消息認(rèn)證與身份認(rèn)證的方法課件_第1頁
消息認(rèn)證與身份認(rèn)證的方法課件_第2頁
消息認(rèn)證與身份認(rèn)證的方法課件_第3頁
消息認(rèn)證與身份認(rèn)證的方法課件_第4頁
消息認(rèn)證與身份認(rèn)證的方法課件_第5頁
已閱讀5頁,還剩105頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

4認(rèn)證技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院4認(rèn)證技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院目錄1.消息認(rèn)證2.身份認(rèn)證的方法3.身份認(rèn)證協(xié)議2022/11/162華師漢口分校信息科學(xué)與技術(shù)學(xué)院目錄1.消息認(rèn)證2.身份認(rèn)證的方法3.身份認(rèn)4.1消息認(rèn)證4.1.1消息認(rèn)證的概念消息認(rèn)證是指使意定的接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法。驗(yàn)證的內(nèi)容包括消息的源和宿消息的完整性消息的序號(hào)和時(shí)間2022/11/163華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1消息認(rèn)證4.1.1消息認(rèn)證的概念2022/114.1.2消息認(rèn)證的方法信息的來源信息源和宿的認(rèn)證可使用數(shù)字簽名技術(shù)和身份識(shí)別技術(shù)信息的完整性消息認(rèn)證碼(MAC)篡改檢測碼(MDC)信息的序號(hào)和時(shí)間:目的是阻止消息的重放攻擊流水作業(yè)號(hào)鏈接認(rèn)證符隨機(jī)數(shù)認(rèn)證法數(shù)字時(shí)戳2022/11/164華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.2消息認(rèn)證的方法信息的來源2022/11/1144.1.3消息認(rèn)證的模式1單向認(rèn)證2雙向認(rèn)證2022/11/165華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.3消息認(rèn)證的模式1單向認(rèn)證2022/11/14.1.4認(rèn)證函數(shù)(1)信息加密函數(shù):用完整信息的密文作為對(duì)信息的認(rèn)證。(公鑰算法和對(duì)稱加密算法均可用于驗(yàn)證)(2)信息認(rèn)證碼MAC:對(duì)信源消息的一個(gè)編碼。(3)散列函數(shù):一個(gè)公開的函數(shù),它將任意長的信息映射成一個(gè)固定長度的信息。2022/11/166華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.4認(rèn)證函數(shù)(1)信息加密函數(shù):用完整信息的密文作消息認(rèn)證碼MACABMAC=H(M)MMAC=H(M)ABMAC=H(M)MAC’=H(M’)CM=M’MAC’=H(M’)MACMMACM’MAC’2022/11/167華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息認(rèn)證碼MACABMAC=H(M)MMAC=H(M)A消息驗(yàn)證碼MAC(con.)方法一:A和B共享一個(gè)密鑰K(其它人均不知)A計(jì)算散列值MAC=H(M,K),附在M之后發(fā)送給B.MAC=MD5(M+K)B收到M和H(M,K)之后計(jì)算H(M,K)并與收到的MAC比較ABMAC=H(M,K)MMAC’=H(M,K)MAC2022/11/168華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息驗(yàn)證碼MAC(con.)方法一:ABMAC=H(M,消息驗(yàn)證碼MAC(con.)方法二:(對(duì)稱加密用于驗(yàn)證信息完整性)A和B共享一個(gè)密鑰KA計(jì)算散列值Hash=H(M),用密鑰K和對(duì)稱加密算法DES加密該散列值MAC=DESK(MD5(M))B收到M和MAC之后用K和DES算法解密出散列值,并與由M算得的散列值作比較MHMAChEKMMAC2022/11/169華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息驗(yàn)證碼MAC(con.)方法二:(對(duì)稱加密用于驗(yàn)證信息4.2身份認(rèn)證的方法4.2.1身份認(rèn)證的概念身份認(rèn)證又稱身份識(shí)別,是通信和數(shù)據(jù)系統(tǒng)正確識(shí)別通信用戶或終端的個(gè)人身份的重要途徑當(dāng)前用于身份識(shí)別的技術(shù)方法主要有:所知、所有、生物特征以及多種方法技術(shù)的交互使用等。2022/11/1610華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2身份認(rèn)證的方法4.2.1身份認(rèn)證的概念2022/身份認(rèn)證的方法(con.)對(duì)用戶來看,身份認(rèn)證是用戶獲得對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的訪問權(quán)限的第一步。對(duì)計(jì)算機(jī)系統(tǒng)來看,身份認(rèn)證是安全防御的第一道防線,是防止非授權(quán)用戶或進(jìn)程進(jìn)入計(jì)算機(jī)系統(tǒng)的有效安全保障措施。身份認(rèn)證即身份識(shí)別與驗(yàn)證(I&A),是大多數(shù)訪問控制的基礎(chǔ),也是建立用戶審計(jì)能力的基礎(chǔ)。訪問控制通常要求計(jì)算機(jī)系統(tǒng)能夠識(shí)別和區(qū)分用戶,而且通常是基于最小特權(quán)原理(LeastPrivilegeTheorem)。2022/11/1611華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)對(duì)用戶來看,身份認(rèn)證是用戶獲得對(duì)計(jì)身份認(rèn)證的方法(con.)識(shí)別是用戶向系統(tǒng)提供聲明身份的方法,驗(yàn)證則是建立這種聲明有效性的手段。計(jì)算機(jī)系統(tǒng)識(shí)別用戶依賴的是系統(tǒng)接收到的驗(yàn)證數(shù)據(jù):收集驗(yàn)證數(shù)據(jù)問題安全傳輸數(shù)據(jù)問題怎樣知道使用計(jì)算機(jī)系統(tǒng)的用戶就是當(dāng)初驗(yàn)證通過的用戶問題2022/11/1612華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)識(shí)別是用戶向系統(tǒng)提供聲明身份的方法身份認(rèn)證的方法(con.)目前用來驗(yàn)證用戶身份的方法有:用戶知道什么秘密,如口令、個(gè)人身份號(hào)碼(PIN)、密鑰等用戶擁有什么令牌,如ATM卡或智能卡等個(gè)人特征生物特征,如聲音識(shí)別、手寫識(shí)別或指紋識(shí)別等2022/11/1613華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)目前用來驗(yàn)證用戶身份的方法有:204.2.2口令認(rèn)證最普通的身份認(rèn)證形式是用戶標(biāo)識(shí)(ID)和口令(Password)的組合口令認(rèn)證是基于知識(shí)的傳統(tǒng)口令技術(shù),僅僅依賴于用戶知道什么的事實(shí)口令系統(tǒng)的運(yùn)作:需要用戶輸入用戶標(biāo)識(shí)和口令(或PIN碼)系統(tǒng)對(duì)輸入的口令與此前為該用戶標(biāo)識(shí)存儲(chǔ)的口令進(jìn)行比較如果匹配,該用戶就可得到授權(quán)并獲得訪問權(quán)。2022/11/1614華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.2口令認(rèn)證最普通的身份認(rèn)證形式是用戶標(biāo)識(shí)(ID)2022/11/1615華師漢口分校信息科學(xué)與技術(shù)學(xué)院2022/11/1115華師漢口分校信息科學(xué)與技術(shù)學(xué)院1.口令認(rèn)證的過程:(1)為用戶分配唯一的ID標(biāo)識(shí)(2)計(jì)算機(jī)系統(tǒng)將用戶的身份標(biāo)識(shí)和相應(yīng)的口令存入口令列表,其中口令保密,身份標(biāo)識(shí)可以公開2.口令選擇的原則易記、不易猜中、不易分析2022/11/1616華師漢口分校信息科學(xué)與技術(shù)學(xué)院1.口令認(rèn)證的過程:2022/11/1116華師漢口分校信息3.口令的管理:系統(tǒng)中用戶與口令的存儲(chǔ)如下:將用戶的口令用單向散列函數(shù)計(jì)算出摘要值去除口令代碼,僅將摘要和與之相對(duì)應(yīng)的用戶ID存入系統(tǒng)檢驗(yàn)時(shí)用戶輸入用戶名與口令系統(tǒng)隨即計(jì)算口令的哈希值,如果與存儲(chǔ)在系統(tǒng)內(nèi)的摘要值相匹配,用戶則可以通過2022/11/1617華師漢口分校信息科學(xué)與技術(shù)學(xué)院3.口令的管理:2022/11/1117華師漢口分校信息科學(xué)4.一次性口令:一次性口令系統(tǒng)允許用戶每次登錄時(shí)使用不同的口令。系統(tǒng)在用戶登錄時(shí)給用戶提供一個(gè)隨機(jī)數(shù),用戶將這個(gè)隨機(jī)數(shù)送入口令發(fā)生器,口令發(fā)生器以用戶的密鑰對(duì)隨機(jī)數(shù)加密,然后用戶再將口令發(fā)生器輸出的加密口令送入系統(tǒng)。系統(tǒng)再進(jìn)行同樣方法計(jì)算出一個(gè)結(jié)果,比較兩個(gè)結(jié)果決定是否該身份有效。在登錄過程中加入不確定因素,使每次登陸過程中傳送的信息都不同,以提高登錄過程安全性。(如現(xiàn)在的網(wǎng)絡(luò)系統(tǒng)登陸時(shí)需要輸入驗(yàn)證碼)2022/11/1618華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.一次性口令:2022/11/1118華師漢口分校信息科學(xué)口令的優(yōu)點(diǎn):

