身份认证技术15078PPT课件

,身份认证技术在网络空间安全中的重要性及应用,.,2,本节主要内容,.,3,概述-信息的基础是身份认证,数学家、信息论的创始人仙农在题为“通讯的数学理论”的论文中指出：“信息是用来消除随机不定性的东西”。著名数学家、控制论的创始人维纳在指出：“信息是人们适应外部世界并且使这种适应反作用于外部世界的过程中，同外部世界进行交换的内容的名称。”信息=确定性的内容的名称；内容的名称=ID，确定性=Certainty身份认证是信息交互的基础（信息化的第一道门）,.,4,概述-概念,概念身份认证是网络安全的核心，其目的是防止未授权用户访问网络资源。身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程提供的安全服务作为访问控制服务的一种必要支持，访问控制服务的执行依赖于确知的身份作为提供数据源认证的一种可能方法（当与数据完整性机制结合起来使用时）作为对责任原则的一种直接支持，如审计追踪中提供与某活动相联系的确知身份,.,5,概述-身份认证基本途径,基于你所知道的（Whatyouknow）知识、口令、密码基于你所拥有的（Whatyouhave）身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征（Whatyouare）指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素、多因素认证综合上述两种或多种因素进行认证。如ATM机取款需要银行卡+密码双因素认证,.,6,概述-身份认证的基本模型,身份认证系统一般组成：示证者，验证者，攻击者及可信第三方（可选）示证者（Claimant，也称申请者）提出某种要求验证者（Verifier）验证示证者出示的证件的正确性与合法性，并决定是否满足其要求。攻击者（Attacker）可以窃听或伪装示证者，骗取验证者的信任。,.,7,概述-身份认证的基本模型,可信第三方(TrustedThirdParty)在必要时作为第四方出现可参与调节纠纷认证信息AI（AuthenticationInformation）,申请AI,验证AI,.,8,概述-需求,唯一的身份标识（ID）:抗被动的威胁（窃听），口令不在网上明码传输抵抗主动的威胁，比如阻断、伪造、重放，网络上传输的认证信息不可重用,源,目的,sniffer,.,9,概述-需求,双向认证域名欺骗、地址假冒等路由控制单点登录（SingleSign-On）用户只需要一次认证操作就可以访问多种服务可扩展性的要求,.,10,基于口令的身份认证,1.挑战/响应认证（Challenge/Response）2.一次性口令（OTP,One-TimePassword）3.口令的管理,.,11,挑战/应答认证协议（CHAP）,ChallengeandResponseHandshakeProtocolClient和Server共享一个密钥,c,MAC=H(R,K),s,MAC=H(R,K),比较MAC和MAC,MAC的计算可以基于Hash算,对称密钥算法，公开密钥算法,.,12,一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。确定口令的方法：（1）两端共同拥有一串随机口令，在该串的某一位置保持同步；（2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；（3）使用时间戳，两端维持同步的时钟。,一次性口令认证（OTP）,.,13,一次性口令认证（OTP）,S/KeySecurID,Token,Server,OTP,OTP,/rfcs/rfc1760.html/rfc/rfc2289.txt,.,14,SKEY验证程序其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数R，计算机计算f（R）,f（f（R），f（f（f（R），,共计算100次，计算得到的数为x1,x2,x3,x100，A打印出这样的表，随身携带，计算机将x101存在A的名字旁边。第一次登录，键入x100以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。,一次性口令认证（OTP）,.,15,众人科技的介绍,.,16,口令管理,口令管理口令属于“他知道什么”这种方式，容易被窃取。口令的错误使用：选择一些很容易猜到的口令；把口令告诉别人；把口令写在一个贴条上并把它贴在键盘旁边。口令管理的作用：生成了合适的口令口令更新能够完全保密,.,17,口令管理,口令的要求：包含一定的字符数；和ID无关；包含特殊的字符；大小写；不容易被猜测到。跟踪用户所产生的所有口令，确保这些口令不相同，定期更改其口令。使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份：网络管理员使用的工具：口令检验器攻击者破获口令使用的工具：口令破译器,.,18,口令管理,口令产生器不是让用户自己选择口令，口令产生器用于产生随机的和可拼写口令。口令的时效强迫用户经过一段时间后就更改口令。系统还记录至少5到10个口令，使用户不能使用刚刚使用的口令。限制登录次数免受字典式攻击或穷举法攻击,.,19,对称密码认证,基于对称密码算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密钥（通常存储在硬件中），该密钥在询问应答协议中处理或加密信息交换。单向认证：仅对实体中的一个进行认证。双向认证：两个通信实体相互进行认证。