网络安全概述-05认证技术基础

1、第5讲 认证技术根底11、 概述访问控制：控制用户和系统，系统和资源进展通讯和交互维护免受未授权访问为授权做预备2标识、认证、授权和稽查标识：一种可以确保主体用户、程序获进程就是它所声称的那个实体的方法认证：证明、确认标识的正确性授权：认证经过后，对主体访问资源的才干的安排。是操作系统的中心功能。稽查：对主体行为的审核和记录32、 标识与认证生物标识和认证口令有感知的口令一次性口令令牌安装密码认证存储卡智能卡4生物标识和认证所谓生物识别技术，就是经过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段亲密结合，利用人体固有的生理特征和行为特征来进展个人身份的坚决。本质：方式识别5用于鉴别

2、的生物特征人脸虹膜视网膜人耳手型指纹掌纹手背静脉分布头部特征静态手部特征语音笔迹习惯性签名打字韵律步态静脉血流速度动态6基于特征的生物认证方法需求遵守的几个规范普遍性意味着这一特征每一个人必需拥有特征独一性这一特征与他人没有任何的共性稳定性这一特征不随时间、外界环境等发生变 化可接受性这一特征可被人们接受和认可防伪性这一特征不易仿造、窃取可搜集性这一特征必需可以容易地由提供的技 术设备丈量可执行性这一特征必需准确、快速、强壮，并 且不要求过多的资源7 生物认证的一个主要问题是扫描的结果或多或少都会与模板不同系统接受冒名顶替者的概率称作错误匹配率FAR错误接受率系统回绝授权个人的概率称作错误不匹

3、配率FRR错误回绝率FAR与FRR相互制约8口令机制口令或通行字机制是最广泛研讨和运用的身份鉴别法。通常为长度为58的字符串。选择原那么：易记、难猜、抗分析才干强。口令系统有许多脆弱点：外部泄露口令猜测线路窃听危及验证者重放9对付外部泄露的措施教育、培训；严厉组织管理方法和执行手续；口令定期改动；每个口令只与一个人有关；输入的口令不再如今终端上；运用易记的口令，不要写在纸上。10对付口令猜测的措施教育、培训；严厉限制非法登录的次数；口令验证中插入实时延迟；限制最小长度，至少68字节以上防止用户特征相关口令，口令定期改动；及时更改预设口令；运用机器产生的口令。11有感知的口令常规问题个性化回答1

4、2一次性口令令牌安装同步机制令牌安装异步机制交互应对认证效力器通讯“间接的同步13密码认证对称密码体制认证公钥密码体制认证HASH认证14存储卡直接运用存在卡中的信息与库中信息比对可结合普通口令机制，双重比对15智能卡卡本身具有认证比对功能，加强卡本身平安维护随后再进一步认证163、 授权授权方法默许回绝17授权方法角色访问方法：不同角色的业务访问需求能够类似组访问原那么方法：需求同样访问权限的用户的集合物理和逻辑位置访问原那么：时间：事务类型限制：事务虚例取值的不同，访问权限赋予能够也不同。银行取钱，职责不同，能操作的金额应该不一致；数据库管理员担任建立人事数据库，但他未必有权访问这些数据记

5、录18默许回绝普通授权的根本原那么默许回绝需求知晓:授予可以实现业务的最小权限，与最小特权原那么一致194、 单点登录脚本方式KerberosSesame20脚本方式包含有每一用户ID、口令字和对应平台登录命令的批处置文件用户运用方便管理员需求事先编写脚本管理员跟踪活交换口令更改机制脚本本身的性、完好性要求极高平台晋级能够会要求脚本晋级21Kerberos(科波罗斯)分布式单点登录的实例运用对称加密算法体系主要组件：密钥分发中心：存有一切用户和效力的密钥；具有密钥分发和认证功能；客户和效力充分信任KDC是系统平安的根底实体对象：主体，用户、程序或效力，票证：用户主体之间访问认证 Kerbero

