身份認證技術-楊文虎

1、網(wǎng)絡安全技術第 2 頁案例：國內著名網(wǎng)站用戶密碼泄露事件2011年12月21日上午，中國最大的開發(fā)者技術社區(qū)CSDN網(wǎng)站遭到黑客攻擊，600余萬用戶資料遭泄露。網(wǎng)絡安全技術第 3 頁案例：國內著名網(wǎng)站用戶密碼泄露事件2014年12月25日，據(jù)國內最大的漏洞報告平臺烏云網(wǎng)（）顯示，中國鐵路客戶服務中心網(wǎng)站12306的大量用戶信息遭到泄露。被泄露的數(shù)據(jù)總共有131653條，文件大小為14M。泄露的用戶數(shù)據(jù)包括用戶帳號、明文密碼、身份證、郵箱等。網(wǎng)絡安全技術第 4 頁案例思考1. 在用戶對信息資源的訪問過程中，用戶口令的作用是什么？2. 基于用戶口令的身份認證

2、面臨哪些安全威脅？3.如何確?？诹钫J證的安全性？4. 除了口令，還可以采用哪些身份識別技術？網(wǎng)絡安全技術第 5 頁本章主要內容A身份認證的概念B基于口令的身份認證C持卡身份認證D生物識別身份認證E數(shù)字證書FPKI公鑰基礎設施身份認證的概念第一部分網(wǎng)絡安全技術第 7 頁身份認證的概念1. 用戶口令，是人們在信息資源訪問活動中的身份標識，并以此進行身份認證，防止非授權訪問。2.身份認證（Authentication）是證實實體（Entity）對象的數(shù)字身份與物理身份是否一致的過程。身份認證技術能夠有效防止信息資源被非授權使用，保障信息資源的安全。這里的實體可以是用戶，也可以是主機系統(tǒng)。網(wǎng)絡安全技術

3、第 8 頁身份認證的概念身份認證分為兩個過程：標識與鑒別。1.標識（Identification）就是系統(tǒng)要標識實體的身份，并為每個實體取一個系統(tǒng)可以識別的內部名稱標識符ID。2. 識別主體真實身份的過程稱為鑒別（Authentication），也有稱作認證或驗證。3.用戶名或賬戶可以作為身份標識。為了對主體身份的正確性進行驗證，主體往往還需要提供進一步的憑證，例如密碼（口令）、令牌或是生物特征。網(wǎng)絡安全技術第 9 頁身份認證的概念創(chuàng)建和發(fā)布的身份信息必須具有三個特性：1.唯一性。標識符必須是唯一的且不能被偽造，防止一個實體冒充另一個實體。不同的計算機系統(tǒng)、不同的應用中，可以使用不同的方式來標

4、識實體的身份：可以是一個唯一的字符串，可以是一張數(shù)字證書（類似于現(xiàn)實生活中的居民身份證），也可以是主機IP地址或MAC地址（Media Access Control，媒介訪問控制）。例如： Windows系統(tǒng)的登錄用戶名和口令標識了一個用戶的身份； 打開Office文檔的口令標識了用戶的身份； 登陸知網(wǎng)時要求輸入確認用戶的合法身份等。網(wǎng)絡安全技術第 10 頁身份認證的概念創(chuàng)建和發(fā)布的身份信息必須具有三個特性：2.非描述性。任何身份的標識都不能表明賬戶的目的，例如Administrator這樣的身份標識對于攻擊者太具有誘惑力了。3.權威簽發(fā)。有的身份標識，如數(shù)字證書應當由權威機構頒發(fā)，以便對標識

5、進行驗真，或在出現(xiàn)爭執(zhí)時提供仲裁?；诳诹畹纳矸菡J證第二部分網(wǎng)絡安全技術第 12 頁基于口令的身份認證基于口令的身份認證是應用最為廣泛的身份認證技術?？诹铋L度：通常為長度為516的字符串。選擇原則：易記、難猜、抗分析能力強。12網(wǎng)絡安全技術第 13 頁基于口令的身份認證來看看大家都用什么密碼吧：網(wǎng)絡安全技術第 14 頁基于口令的身份認證使用最多的密碼長度是8位：竟然不要求長度竟然不要求長度網(wǎng)絡安全技術第 15 頁如何提高口令質量1. 對于用戶 增大口令空間 選用無規(guī)律的口令 多個口令 用工具生成口令2. 對于網(wǎng)站 登錄時間限制 限制登錄次數(shù) 盡量減少會話透露的信息 增加認證的信息量網(wǎng)絡安全技術