,.,20,对称密码认证-Kerberos,1.Kerberos简介2.Kerberos缺陷,.,21,Kerberos简介,Kerberos麻省理工学院为Athena项目开发的一个认证服务系统目标是把UNIX认证、记帐、审计的功能扩展到网络环境：公共的工作站，只有简单的物理安全措施集中管理、受保护的服务器多种网络环境，假冒、窃听、篡改、重发等威胁基于Needham-Schroeder认证协议，可信第三方基于对称密钥密码算法,实现集中的身份认证和密钥分配,通信保密性、完整性,.,22,Kerberos的工作原理,假设你要在一台电脑上访问另一个服务器（你可以发送telnet或类似的登录请求）。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。要得到这张入场券，你首先要向验证服务器（AS）请求验证。验证服务器会创建基于你的密码（从你的用户名而来）的一个“会话密钥”（就是一个加密密钥），并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。然后，你把这张允许入场的入场券发到授权服务器（TGS）。TGS物理上可以和验证服务器是同一个服务器，只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。服务器或者拒绝这张票据，或者接受这张票据并执行服务。因为你从TGS收到的这张票据是打上时间戳的，所以它允许你在某个特定时期内（一般是八小时）不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。,.,23,一个简单的认证对话,C和V都必须在AS中注册，共享密钥KC，KV（1）CAS:IDc|Pc|IDV（2）ASC:Ticket（3）CV:IDc|TicketTicket=EKv(IDc|ADc|IDv),AS,V,C,（1）,（2）,（3）,C=ClientAS=AuthenticationServerV=ServerIDc=identifierofUseronCIDv=identifierofVPc=passwordofuseronCADc=networkaddressofCKv=secretkeysharedbyeASandV|=concatention,问题一：明文传输口令,问题二：每次访问都要输入口令,.,24,一个更加安全的认证对话,认证服务（AS）票据发放服务（TicketGrantingService）票据（Ticket）是一种临时的证书，用tgs或应用服务器的密钥加密TGS票据服务票据加密：,.,25,一个更加安全的认证对话,问题一：票据许可票据tickettgs的生存期如果太大，则容易造成重放攻击如果太短，则用户总是要输入口令问题二：如何向用户认证服务器解决方法增加一个会话密钥(SessionKey),.,26,AuthenticationDialoginhighersecurelevel,AuthenticationDialog(Authenticateonceforeachlogin)（1）CAS:IDC|IDtgs（2）ASC:EKcTickettgsTickettgs=EKtgsIDC|ADC|IDtgs|TS1|Lifetime1Acquiretheserviceticket(onceforeachkindofservice)（3）CTGS:IDC|IDv|Tickettgs（4）TGSC:TicketvTicketv=EKvIDC|ADC|IDV|TS2|Lifetime2VisitingService(Onceforeachdialog)（5）CV:IDc|Ticketv,AS,V,C,（1）,（2）,（3）,TGS,（4）,（5）,ThepasswordisnottransmittedviatheinternetTickettgscanbereused,multipleservicescanbeappliedwithonetickettgs,.,27,AuthenticationinMultipleAdministrativeDomainsEnvironment,Client,AS,TGS,Kerberos,AS,TGS,Kerberos,Server,1.ApplyforlocalTickettgs,2.LocalTickettgs,3.Applyforremotetickettgs,SharetheencryptionkeyMutualregistration,4.Remotetickettgs,5.Applyforremoteserviceticket,6.Remoteserviceticket,7.Applyforremoteservices,.,28,TheDefectsofSymmetricalgorithms,Thebothpartiesofthecommunicationusethesameencryptionkey,thesecuritycannotbeguaranteed.Thesecurityofsymmetricalgorithmsdependsontheencryptionkey.Ifthekeyislost,thewholeencryptionsystemwillbeinvalid.Anuniquekeyneedstobeusedwhenapairofusersusethesymmetricalgorithm.Thatmakesahugeamountofkeys.Themanagementofthesekeysbecomesaheavyburdenandinthemeantimegenerateveryhighcost.,.,29,PublicKeyInfrastructure,InthisInfrastructure,theclaimerneedstoprovehisidentitybyprovidingtheencryptionkey.Thiscouldberealizedbysignamessagewithhisencryptionkey.Themessagecouldincludeaduplicatevaluetodefendthereplayattacks.Theverifierneedstohavetheencryptionkeyoftheclaimer,whiletheclaimerneedstohavetheprivatekeyonlyknownandusedbyhimself.,.,30,PKIAuthentication,REVIEW-PKI1、CausethesecurityproblemofthepublickeydistributionAbasicchallenge/responseprotocolcouldbebuiltbasedonthepublickeysystem,butthebothpartymustknowthepublickeyoftheotherpartyinadvance.Ifthepublickeyisnotsecured,canthepartiesofthecommunicationexchangethepublickeyviatheinternet?Intheopennetworkenvironment,suchasInternet,howtoensurethatthepublickeyofpartyBacquiredbypartyAisreallybelongstopartyB?2、PossibleattacksThemiddleattack,.,31,PKIAuthentication,Review-PKI3、GenerationThecoreconceptofPKI(PublicKeyInfrastructure)istoestablishthetrustedthirdparty,whoisparticipatedinthedistributionofthepublickey.ThePKIX(InternetX.509PublicKeyInfrastructure)isthePKIstandardmaker.PKIXusesX.509v3publickeycertifications.,.,32,PKIAuthentication-X.509Protocol,X.509protocolofITU-Tisissuedin1988，revisedin1993,andthethirdversionisdraftedin1995,namedX.509v3。X.509definestheauthenticationserviceframeprovidedbyX.500directoryserviceThepublickeycertificationstructureandauthenticationprotocoldefinedinX.509hasbeenusedwidely.X.509isanimportantstandard.X.509isbasedonpublickeyencryptionanddigitalsignature,nonencryptionalgorithmisappointed,whileRSAisrecommended.DigitalsignaturerequirestouseHashFunction,butnoneHashalgorithmisappointed.,.,33,PKIAuthentication-X.509AuthenticationFrame,PKIprovidesadistributionchannelforthepublickeys.CARALDAPDirectoryServerLargeamountofinquiryoperationsAfewinsert,deleteandverificationoperations,Directory,CA,RA,User,User,Registration,Certificationdistributionandrevokelist,.,34,PKIAuthentication-X.509Certificate,ThemostimportantpartofX.509isthepublickeycertificationstructure.TheCA(CertificationAuthority)distributeauniquenametoeveryuseranddistributetheuseracertificatewiththeusernameandpublickey.Thepublickeycertificatearestoredinthepublicdirectoryserver,fromwhichtheusercanacquiretheotherspublickey.,.,35,PKIAuthentication-X.509CertificationStructure,algorithm,Issueruniquename,Algorithms,SubjectName,extensions,version,Serialnumber,parameters,Issuername,NotBeforeNotAfter,parameters,Key,subjectuniquename,AlgorithmsparametersEncrypted,SignatureAlgorithm,ValidDate,publickeyinformationofthePrincipal,V2Extension,V3Extension,.,36,PKIAuthentication-X.509CertificationStructure,Version:DefaultV1,theextensionpartisV3CertificateSerialNo.:EverycertificateissuedbythesameCAhasauniqueserialNo.SignatureAlgorithmflag:thealgorithmandparameterofthecertificatesignature.TheAlgorithmflagisregisteredatInternationalStandardizationOrganization.Authorizername:thenameoftheCA,whoissuedandsignthecertificateValiddate:EffectivedateandexpirydateofthecertificatePrincipalname：theprincipalnameofthecertificate.Principalpublickeyinformation：Principalpublickey,publickeyalgorithmflagandparametersAuthorizerflag：Iftheauthorizernameareusedbydifferentparties,choosetherightCAwithAuthorizerflag.ExtendedfieldofVersion3:quotetheoptionalextensioninformationfromVersion3.CAsignature:usingtheCAprivatekeytoencryptthehashcodeofalltheotherfieldofthecertificate,.,37,Authorizernameorusername,aretheuniquenamesofthepartiesinX.500format-DN(DistinguishedName)，DNusuallyincludesC(Country)、O(Organization)、OU(OrganizationalUnits)、CN(CommonName)andE(Email)。Forexample:whiletheCAofPeopleNetdistributethecertificatestotheusers,intheDNoftheusers,C=CN，O=people。,PKIAuthentication-X.509Certificate,.,38,X.509v3证书的扩展字段为用户、公钥、证书管理提供附加的属性。主要的扩展字段有：私钥用途(keyusage)指明主体私钥使用目的，包括(密钥)加密,(抗抵赖)数字签名,证书签名等。证书类型限制证书应用范围。证书策略(certificatepolicies)基本约束(basicconstraints)是否CA证书名字约束(nameconstraints)策略约束(policyconstraints),PKI认证-X.509证书说明(续),.,39,PKI认证-CA,在网络环境中公钥以电子证书的形式签发，由所谓的证书权威机构CA生成和签发。CA是大家都信任的第三方。通信双方通过对CA的共同信任来建立信任关系：A和B都信任CA，因为CA信任B，于是A也信任B；同样因为CA信任A，于是B也信任A。这是一种信任传递关系。在现实社会中，人与人的信任关系。,.,40,PKI认证-CA,CA功能接受(端实体通过)RA的签发、撤销和更新证书请求。为端实体生成密钥对，密钥托管和恢复。用户可自己生成密钥对,私钥自己保存,向CA提交公钥。也可由CA生成，并保存在秘密存储库，称密钥托管(数字签名的私钥不能托管)。签发、撤销和更新证书。发布证书和证书撤销列表CRL。制订证书策略。,.,41,PKI认证-RA,按PKIX标准RA是代表CA执行某些功能的可选系统，其主要功能：接受端实体的签发、撤销和更新证书请求。负责对端实体(证书申请者)进行身份鉴定。为证书主体指定名字。向CA提交签发、撤销和更新证书请求。发布CA签发的证书和CRL。通知用户获取证书。,.,42,PKI认证-证书撤销列表(CRL),证书有效期一般为12年，一般在老证书即将过期前签发一个新证书(更新)，但有时基于以下原因，需要在证书过期前撤销证书：用户的私钥已泄漏。用户不再由这个CA签发证书，例如用户离职。CA的私钥泄漏。每个CA要保存一个所有已撤销，但尚未过期的证书表，这就是证书撤销列表CRL(CertificateRevocationList)，俗称“黑名单”。,.,43,PKI认证-证书撤销列表(CRL),签名算法标识,签发者名,本次更新日期,下次更新日期,用户证书序号撤销日期,用户证书序号撤销日期,.,CA签名,已撤销证书,已撤销证书,.,44,PKI认证-证书撤销列表(CRL),CRL的主要内容就是被提前撤销的证书序列号。CA要对CRL进行签名以防伪造。CA需对CRL进行定期或不定期的更新。一般由CA通过发布系统周期性地发布CRL。证书用户根据已有的CRL中推荐的更新日期或定期去发布系统下载新的CRL。定期获取CRL不能保证信息新鲜性，PKIX还定义了在线查询CRL，但这要求发布系统的负载能力和性能比较高。,.,45,PKI认证-证书撤销列表(CRL),CRL是PKI中最难管理的。