版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第3章 身份认证技术信息安全概论课程组网络空间安全系2020.3北京电子科技学院身份认证的安全需求——“你是谁”网络上通信方是谁?你访问的网站是真实可靠的吗?本章内容身份认证概述常见的身份认证方式身份认证协议数字证书与PKI3.13.23.33.43.5其它认证技术本节主题身份认证概述身份认证概念身份认证分类身份认证面临的安全攻击身份认证概念——信息安全系统基本结构一个基本的信息安全系统至少应包括身份认证、访问控制和审计功能。身份认证是最基本的安全服务,访问控制和审计服务的实现都要依赖于身份认证系统所识别的用户身份。全管理员安身份认证授权数据库问监视器访访问控制用户审计资源身份认证概念——什么是身份认证身份认证(Authentication)是证实实体(客户、代理、进程、设备等)与其所声称的身份是否相符的过程,即实体真实性证明。身份认证可以对抗假冒攻击和重放攻击的威胁。身份认证概念——什么是身份认证身份认证系统通常由认证服务器、认证系统客户端和认证设备组成。身份认证系统主要通过身份认证协议和认证系统软硬件进行实现。客户端认证服务器认证设备用户所知道的(somethingtheuser
knows)例如口令用户所拥有的(something
theuser
possesses)例如智能卡、密钥盘用户的特征(something
theuseris
orhow
he/shebehaves)例如指纹、声音、视网膜、签名、步态身份认证概念——身份认证的物理依据本节主题身份认证概述身份认证概念身份认证分类身份认证面临的安全攻击身份认证分类根据认证时采用的安全因素性质的不同,身份认证可以分为:基于秘密知识的身份认证例如口令、密钥基于物品的身份认证例如U盾、IC卡基于生物特征的身份认证指纹、人脸身份认证分类根据所使用的安全因素数量,可将身份认证分为以下两类:单因素身份认证登录口令多因素身份认证银行卡+PIN码身份认证分类根据需要认证的通信方只对单方认证还是双方互相认证,认证协议可以分为:单向认证只认证服务器端双向认证服务器端和客户端都要认证身份认证分类根据认证时所采用的密码体制的不同,可以分为基于对称密码的认证和基于公钥密码的认证。基于对称密码的认证Kerberos认证协议基于公钥密码的认证X.509认证协议本节主题身份认证概述身份认证概念身份认证分类身份认证面临的安全攻击身份认证面临的安全攻击身份认证过程容易遭受如下攻击形式。窃听攻击重放攻击伪造攻击/假冒攻击口令猜测攻击中间人攻击……本章内容身份认证概述常见的身份认证方式身份认证协议数字证书与PKI3.13.23.33.43.5其它认证技术常见的身份认证方式基于口令认证基于智能卡认证基于生物特征认证常见的身份认证方式基于口令认证基于智能卡认证基于生物特征认证基于口令的认证机制身份认证最常用的方法例如:系统登录使用二元组信息来表示某用户的身份<用户账号(用户
ID),口令(Password)>UIDPasswordPermission张三123*abcRliweiy8990R
Wguli8668R
Eyuhaibo8965RW
E用
户
服务器
验
证 验证用户ID通
过 与口令基于口令的认证机制口令传输及存储方案1(示意图)——最简单的口令方案声称者验证者psw’psw’IDID网络传输pswID比较验证通过与否安全风险?——
窃听攻击/
重放攻击/
口令直接泄露口令传输及存储方案2(示意图)——对抗窃听和直接泄露声称者
验证者
ID网络传输q=hash
(psw)IDpsw’IDq’hash安全风险?比较验证通过与否从1976年开始,业界开始使用密码学中的Hash函数加密用户口令——重放攻击/口令间接泄露口令间接泄露哈希函数反查穷举法字典法彩虹表法口令传输及存储方案3(示意图)——对抗口令间接泄露验证者
q=hash(psw,salt)ID比较声称者
网络传输IDq’salt验证通过与否hash算法使用PBKDF2
/
BCRYPT
/
CRYPT之类的慢哈希算法NIST:PasswordHashing