6、第 16 頁如何提高口令質量某客戶端用戶登錄界面上設置了“驗證碼”輸入框，此驗證碼是隨機值。目前，得到廣泛應用的驗證碼更多的是CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart，全自動區(qū)分計算機和人類的圖靈測試)，是一種主要區(qū)分用戶是計算機和人的自動程序。這類驗證碼的隨機性不僅可以防止口令猜測攻擊，還可以有效防止攻擊者對某一個特定注冊用戶用特定程序進行不斷的登陸嘗試，例如防止刷票、惡意注冊、論壇灌水等。使用“驗證碼”實現(xiàn)一次性口令認證網(wǎng)絡安全技術第 17 頁如何提高口令質量綁定手機

7、的動態(tài)口令實現(xiàn)一次性口令認證動態(tài)口令也可與手機號碼綁定，通過向手機發(fā)送驗證碼來認證用戶身份。很多手機應用中，用戶申請了短信校驗服務后，修改賬戶信息、找回密碼、一定額度的賬戶資金變動都需要手機校驗碼確認。合法用戶可以通過接收手機短信，輸入動態(tài)口令，完成認證。當然，如果用戶手機丟失，其賬戶將面臨很大安全風險。網(wǎng)絡安全技術第 18 頁如何提高口令質量使用動態(tài)口令牌實現(xiàn)一次性口令認證動態(tài)口令牌是一種內置電源、密碼生成芯片和顯示屏，并根據(jù)專門的算法定時自動更新口令的硬件設備。動態(tài)口令牌的使用簡單方便，動態(tài)口令定時更新，用戶只要根據(jù)系統(tǒng)的提示，輸入動態(tài)口令牌上當前顯示的口令即可。持證身份認證技術第三部分網(wǎng)

8、絡安全技術第 20 頁持證認證技術1. 使用USB Key增強認證安全性USB Key是一種硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內置的密碼算法實現(xiàn)對用戶身份的認證?；赨SB Key的應用包括網(wǎng)上銀行的“U盾”等。2. 使用智能卡增強認證安全性智能卡（Smart Card）是一種更為復雜的憑證。它是一種將具有加密、存儲、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲器等部件構成。為防止智能卡遺失或被竊，許多系統(tǒng)需要智能卡和個人識別碼PIN同時使用。3. 條碼卡4. 磁卡5. IC卡6.存儲卡生物識別認證技術第四部分

9、網(wǎng)絡安全技術第 22 頁生物識別認證技術1. 簽名認證不是能識別出被鑒別的簽名是什么字，而是要能識別出簽名的人。 首先提供一定數(shù)量的簽名 系統(tǒng)分析簽名，提取特征 通過比較簽名，進行身份識別2. 指紋識別基于每個人指紋的唯一性和穩(wěn)定性。 現(xiàn)代電子集成制造技術 可靠的匹配算法網(wǎng)絡安全技術第 23 頁生物識別認證技術3.語音識別不是能識別出用戶說的是什么，而是要能識別出是誰說的。語音識別的要求： 創(chuàng)造一個良好的環(huán)境 規(guī)定用戶朗讀的單詞4.虹膜識別基于眼睛虹膜的唯一性和穩(wěn)定性。虹膜識別的主要技術： 虹膜圖像獲取 虹膜識別算法數(shù)字證書第五部分網(wǎng)絡安全技術第 25 頁數(shù)字證書1. 主機系統(tǒng)如何向用戶證實自

10、己的身份？2. 如何鑒別網(wǎng)站的真假？ 我們每次上支付寶，用的是地址欄中保存的網(wǎng)址，不會有假 我們可以查看網(wǎng)站的數(shù)字證書網(wǎng)絡安全技術第 26 頁數(shù)字證書 數(shù)字證書類似于現(xiàn)實生活中的由國家公安部門發(fā)放的居民身份證。 數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數(shù)字簽名的數(shù)據(jù)。 數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關/銀行等)在網(wǎng)上進行信息交流及商務活動的身份證明。通信各方通過驗證對方證書的有效性，從而解決相互間的信任問題。網(wǎng)絡安全技術第 27 頁數(shù)字證書 由權威的可信第三方（Certification Authority CA）產生根證書。網(wǎng)絡實體的系統(tǒng)中通常會安裝根證