在很長時(shí)間內(nèi)已經(jīng)成功地為計(jì)算機(jī)系統(tǒng)提供了安全保護(hù)。已經(jīng)集成到很多操作系統(tǒng)中,用戶和管理員較熟悉。在可控環(huán)境下、管理適當(dāng),可提供有效的安全保護(hù)。存在的問題:

口令系統(tǒng)的安全依賴于口令的保密性。只要用戶訪問一個(gè)新的服務(wù)器,都必須提供新口令??诹蠲鎸?duì)的威脅有:外部泄漏、猜測、通信竊取、重放等2022/11/1619華師漢口分校信息科學(xué)與技術(shù)學(xué)院口令的優(yōu)點(diǎn):2022/11/1119華師漢口分校信息科學(xué)與技4.2.3持證認(rèn)證(令牌認(rèn)證)基于用戶擁有什么的身份認(rèn)證技術(shù),使用的是令牌技術(shù)。記憶令牌和智能卡2022/11/1620華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.3持證認(rèn)證(令牌認(rèn)證)基于用戶擁有什么的身份認(rèn)證令牌認(rèn)證(con.)基于個(gè)人令牌的驗(yàn)證:個(gè)人令牌使用了用戶必須出示自己所擁有的某些東西這一因素,即要出示由個(gè)人正式擁有的某種小型的硬件設(shè)備。令牌通常與口令結(jié)合起來使用,對(duì)攻擊者來說,要想偽裝成合法的用戶,僅知道口令或者偷取令牌是不夠,他必須二者兼而有之,這稱為“雙因素驗(yàn)證”。要謀劃一個(gè)針對(duì)雙因素的成功攻擊是非常困難的。2022/11/1621華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)基于個(gè)人令牌的驗(yàn)證:2022/11/11令牌認(rèn)證(con.)基于個(gè)人令牌的運(yùn)作方式有:(1)儲(chǔ)存式令牌。將某個(gè)秘密的數(shù)據(jù)值如數(shù)字簽名用的私有密鑰儲(chǔ)存在令牌中,在用戶給出了正確的口令解開令牌鎖后由驗(yàn)證協(xié)議來使用。(2)同步一次性口令生成器。令牌定期生成一個(gè)新的口令,如每隔一分鐘生成一次,令牌持有者使用該口令對(duì)支持該驗(yàn)證方式的主機(jī)進(jìn)行驗(yàn)證。一次性口令可以通過使用正確的日期時(shí)間的單向函數(shù)和儲(chǔ)存在令牌中的某個(gè)永久的秘密值來進(jìn)行計(jì)算機(jī)主機(jī)與令牌必須保持時(shí)間的同步。2022/11/1622華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)基于個(gè)人令牌的運(yùn)作方式有:2022/11令牌認(rèn)證(con.)(3)提問-答復(fù)。令牌運(yùn)行在提問-答復(fù)協(xié)議的客戶端,通過對(duì)目標(biāo)主機(jī)送來的提問值和儲(chǔ)存在令牌中的永久秘密值運(yùn)用單向函數(shù)進(jìn)行運(yùn)算,生成答復(fù)信息。(4)數(shù)字簽名令牌。令牌持有數(shù)字簽名所需要的私有密鑰,和運(yùn)用該私有密鑰對(duì)給定的數(shù)據(jù)值計(jì)算數(shù)字簽名所需要的邏輯條件。可以將數(shù)字簽名用在某個(gè)難協(xié)議中。在生成數(shù)字簽名之前,通常需要先給出正確的口令來對(duì)令牌解鎖。2022/11/1623華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)(3)提問-答復(fù)。2022/11/112個(gè)人令牌存在的物理形式人機(jī)界面令牌:一種帶有數(shù)字顯示的手持式設(shè)備,顯示屏上顯示出持有者隨后進(jìn)入某個(gè)網(wǎng)絡(luò)系統(tǒng)終端如臺(tái)式電腦的數(shù)字。如果驗(yàn)證方法中需要持有者向令牌輸入數(shù)據(jù),如口令或提問值勤,則信牌還可能帶有一個(gè)小型的健盤。智能卡:訪問不但需要口令,也需要物理智能卡。在允許進(jìn)入系統(tǒng)之前需要檢查其智能卡。智能卡內(nèi)有微處理器和存儲(chǔ)器,可已加密的形式保存卡的ID及其他身份認(rèn)證數(shù)據(jù)。2022/11/1624華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式人機(jī)界面令牌:2022/11/1124個(gè)人令牌存在的物理形式(con.)PCMCIA卡:這是一種可以插在標(biāo)準(zhǔn)的多眼插座上的袖珍型令牌,常用于手提電腦與調(diào)制解調(diào)器或與其它接入設(shè)備的接口。與智能卡相比,PCMICA令牌有更強(qiáng)大的處理功能和存儲(chǔ)邏輯,還具有更高的接口帶寬。USB令牌:這是一種可以連接到通用串行總線端口的令牌,這種令牌有很強(qiáng)的處理功能和存儲(chǔ)邏輯。2022/11/1625華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式(con.)PCMCIA卡:2022/個(gè)人令牌存在的物理形式(con.)NB:記憶令牌只存儲(chǔ)信息,不對(duì)信息進(jìn)行處理,令牌上信息的讀取和寫入是用專門的讀/寫設(shè)備來完成的。記憶令牌的最通用形式是磁卡。通常用于計(jì)算機(jī)認(rèn)證的記憶令牌是ATM卡,它是采用用戶擁有什么(卡)和用戶知道什么(身份識(shí)別碼)的組合。2022/11/1626華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式(con.)NB:2022/11/11令牌認(rèn)證(con.)令牌的優(yōu)點(diǎn):和身份識(shí)別碼一起使用時(shí)比單獨(dú)使用口令的機(jī)制更安全。面臨的問題:需要專門的讀取器。令牌的丟失問題。智能卡通過在令牌中采用集成電路以增加其功能,還需要用戶提供身份識(shí)別碼或口令等基于用戶知道的知識(shí)的認(rèn)證手段。2022/11/1627華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)令牌的優(yōu)點(diǎn):2022/11/1127華師4.2.4生物識(shí)別采用的是生物特征識(shí)別技術(shù),采用的是用戶獨(dú)特的生理特征來認(rèn)證用戶的身份:生理屬性(如指紋、視網(wǎng)膜識(shí)別等)行為屬性(如聲音識(shí)別、手寫簽名識(shí)別等)。2022/11/1628華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.4生物識(shí)別采用的是生物特征識(shí)別技術(shù),采用的是用優(yōu)點(diǎn):比前兩種認(rèn)證技術(shù)有著更好的安全性缺點(diǎn):技術(shù)還不是很成熟實(shí)際使用過程中的穩(wěn)定性不是很好費(fèi)用很高2022/11/1629華師漢口分校信息科學(xué)與技術(shù)學(xué)院優(yōu)點(diǎn):2022/11/1129華師漢口分校信息科學(xué)與技術(shù)學(xué)院課堂討論(一):

個(gè)人特征的身份證明技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院課堂討論(一):

個(gè)人特征的身份證明技術(shù)華師漢口分校信息科學(xué)4.3身份認(rèn)證協(xié)議一次一密機(jī)制X.509認(rèn)證協(xié)議Kerberos認(rèn)證協(xié)議零知識(shí)身份識(shí)別2022/11/1631華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.3身份認(rèn)證協(xié)議一次一密機(jī)制2022/11/1131華一次一密機(jī)制主要有兩種實(shí)現(xiàn)方式:請(qǐng)求-應(yīng)答方式第一種方法,用戶登錄時(shí)系統(tǒng)隨機(jī)提示一條信息,用戶根據(jù)這一信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字,用戶輸入該口令字,完成一次登錄過程,或者用戶對(duì)這一條信息實(shí)施數(shù)字簽名,發(fā)送給出驗(yàn)證者進(jìn)行鑒別另一種方法采用時(shí)鐘同步機(jī)制,即根據(jù)這個(gè)同步時(shí)鐘信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字2022/11/1632華師漢口分校信息科學(xué)與技術(shù)學(xué)院一次一密機(jī)制主要有兩種實(shí)現(xiàn)方式:2022/11/1132華師質(zhì)詢-回應(yīng)協(xié)議(1)A向B發(fā)送一個(gè)消息TA,表示想和B通話。(2)B無法判斷這個(gè)消息是來自A還是其他人,因此B回應(yīng)一個(gè)質(zhì)詢RB。RB是一個(gè)隨機(jī)數(shù)。(3)A用與B共享的密鑰KAB加密RB,得到密文KAB(RB),再發(fā)送給B;B收到密文KAB(RB),用自己同樣擁有的KAB加密RB,對(duì)比結(jié)果,如果相同就確認(rèn)了A的身份。此時(shí)B已完成了對(duì)A的單向認(rèn)證。2022/11/1633華師漢口分校信息科學(xué)與技術(shù)學(xué)院質(zhì)詢-回應(yīng)協(xié)議2022/11/1133華師漢口分校信息科學(xué)與質(zhì)詢-回應(yīng)協(xié)議(4)A同樣需要確定B的身份,于是發(fā)送一個(gè)質(zhì)詢RA給B。RA也是一個(gè)隨機(jī)數(shù)。(5)B用與A共享的密鑰KAB加密RA,得到密文KAB(RA),再發(fā)送給A;A收到密文KAB(RA),用自己同樣擁有的KAB加密RA,對(duì)比結(jié)果,如果相同就確認(rèn)了B的身份,完成了雙向認(rèn)證。(6)A確認(rèn)B的身份之后,選取一個(gè)會(huì)話密鑰KS,并且用KAB加密之后發(fā)送給B。2022/11/1634華師漢口分校信息科學(xué)與技術(shù)學(xué)院質(zhì)詢-回應(yīng)協(xié)議2022/11/1134華師漢口分校信息科學(xué)與Kerberos——第三方認(rèn)證所謂第三方認(rèn)證就是在相互不認(rèn)識(shí)的實(shí)體之間提供安全通信Kerberos認(rèn)證系統(tǒng)原是MIT(美國麻省理工學(xué)院)的Athena計(jì)劃的一部分,原義為希臘神話中守護(hù)地獄之門的一只兇猛的三頭狗,意喻該協(xié)議具有極其強(qiáng)大的安全性能。近年來,較新的版本的擴(kuò)充也支持了X.509認(rèn)證?;赬.509數(shù)字證書是由國際標(biāo)準(zhǔn)化組織開發(fā)的眾多標(biāo)準(zhǔn)中的一部分。認(rèn)證是基于公開密鑰,或者非對(duì)稱密碼系統(tǒng)的。2022/11/1635華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos——第三方認(rèn)證所謂第三方認(rèn)證就是在相互不Kerberos概述網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲裁者的作用,可提供安全的網(wǎng)絡(luò)鑒別,允許個(gè)人訪問網(wǎng)絡(luò)中不同的機(jī)器?;趯?duì)稱密碼學(xué),與網(wǎng)絡(luò)上的每個(gè)實(shí)體分別共享一個(gè)不同的秘密密鑰,是否知道該秘密密鑰便是身份的證明。主要包括以下幾個(gè)部分:客戶機(jī)(Client)服務(wù)器(Server)認(rèn)證服務(wù)器(AS)票據(jù)授予服務(wù)器(TGS)2022/11/1636華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos概述網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲

Kerberos組成2022/11/1637華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos組成2022/11/1137華師漢口分校Kerberos概述(con.)Kerberos有一個(gè)所有客戶和自己安全通信所需的秘密密鑰數(shù)據(jù)庫(KDC),知道每個(gè)人的秘密密鑰,能產(chǎn)生消息向每個(gè)實(shí)體證實(shí)另一個(gè)實(shí)體的身份。Kerberos還能產(chǎn)生會(huì)話密鑰,只供一個(gè)客戶機(jī)和一個(gè)服務(wù)器使用,會(huì)話密鑰用來加密雙方的通信消息,通信完畢,會(huì)話密鑰即被銷毀。Kerberos使用DES加密Kerberos第4版提供非標(biāo)準(zhǔn)的鑒別模型,該模型的弱點(diǎn)是它無法檢測密文的某些改變。Kerberos第5版使用CBC模式。2022/11/1638華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos概述(con.)Kerberos有一個(gè)所有客KerberosV4認(rèn)證消息對(duì)話2022/11/1639華師漢口分校信息科學(xué)與技術(shù)學(xué)院KerberosV4認(rèn)證消息對(duì)話2022/11/1139華(1)客戶登錄到本地,向認(rèn)證服務(wù)器(AS)發(fā)送一個(gè)服務(wù)請(qǐng)求,請(qǐng)求獲得指定應(yīng)用服務(wù)器的“憑證”①,所獲憑證可直接用于應(yīng)用服務(wù)器或票據(jù)授予服務(wù)器(TGS)。

CAS:IDc||IDtgs||TS1

該消息包含客戶ID以及票據(jù)授予服務(wù)器的ID和時(shí)間戳。(2)認(rèn)證服務(wù)器(AS)以憑證作為響應(yīng),并用客戶的密鑰加密憑證消息②。 憑證=票據(jù)授予服務(wù)器“票據(jù)”(Ticket)+臨時(shí)加密密鑰Kc,tgs(會(huì)話密鑰)。ASC:EKc[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs]Tickettgs=EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]2022/11/1640華師漢口分校信息科學(xué)與技術(shù)學(xué)院(1)客戶登錄到本地,向認(rèn)證服務(wù)器(AS)發(fā)送一個(gè)服務(wù)請(qǐng)求2022/11/1641華師漢口分校信息科學(xué)與技術(shù)學(xué)院2022/11/1141華師漢口分校信息科學(xué)與技術(shù)學(xué)院(3)擁有了票據(jù)和會(huì)話密鑰,客戶C向TGS服務(wù)器發(fā)送消息請(qǐng)求獲得訪問某個(gè)特定應(yīng)用服務(wù)器的票據(jù)Ticketv消息③。

CTGS:IDv||Tickettgs||Authenticatorc

Authenticatorc=EKc,tgs[IDc||ADc||TS3]

Tickettgs=EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]消息包含了身份驗(yàn)證器(Authenticatorc)、C用戶的ID和地址以及時(shí)間戳對(duì)比:票據(jù)可以重復(fù)使用,身份驗(yàn)證器只能使用一次且生命周期很短。2022/11/1642華師漢口分校信息科學(xué)與技術(shù)學(xué)院(3)擁有了票據(jù)和會(huì)話密鑰,客戶C向TGS服務(wù)器發(fā)送消息請(qǐng)(4)?TGS服務(wù)器返回應(yīng)用服務(wù)器票據(jù)以應(yīng)答消息④,客戶請(qǐng)求。

TGSC:EKc,tgs[Kc,v||IDv||TS4||Ticketv]

Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]

消息已經(jīng)用TGS和C共享的會(huì)話密鑰進(jìn)行了加密,它包含了C和服務(wù)器V共享的會(huì)話密鑰Kc,v,V的ID和票據(jù)的時(shí)間戳,也包含了會(huì)話密鑰?,F(xiàn)在C就擁有了V可重用的票據(jù),當(dāng)C出具此票據(jù)時(shí)就發(fā)出了身份驗(yàn)證碼,應(yīng)用服務(wù)器可以解密票據(jù),恢復(fù)會(huì)話密鑰并解密身份驗(yàn)證碼。2022/11/1643華師漢口分校信息科學(xué)與技術(shù)學(xué)院(4)?TGS服務(wù)器返回應(yīng)用服務(wù)器票據(jù)以應(yīng)答消息④,客戶請(qǐng)2022/11/1644華師漢口分校信息科學(xué)與技術(shù)學(xué)院2022/11/1144華師漢口分校信息科學(xué)與技術(shù)學(xué)院(5)客戶將該Ticket傳送給應(yīng)用服務(wù)器消息⑤。

CV:Ticketv||Authenticatorc

Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4] Authenticatorc=EKc,v[IDc||ADc||TS5]2022/11/1645華師漢口分校信息科學(xué)與技術(shù)學(xué)院(5)客戶將該Ticket傳送給應(yīng)用服務(wù)器消息⑤。2022

(6)現(xiàn)在客戶和應(yīng)用服務(wù)器已經(jīng)共享會(huì)話密鑰,如果需要互相驗(yàn)證身份,服務(wù)器可以發(fā)送消息⑥進(jìn)行響應(yīng)。服務(wù)器返回身份驗(yàn)證碼中的時(shí)間戳值加1,再用會(huì)話密鑰進(jìn)行加密,C可以將消息解密,恢復(fù)增加1后的時(shí)間戳。消息是由會(huì)話密鑰加密的,只有V才能創(chuàng)建,時(shí)間戳保證不是以前的應(yīng)答。

VC:EKc,v[TS5+1]

