身份认证技术.ppt

，认证技术在网络空间安全中的重要性和应用，本节的主要内容，概述-信息的基础是认证，数学家，信息论的创始人仙农在一篇名为“通信数学理论”的论文中指出，“信息用于消除随机不确定性”。著名数学家控制论的创始人维娜说：“我认为。“信息是人们适应外部世界，将这种适应反作用于外部世界的过程中与外部世界交换的内容的名字。”信息=确定性的内容名称；内容的名称=ID，确定性=certity身份验证是信息交互的基础(信息化的第一个门)，概述-概念，概念验证是网络安全的核心，旨在防止未经授权的用户访问网络资源。身份验证是访问控制服务的必要支持，由验证客户的实际身份与其身份是否匹配的过程提供的安全服务，访问控制服务的执行将直接作为责任原则的支持，例如，根据提供数据源身份验证的可能方法(与数据完整性机制一起使用时)在审计线索中提供与活动相关的可靠身份。概览-身份验证基本路径、已知知识、密码、密码、您拥有的(Whatyouhave)身份证明、信用卡、钥匙、智能卡、令牌等您的个人特征基础(Whatyouare)指纹从ATM中取钱需要卡密码双因素认证、概览-认证的基本模型、认证者、攻击者、可信第三方(可选)认证者(也称为Claimant，申请人)验证证明者提供的文档的正确性和正当性，并确定是否满足要求的认证系统。攻击者可能窃听或伪装证明者，以欺骗证明者的信任。概述-身份验证的基本模型；需要可信第三方时的争议可调整身份验证信息身份验证(AI)；AI申请；AI验证；概述-要求；以及1.挑战/响应身份验证(挑战/响应)2。一次性密码(OTP，One-TimePassword)3。密码管理、质询/响应身份验证协议(chap)、质询响应ehandshakeprotocolclient和Server是一个密钥，c，MAC=h (r，K如何确定密码：(1)两端存在随机密码列表，并在该字符串的任何位置同步。(2)在每个末端一起使用一个随机序列生成器以同步该序列生成器的初始状态。(3)使用时间戳保持两端同步的时钟。一次性密码验证(OTP)、一次性密码验证(OTP)、s/key securid、token、server、OTP、OTP、http:/www . fww要创建这样的系统a，请输入随机数R，计算机计算f (r)、f(R)、f(R)，计算f(f(R)，总计100次，计算x1、x2、x3、X100，a打印并携带这样的表，计算机将x101存在于a的名字旁边。首次登录，输入X100，然后输入Xi，将计算机计算f(xi)与Xi 1进行比较。、一次性密码认证(OTP)、技术简介、密码管理和密码管理密码属于“他知道的内容”，容易被盗用。使用错误的密码：选择容易猜测的密码。请告诉别人密码。把密码写在贴纸上，贴在键盘旁边。密码管理的角色：建立有效的密码更新，使其完全保密；密码管理；密码要求：包含特定字元数；与ID无关。包含特殊字符的大小写；不容易猜测。追踪使用者产生的所有密码，确认密码不相同，然后定期变更密码。使用主动攻击工具查找更脆弱的密码。密码检查器攻击者用于打破密码的工具(密码检查器、密码管理、密码生成器)，用户不能直接选择密码，密码生成器用于生成随机密码和可拼写密码。密码老化强制用户在一段时间后更改密码。系统还会记录至少5-10个密码，以便用户不能使用刚刚使用的密码。从主动攻击或彻底攻击开始，基于登录次数限制、对称密码验证和对称密码算法的身份验证依赖于在一定协议中处理数据加密。通信双方共享用于在问答协议中处理或加密信息交换的密钥(通常存储在硬件上)。单向验证：仅对其中一个实体执行验证。双向认证：两个通信实体相互认证。对称密码认证-Kerberos，1。Kerberos简介2。Kerberos缺陷、Kerberos简介、Kerberos MIT为Athena项目开发的身份验证服务系统目标是将UNIX身份验证、会计和审核功能扩展到网络环境公共工作站。只有简单的物理安全措施集中管理、保护的服务器多个网络环境、伪造、窃听、篡改、重新传输等威胁基于Needham-Schroeder身份验证协议；可靠的第三方基于对称密钥密码算法，包括集中式身份验证和密钥分配、通信机密性、完整性、Kerberos的工作方式以及我知道服务器必须有Kerberos入场券才能接受您的请求。要获得此入场券，必须先请求验证服务器(AS)进行验证。认证服务器根据您的密码创建“会话密钥”(加密密钥)，并生成表示请求的服务的随机值。这个会话密钥是“允许入场的票”。然后，向授权服务器(TGS)发放此可入场的票。TGS可以是与身份验证服务器物理上相同的服务器，但当前正在执行其他服务。TGS返回可发送到请求服务的服务器的发票。拒绝服务器或此票据，或接受此票据并执行服务。从TGS收到的这张票据上有时间戳，因此您可以在特定期间内(通常为8小时)使用相同的票据提出进一步请求，而无需重新验证。确保此票具有有限的有效期，以免以后被其他人使用。、C和v都需要注册到AS的简单身份验证对话框、共享密钥KC、kv(1)cas : IDC | | PC | | idv(2)ASC : ticket(3)cv : IDC | 问题2:每次访问输入密码、更安全的身份验证对话、身份验证服务(AS)票证发行服务(ticket)票证(Ticket)是用TGS或应用程序服务器的密钥加密TGS票证的临时证书，是更安全的身份验证对话、问题1:票证tickettgs的寿命太大时重放攻击的2:将会话密钥(sessionkey)、authenticationdialoginhighersecurecourelevel添加到用户认证服务器解决方案。 authentication dialog(authenticateonceforeachlog in)(1)cas : IDC | | id TGS(2)ASC 3360 ekcticket tggs localticketgs，3 .applytforremotesettgs，shareethncryptionkeymutualcregistration，4。remotesettgs，5 .applytforremoteserviceticket，6 .remoteserviceticket，7 .applysforremoteserviceservices、thedefectsofsymmetricalgorithms、theboth partiesofthesomunicationusethesameencryptionkey、publickeyinfrastructure、inthisinfrastructure、theclaimerneedstoprovehisidelntitybyprovidencryptionkey . thiscoulberealealey、PKIAuthentication、REVIEW-PKI1、causethesecurityproblemmofthepublickequitymanageributonabasicchallenge/REVIEW-PKI 1Intheopennetworkenvironment、suc has internet、howtoensurethat thepublickeyofpartybacquiredbypartyaisreallybelongstopartyb？2、possible attacksthemid dleatack、pkiauthentication、Review-PKI3、gener