当前CRL存在一些未解决的问题，比如：如何确定CRL更新频度。证书撤销到CRL发布之间的时延。当证书数目较大且有效期较长时，CRL会变得很长，查询性能和存储需求会成为问题。可对证书进行分类，便于查询和管理。Delta-CRL.证书用户需经常访问最新的CRL才能保证信息的新鲜性，这会给CRL发布系统造成沉重负担。,.,46,PKI认证-证书及CRL发布系统,证书及CRL的发布是让用户获得CA签发的本人或他人的证书和最新发布的CRL。对他人证书有效性的验证：首先确定它不在CRL，然后用CA的公钥验证证书的签名。PKIX标准中推荐使用轻量级目录服务LDAP(Light-weightDirectoryAccessProtocol)作为证书及CRL发布系统。PKIX也允许使用WWW服务，电子邮件或文件传输来发布证书和CRL。,.,47,PKI认证-关于LDAP,LDAP是网上的公共目录服务。它不是用来代替关系数据库或文件系统，是为了替代X.500。LDAP的特点是优化的快速查找功能。它采用了层次式结构，而不是关系式结构来存放数据。它不具有关系式查询语言SQL。LDAP目录是简单的树状结构，根结点是学校、公司、机构的域名，下面是机构各部门的域名，再下面是每个成员的属性和值表。LDAP充分利用缓存(cache)原理，把最常访问的目录数据放在内存。,.,48,PKI认证-CA信任域,一个CA通常给一个有限的用户团体签发证书，这样的用户团体被称为安全域(securitydomain)。PKI是在网络环境中提供使用公钥系统和X.509证书的安全服务，PKI产品和服务允许使用者在网络上建立一个安全域，在该域中可以签发、管理证书和密钥。例如银行可为其客户进行银行业务建立一个安全域。当用户多了，有多个CA可能更切合实际。单CA系统看作一个安全域，多CA系统可以看作多个安全域。如何建立CA之间跨域信任？,.,49,PKI认证-多CA跨域验证,关于多CA的跨域信任问题，提出了几种方案：自上而下层次式(top-downhierarchy)将CA组织成自上而下层次结构，有一个根CA。CA可以签发CA证书和用户证书，上一级CA为下一级CA签发证书。在不同CA下的用户可以从根CA出发，通过一系列的CA证书验证对方证书的可信性，这一系列的证书称为证书路径(certificationpath)。交叉证明(cross-certification)交叉证明采用交叉证书，所谓交叉证书是CA之间互相签发的证明对方身份的证书。,.,50,PKI认证-多CA跨域验证,交叉证书是由一个CA(如CA1)向另一CA(如CA2)提出请求，由后者签发的。所以这张证书的主体是CA1，证书的签发者是CA2。由于CA2信任CA1，于是CA2安全域中的用户也将信任CA1，也将信任CA1安全域中的用户，这样CA1安全域中的用户就可以进行跨域访问。交叉证书一般是互相签发的。交叉证明灵活，但扩展性差。如图：X,Y,Z可以从CA2的发布目录服务器得到CA2给CA1签发的交叉证书，得到CA1的公钥，就可验证并信任CA1签发的A,B,C证书。,CA1,CA2,A,B,C,X,Y,Z,.,51,PKI认证-CA信任模型,当前Internet上的PKI系统可以分成几类，主要结构类型有：无政府结构(anarchy)单CA结构单CA多RA结构多CA层次式结构多CA网状结构,.,52,PKI认证-CA信任模型,无政府结构中，每个用户都可以看作本人的CA，每个用户给自己的信任者签发证书，再通过Email或公共数据库获得他人证书，这样用户间的信任关系通过网络传播开来，从而扩大信任范围，但规模的扩大和路径的增长意味不安全因素增多。如图A信任B、B信任F、F信任G，A就信任G，这行吗？在规模扩大后搜索信任路径会比较困难。无政府结构只能在有限的群体使用。,.,53,PKI认证-CA信任模型,CA,A,B,C,单CA结构,.,54,PKI认证-CA信任模型,单CA多RA结构,CA,A,RA1,RA2,B,C,D,.,55,PKI认证-CA信任模型,多CA层次式结构中，扩大了证书的信任域范围，而且证书路径通常是唯一的，计算简单。但随着证书路径的增长安全性会受到威胁。严格的层次结构过于复杂，并不符合所有的实际应用情况。让每个需要使用证书的人都要信任一个最高层的超级证书权威是不合适的。,.,56,PKI认证-CA信任模型,多CA网状结构,CA,A,B,C,CA,E,F,G,CA,CA,D,CA,CA,CA,H,I,J,K,L,交叉证书,交叉证书,.,57,PKI认证-CA信任模型,当前Internet上使用最普遍的是网状结构，即层次式和与交叉证明相结合。两个CA互相签发CA证书，在两个CA所在安全域之间建立信任关系这种结构灵活，在没有层次关系的独立部门可以通过交叉证书建立域间信任关系，可缩短信任路径提高安全性，但管理使用复杂。签发交叉证书前必须审核对方的证书策略是否满足本域的安全要求，要说明两个信任域之间证书策略的对应关系。,.,58,PKI认证-PKI管理,PKI系统的安全运行需要PKI的管理机制，它包括策略管理、实体管理、证书管理。安全策略是PKI系统运行的基础。在建立PKI系统前必须分析系统的各种安全需求，制订相应的安全策略，包括计划PKI系统整体结构；部署系统建立过程；制订用户注册流程；设计系统安全保护机制和证书、密钥管理方式等。证书用户面对的是证书，他获得策略信息最直接的方式是通过证书本身的内容，这涉及证书策略。X.509v3证书中可包含证书策略说明。,.,59,PKI体系的缺陷,需要一套离线根证书机构(简称CA)。它必须切实离线，否则很容易受到攻击。而私钥本身的安全保管要求使用SE，带来成本增加和携带使用不