身份认证技术-杨文虎

1、网络安全技术第 2 页案例：国内著名网站用户密码泄露事件2011年12月21日上午，中国最大的开发者技术社区CSDN网站遭到黑客攻击，600余万用户资料遭泄露。网络安全技术第 3 页案例：国内著名网站用户密码泄露事件2014年12月25日，据国内最大的漏洞报告平台乌云网（）显示，中国铁路客户服务中心网站12306的大量用户信息遭到泄露。被泄露的数据总共有131653条，文件大小为14M。泄露的用户数据包括用户帐号、明文密码、身份证、邮箱等。网络安全技术第 4 页案例思考1. 在用户对信息资源的访问过程中，用户口令的作用是什么？2. 基于用户口令的身份认证

2、面临哪些安全威胁？3.如何确保口令认证的安全性？4. 除了口令，还可以采用哪些身份识别技术？网络安全技术第 5 页本章主要内容A身份认证的概念B基于口令的身份认证C持卡身份认证D生物识别身份认证E数字证书FPKI公钥基础设施身份认证的概念第一部分网络安全技术第 7 页身份认证的概念1. 用户口令，是人们在信息资源访问活动中的身份标识，并以此进行身份认证，防止非授权访问。2.身份认证（Authentication）是证实实体（Entity）对象的数字身份与物理身份是否一致的过程。身份认证技术能够有效防止信息资源被非授权使用，保障信息资源的安全。这里的实体可以是用户，也可以是主机系统。网络安全技术

3、第 8 页身份认证的概念身份认证分为两个过程：标识与鉴别。1.标识（Identification）就是系统要标识实体的身份，并为每个实体取一个系统可以识别的内部名称标识符ID。2. 识别主体真实身份的过程称为鉴别（Authentication），也有称作认证或验证。3.用户名或账户可以作为身份标识。为了对主体身份的正确性进行验证，主体往往还需要提供进一步的凭证，例如密码（口令）、令牌或是生物特征。网络安全技术第 9 页身份认证的概念创建和发布的身份信息必须具有三个特性：1.唯一性。标识符必须是唯一的且不能被伪造，防止一个实体冒充另一个实体。不同的计算机系统、不同的应用中，可以使用不同的方式来标

4、识实体的身份：可以是一个唯一的字符串，可以是一张数字证书（类似于现实生活中的居民身份证），也可以是主机IP地址或MAC地址（Media Access Control，媒介访问控制）。例如： Windows系统的登录用户名和口令标识了一个用户的身份； 打开Office文档的口令标识了用户的身份； 登陆知网时要求输入确认用户的合法身份等。网络安全技术第 10 页身份认证的概念创建和发布的身份信息必须具有三个特性：2.非描述性。任何身份的标识都不能表明账户的目的，例如Administrator这样的身份标识对于攻击者太具有诱惑力了。3.权威签发。有的身份标识，如数字证书应当由权威机构颁发，以便对标识

5、进行验真，或在出现争执时提供仲裁。基于口令的身份认证第二部分网络安全技术第 12 页基于口令的身份认证基于口令的身份认证是应用最为广泛的身份认证技术。口令长度：通常为长度为516的字符串。选择原则：易记、难猜、抗分析能力强。12网络安全技术第 13 页基于口令的身份认证来看看大家都用什么密码吧：网络安全技术第 14 页基于口令的身份认证使用最多的密码长度是8位：竟然不要求长度竟然不要求长度网络安全技术第 15 页如何提高口令质量1. 对于用户 增大口令空间 选用无规律的口令 多个口令 用工具生成口令2. 对于网站 登录时间限制 限制登录次数 尽量减少会话透露的信息 增加认证的信息量网络安全技术

6、第 16 页如何提高口令质量某客户端用户登录界面上设置了“验证码”输入框，此验证码是随机值。目前，得到广泛应用的验证码更多的是CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart，全自动区分计算机和人类的图灵测试)，是一种主要区分用户是计算机和人的自动程序。这类验证码的随机性不仅可以防止口令猜测攻击，还可以有效防止攻击者对某一个特定注册用户用特定程序进行不断的登陆尝试，例如防止刷票、恶意注册、论坛灌水等。使用“验证码”实现一次性口令认证网络安全技术第 17 页如何提高口令质量绑定手机

7、的动态口令实现一次性口令认证动态口令也可与手机号码绑定，通过向手机发送验证码来认证用户身份。很多手机应用中，用户申请了短信校验服务后，修改账户信息、找回密码、一定额度的账户资金变动都需要手机校验码确认。合法用户可以通过接收手机短信，输入动态口令，完成认证。当然，如果用户手机丢失，其账户将面临很大安全风险。网络安全技术第 18 页如何提高口令质量使用动态口令牌实现一次性口令认证动态口令牌是一种内置电源、密码生成芯片和显示屏，并根据专门的算法定时自动更新口令的硬件设备。动态口令牌的使用简单方便，动态口令定时更新，用户只要根据系统的提示，输入动态口令牌上当前显示的口令即可。持证身份认证技术第三部分网