共享的會(huì)話密鑰還可用于加密以后的通信或交換加密的單獨(dú)子會(huì)話密鑰2022/11/1646華師漢口分校信息科學(xué)與技術(shù)學(xué)院(6)現(xiàn)在客戶和應(yīng)用服務(wù)器已經(jīng)共享會(huì)話密鑰,如果需要消息①和②只在用戶首次登錄系統(tǒng)時(shí)使用;消息③和④在用戶每次申請(qǐng)某個(gè)特定應(yīng)用服務(wù)器的服務(wù)時(shí)使用;消息⑤則用于每個(gè)服務(wù)的認(rèn)證。消息⑥可選,只用于互相認(rèn)證。2022/11/1647華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息①和②只在用戶首次登錄系統(tǒng)時(shí)使用;2022/11/11Kerberos基礎(chǔ)結(jié)構(gòu)和交叉領(lǐng)域認(rèn)證當(dāng)一個(gè)系統(tǒng)跨越多個(gè)組織時(shí),需要多個(gè)認(rèn)證服務(wù)器各自負(fù)責(zé)系統(tǒng)中部分用戶和服務(wù)器的認(rèn)證,稱某個(gè)特定認(rèn)證服務(wù)器所注冊的用戶和服務(wù)器的全體為一個(gè)領(lǐng)域(Realm)。交叉域認(rèn)證允許一個(gè)委托人(Principle)向注冊在另外一個(gè)域的服務(wù)器驗(yàn)明自己的身份。2022/11/1648華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos基礎(chǔ)結(jié)構(gòu)和交叉領(lǐng)域認(rèn)證當(dāng)一個(gè)系統(tǒng)跨越多個(gè)組2022/11/1649華師漢口分校信息科學(xué)與技術(shù)學(xué)院2022/11/1149華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos客戶(委托人)向遠(yuǎn)程領(lǐng)域驗(yàn)證自己的身份:首先需要從本地認(rèn)證服務(wù)器(AS)獲得一張遠(yuǎn)程領(lǐng)域的票據(jù)授予票(TicketGrantingTicket)。這就要求委托人所在的本地認(rèn)證服務(wù)器同驗(yàn)證人所在的遠(yuǎn)程領(lǐng)域認(rèn)證服務(wù)器共享一個(gè)保密密鑰(條件(3))。然后委托人使用該票據(jù)授予票據(jù)從遠(yuǎn)程認(rèn)證服務(wù)器交換票據(jù)信息。遠(yuǎn)程認(rèn)證服務(wù)器利用共享的交叉域保密密鑰來驗(yàn)證來自外來領(lǐng)域的票據(jù)授予票據(jù)的有效性。如果有效,向委托人發(fā)放新票據(jù)和會(huì)話密鑰。2022/11/1650華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos客戶(委托人)向遠(yuǎn)程領(lǐng)域驗(yàn)證自己的身份:20要支持交叉領(lǐng)域認(rèn)證,Kerberos必須滿足:(1)Kerberos服務(wù)器在數(shù)據(jù)庫中必須擁有所有用戶ID和所有參與用戶口令哈希后的密鑰。即所有用戶都已經(jīng)注冊到Kerberos服務(wù)器。(2)Kerberos服務(wù)器必須與每個(gè)服務(wù)器共享保密密鑰。即所有的服務(wù)器已經(jīng)注冊到Kerberos服務(wù)器。(3)不同領(lǐng)域的Kerberos服務(wù)器之間共享一個(gè)保密密鑰。 即Kerberos服務(wù)器要互相注冊。2022/11/1651華師漢口分校信息科學(xué)與技術(shù)學(xué)院要支持交叉領(lǐng)域認(rèn)證,Kerberos必須滿足:2022/11Kerberos版本5KerberosV5在RFC1510中定義。版本5在兩個(gè)方面解決了版本4的局限性:環(huán)境缺陷和技術(shù)缺陷。因?yàn)榘姹?在設(shè)計(jì)之初是在雅典娜項(xiàng)目背景下的,并沒有考慮通用環(huán)境下的身份認(rèn)證問題,從而導(dǎo)致了環(huán)境缺陷。2022/11/1652華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos版本52022/11/1152華師漢口分校Kerberos的局限性時(shí)間同步重放攻擊認(rèn)證域之間的信任系統(tǒng)程序的安全性和完整性口令猜測攻擊密鑰的存儲(chǔ)2022/11/1653華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos的局限性2022/11/1153華師漢口分校課堂討論(二):目前遠(yuǎn)程教育越來越盛行,對(duì)于遠(yuǎn)程課件的訪問、成績的查詢、作業(yè)的提交以及成績的錄入,如何根據(jù)不同的用戶服務(wù)進(jìn)行有效的身份認(rèn)證?華師漢口分校信息科學(xué)與技術(shù)學(xué)院課堂討論(二):目前遠(yuǎn)程教育越來越盛行,對(duì)于遠(yuǎn)程課件的訪問、課堂討論(三):為了防止軟件盜版,各大公司都采取了一些軟件的認(rèn)證保護(hù)技術(shù)。請(qǐng)分析Microsoft對(duì)WindowsXP的保護(hù)中采用哪些認(rèn)證手段?華師漢口分校信息科學(xué)與技術(shù)學(xué)院課堂討論(三):為了防止軟件盜版,各大公司都采取了一些軟件的4認(rèn)證技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院4認(rèn)證技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院目錄1.消息認(rèn)證2.身份認(rèn)證的方法3.身份認(rèn)證協(xié)議2022/11/1657華師漢口分校信息科學(xué)與技術(shù)學(xué)院目錄1.消息認(rèn)證2.身份認(rèn)證的方法3.身份認(rèn)4.1消息認(rèn)證4.1.1消息認(rèn)證的概念消息認(rèn)證是指使意定的接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法。驗(yàn)證的內(nèi)容包括消息的源和宿消息的完整性消息的序號(hào)和時(shí)間2022/11/1658華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1消息認(rèn)證4.1.1消息認(rèn)證的概念2022/114.1.2消息認(rèn)證的方法信息的來源信息源和宿的認(rèn)證可使用數(shù)字簽名技術(shù)和身份識(shí)別技術(shù)信息的完整性消息認(rèn)證碼(MAC)篡改檢測碼(MDC)信息的序號(hào)和時(shí)間:目的是阻止消息的重放攻擊流水作業(yè)號(hào)鏈接認(rèn)證符隨機(jī)數(shù)認(rèn)證法數(shù)字時(shí)戳2022/11/1659華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.2消息認(rèn)證的方法信息的來源2022/11/1144.1.3消息認(rèn)證的模式1單向認(rèn)證2雙向認(rèn)證2022/11/1660華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.3消息認(rèn)證的模式1單向認(rèn)證2022/11/14.1.4認(rèn)證函數(shù)(1)信息加密函數(shù):用完整信息的密文作為對(duì)信息的認(rèn)證。(公鑰算法和對(duì)稱加密算法均可用于驗(yàn)證)(2)信息認(rèn)證碼MAC:對(duì)信源消息的一個(gè)編碼。