6、s协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭仗此验证获得的票据(ticket-granting ticket)访问多个效力，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的平安性。 22Kerberos认证过程见图用户向AS认证AS发送初时票证给用户用户恳求访问文件效力器TGS运用会话迷药创建新票证用户提取一个绘画迷药并将票证发给文件效力器2324Kerberos弱点：单点缺点必需实施处置大量信息密钥需求暂时性的存在任务站上，存在要挟会话密钥被解密后仍保

7、管在缓存中，存在要挟对密码猜测的字典攻击密钥更新过程复杂25SesameSecure European System for application in a Multi-vendor Environment是为理处理Kerberos的弱点而提出的。SESAME运用公开加密算法和对称加密算法来实现对通讯的维护、实现对称密钥的交换和访问控制。与Kerberos不同的是，SESAME提供两种Certificates或者Tickets,一个用来提招认证，另外的一个提供应客户访问答应。SESAME的同样也容易被字典式攻击。同时基于对称和非对称密码体制PAS特权证书取代访问票证：主体身份、允许访问范围、

8、允许访问时间、有效期限等信息PAS包括数字签名信息，证明PAC来源的可信26认证过程用户发送证书AS发送令牌以与PAS通讯用户将令牌发给PAS，恳求访问资源PAS创建并发送PAC给用户用户发送PAC向资源认证参见以下图2728参考： 所谓PKI就是一个公钥概念和技术实施和提供平安效力的具有普适性的平安根底设备。但PKI的概念在不断的延伸和扩展。 PKI根底设备采用证书管理公钥，经过第三方的可信任机构CA把用户的公钥和用户的其他标识信息捆绑在一同，在internet网上验证用户的身份。5、 PKI认证一29 什么是恶意程序 什么是黑客(Hacker) 什么是网络平安隔离卡 什么是入侵及入侵检测系

9、统 什么是公钥密码 什么是RSA公钥密码 什么是分组密码及密码分析 什么是数字签名 什么是Hash函数 什么是PKI(公钥根底设备) 什么是信息隐藏技术 什么是信息平安 什么是可信电子信息系统 什么是密钥托管(KeyEscrow) 什么是数字证书 什么是PGP(PrettyGoodPrivacy) 什么是步态识别 什么是DynamicID动态口令卡 什么是DynamicID身份认证效力器 什么是IDShield身份认证系统30PKI：基于公钥密码体制的认证技术框架MAC：音讯认证RSA：公钥密码算法SHA：平安杂凑算法 DSS：数字签名规范AS：认证效力器CA：认证中心RA：注册机构RS：业务

10、受理点CRL：证书撤销列表DES：数据加密规范Recoverykey：私钥Encryptedkey：密钥31PKI相关规范32一、认证根本概念1、问题的提出2、认证的分类3、音讯认证4、身份认证5、认证协议331、问题的提出认证就是确认实体是它所声明的。认证是最重要的平安效力之一。认证效力提供了关于某个实体身份的保证。一切其它的平安效力都依赖于该效力认证可以对抗冒充攻击的危险342、认证的种类数字签名：手写签名的电子化音讯认证：音讯来源和内容的合法性HASH函数：音讯的完好性身份认证：实体所声称与实体本身的相符性认证协议：身份认证、密钥交换353、音讯认证1需求：在网络通讯中，有一些针对音讯内

11、容的攻击方法伪造音讯窜改音讯内容改动音讯顺序音讯重放或者延迟定义描画：对收到的音讯进展验证，证明确实是来自声称的发送方，并且没有被修正正。假设在音讯中参与时间及顺序信息，那么可以完成对时间和顺序的认证363、音讯认证2实现音讯认证的根本方法：Message encryption：用整个音讯的密文作为认证标识接纳方必需可以识别错误MAC：一个公开函数，加上一个密钥产生一个固定长度的值作为认证标识Hash function：一个公开函数将恣意长度的音讯映射到一个固定长度的散列值，作为认证标识37 Hash函数(也称杂凑函数或杂凑算法)就是把恣意长的输入音讯串变化成固定长的输出串的一种函数。这个输出