8、络安全技术第 20 页持证认证技术1. 使用USB Key增强认证安全性USB Key是一种硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key的应用包括网上银行的“U盾”等。2. 使用智能卡增强认证安全性智能卡（Smart Card）是一种更为复杂的凭证。它是一种将具有加密、存储、处理能力的集成电路芯片嵌装于塑料基片上而制成的卡片。智能卡一般由微处理器、存储器等部件构成。为防止智能卡遗失或被窃，许多系统需要智能卡和个人识别码PIN同时使用。3. 条码卡4. 磁卡5. IC卡6.存储卡生物识别认证技术第四部分

9、网络安全技术第 22 页生物识别认证技术1. 签名认证不是能识别出被鉴别的签名是什么字，而是要能识别出签名的人。 首先提供一定数量的签名 系统分析签名，提取特征 通过比较签名，进行身份识别2. 指纹识别基于每个人指纹的唯一性和稳定性。 现代电子集成制造技术 可靠的匹配算法网络安全技术第 23 页生物识别认证技术3.语音识别不是能识别出用户说的是什么，而是要能识别出是谁说的。语音识别的要求： 创造一个良好的环境 规定用户朗读的单词4.虹膜识别基于眼睛虹膜的唯一性和稳定性。虹膜识别的主要技术： 虹膜图像获取 虹膜识别算法数字证书第五部分网络安全技术第 25 页数字证书1. 主机系统如何向用户证实自

10、己的身份？2. 如何鉴别网站的真假？ 我们每次上支付宝，用的是地址栏中保存的网址，不会有假 我们可以查看网站的数字证书网络安全技术第 26 页数字证书 数字证书类似于现实生活中的由国家公安部门发放的居民身份证。 数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。 数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明。通信各方通过验证对方证书的有效性，从而解决相互间的信任问题。网络安全技术第 27 页数字证书 由权威的可信第三方（Certification Authority CA）产生根证书。网络实体的系统中通常会安装根证

11、书。 CA可用根证书为其下级以及网络实体签发数字证书。系统对用根证书签发的数字证书都表示信任，从技术上说就是建立起一个证书信任链。 用户验证各网络实体数字证书的有效性时，实际上只要验证为其颁发数字证书CA的根证书。用户信任可信第三方颁发的根证书，也就信任了网络实体获得的数字证书。利用数字证书鉴别身份的原理网络安全技术第 28 页版本号序列号签名算法标识符 指该证书中的签名算法签发人名字有效时间 起始和终止时间个体名字个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名数字证书X.509证书格式网络安全技术第 29 页利用数字证书鉴别身份的原理1. 发布数字证书的权威机构和申请数字

12、证书的企业或组织应具备的条件依法成立的合法组织 具有与认证服务相适应的专业技术人员和管理人员 具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责任的能力 具有符合国家安全标准的技术、设备 国家法律法规规定的其他条件2. EV SSL数字证书（Extended Validation SSL），遵循全球统一的严格身份验证标准颁发的数字证书，是目前业界最高安全级别的证书。http:/ 31 页公钥基础设施PKIPKI（Public Key Infrastructure）公钥基础设施，是一种按照既定标准的密钥管理平台，能够为所有网络应用提供加密、数字签名、识别和认证等密码服

13、务以及所必需的密钥和证书管理体系。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。网络安全技术第 32 页公钥基础设施PKI证书发布证书发布证书注销证书注销证书生成证书生成申请与审核申请与审核证书终止证书终止证书归档证书归档目录目录服务服务CARA终端用户终端用户PKI是一个签发证书、传播证书、管理证书、使用证书的环境PKI保证了公钥的可获得性、真实性、完整性终端实体：是PKI产品或服务的最终使用者，可以是个人、组织、设备或计算机中运行的进程。证书机构CA：是PKI的信任基础，用于签发并管理证书的可信实体。注册机构RA：是CA的延伸，可以是CA的一部分，也可以独立。RA功能

14、包括个人身份审核、CRL管理、密钥对产生和密钥对备份等。PKI存储库：包括LDAP服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供查询功能。网络安全技术第 33 页PKI体系结构PKIPKI存储库存储库KMCKMC受理点受理点受理点受理点受理点受理点RARARARARARACACACACACACACACACACA接受用户的证书请求，签发用户证书，是接受用户的证书请求，签发用户证书，是PKIPKI的核心的核心RARA接受、验证用户的申请，将验证通过的申请提交给接受、验证用户的申请，将验证通过的申请提交给CACA，由，由CACA签发证书签发证书网络安全技术第

15、 34 页PKI工作过程PKIPKI工作过程：工作过程：（1 1）实体向）实体向RARA提出证书申请。提出证书申请。（2 2）RARA核实实体身份。核实实体身份。（3 3）RARA将实体身份信息和公开密钥以数字签名的方式发送给将实体身份信息和公开密钥以数字签名的方式发送给CACA。（3 3）CACA验证数字签名，同意实体的申请，颁发证书。验证数字签名，同意实体的申请，颁发证书。（4 4）RARA接收接收CACA返回的证书，发送到返回的证书，发送到LDAPLDAP服务器以供目录浏览服务，并通知实体证书发放成功。服务器以供目录浏览服务，并通知实体证书发放成功。（5 5）实体获取证书，利用该证书可以与其他实体使用加密