(3)散列函數(shù):一個(gè)公開的函數(shù),它將任意長的信息映射成一個(gè)固定長度的信息。2022/11/1661華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.4認(rèn)證函數(shù)(1)信息加密函數(shù):用完整信息的密文作消息認(rèn)證碼MACABMAC=H(M)MMAC=H(M)ABMAC=H(M)MAC’=H(M’)CM=M’MAC’=H(M’)MACMMACM’MAC’2022/11/1662華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息認(rèn)證碼MACABMAC=H(M)MMAC=H(M)A消息驗(yàn)證碼MAC(con.)方法一:A和B共享一個(gè)密鑰K(其它人均不知)A計(jì)算散列值MAC=H(M,K),附在M之后發(fā)送給B.MAC=MD5(M+K)B收到M和H(M,K)之后計(jì)算H(M,K)并與收到的MAC比較ABMAC=H(M,K)MMAC’=H(M,K)MAC2022/11/1663華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息驗(yàn)證碼MAC(con.)方法一:ABMAC=H(M,消息驗(yàn)證碼MAC(con.)方法二:(對(duì)稱加密用于驗(yàn)證信息完整性)A和B共享一個(gè)密鑰KA計(jì)算散列值Hash=H(M),用密鑰K和對(duì)稱加密算法DES加密該散列值MAC=DESK(MD5(M))B收到M和MAC之后用K和DES算法解密出散列值,并與由M算得的散列值作比較MHMAChEKMMAC2022/11/1664華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息驗(yàn)證碼MAC(con.)方法二:(對(duì)稱加密用于驗(yàn)證信息4.2身份認(rèn)證的方法4.2.1身份認(rèn)證的概念身份認(rèn)證又稱身份識(shí)別,是通信和數(shù)據(jù)系統(tǒng)正確識(shí)別通信用戶或終端的個(gè)人身份的重要途徑當(dāng)前用于身份識(shí)別的技術(shù)方法主要有:所知、所有、生物特征以及多種方法技術(shù)的交互使用等。2022/11/1665華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2身份認(rèn)證的方法4.2.1身份認(rèn)證的概念2022/身份認(rèn)證的方法(con.)對(duì)用戶來看,身份認(rèn)證是用戶獲得對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的訪問權(quán)限的第一步。對(duì)計(jì)算機(jī)系統(tǒng)來看,身份認(rèn)證是安全防御的第一道防線,是防止非授權(quán)用戶或進(jìn)程進(jìn)入計(jì)算機(jī)系統(tǒng)的有效安全保障措施。身份認(rèn)證即身份識(shí)別與驗(yàn)證(I&A),是大多數(shù)訪問控制的基礎(chǔ),也是建立用戶審計(jì)能力的基礎(chǔ)。訪問控制通常要求計(jì)算機(jī)系統(tǒng)能夠識(shí)別和區(qū)分用戶,而且通常是基于最小特權(quán)原理(LeastPrivilegeTheorem)。2022/11/1666華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)對(duì)用戶來看,身份認(rèn)證是用戶獲得對(duì)計(jì)身份認(rèn)證的方法(con.)識(shí)別是用戶向系統(tǒng)提供聲明身份的方法,驗(yàn)證則是建立這種聲明有效性的手段。計(jì)算機(jī)系統(tǒng)識(shí)別用戶依賴的是系統(tǒng)接收到的驗(yàn)證數(shù)據(jù):收集驗(yàn)證數(shù)據(jù)問題安全傳輸數(shù)據(jù)問題怎樣知道使用計(jì)算機(jī)系統(tǒng)的用戶就是當(dāng)初驗(yàn)證通過的用戶問題2022/11/1667華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)識(shí)別是用戶向系統(tǒng)提供聲明身份的方法身份認(rèn)證的方法(con.)目前用來驗(yàn)證用戶身份的方法有:用戶知道什么秘密,如口令、個(gè)人身份號(hào)碼(PIN)、密鑰等用戶擁有什么令牌,如ATM卡或智能卡等個(gè)人特征生物特征,如聲音識(shí)別、手寫識(shí)別或指紋識(shí)別等2022/11/1668華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)目前用來驗(yàn)證用戶身份的方法有:204.2.2口令認(rèn)證最普通的身份認(rèn)證形式是用戶標(biāo)識(shí)(ID)和口令(Password)的組合口令認(rèn)證是基于知識(shí)的傳統(tǒng)口令技術(shù),僅僅依賴于用戶知道什么的事實(shí)口令系統(tǒng)的運(yùn)作:需要用戶輸入用戶標(biāo)識(shí)和口令(或PIN碼)系統(tǒng)對(duì)輸入的口令與此前為該用戶標(biāo)識(shí)存儲(chǔ)的口令進(jìn)行比較如果匹配,該用戶就可得到授權(quán)并獲得訪問權(quán)。2022/11/1669華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.2口令認(rèn)證最普通的身份認(rèn)證形式是用戶標(biāo)識(shí)(ID)2022/11/1670華師漢口分校信息科學(xué)與技術(shù)學(xué)院2022/11/1115華師漢口分校信息科學(xué)與技術(shù)學(xué)院1.口令認(rèn)證的過程:(1)為用戶分配唯一的ID標(biāo)識(shí)(2)計(jì)算機(jī)系統(tǒng)將用戶的身份標(biāo)識(shí)和相應(yīng)的口令存入口令列表,其中口令保密,身份標(biāo)識(shí)可以公開2.口令選擇的原則易記、不易猜中、不易分析2022/11/1671華師漢口分校信息科學(xué)與技術(shù)學(xué)院1.口令認(rèn)證的過程:2022/11/1116華師漢口分校信息3.口令的管理:系統(tǒng)中用戶與口令的存儲(chǔ)如下:將用戶的口令用單向散列函數(shù)計(jì)算出摘要值去除口令代碼,僅將摘要和與之相對(duì)應(yīng)的用戶ID存入系統(tǒng)檢驗(yàn)時(shí)用戶輸入用戶名與口令系統(tǒng)隨即計(jì)算口令的哈希值,如果與存儲(chǔ)在系統(tǒng)內(nèi)的摘要值相匹配,用戶則可以通過2022/11/1672華師漢口分校信息科學(xué)與技術(shù)學(xué)院3.口令的管理:2022/11/1117華師漢口分校信息科學(xué)4.一次性口令:一次性口令系統(tǒng)允許用戶每次登錄時(shí)使用不同的口令。系統(tǒng)在用戶登錄時(shí)給用戶提供一個(gè)隨機(jī)數(shù),用戶將這個(gè)隨機(jī)數(shù)送入口令發(fā)生器,口令發(fā)生器以用戶的密鑰對(duì)隨機(jī)數(shù)加密,然后用戶再將口令發(fā)生器輸出的加密口令送入系統(tǒng)。系統(tǒng)再進(jìn)行同樣方法計(jì)算出一個(gè)結(jié)果,比較兩個(gè)結(jié)果決定是否該身份有效。在登錄過程中加入不確定因素,使每次登陸過程中傳送的信息都不同,以提高登錄過程安全性。(如現(xiàn)在的網(wǎng)絡(luò)系統(tǒng)登陸時(shí)需要輸入驗(yàn)證碼)2022/11/1673華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.一次性口令:2022/11/1118華師漢口分校信息科學(xué)口令的優(yōu)點(diǎn):