Competition——Argon(2015)安全风险? ——重放攻击psw’hashID口令传输及存储方案实例美国云存储服务商Dropbox口令存储方案(2016.9数据)《How
Dropbox
securelystoresyourpasswords》(
https://dropbox.tech/security/how-
dropbox-securely-stores-your-
passwords
)第1步:对用户口令做一次sha512哈希,将口令转化为64个字节第2步:对sha512的结果使用Bcrypt算法(每个用户独立的盐、强度为10)计算第3步:使用AES算法和全局唯一的密钥将Bcrypt算法的计算结果加密并保存口令传输及存储方案4示意图——对抗重放攻击验证者qID声称者
p
s
w
’hashID比较IDr’网络传输
验证者和声称者共有一个非重复值消息一次性口令验证通过与否salthashNRV
NRV
NRV
基于口令的认证机制静态口令用户提交给系统的验证数据是固定不变的由用户自己设置或者系统给定的一串静态数据作为口令一次性口令(One
Time
Password,OTP)也称动态口令,在认证过程中加入不确定因素,使每次认证的口令都不相同,提高认证过程的安全性渐渐成为身份认证技术的主流,被广泛应用于网银、游戏、电信运营商、电子商务等领域一次性口令认证实例一次性口令认证基本原理:在登录过程中加入不确定因子,使每次登录过程中传送的信息都不相同,以提高登录过程安全性(
/html/rfc2289
)为了产生一次性的动态口令,一般采用双运算因子的计算方式一个是声称者的秘密短语,例如口令等另一个是验证者产生的不确定因子,即,非重复值进行密码算法计算,使用的算法主要有对称算法、HASH、MAC根据不确定因子的不同,形成了不同的一次性口令认证技术:口令序列认证挑战应答认证基于时间同步认证基于事件同步认证一次性口令认证根据不确定因子的不同,形成了不同的一次性口令认证技术:口令序列认证挑战应答认证基于时间同步认证基于事件同步认证一次性口令认证口令序列(S/KEY)认证也称为基于哈希链的认证是一次性口令的首次实现,由贝尔通信研究中心于1991年开发,1995年成为国际标准RFC
1760(
/html/rfc1760
)S/Key一次性口令是基于MD4
或MD5生成的,是一个单向的前后相关的序列服务器系统内始终只记录1个口令,初始时记录的是第N个口令。用户用第N-1个口令登录时,系统用单向哈希算法算出第N个口令,与自己保存的第N个口令匹配,以判断用户的合法性口令序列(S/KEY)认证在初始化阶段,用户选取一个口令P(在实际中,用户口令P会和服务器给出的一个种子连接为64bit的P)和一个整数N,并根据单向散列函数H,计算Y=HN(P),把Y和N的值存到服务器上用户第i次登录时,用户端计算HN-i(P)并发送给服务器,服务器取出保存的HN-i+1(P),同时计算H(HN-i(P))的值,然后判断HN-i+1(P)和该值是否相等。如果二者相等,则用户的身份合法,并用HN-i(P)更新HN-i+1(P)口令序列(S/KEY)认证这种方案易于实现,且无须特殊硬件的支持安全性依赖于单向哈希函数但由于N是有限的,用户登录N次后必须重新初始化口令序列根据不确定因子的不同,形成了不同的一次性口令认证技术:口令序列认证挑战应答认证基于时间同步认证基于事件同步认证一次性口令认证挑战应答认证由认证服务器产生的随机数字序列(挑战值)作为NRV用户需要持有相应的挑战/应答令牌,令牌内置种子密钥和加密算法挑战应答认证基于挑战/握手认证协议(CHAP)Challenge-HandshakeAuthentication
Protocol(/html/rfc1994)Login
,IDcIDc,
RIDc,
MACcMAC=H(R,K)sMAC’=H(R,K)比较MAC’和MACOK/
