版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、8.1 引 言身份认证(身份识别与验证,Identification and Authentication)平安防御的第一道防线,用户获得访问权限的第一步访问控制的根底第9章访问控制:识别和区分用户,然后赋予访问权限最小特权原理(Least Privilege Theorem),系统中的每个主体执行授权义务时,仅被授予完成义务所必需的最小访问权限用户审计的根底第9章用户审计:计算机系统活动与用户的关联记录、分析和报告8.2 身份认证的方法识别 Identification :身份声明;验证 Authentication :检验身份声明的有效性目前用来验证用户身份的方法有: 用户知道什么(如口令
2、、个人身份号码(PIN)、密钥等)用户拥有什么(令牌,如ATM卡或智能卡等)用户是谁(生物特征,如声音、手写识别或指纹识别等) 8.2.1 基于用户知道什么的身份认证口令用户输入用户标识和口令(或PIN码)系统对输入的口令与此前为该用户标识存储的口令进展比较假设匹配,该用户就可得到授权并获得访问权优点:简单、普及、有效问题:容易被猜出;一用户,多效力器,多口令,不方便8.2.2 基于用户拥有什么的身份认证令牌记忆令牌(磁卡、ATM卡) 只存储信息,和身份识别码一同运用智能卡采用内置微处置器,支持多种接口和协议8.2.3 基于用户是谁的身份认证生物特征识别生理属性(如指纹、视网膜识别等)行为属性
3、(如声音识别、手写签名识别等)高平安性不成熟,欠稳定,费用高8.3 第三方认证 所谓第三方认证就是在相互不认识的实体之间提供平安通讯。为互不认识的实体提供平安通讯的保证。Kerberos认证系统:最早提出的第三方认证机制,依托密钥技术对称密码系统X.509认证系统:由ISO开发,基于公开密钥非对称密码系统,平安性更高,在分布式IA系统中更方便 8.3.1 Kerberos概述由麻省理工学院(MIT) 开发提供平安、可靠、透明、可伸缩的认证效力基于对称密码学(DES或其它算法):效力器与每个实体分别共享一个不同的密钥对称的含义;能否知道该密钥便是实体身份的证明。Kerberos模型组成图8-3箭
4、头有误,正确的参见图8-4:客户机第一方运用提供效力器第二方认证效力器(Authentication Server) :可信仲裁者第三方根据密钥的身份认证密钥数据库(KDC)会话密钥的产生和分发用于客户机和Ticket-Granting Server的一次性通讯票据授予效力器(Ticket-Granting Server)向已经过认证的用户发放用于获取效力的票据向第二方,即运用提供效力器证明第一方的身份图8-3 Kerberos组成域认证和资源访问AuthenticationService (AS)TicketGrantingService(TGS)恳求一张TGS票据前往TGT给客户发送TGT
5、, 恳求运用效力器的票据前往运用效力器票据Kerberos客户端 给运用效力器发送会话票据(可选)发送身份确认音讯给客户运用效力器密钥分发中心(KDC)图8-4 Kerberos认证音讯交换过程 8.3.3 Kerberos根底构造和交叉领域认证认证效力器:管理用户有限需求多个认证效力器领域(Realm):某个特定认证效力器和在该效力器上注册的用户交叉领域认证:允许一个委托人(Principal)C向注册在另外一个域的运用效力器V证明C的身份支持交叉领域认证的条件:用户必需是在Kerberos系统注册的运用效力器接受Kerberos系统的认证权威不同领域的Kerberos效力器之间可以相互认证
6、:相互注册,相互共享密钥。图8-5 交叉领域认证8.4 X.509ITU国际电信联盟,规范制定组织“开放性系统互连目录效力:认证体系X.509目录:维护用户信息数据库的效力器或分布式效力器集合,用户信息包括用户名到网络地址的映射和用户的其它属性如用户的公钥证书 。X.509:定义了X.500目录向用户提招认证的业务框架不同等级的认证方法、证书的格式和管理、密钥的产生定义了基于公钥证书的认证协议定义了基于公钥密码体制的数字签名机制X.509主要内容:简单认证(Simple Authentication)程序:运用最常见的口令(Password)认证,平安度较低强认证(Strong Authent
7、ication)程序:运用公开密钥密码技术,高平安度 密钥及证书管理:公开密钥管理以及证明密钥正确性的证书管理证书扩展及证书吊销列表扩展(Certificate and CRL Extensions) 8.4.1 认证协议简单认证过程基于口令用户与效力器共享口令,存在平安隐患三种运转方式:将用户ID及其口令以明文方式传送给接纳端将口令、ID、一个随机数和/或时间戳防重放在经过一单向函数维护口令被hash后,传送至接纳瑞方法(2)的数据连同另一组随机数和/或时间戳,再经过第二次的单向函数维护后,传送至接纳端8.4.2 认证协议强认证程序运用公钥技术实现认证,用户的私钥只用于签名,不需对外发送前提
8、:为防止冒充,公钥必需可以区分、验证且无法伪造,同时又与个人的身份相结合实现:机制:引入认证中心(Certificate Authority,CA,可信第三方) ,为每位网络用户签发电子证书将每用户公钥与个人身份结合的数据,运用CA的私钥签名;公钥、身份和CA签名绑定,合称电子证书或数字证书。用户间认证时运用电子证书。益处:将用户必需认证网络上每一个用户公钥的问题,缩减到只需认证用户所信任的公正第三方的公钥正确性的问题。 证书必需符合以下两个特点: (1) 一切可获得认证中心公钥的用户,可以认证任何由该认证中心签发的证书。 (2) 除认证中心本身以外,其它任何人修正证书的动作都会被觉察、检测出