在很長時(shí)間內(nèi)已經(jīng)成功地為計(jì)算機(jī)系統(tǒng)提供了安全保護(hù)。已經(jīng)集成到很多操作系統(tǒng)中,用戶和管理員較熟悉。在可控環(huán)境下、管理適當(dāng),可提供有效的安全保護(hù)。存在的問題:

口令系統(tǒng)的安全依賴于口令的保密性。只要用戶訪問一個(gè)新的服務(wù)器,都必須提供新口令。口令面對(duì)的威脅有:外部泄漏、猜測、通信竊取、重放等2022/11/1674華師漢口分校信息科學(xué)與技術(shù)學(xué)院口令的優(yōu)點(diǎn):2022/11/1119華師漢口分校信息科學(xué)與技4.2.3持證認(rèn)證(令牌認(rèn)證)基于用戶擁有什么的身份認(rèn)證技術(shù),使用的是令牌技術(shù)。記憶令牌和智能卡2022/11/1675華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.3持證認(rèn)證(令牌認(rèn)證)基于用戶擁有什么的身份認(rèn)證令牌認(rèn)證(con.)基于個(gè)人令牌的驗(yàn)證:個(gè)人令牌使用了用戶必須出示自己所擁有的某些東西這一因素,即要出示由個(gè)人正式擁有的某種小型的硬件設(shè)備。令牌通常與口令結(jié)合起來使用,對(duì)攻擊者來說,要想偽裝成合法的用戶,僅知道口令或者偷取令牌是不夠,他必須二者兼而有之,這稱為“雙因素驗(yàn)證”。要謀劃一個(gè)針對(duì)雙因素的成功攻擊是非常困難的。2022/11/1676華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)基于個(gè)人令牌的驗(yàn)證:2022/11/11令牌認(rèn)證(con.)基于個(gè)人令牌的運(yùn)作方式有:(1)儲(chǔ)存式令牌。將某個(gè)秘密的數(shù)據(jù)值如數(shù)字簽名用的私有密鑰儲(chǔ)存在令牌中,在用戶給出了正確的口令解開令牌鎖后由驗(yàn)證協(xié)議來使用。(2)同步一次性口令生成器。令牌定期生成一個(gè)新的口令,如每隔一分鐘生成一次,令牌持有者使用該口令對(duì)支持該驗(yàn)證方式的主機(jī)進(jìn)行驗(yàn)證。一次性口令可以通過使用正確的日期時(shí)間的單向函數(shù)和儲(chǔ)存在令牌中的某個(gè)永久的秘密值來進(jìn)行計(jì)算機(jī)主機(jī)與令牌必須保持時(shí)間的同步。2022/11/1677華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)基于個(gè)人令牌的運(yùn)作方式有:2022/11令牌認(rèn)證(con.)(3)提問-答復(fù)。令牌運(yùn)行在提問-答復(fù)協(xié)議的客戶端,通過對(duì)目標(biāo)主機(jī)送來的提問值和儲(chǔ)存在令牌中的永久秘密值運(yùn)用單向函數(shù)進(jìn)行運(yùn)算,生成答復(fù)信息。(4)數(shù)字簽名令牌。令牌持有數(shù)字簽名所需要的私有密鑰,和運(yùn)用該私有密鑰對(duì)給定的數(shù)據(jù)值計(jì)算數(shù)字簽名所需要的邏輯條件??梢詫?shù)字簽名用在某個(gè)難協(xié)議中。在生成數(shù)字簽名之前,通常需要先給出正確的口令來對(duì)令牌解鎖。2022/11/1678華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)(3)提問-答復(fù)。2022/11/112個(gè)人令牌存在的物理形式人機(jī)界面令牌:一種帶有數(shù)字顯示的手持式設(shè)備,顯示屏上顯示出持有者隨后進(jìn)入某個(gè)網(wǎng)絡(luò)系統(tǒng)終端如臺(tái)式電腦的數(shù)字。如果驗(yàn)證方法中需要持有者向令牌輸入數(shù)據(jù),如口令或提問值勤,則信牌還可能帶有一個(gè)小型的健盤。智能卡:訪問不但需要口令,也需要物理智能卡。在允許進(jìn)入系統(tǒng)之前需要檢查其智能卡。智能卡內(nèi)有微處理器和存儲(chǔ)器,可已加密的形式保存卡的ID及其他身份認(rèn)證數(shù)據(jù)。2022/11/1679華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式人機(jī)界面令牌:2022/11/1124個(gè)人令牌存在的物理形式(con.)PCMCIA卡:這是一種可以插在標(biāo)準(zhǔn)的多眼插座上的袖珍型令牌,常用于手提電腦與調(diào)制解調(diào)器或與其它接入設(shè)備的接口。與智能卡相比,PCMICA令牌有更強(qiáng)大的處理功能和存儲(chǔ)邏輯,還具有更高的接口帶寬。USB令牌:這是一種可以連接到通用串行總線端口的令牌,這種令牌有很強(qiáng)的處理功能和存儲(chǔ)邏輯。2022/11/1680華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式(con.)PCMCIA卡:2022/個(gè)人令牌存在的物理形式(con.)NB:記憶令牌只存儲(chǔ)信息,不對(duì)信息進(jìn)行處理,令牌上信息的讀取和寫入是用專門的讀/寫設(shè)備來完成的。記憶令牌的最通用形式是磁卡。通常用于計(jì)算機(jī)認(rèn)證的記憶令牌是ATM卡,它是采用用戶擁有什么(卡)和用戶知道什么(身份識(shí)別碼)的組合。2022/11/1681華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式(con.)NB:2022/11/11令牌認(rèn)證(con.)令牌的優(yōu)點(diǎn):和身份識(shí)別碼一起使用時(shí)比單獨(dú)使用口令的機(jī)制更安全。面臨的問題:需要專門的讀取器。令牌的丟失問題。智能卡通過在令牌中采用集成電路以增加其功能,還需要用戶提供身份識(shí)別碼或口令等基于用戶知道的知識(shí)的認(rèn)證手段。2022/11/1682華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)令牌的優(yōu)點(diǎn):2022/11/1127華師4.2.4生物識(shí)別采用的是生物特征識(shí)別技術(shù),采用的是用戶獨(dú)特的生理特征來認(rèn)證用戶的身份:生理屬性(如指紋、視網(wǎng)膜識(shí)別等)行為屬性(如聲音識(shí)別、手寫簽名識(shí)別等)。2022/11/1683華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.4生物識(shí)別采用的是生物特征識(shí)別技術(shù),采用的是用優(yōu)點(diǎn):比前兩種認(rèn)證技術(shù)有著更好的安全性缺點(diǎn):技術(shù)還不是很成熟實(shí)際使用過程中的穩(wěn)定性不是很好費(fèi)用很高2022/11/1684華師漢口分校信息科學(xué)與技術(shù)學(xué)院優(yōu)點(diǎn):2022/11/1129華師漢口分校信息科學(xué)與技術(shù)學(xué)院課堂討論(一):

個(gè)人特征的身份證明技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院課堂討論(一):