DisconnectMAC的产生算法H可以基于Hash算法或分组密钥算法Client和Server有一个共享密钥K挑战应答认证认证过程用户向认证方发出认证请求认证方根据内置算法计算出一个挑战值并回传用户将接收到的挑战值输入挑战/应答令牌中令牌利用内置的种子密钥和加密算法计算出相应的应答值用户将产生的应答值并上送至认证方认证方根据该用户存储的种子密钥和加密算法计算出相应的应答值二者比对,进行认证挑战应答认证实例工行电子密码器具有内置电源和密码生成芯片、外带显示屏和数字键盘的硬件介质将交易页面显示的数字输入到密码器中,点击确认键后获取6位动态密码,并在1分钟内将该密码输入相应位置完成交易通过手机获取验证码网站验证码根据不确定因子的不同,形成了不同的一次性口令认证技术:口令序列认证挑战应答认证基于时间同步认证基于事件同步认证一次性口令认证基于时间同步认证Time-basedOne-Time
Password——TOTP把流逝的时间作为NRV同步是指用户口令设备和认证服务器所产生的口令在时间上必须同步使用“时间窗口”技术的时间同步,一般以30秒为单位基于时间同步认证用户与系统约定相同的口令生成算法用户需要访问系统时,用户端根据当前时间T和用户与系统的共享密钥K使用口令生成算法自动生成一次性动态口令,并传送给认证服务器服务器基于当前时间使用同样的算法和参数计算出所期望的输出值,如果该值与用户所生成的口令相匹配,则认证通过基于时间同步认证口令生成标准算法TOTP/html/rfc6238TOTP=
HOTP(K,T)=Truncate(HMAC-SHA-1(K,T))T是整数并代表和初始计数器之间的时间步数T
=
(当前时间-
T0)/X,T0是Unix开始计时的时间,X=30秒HMAC=
H(KXORopad||H(KXORipad||T))基于时间同步认证操作简单,单向数据传输用户端需要严格的时间同步电路
基于时间同步认证实例——硬件令牌 中银
E令。一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。用户的身份验证密码在使用过一次后就失效,下次使用时的密码是完全不同的新密码RSA
SecurID。在与RSA
ACE/服务器结合使用时,每隔一分钟生成一个唯一的识别用户的、无法预知的密码基于时间同步认证实例——软件程序根据不确定因子的不同,形成了不同的一次性口令认证技术:口令序列认证挑战应答认证基于时间同步认证基于事件同步认证一次性口令认证基于事件同步认证事件同步机制又名计数器同步机制基于事件同步的认证技术是把变动的数字序列(事件序列)作为NRV同步是指每次认证时,认证服务器与口令产生器保持相同的事件序列如果用户使用时,因操作失误多产生了几组口令出现不同步,则服务器会自动同步到目前使用的口令,一旦一个口令被使用过后,在口令序列中,
所有在这个口令之前的口令都会失效基于事件同步认证用户与系统约定相同的口令生成算法用户需要访问系统时,用户端根据当前数字序列中的C和用户与系统的共享密钥K使用口令生成算法自动生成一次性动态口令,并传送给认证服务器服务器基于同样的数字序列中的C、密钥和算法计算出所期望的输出值,如果该值与用户所生成的口令相匹配,则认证通过基于事件同步认证口令生成标准算法HOTP/html/rfc4226HOTP(K,C)=
Truncate(HMAC-SHA-1(K,C))C:8字节计数器值,非重复值NRV。这个数值必须在HOTP生成器(客户端)和HOTP认证器(服务器)一致K:客户端和服务器之间共享密钥基于事件同步认证一个口令触发按令钮牌上的一个口令认证结果Counter加一和预先注入的Key一起生成一个口令找到对应的Key和Counter,运算匹配,返回结果,匹配则counter加1基于事件同步认证实例信安世纪NetPass动态密码系统FreeOTP
Authenticator一次性口令实际应用——登录网站设置以登录这一网站为例一次性口令实际应用——开启设置一次性口令实际应用——开启设置一次性口令实际应用——关联认证器程序一次性口令实际应用——开启设置一次性口令实际应用——设置成功一次性口令实际应用——再次登录一次性口令实际应用——输入一次性口令口令超时一次性口令实际应用——登录成功常见的身份认证方式基于口令认证基于智能卡认证基于生物特征认证基于智能卡认证智能卡,Smart
Card,又称集成电路(Integrated
Circuit