11、書。 CA可用根證書為其下級以及網(wǎng)絡實體簽發(fā)數(shù)字證書。系統(tǒng)對用根證書簽發(fā)的數(shù)字證書都表示信任，從技術上說就是建立起一個證書信任鏈。 用戶驗證各網(wǎng)絡實體數(shù)字證書的有效性時，實際上只要驗證為其頒發(fā)數(shù)字證書CA的根證書。用戶信任可信第三方頒發(fā)的根證書，也就信任了網(wǎng)絡實體獲得的數(shù)字證書。利用數(shù)字證書鑒別身份的原理網(wǎng)絡安全技術第 28 頁版本號序列號簽名算法標識符 指該證書中的簽名算法簽發(fā)人名字有效時間 起始和終止時間個體名字個體的公鑰信息算法參數(shù)密鑰簽發(fā)人唯一標識符個體唯一標識符擴展域簽名數(shù)字證書X.509證書格式網(wǎng)絡安全技術第 29 頁利用數(shù)字證書鑒別身份的原理1. 發(fā)布數(shù)字證書的權威機構和申請數(shù)字

12、證書的企業(yè)或組織應具備的條件依法成立的合法組織 具有與認證服務相適應的專業(yè)技術人員和管理人員 具有與提供認證服務相適應的資金和經(jīng)營場所，具備為用戶提供認證服務和承擔風險、責任的能力 具有符合國家安全標準的技術、設備 國家法律法規(guī)規(guī)定的其他條件2. EV SSL數(shù)字證書（Extended Validation SSL），遵循全球統(tǒng)一的嚴格身份驗證標準頒發(fā)的數(shù)字證書，是目前業(yè)界最高安全級別的證書。http:/ 31 頁公鑰基礎設施PKIPKI（Public Key Infrastructure）公鑰基礎設施，是一種按照既定標準的密鑰管理平臺，能夠為所有網(wǎng)絡應用提供加密、數(shù)字簽名、識別和認證等密碼服

13、務以及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。網(wǎng)絡安全技術第 32 頁公鑰基礎設施PKI證書發(fā)布證書發(fā)布證書注銷證書注銷證書生成證書生成申請與審核申請與審核證書終止證書終止證書歸檔證書歸檔目錄目錄服務服務CARA終端用戶終端用戶PKI是一個簽發(fā)證書、傳播證書、管理證書、使用證書的環(huán)境PKI保證了公鑰的可獲得性、真實性、完整性終端實體：是PKI產品或服務的最終使用者，可以是個人、組織、設備或計算機中運行的進程。證書機構CA：是PKI的信任基礎，用于簽發(fā)并管理證書的可信實體。注冊機構RA：是CA的延伸，可以是CA的一部分，也可以獨立。RA功能

14、包括個人身份審核、CRL管理、密鑰對產生和密鑰對備份等。PKI存儲庫：包括LDAP服務器和普通數(shù)據(jù)庫，用于對用戶申請、證書、密鑰、CRL和日志等信息進行存儲和管理，并提供查詢功能。網(wǎng)絡安全技術第 33 頁PKI體系結構PKIPKI存儲庫存儲庫KMCKMC受理點受理點受理點受理點受理點受理點RARARARARARACACACACACACACACACACA接受用戶的證書請求，簽發(fā)用戶證書，是接受用戶的證書請求，簽發(fā)用戶證書，是PKIPKI的核心的核心RARA接受、驗證用戶的申請，將驗證通過的申請?zhí)峤唤o接受、驗證用戶的申請，將驗證通過的申請?zhí)峤唤oCACA，由，由CACA簽發(fā)證書簽發(fā)證書網(wǎng)絡安全技術第

15、 34 頁PKI工作過程PKIPKI工作過程：工作過程：（1 1）實體向）實體向RARA提出證書申請。提出證書申請。（2 2）RARA核實實體身份。核實實體身份。（3 3）RARA將實體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給將實體身份信息和公開密鑰以數(shù)字簽名的方式發(fā)送給CACA。（3 3）CACA驗證數(shù)字簽名，同意實體的申請，頒發(fā)證書。驗證數(shù)字簽名，同意實體的申請，頒發(fā)證書。（4 4）RARA接收接收CACA返回的證書，發(fā)送到返回的證書，發(fā)送到LDAPLDAP服務器以供目錄瀏覽服務，并通知實體證書發(fā)放成功。服務器以供目錄瀏覽服務，并通知實體證書發(fā)放成功。（5 5）實體獲取證書，利用該證書可以與其他實體使用加密