信息安全技術(shù)教程清華大學(xué)出版社-第三章課件

1、信息安全技術(shù)教程清華大學(xué)出版社-第三章第3章 認(rèn)證技術(shù) 3.1 基本概念 3.2 認(rèn)證組成 3.3 認(rèn)證技術(shù) 3.4 習(xí)題信息安全技術(shù)教程清華大學(xué)出版社-第三章3.1基本概念 定義 認(rèn)證是驗(yàn)證某個(gè)人或系統(tǒng)身份的過程，就是向認(rèn)證機(jī)構(gòu)提供信息確認(rèn)某個(gè)人或系統(tǒng)是否是它聲稱的那個(gè)人或系統(tǒng)。 要求 用戶出具來一定的證據(jù)證明自己。 證據(jù)建立的因子 用戶所知道的，用戶所擁有的和用戶本身特有的信息安全技術(shù)教程清華大學(xué)出版社-第三章用戶所知道的 指用戶心里知道的一些東西?？赡苁且粋€(gè)口令，或用戶和認(rèn)證者共享的一個(gè)機(jī)密字。用戶所擁有的 指用戶獲取的關(guān)于身份識(shí)別的各種物理實(shí)體，如安全內(nèi)核，動(dòng)態(tài)口令卡，安全暗號(hào)，或者其

2、他任何形式的卡或標(biāo)簽。用戶所特有的 指用戶本身特有的生物特征，比如聲音，指紋，虹膜等其他一些生物特征。信息安全技術(shù)教程清華大學(xué)出版社-第三章3.2 認(rèn)證組成一個(gè)認(rèn)證系統(tǒng)由五部分組成：請求認(rèn)證的用戶或工作組，用戶或工作組提供的用于認(rèn)證的特征信息，認(rèn)證機(jī)構(gòu)，認(rèn)證機(jī)制以及接受或拒絕訪問系統(tǒng)資源的訪問控制機(jī)制。 用戶或工作組 如果是個(gè)人用戶，需要向認(rèn)證機(jī)構(gòu)出示證據(jù)來證明確實(shí)已被授權(quán)訪問系統(tǒng)的資源。 如果是工作組，也必須向認(rèn)證機(jī)構(gòu)提供證據(jù)證明工作組中的每一個(gè)用戶成員都被授權(quán)訪問系統(tǒng)的資源。信息安全技術(shù)教程清華大學(xué)出版社-第三章 特征信息 用戶向認(rèn)證機(jī)構(gòu)提供的用于認(rèn)證身份的信息 如前所述，這些信息分為四種

3、類型：用戶所知道的，用戶所擁有的，用戶本身特有的和用戶的位置 認(rèn)證機(jī)構(gòu) 指識(shí)別用戶并指明用戶是否被授權(quán)訪問系統(tǒng)資源的組織或設(shè)備。 通過執(zhí)行完整的認(rèn)證機(jī)制來認(rèn)證用戶的身份。信息安全技術(shù)教程清華大學(xué)出版社-第三章 認(rèn)證機(jī)制 由三部分組成，分別是輸入組件，傳輸系統(tǒng)和核實(shí)器 輸入組件是用戶和認(rèn)證系統(tǒng)之間的接口，用于將用戶認(rèn)證信息傳輸給認(rèn)證系統(tǒng)。 傳輸系統(tǒng)負(fù)責(zé)在認(rèn)證系統(tǒng)內(nèi)部各個(gè)組件之間傳遞信息 核實(shí)器是認(rèn)證過程的關(guān)鍵組件，完成對(duì)用戶認(rèn)證信息的分析計(jì)算。 訪問控制單元 用戶身份信息經(jīng)核實(shí)器分析計(jì)算的結(jié)果通過傳輸系統(tǒng)傳輸?shù)皆L問控制單元。在這里，訪問控制單元反復(fù)核對(duì)這些信息與數(shù)據(jù)庫中存儲(chǔ)的用戶認(rèn)證信息是否匹配

4、。信息安全技術(shù)教程清華大學(xué)出版社-第三章 完整認(rèn)證過程信息安全技術(shù)教程清華大學(xué)出版社-第三章3.3 認(rèn)證技術(shù) 3.3.1 口令認(rèn)證 3.3.2 公鑰認(rèn)證 3.3.3 遠(yuǎn)程認(rèn)證 3.3.4 匿名認(rèn)證 3.3.5 基于數(shù)字簽名的認(rèn)證信息安全技術(shù)教程清華大學(xué)出版社-第三章3.3.1 口令認(rèn)證 口令認(rèn)證是最古老最簡單的一種認(rèn)證方法，經(jīng)常作為系統(tǒng)的默認(rèn)設(shè)置。口令認(rèn)證包括可重用口令認(rèn)證，一次性口令認(rèn)證，挑戰(zhàn)應(yīng)答口令認(rèn)證和混合口令認(rèn)證u可重用口令認(rèn)證 用戶認(rèn)證用戶認(rèn)證：通常由申請使用系統(tǒng)資源的用戶發(fā)起。 客戶端認(rèn)證客戶端認(rèn)證：一般情況下，用戶請求服務(wù)器的認(rèn)證，然后被授權(quán)使用系統(tǒng)資源 缺點(diǎn)：安全隱患、易于破解