card)卡,即IC卡一种将具有加密、存储、处理能力的集成电路芯片嵌入塑料基片而制成的卡片,可进行较复杂的操作,实现系统与持卡人之间的相互认证智能卡必须遵循一套标准,ISO7816是其中最重要的一个。ISO7816标准规定了智能卡的外形、厚度、触点位置、电信号、协议等基于智能卡的认证方式是一种双因素的认证方式IC卡:卡有唯一ID保证卡的真实性PIN:个人身份识别码进行认证时,用户输入
PIN,智能卡认证
PIN
成功后读出智能卡中的秘密信息,进而利用该秘密信息与主机进行认证基于智能卡的认证机制——智能卡的设计智能卡安全设计芯片的安全技术卡片的安全制造技术安全密码算法安全可靠协议的设计软件的安全技术管理系统的安全设计智能卡防复制、防伪造智能卡发行时都要经过个人化(Personalization)或初始化(Initialization)阶段软/硬件逻辑的格式化写入系统和个人信息在卡上印制名称、照片基于智能卡的认证机制——智能卡的设计基于智能卡的认证机制——智能卡的应用目前主要应用方面银行系统电子商务劳动保险、医疗卫生、水电气二代身份证扩大的应用范围个人签字、指纹、视网膜图样等信息可能存入智能卡,成为身份验证的更有效手段基于智能卡认证存在的问题硬件成本:需要在每个认证端添加读卡设备,增加成本机密性攻击:试图窃取机密信息通过侧信道攻击或网络监听等技术能够截获用户的身份认证信息基于数据中继的中间人攻击攻击者使用非接读卡续传装置由能够互相远程通信的读卡器和卡片模拟
两部分组成贴近用户的一端可以实现与真实卡片的通讯,贴近应用读卡器的一端能够将获取的真实卡片数据实时转发给应用读卡器,实现远程门禁开门、刷卡消费等复制卡片完整性攻击:基于恶意试图修改卡内信息可用性攻击:试图中断系统正常运行常见的身份认证方式基于口令认证基于智能卡认证基于生物特征认证基于生物特征认证应用快速成长用户对设备中数据,包括移动银行、移动支付等重要App所产生的信息快速解锁使用的需求美国前沿科技研究机构ABI
Research表示,生物识别市场的成长动能主要来自智能手机的嵌入式指纹传感器。在手机等移动设备市场带动下,2016年全球指纹识别传感器出货量约为7.8亿颗,占整体生物识别传感器出货量的96%只通过口令的防护措施已无法提供足够的保护各式各样科技的进步,例如摄影镜头影像画质的再提升、图像处理相关芯片的效能再提高,以及识别算法的新进展,都是让生物识别技术得以获得市场重视的原因基于生物特征认证生物特征认证以人体具有的唯一的生理特征和(或)行为特征为依据,利用计算机图像处理和模式识别技术来实现身份认证常见的用于认证的生物特征有指纹、虹膜、视网膜、人脸、掌纹、手形、静脉、语音、步态、签名等基于生物特征认证核心在于如何获取这些生物特征,并将之转换为数字信息后存储于计算机中,利用可靠的匹配算法来完成个人身份的认证过程生物特征认证一般都要经过图像采集、特征提取和特征匹配三个过程图像采集是指通过设备获取生物信息并转化为数字图像的过程特征提取则是从数字图像中提取生物特征特征匹配一般是指将提取的生物特征与存储在数据库中的模板特征进行匹配,从而做出决策用户ID验证信息权 限RootSdffRAdmin8990RWWeb8668R
Eftp8965RW
E认证过程示意图验证用户特征信息C
’认证方
传送特征信息C’
发起访问请求
回应访问请求,允许访问
验证通过与否
指纹识
别 器
读取特征信息
C
获得特征信息
C
基于生物特征的认证指纹识别利用手指指尖处皮肤上凸凹不平的脊线和谷线纹路的独特性对个人身份进行区分自动指纹识别系统(Automatic Fingerprint IdentificationSystem)通过特殊的光电转换设备和计算机图像处理技术,对活体指纹进行采集、分析和比对,可以自动、迅速、准确地认证个人身份指纹识别在所有的生物识别技术中,指纹识别技术是目前最为成熟的,也被应用最广的生物识别技术指纹识别优点样本便于获取,易于开发认证系统,实用性强指纹认证设备的价格已经非常低廉缺点某些群体由于遗传、年龄因素、环境因素或者损伤等因素的影响,指纹特征少,难于成像指纹成像受皮肤干湿情况影响比较大在目前的技术条件下,指纹的伪造难度在降低指纹识别——指纹伪造据英国《卫报》2018年11月15日报道,研究人员使用了一种神经网络来生成人造指纹这种人造指纹(纽约大学的研究人员将其取名为DeepMaster