12、串称为该音讯的杂凑值。 Hash函数主要用于完好性校验和提高数字签名的有效性,目前已有很多方案。这些算法都是伪随机函数,任何杂凑值都是等能够的。输出并不以可区分的方式依赖于输入;在任何输入串中单个比特的变化,将会导致输出比特串中大约一半的比特发生变化。38一个平安的杂凑函数应该至少满足以下几个条件： 输入长度是恣意的; 输出长度是固定的,根据目前的计算技术应至少取128bits长,以便抵抗生日攻击; 对每一个给定的输入,计算输出即杂凑值是很容易的; 给定杂凑函数的描画,找到两个不同的输入音讯杂凑到同一个值是计算上不可行的，或给定杂凑函数的描画和一个随机选择的音讯,找到另一个与该音讯不同的音讯使

13、得它们杂凑到同一个值是计算上不可行的。394、身份认证1定义：证明客户的真实身份与其所声称的身份能否相符的过程。根据：Something the user know (所知密码、口令等Something the user possesses 拥有身份证、护照、密钥盘等Something the user is (or How he behaves)即个人特征识别或说生物特征识别指纹、笔迹、声音、虹膜、DNA等404、身份认证2音讯认证与身份认证的差别：身份认证实体鉴别普通都是实时的，音讯鉴别普通不提供实时性。实体鉴别只证明实体的身份，音讯鉴别除了要证明报文的合法性和完好性外，还需求知道音讯的含

14、义。数字签字是实现身份识别的有效途径。但在身份识别中音讯的语义是根本固定的，普通不是“终生的，签字是长期有效的。415、认证协议1双方认证 (mutual authentication) 通讯双方相互进展认证单向认证 (one-way authentication) 通讯双方只需一方向另一方进展鉴别425、认证协议2最常用的协议。该协议使得通讯各方相互认证鉴别各自的身份，然后交换会话密钥。基于鉴别的密钥交换中心问题有两个：严密性实效性为了防止伪装和防止暴露会话密钥，根本鉴别和会话密码信息必需以严密方式通讯，这就要求预先存在严密或公开密钥供实现加密运用。第二个问题也很重要，由于涉及防止音讯重放攻

15、击。43二、身份认证根本情况1、身份认证的作用2、身份认证的分类3、身份认证的模型和组成4、身份认证的要求5、身份认证的实现途径6、身份认证的机制441、身份认证的作用身份认证需求： 某一成员声称者提交一 个主体的身份并声称它是那个主体。身份认证目的： 使别的成员验证者获得对声称者所声称的现实的信任452、身份认证的分类1实体鉴别可以分为本地和远程两类。实体在本地环境的初始化鉴别就是说，作为实体个人，和设备物理接触，不和网络中的其他设备通讯。衔接远程设备、实体和环境的实体鉴别。本地鉴别：需求用户进展明确的操作 远程鉴别：通常将本地鉴别结果传送到远程。 1平安 2易用462、身份认证的分类2实体

16、鉴别可以是单向的也可以是双向的。 单向鉴别是指通讯双方中只需一方向另一方进展鉴别。 双向鉴别是指通讯双方相互进展鉴别。473、身份认证的组成1ATPB可信任者A、B为声称者(Claimant )或者验证者VVerifier)483、身份认证的组成2一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。另一方为验证者VVerifier),检验声称者提出的证件的正确性和合法性，决议能否满足要求。第三方是可信任者TP Trusted third party) ，参与调解纠纷。第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。494、身份认证的要求一个身份认证系统应满足

17、如下要求：1验证者正确识别合法恳求者的概率极大化。 2不具有可传送性Transferability) 3攻击者伪装成恳求者欺骗验证者胜利的概率要小到可以忽略的程度 4计算有效性 5通讯有效性 6参数能平安存储*7交互识别，如在某些运用中通讯双方能相互认证*8第三方的实时参与，如在线公钥检索效力*9第三方的可信任性*10可证明的平安性505、身份认证的实现途径三种途径之一或它们的组合1所知Knowledge:密码、口令2一切Possesses):身份证、护照、信誉卡、钥匙3个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征4他做的事情如手写签名设计根据：平安程度、系统经过率、用户可接受性、本钱等51 简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接纳者用以确认数据单元的来源和数据单元的完好性并维护数据,防止被人(例如接纳者)进展伪造。它是对电子方式的音讯进展签名的一种方法,一个签名音讯能在一个通讯网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。无仲裁的数字签名有仲裁的数