5、信息安全技術(shù)教程清華大學(xué)出版社-第三章u一次性口令認(rèn)證 一次性口令認(rèn)證也被稱為會(huì)話認(rèn)證，認(rèn)證中的口令只能被使用一次，然后被丟棄，從而減少了口令被破解的可能性。在一次性口令認(rèn)證中，口令值通常是被加密的，避免明文形式的口令被攻擊者截獲。最常見的一次性口令認(rèn)證方案是S/Key和Token方案（1）S/Key口令 基于MD4和MD5加密算法產(chǎn)生，采用客戶-服務(wù)器模式 客戶端負(fù)責(zé)用hash函數(shù)產(chǎn)生每次登陸使用的口令，服務(wù)器端負(fù)責(zé)一次性口令的驗(yàn)證，并支持用戶密鑰的安全交換。 在認(rèn)證的預(yù)處理過程中，服務(wù)器將種子以明文形式發(fā)送給客戶端，客戶端將種子和密鑰拼接在一起得到S。然后，客戶端對(duì)S進(jìn)行hash運(yùn)算得到一

6、系列一次性口令。 S/Key保護(hù)認(rèn)證系統(tǒng)不受外來的被動(dòng)攻擊，但是無法阻止竊聽者對(duì)私有數(shù)據(jù)的訪問，無法防范攔截并修改數(shù)據(jù)包的攻擊，無法防范內(nèi)部攻擊信息安全技術(shù)教程清華大學(xué)出版社-第三章（2）Token（令牌）口令 這種方法要求在產(chǎn)生口令的時(shí)候使用認(rèn)證令牌。根據(jù)令牌產(chǎn)生的不同，又分為兩種方式：挑戰(zhàn)應(yīng)答式和時(shí)間同步式。 挑戰(zhàn)應(yīng)答式信息安全技術(shù)教程清華大學(xué)出版社-第三章 時(shí)間同步式 在這種方式中，服務(wù)器上存儲(chǔ)有用戶的種子密鑰，用來產(chǎn)生口令。用戶擁有的口令卡里同樣存儲(chǔ)有用戶的種子密鑰。進(jìn)行認(rèn)證時(shí)，用戶向系統(tǒng)提供PIN值以及由口令卡根據(jù)當(dāng)前時(shí)間計(jì)算的口令值。服務(wù)器將用戶提供的口令和自己計(jì)算所得的口令進(jìn)行對(duì)

7、比，認(rèn)證用戶。信息安全技術(shù)教程清華大學(xué)出版社-第三章3.3.2 公鑰認(rèn)證 定義 公鑰認(rèn)證要求每個(gè)用戶首先產(chǎn)生一對(duì)由公鑰和私鑰組成的密鑰對(duì)，并存儲(chǔ)在文件中。每個(gè)密鑰對(duì)由密鑰產(chǎn)生裝置產(chǎn)生，通常是1024到2048比特。用戶把公鑰公布出來，而私鑰由本人保存。 用途 公鑰系統(tǒng)被認(rèn)證系統(tǒng)用來增加系統(tǒng)的安全。中央認(rèn)證服務(wù)器（通常稱為訪問控制服務(wù)器（ACS）負(fù)責(zé)使用公鑰系統(tǒng)進(jìn)行認(rèn)證。 主要實(shí)例 安全套接層（SSL）認(rèn)證，Kerberos 認(rèn)證，以及MD5認(rèn)證信息安全技術(shù)教程清華大學(xué)出版社-第三章 MD5即即Message-Digest Algorithm 5（信息（信息-摘要算法摘要算法5），它是一個(gè)安全散

8、列函數(shù)，將任意長度的消息映射為一個(gè)128位的大整數(shù)，用以提供信息的完整性保護(hù)。 算法過程 MD5以512位分組來處理輸入的信息，且每一分組又被劃分為16個(gè)32位子分組，經(jīng)過了一系列的處理后，算法的輸出由四個(gè)32位分組組成，將這四個(gè)32位分組級(jí)聯(lián)后將生成一個(gè)128位散列值。 以下是每次操作中用到的四個(gè)非線性函數(shù)，其基本方式為求余、取余、調(diào)整長度、與鏈接變量進(jìn)行循環(huán)運(yùn)算，最終得出結(jié)果。 F(X， Y， Z) = (X & Y) | (!X & Z) G(X， Y， Z) = (X & Z) | (Y & !Z) H(X， Y， Z) = X Y Z I(X， Y， Z) = Y (X | !Z)信