Prints)能模仿生物统计系统中超过1/5的指纹,其中错误率仅为千分之一人脸识别人脸特征是最具普适性的特征,由于其直观性和非侵犯性而成为接受度最高的生物特征认证技术人脸识别依据面部器官的相对空间位置和形状以及对面部的全局分析进行身份识别人脸识别优点人脸图像易于获取,成本低不需要用户主动配合,可远距离采集人脸图像静态场合和动态场合均适用不足对相似面容无能为力人脸特征的长期稳定性较差人脸表情非常丰富,容易受表情变化的影响易受环境光照变化、面部遮挡物等影响人脸识别在各个领域有较为广泛的应用签名识别依据:每个人的签名动作和字迹具有明显的个性,例如笔的移动情况,加速度、压力、方向等以及签名字体的轮廓大小和笔画方向等形式:静态签名和动态签名静态签名只分析字体几何特征动态签名除了分析字体几何特征外,还使用书写时体现在传感器板上的笔画顺序、速度、力度等特征签名识别在线签名识别在获取待验证签名样本的同时,还能取得签名时的速度,笔画的方向以及签名时的压力等动态信息,验证的难度大大降低,在线签名识别的水平也相对比较成熟汉王/Wacom离线签名识别数据来源是静态的图片,失去了有用动态信息,并且静态的图片可能有无用噪声等,离线签名识别困难模式识别领域的研究热点签名识别优点具有非侵犯性,对于使用者来说有良好的心理基础,容易被公众接受不足签名认证速度比较慢随着经验、性情等因素的影响,签名字体会产生变化签名字体容易被模仿伪造签名认证所使用的设备较为昂贵虹膜识别虹膜是位于瞳孔和巩膜之间的环形可视部分,由胚胎发育环境的差异决定,具有终生不变性和独特性。据推算,两个人的虹膜的相同概率是
1/1078,与其他生物特征相比,更稳定可靠优点识别精度高,建库和识别速度快,对冒充者具有抵抗性,防伪性好不足对于盲人或眼疾患者无能为力易受睫毛和眼皮的遮挡,
因此成像失败率高对黑眼球的识别比较困难与其他生物特征相比,虹膜识别错误拒绝率比较高应用:可用于安全入口、接入控制、信用卡、POS、ATM、护照等的身份认证虹膜识别目前已经广泛应用在美国、日本、阿富汗、韩国、新加坡等多国的机场、校园、酒店、医院等在我国,已经出现在某些商业应用中,如考勤系统、门禁系统、手机登录等,但尚未普遍应用视网膜识别视网膜是一些位于眼球后部非常细小的神经,它是人眼感受光线并将信息通过视神经传给大脑的重要器官利用的是分布在神经视网膜周围的丰富的血管分布信息优点可靠性非常高,视网膜的结构形式在人的一生当中都相当稳定,且不会被磨损安全级别非常高,防伪性好,视网膜不可见,难以被伪造视网膜识别错误率低,视网膜中包含非常丰富的特征信息,因此识别通过率高不足采集设备成本非常高,需要借助医学设备图像的获取需要用户注视透镜中的校准目标物,需要用户的主动配合掌纹识别与指纹识别类似,利用手掌皮肤脊线纹路的独特性实现身份认证掌纹包括手掌上最为明显的三至五条掌纹主线、细小纹线以及手掌皮肤上的曲肌纹和腕纹等
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 会计专业考试经济法基础初级备考难点精析(2026年)
- 水电维修现场施工协议
- 市场占有率提升与监控协议
- 企业价值评估服务合同范本
- Unit 7 A Day to Remember (Period 1)Section A (1a-Pronunciation) (4)同步练2025-2026学年人教版英语七年级下册
- 2026年人事招聘人员测试题及答案
- 2026年柜姐应聘测试题及答案
- 2026年睡觉姿势看测试题及答案
- 2026年工作分析测试题及答案
- 2026年查漏补缺测试题及答案
- 2026年甘肃高考政治考试(真题)试卷及答案
- 贵州省黔东南州2025-2026学年三下数学期末检测试题(含答案解析)
- 2026福建晋江农商银行社会招聘5人考试备考试题及答案详解
- 农村留守儿童关爱服务调研报告
- 煤矿压煤村庄搬迁管理手册
- 《乒乓变奏曲》课件2025-2026学年苏少版一年级下册音乐
- 轻钢龙骨隔墙专项施工方案
- 2026年注塑机机械手安全操作指导
- 2026年幼儿园园长岗位面试办学理念与规划阐述
- (2026)一例脓毒性休克患者的护理查房课件
- 广东深圳市鲲鹏股权投资管理有限公司招聘笔试题库2026
评论
0/150
提交评论