個(gè)人特征的身份證明技術(shù)華師漢口分校信息科學(xué)4.3身份認(rèn)證協(xié)議一次一密機(jī)制X.509認(rèn)證協(xié)議Kerberos認(rèn)證協(xié)議零知識(shí)身份識(shí)別2022/11/1686華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.3身份認(rèn)證協(xié)議一次一密機(jī)制2022/11/1131華一次一密機(jī)制主要有兩種實(shí)現(xiàn)方式:請(qǐng)求-應(yīng)答方式第一種方法,用戶登錄時(shí)系統(tǒng)隨機(jī)提示一條信息,用戶根據(jù)這一信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字,用戶輸入該口令字,完成一次登錄過程,或者用戶對(duì)這一條信息實(shí)施數(shù)字簽名,發(fā)送給出驗(yàn)證者進(jìn)行鑒別另一種方法采用時(shí)鐘同步機(jī)制,即根據(jù)這個(gè)同步時(shí)鐘信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字2022/11/1687華師漢口分校信息科學(xué)與技術(shù)學(xué)院一次一密機(jī)制主要有兩種實(shí)現(xiàn)方式:2022/11/1132華師質(zhì)詢-回應(yīng)協(xié)議(1)A向B發(fā)送一個(gè)消息TA,表示想和B通話。(2)B無法判斷這個(gè)消息是來自A還是其他人,因此B回應(yīng)一個(gè)質(zhì)詢RB。RB是一個(gè)隨機(jī)數(shù)。(3)A用與B共享的密鑰KAB加密RB,得到密文KAB(RB),再發(fā)送給B;B收到密文KAB(RB),用自己同樣擁有的KAB加密RB,對(duì)比結(jié)果,如果相同就確認(rèn)了A的身份。此時(shí)B已完成了對(duì)A的單向認(rèn)證。2022/11/1688華師漢口分校信息科學(xué)與技術(shù)學(xué)院質(zhì)詢-回應(yīng)協(xié)議2022/11/1133華師漢口分校信息科學(xué)與質(zhì)詢-回應(yīng)協(xié)議(4)A同樣需要確定B的身份,于是發(fā)送一個(gè)質(zhì)詢RA給B。RA也是一個(gè)隨機(jī)數(shù)。(5)B用與A共享的密鑰KAB加密RA,得到密文KAB(RA),再發(fā)送給A;A收到密文KAB(RA),用自己同樣擁有的KAB加密RA,對(duì)比結(jié)果,如果相同就確認(rèn)了B的身份,完成了雙向認(rèn)證。(6)A確認(rèn)B的身份之后,選取一個(gè)會(huì)話密鑰KS,并且用KAB加密之后發(fā)送給B。2022/11/1689華師漢口分校信息科學(xué)與技術(shù)學(xué)院質(zhì)詢-回應(yīng)協(xié)議2022/11/1134華師漢口分校信息科學(xué)與Kerberos——第三方認(rèn)證所謂第三方認(rèn)證就是在相互不認(rèn)識(shí)的實(shí)體之間提供安全通信Kerberos認(rèn)證系統(tǒng)原是MIT(美國麻省理工學(xué)院)的Athena計(jì)劃的一部分,原義為希臘神話中守護(hù)地獄之門的一只兇猛的三頭狗,意喻該協(xié)議具有極其強(qiáng)大的安全性能。近年來,較新的版本的擴(kuò)充也支持了X.509認(rèn)證?;赬.509數(shù)字證書是由國際標(biāo)準(zhǔn)化組織開發(fā)的眾多標(biāo)準(zhǔn)中的一部分。認(rèn)證是基于公開密鑰,或者非對(duì)稱密碼系統(tǒng)的。2022/11/1690華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos——第三方認(rèn)證所謂第三方認(rèn)證就是在相互不Kerberos概述網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲裁者的作用,可提供安全的網(wǎng)絡(luò)鑒別,允許個(gè)人訪問網(wǎng)絡(luò)中不同的機(jī)器?;趯?duì)稱密碼學(xué),與網(wǎng)絡(luò)上的每個(gè)實(shí)體分別共享一個(gè)不同的秘密密鑰,是否知道該秘密密鑰便是身份的證明。主要包括以下幾個(gè)部分:客戶機(jī)(Client)服務(wù)器(Server)認(rèn)證服務(wù)器(AS)票據(jù)授予服務(wù)器(TGS)2022/11/1691華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos概述網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲

Kerberos組成2022/11/1692華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos組成2022/11/1137華師漢口分校Kerberos概述(con.)Kerberos有一個(gè)所有客戶和自己安全通信所需的秘密密鑰數(shù)據(jù)庫(KDC),知道每個(gè)人的秘密密鑰,能產(chǎn)生消息向每個(gè)實(shí)體證實(shí)另一個(gè)實(shí)體的身份。Kerberos還能產(chǎn)生會(huì)話密鑰,只供一個(gè)客戶機(jī)和一個(gè)服務(wù)器使用,會(huì)話密鑰用來加密雙方的通信消息,通信完畢,會(huì)話密鑰即被銷毀。Kerberos使用DES加密Kerberos第4版提供非標(biāo)準(zhǔn)的鑒別模型,該模型的弱點(diǎn)是它無法檢測密文的某些改變。Kerberos第5版使用CBC模式。2022/11/1693華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos概述(con.)Kerberos有一個(gè)所有客KerberosV4認(rèn)證消息對(duì)話2022/11/1694華師漢口分校信息科學(xué)與技術(shù)學(xué)院KerberosV4認(rèn)證消息對(duì)話2022/11/1139華(1)客戶登錄到本地,向認(rèn)證服務(wù)器(AS)發(fā)送一個(gè)服務(wù)請(qǐng)求,請(qǐng)求獲得指定應(yīng)用服務(wù)器的“憑證”①,所獲憑證可直接用于應(yīng)用服務(wù)器或票據(jù)授予服務(wù)器(TGS)。

CAS:IDc||IDtgs||TS1

該消息包含客戶ID以及票據(jù)授予服務(wù)器的ID和時(shí)間戳。(2)認(rèn)證服務(wù)器(AS)以憑證作為響應(yīng),并用客戶的密鑰加密憑證消息②。 憑證=票據(jù)授予服務(wù)器“票據(jù)”(Ticket)+臨時(shí)加密密鑰Kc,tgs(會(huì)話密鑰)。ASC:EKc[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs]Tickettgs=EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]2022/11/1695華師漢口分校信息科學(xué)與技術(shù)學(xué)院(1)客戶登錄到本地,向認(rèn)證服務(wù)器(AS)發(fā)送一個(gè)服務(wù)請(qǐng)求2022/11/1696華師漢口分校信息科學(xué)與技術(shù)學(xué)院2022/11/1141華師漢口分校信息科學(xué)與技術(shù)學(xué)院(3)擁有了票據(jù)和會(huì)話密鑰,客戶C向TGS服務(wù)器發(fā)送消息請(qǐng)求獲得訪問某個(gè)特定應(yīng)用服務(wù)器的票據(jù)Ticketv消息③。

CTGS:IDv||Tickettgs||Authenticatorc

Authenticatorc=EKc,tgs[IDc||ADc||TS3]

Tickettgs=EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]消息包含了身份驗(yàn)證器(Authenticatorc)、C用戶的ID和地址以及時(shí)間戳對(duì)比:票據(jù)可以重復(fù)使用,身份驗(yàn)證器只能使用一次且生命周期很短。2022/11/1697華師漢口分校信息科學(xué)與技術(shù)學(xué)院(3)擁有了票據(jù)和會(huì)話密鑰,客戶C向TGS服務(wù)器發(fā)送消息請(qǐng)(4)?TGS服務(wù)器返回應(yīng)用服務(wù)器票據(jù)以應(yīng)答消息④,客戶請(qǐng)求。

TGSC:EKc,tgs[Kc,v||IDv||TS4||Ticketv]

Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]

消息已經(jīng)用TGS和C共享的會(huì)話密鑰進(jìn)行了加密,它包含了C和服務(wù)器V共享的會(huì)話密鑰Kc,v,V的ID和票據(jù)的時(shí)間戳,也包含了會(huì)話密鑰?,F(xiàn)在C就擁有了V可重用的票據(jù),當(dāng)C出具此票據(jù)時(shí)就發(fā)出了身份驗(yàn)證碼,應(yīng)用服務(wù)器可以解密票據(jù),恢復(fù)會(huì)話密鑰并解密身份驗(yàn)證碼。2022/11/1698華師漢口分校信息科學(xué)與技術(shù)學(xué)院(4)?TGS服務(wù)器返回應(yīng)用服務(wù)器票據(jù)以應(yīng)答消息④,客戶請(qǐng)2

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論