9、息安全技術(shù)教程清華大學(xué)出版社-第三章 MD5運(yùn)算原理 由類似的64次循環(huán)構(gòu)成，分成4組16次。F表示一個(gè)非線性函數(shù)；一個(gè)函數(shù)運(yùn)算一次。Mi 表示一個(gè) 32位的輸入數(shù)據(jù)，Ki 表示一個(gè) 32位常數(shù)，用來完成每次不同的計(jì)算。信息安全技術(shù)教程清華大學(xué)出版社-第三章 MD5典型應(yīng)用 產(chǎn)生信息摘要，防止被篡改產(chǎn)生信息摘要，防止被篡改 MD5將整個(gè)文件當(dāng)作一個(gè)大文本信息，通過其不可逆的字符串變換算法，產(chǎn)生了該文件唯一的MD5信息摘要。文件的內(nèi)容發(fā)生了任何形式的改變 ，該文件的MD5值就會(huì)發(fā)生巨大變化。 進(jìn)行認(rèn)證進(jìn)行認(rèn)證 如在UNIX系統(tǒng)中用戶的口令是以MD5經(jīng)Hash運(yùn)算后存儲(chǔ)在文件系統(tǒng)中。當(dāng)用戶登錄時(shí)，

10、系統(tǒng)把用戶輸入的口令進(jìn)行MD5 Hash運(yùn)算，然后將其與保存在文件系統(tǒng)中的MD5值進(jìn)行比較，進(jìn)而確定輸入的口令是否正確信息安全技術(shù)教程清華大學(xué)出版社-第三章3.3.3 遠(yuǎn)程認(rèn)證 遠(yuǎn)程認(rèn)證用來認(rèn)證從遠(yuǎn)程主機(jī)撥號(hào)接入訪問控制服務(wù)器ACS的用戶。有多種遠(yuǎn)程認(rèn)證的方法，包括使用安全的遠(yuǎn)程過程調(diào)用（RPC），Dial-in撥號(hào)認(rèn)證以及RADIUS認(rèn)證。 安全RPC認(rèn)證 RPC認(rèn)證子系統(tǒng)的數(shù)據(jù)包是開放式的，因此RPC可以使用不同格式和多種類型的認(rèn)證。包括：NULL認(rèn)證，UNIX認(rèn)證，DES認(rèn)證，DES認(rèn)證協(xié)議，Diffie-Hellman加密。 無論RPC使用哪種類型的加密算法，對(duì)于服務(wù)器和用戶之間的密鑰

11、調(diào)用，提供撥號(hào)服務(wù)的服務(wù)器都要求對(duì)用戶進(jìn)行認(rèn)證。信息安全技術(shù)教程清華大學(xué)出版社-第三章 Dial-in撥號(hào)認(rèn)證 在撥號(hào)入網(wǎng)連接中，點(diǎn)對(duì)點(diǎn)形式是最普遍的一種方式。 PAP、CHAP、EAP。 遠(yuǎn)程用戶撥號(hào)認(rèn)證（RADIUS） RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，其客戶端最初是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。 RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、 CHAP或者UNIX登錄認(rèn)證等多種方式。信息安全技術(shù)教程清華大學(xué)出版社-第三章3.3.4 匿名認(rèn)證 現(xiàn)實(shí)需要 認(rèn)證機(jī)構(gòu)在信任對(duì)方并賦予對(duì)方權(quán)利的時(shí)候并不知道對(duì)方的具體身份。匿名認(rèn)證技術(shù)正是來源這樣一種要求，被認(rèn)證者要求某種權(quán)利，而同時(shí)不提供具體的個(gè)體信息。 內(nèi)容 匿名認(rèn)證，從原理上可以簡單地歸結(jié)為將認(rèn)證過程和個(gè)人信息相分離。按照分離的手段不同，匿名認(rèn)證可以有多種實(shí)現(xiàn)方式。信息安全技術(shù)教程清華大學(xué)出版社-第三章3.3.5 基于數(shù)字簽名的認(rèn)證 基于數(shù)字簽名的認(rèn)證是另一種不需要口令和用戶名的認(rèn)證技術(shù)。 數(shù)字簽名和手寫簽名的作用是一樣的，也是來認(rèn)證簽名者。 數(shù)字簽名使用了PKI，所以使用該方案就必須獲得一個(gè)公鑰和一個(gè)私鑰。 信息安全技術(shù)教程清華大學(xué)出版社-第三章3.4 習(xí)題一、 選擇