9、来。8.5 数 字 证 书用户的数字证书是X.509的中心建立:可信的证书发放机构CA保管:CA或用户本人将其放入公开的目录效力器访问:目录效力器X.509数字证书的普通格式图8-11:版本号序列号签名算法识别符发行者称号:CA称号有效期:包括证书有效期的起始时间和终止时间主体称号:证书所属用户的称号主体的公开密钥信息:包括主体的公开密钥、密钥算法的标识符及相应的参数发行者独一识别符:独一地标识发行者,v2主体独一识别符:独一地标识主体,v2扩展域:扩展,v3签名:CA用本人的密钥对上述域的哈希值进展数字签名的结果;签名算法标识符及相应的参数 X.509中运用以下表示法来定义证书:CA= CA
10、 V, SN, AI, CA, TA, A, AP A, AP :主体称号,主体的公开密钥信息Y:证书发放机构Y向用户X发放的证书YI: I & Y对I的哈希值的签名 8.5.1 证书的获取由于CA的签名无法伪造,所以证书是不可伪造的,因此无需对存放证书的目录施加特别的维护。在同一CA注册的用户:访问目录效力器;对方发送在不同CA注册的用户:设用户A在CA:X1处注册,B在X2处注册,X1和X2彼此向对方注册,那么:1A从目录中获取X1,用PKX1验证,信任其中的PKX22A从目录中获取X2,用PKX2验证,信任其中的PKB证书链:X1X2推行:N个证书的证书链 X1X2.XN条件:恣意两个相
11、邻的CA Xi和Xi+1已彼此间为对方建立了证书X.509建议:一切CA以层次构造组织起来,用户循证书链证书途径获取相应的证书A经过证书链: XWVUYZ获取B的公开密钥。8.5.2 证书的吊销未到期就被取消证书吊销列表CRL(Certificate Revocation List)CA签名算法CA的称号、建立CRL的日期、下一CRL的公布日期每一被吊销的证书的序列号和被吊销的日期CA签名8.6 验 证 证 书强认证详介X.509中的强认证:基于公钥密码系统,基于用户能否拥有私钥三种不同信任程度的强认证“单向认证(One-way Authentication)“双向认证(Two-way Aut
12、hentication)“三向认证(Three-way Authentication)8.6.1 单向认证发送方A先产生一不反复的数字rA用以抵御重放攻击、防止伪造;产生时间戳tA数据产生/逾期的时间A接纳方B:B, AtA, rA, BXI表示X(在此为A)对数据I(此即为tA, rA, B)的签名3B收到后,执行以下动作:从认证中心获得A的证书,获得A的公钥验证签名,以确定数据的完好性,确定A是发送者,B是接纳者以A的公钥解密AtA, rA, B ,检查第三项能否是B,是那么以上三点成立检查时间戳tA能否在有效期限之内,检查rA能否反复出现过8.6.2 双向认证前三步与“单向认证一样4B产
13、生rB 、 tB 防重放5B A :BtB, rB, A, rA6A收到后,执行以下动作与步骤3类似:以B的公钥验证签名,以确定数据的完好性。检查此文件的识别数据,A能否此文件的收方。检查时间戳tB能否在有效期限之内。检查rB能否反复出现过8.6.3 三向认证发方还需求再发送一道应对信息给发方不检查时间戳,只检查不反复随机数任务方式:前六个步骤与“双向认证类似,但取消tB、tA相关操作;7A检查rA与步骤1所产生的能否一样。8A B:ArB, B 。9收方B收到后,检查rB与步骤4所产生的能否一样8.7 CA系统构造PKIX:CA系统模型由互联网工程义务组(IETF)开发设计以X.509关于认证方法、证书管理、签名方法等为根底适宜于互联网环境基于数字证书PKIX的CA系统构造:认证中心(Certification Authority, CA)多个PKIX的中心,信任的发源地担任管理数字证书产生、发布、撤销注册机构(Registration Authority, RA)减轻CA的处置负担实现用户的注册、恳求以及部分其它管理功能CA管理员平台访问控制系统面向用户目录效力器8.7.4 CA操作步骤证
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025国家中节能铁汉生态环境股份有限公司干部岗位招聘2人笔试历年参考题库附带答案详解
- 房地产交易流程规范化操作手册
- 养老机构服务质量管理办法(试行)
- 2026重庆丰都县民政局公益岗招聘1人笔试备考题库及答案详解
- 2026重庆垫江县包家镇人民政府选拔本土人才1人笔试参考试题及答案详解
- 2026年陕西师范大学基建处招聘笔试参考题库及答案详解
- 旅游服务业市场调研分析及未来趋势与商业布局研究报告
- 西华师范大学2026年6月公开招聘非事业编制工作人员笔试参考试题及答案详解
- 2026年白银市平川区中小学编制教师招聘笔试备考试题及答案详解
- 2026年西安市临潼区人民法院就业见习招募考试备考题库及答案详解
- 村卫生所医疗规章制度
- 2026年及未来5年中国环孢素滴眼液行业市场全景监测及投资战略咨询报告
- 婚礼督导培训课件
- 儿童肺脓肿诊疗指南(2025年版)
- 建筑边坡工程鉴定与加固技术规范
- 2026年广发证券港股通开通测试题及实战解析
- 2026年书记员考试题库100道(历年真题)
- 人工智能深度学习入门
- 盘扣打包工人合同协议
- 2025云南临沧高新技术产业开发区管理委员会公益性岗位招聘4人考试笔试备考试题及答案解析
- 水工建构筑物维护检修工岗前操作技能考核试卷含答案
评论
0/150
提交评论