令完成身份鉴别 应对令牌遗失 在产生口令时 要求令牌使用者输入正确的PIN值引入PIN值后 形成了多因素认证 你知道的 例如PIN password 你拥有的 例如令牌 信用卡 你本身的特征 例如声音 指纹 口令是单因素认证 一个因素 口令 而令牌是双因素认证 PIN和令牌 令牌的类型 挑战 应答令牌 用户发送自己的id要求认证服务器创建随机数明文传送给用户用户用PIN开启令牌 输入服务器传过来的随机数 产生一个输出作为口令服务器收到口令后 用该用户的seed和随机数计算口令并对比 完成认证 时间令牌 直接用令牌产生口令 这里口令的产生使用了两个东西 种子和令牌内置的时钟发送用户id和口令到服务器服务器同样使用时间和种子算出口令做对比 完成认证服务器端可能会有时间不同步问题 比如用户用前一分钟的时钟产生的口令 而服务器已经是下一个时钟 因此服务器验证的时候需要验证前一个时钟的结果 如果通过也算认证成功时间令牌的优点 不需要多次输入 也不需要令牌上有键盘 口令管理 口令管理口令属于 他知道什么 这种方式 容易被窃取 口令的错误使用 选择一些很容易猜到的口令 把口令告诉别人 把口令写在一个贴条上并把它贴在键盘旁边 口令管理的作用 生成了合适的口令口令更新能够完全保密 口令管理 口令的要求 包含一定的字符数 和ID无关 包含特殊的字符 大小写 不容易被猜测到 跟踪用户所产生的所有口令 确保这些口令不相同 定期更改其口令 使用字典式攻击的工具找出比较脆弱的口令 许多安全工具都具有这种双重身份 网络管理员使用的工具 口令检验器攻击者破获口令使用的工具 口令破译器 口令管理 口令产生器不是让用户自己选择口令 口令产生器用于产生随机的和可拼写口令 口令的时效强迫用户经过一段时间后就更改口令 系统还记录至少5到10个口令 使用户不能使用刚刚使用的口令 限制登录次数免受字典式攻击或穷举法攻击 提纲 引言 鉴别性服务身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于生物特征的身份认证AAA认证服务系统设计 Kerberos协议的组成 客户工作站AuthenticationServer AS 认证服务器 登陆时认证用户TicketGrantingServer TGS 票据授权服务器 向网络上的服务器证明用户真实身份服务器 Kerberos协议的主要步骤 第1步 登陆 AS Alice 会话密钥 KS TGT 只能由TGS打开 KS TGT 加密 从Alice的口令派生而来的对称密钥 KA 输出 只能由Alice打开 输出 会话密钥 KS Alice 加密 TGS共享的对称密钥 第2步 取得服务提供票据 SGT 第3步 用户联系Bob 访问服务器 第4步 Bob确认收到KAB Bob Alice 加密 Alice与Bob的共享密钥 KAB 已加密的时间戳 ET 将Alice发送过来的时间戳加1 Kerberos的缺陷 对时钟同步的要求较高猜测口令攻击认证域之间的信任问题重放攻击密钥存储 提纲 引言 鉴别性服务身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于生物特征的身份认证AAA认证服务系统设计 基于生物特征的身份认证 生理特征介绍基于生物特征的认证系统的误判 生理特征介绍 每个人所具有的唯一生理特征指纹 视网膜 声音 视网膜 虹膜 语音 面部 签名等指纹一些曲线和分叉以及一些非常微小的特征提取指纹中的一些特征并且存储这些特征信息 节省资源 快速查询手掌 手型手掌有折痕 起皱 还有凹槽还包括每个手指的指纹人手的形状 手的长度 宽度和手指 表示了手的几何特征 生理特征介绍 视网膜扫描扫描眼球后方的视网膜上面的血管的图案虹膜扫描虹膜是眼睛中位于瞳孔周围的一圈彩色的部分虹膜有其独有的图案 分叉 颜色 环状 光环以及皱褶语音识别记录时说几个不同的单词 然后识别系统将这些单词混杂在一起 让他再次读出给出的一系列单词面部扫描人都有不同的骨骼结构 鼻梁 眼眶 额头和下颚形状 生理特征介绍 动态签名通过签名产生的电信号来进行识别动态键盘输入 基于生物特征的认证系统的误判 第一类错误 错误拒绝率 FRR 第二类错误 错误接受率 FAR 交叉错判率 CER FRR FAR的交叉点CER用来反映系统的准确度 安全性 FAR II FRR I CER 提纲 引言 鉴别性服务身份认证技术概述基于口令的身份认证Kerberos身份认证协议基于生物特征的身份认证AAA认证服务系统设计 AAA网络访问认证协议技术 AAA AuthenticationAuthorizationAccounting 认证授权计费 是一种体系结构 实现对网络安全的管理 提供认证 授权 计费三种安全功能 应用 网络安全接入服务 AAA网络架构 AAA服务器 AAA架构实现技术 AAA可以采用多种协议实现RADIUS协议TACACS 协议它们分别基于TCP和UDP协议 基于RADIUS的AAA身份认证系统设计 RADIUS RemoteAuthenticationDialinUserService 远程认证拨号用户服务 RFC2865一种分布式的 客户 服务器结构的信息交互协议 可以保护网络不受未授权访问的干扰 常被应用于既要求高性能又要求维持远程用户访问的各种网络环境中 RADIUS采用UDP机制 具有良好的实时性 同时也支持重传机制和备用服务器机制 从而有较好的可靠性 RADIUS的实现比较简单 适用于大用户量时服务器端的多线程结构 基于RADIUS的AAA身份认证系统设计 客户机 服务器 Client Server 结构 使用MD5加密算法对数据包进行数字签名 以及对口令进行加密 RADIUS数据包机构灵活 扩展性好 采用UDP协议作为传输协议 0 8 16 24 基于RADIUS的AAA身份认证系统设计 RADIUS身份认证过程 请求应答 用户 RADIUS客户端 RADIUS服务器 用户名 口令 PAP CHAP 基于RADIUS的AAA身份认证系统设计 RADIUS认证系统设计 DataStore UserInformation AccessAccept AccessRequest Internet 基于RADIUS的AAA