網(wǎng)絡(luò)安全概述之認(rèn)證技術(shù)基礎(chǔ)培訓(xùn)課件

第5講認(rèn)證技術(shù)根底11、概述訪問控制：控制用戶和系統(tǒng)，系統(tǒng)和資源進(jìn)行通信和交互保護(hù)免受未授權(quán)訪問為授權(quán)做準(zhǔn)備2標(biāo)識、認(rèn)證、授權(quán)和稽查標(biāo)識：一種能夠確保主體〔用戶、程序獲進(jìn)程〕就是它所宣稱的那個實(shí)體的方法認(rèn)證：證明、確認(rèn)標(biāo)識的正確性授權(quán)：認(rèn)證通過后，對主體訪問資源的能力的安排。是操作系統(tǒng)的核心功能?；椋簩χ黧w行為的審核和記錄32、標(biāo)識與認(rèn)證生物標(biāo)識和認(rèn)證口令有感知的口令一次性口令令牌裝置密碼認(rèn)證存儲卡智能卡4生物標(biāo)識和認(rèn)證所謂生物識別技術(shù)，就是通過計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特征和行為特征來進(jìn)行個人身份的堅(jiān)決。本質(zhì)：模式識別5用于鑒別的生物特征人臉虹膜視網(wǎng)膜人耳手型指紋掌紋手背靜脈分布頭部特征靜態(tài)手部特征語音筆跡習(xí)慣性簽名打字韻律步態(tài)靜脈血流速度動態(tài)6基于特征的生物認(rèn)證方法需要遵守的幾個標(biāo)準(zhǔn)普遍性—意味著這一特征每一個人必須擁有特征唯一性—這一特征與他人沒有任何的共性穩(wěn)定性—這一特征不隨時間、外界環(huán)境等發(fā)生變化可接受性—這一特征可被人們接受和認(rèn)可防偽性—這一特征不易仿造、竊取可收集性—這一特征必須能夠容易地由提供的技術(shù)設(shè)備測量可執(zhí)行性—這一特征必須準(zhǔn)確、快速、健壯，并且不要求過多的資源7生物認(rèn)證的一個主要問題是掃描的結(jié)果或多或少都會與模板不同系統(tǒng)接受冒名頂替者的概率稱作錯誤匹配率FAR〔錯誤接受率〕系統(tǒng)拒絕授權(quán)個人的概率稱作錯誤不匹配率FRR〔錯誤拒絕率〕FAR與FRR相互制約8口令機(jī)制口令或通行字機(jī)制是最廣泛研究和使用的身份鑒別法。通常為長度為5~8的字符串。選擇原那么：易記、難猜、抗分析能力強(qiáng)?？诹钕到y(tǒng)有許多脆弱點(diǎn)：外部泄露口令猜測線路竊聽危及驗(yàn)證者重放9對付外部泄露的措施教育、培訓(xùn)；嚴(yán)格組織管理方法和執(zhí)行手續(xù)；口令定期改變；每個口令只與一個人有關(guān)；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫在紙上。10對付口令猜測的措施教育、培訓(xùn)；嚴(yán)格限制非法登錄的次數(shù)；口令驗(yàn)證中插入實(shí)時延遲；限制最小長度，至少6~8字節(jié)以上防止用戶特征相關(guān)口令，口令定期改變；及時更改預(yù)設(shè)口令；使用機(jī)器產(chǎn)生的口令。11有感知的口令常規(guī)問題＋個性化答復(fù)12一次性口令令牌裝置＋同步機(jī)制令牌裝置＋異步機(jī)制〔交互應(yīng)答＋認(rèn)證效勞器通信＝“間接的同步〞〕13密碼認(rèn)證對稱密碼體制認(rèn)證公鑰密碼體制認(rèn)證HASH認(rèn)證……14存儲卡直接使用存在卡中的信息與庫中信息比對可結(jié)合普通口令機(jī)制，雙重比對15智能卡卡本身具有認(rèn)證比對功能，加強(qiáng)卡自身平安保護(hù)隨后再進(jìn)一步認(rèn)證163、授權(quán)授權(quán)方法默認(rèn)拒絕17授權(quán)方法角色訪問方法：不同角色的業(yè)務(wù)訪問需求可能類似組訪問原那么方法：需要同樣訪問權(quán)限的用戶的集合物理和邏輯位置訪問原那么：時間：事務(wù)類型限制：事務(wù)實(shí)例取值的不同，訪問權(quán)限賦予可能也不同?！层y行取錢，職責(zé)不同，能操作的金額應(yīng)該不一致；數(shù)據(jù)庫管理員負(fù)責(zé)建立人事數(shù)據(jù)庫，但他未必有權(quán)訪問這些數(shù)據(jù)記錄〕18默認(rèn)拒絕一般授權(quán)的根本原那么默認(rèn)拒絕需要知曉:授予能夠?qū)崿F(xiàn)業(yè)務(wù)的最小權(quán)限，與最小特權(quán)原那么一致194、單點(diǎn)登錄腳本方式KerberosSesame20腳本方式包含有每一用戶ID、口令字和對應(yīng)平臺登錄命令的批處理文件用戶使用方便管理員需要事先編寫腳本管理員跟蹤活替換口令更改機(jī)制腳本本身的機(jī)密性、完整性要求極高平臺升級可能會要求腳本升級21Kerberos(科波羅斯)分布式單點(diǎn)登錄的實(shí)例使用對稱加密算法體系主要組件：密鑰分發(fā)中心：存有所有用戶和效勞的密鑰；具有密鑰分發(fā)和認(rèn)證功能；客戶和效勞充分信任KDC是系統(tǒng)平安的根底實(shí)體對象：主體，用戶、程序或效勞，票證：用戶主體之間訪問認(rèn)證Kerberos協(xié)議主要用于計(jì)算機(jī)網(wǎng)絡(luò)的身份鑒別(Authentication),其特點(diǎn)是用戶只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)(ticket-grantingticket)訪問多個效勞，即SSO(SingleSignOn)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)钠桨残浴?2Kerberos認(rèn)證過程〔見圖〕用戶向AS認(rèn)證AS發(fā)送初時票證給用戶用戶請求訪問文件效勞器TGS使用會話迷藥創(chuàng)立新票證用戶提取一個繪畫迷藥并將票證發(fā)給文件效勞器2324Kerberos弱點(diǎn)：單點(diǎn)故障必須實(shí)施處理大量信息密鑰需要暫時性的存在工作站上，存在威脅會話密鑰被解密后仍保存在緩存中，存在威脅對密碼猜測的字典攻擊密鑰更新過程復(fù)雜25SesameSecureEuropeanSystemforapplicationinaMulti-vendorEnvironment是為了解決Kerberos的弱點(diǎn)而提出的。SESAME使用公開加密算法和對稱加密算法來實(shí)現(xiàn)對通信的保護(hù)、實(shí)現(xiàn)對稱密鑰的交換和訪問控制。與Kerberos不同的是，SESAME提供兩種Certificates或者Tickets,一個用來提供認(rèn)證，另外的一個提供給客戶訪問許可。SESAME的同樣也容易被字典式攻擊。同時基于對稱和非對稱密碼體制PAS〔特權(quán)證書〕取代訪問票證：主體身份、允許訪問范圍、允許訪問時間、有效期限等信息PAS包括數(shù)字簽名信息，證明PAC來源的可信26認(rèn)證過程用戶發(fā)送證書AS發(fā)送令牌以與PAS通信用戶將令牌發(fā)給PAS，請求訪問資源PAS創(chuàng)立并發(fā)送PAC給用戶用戶發(fā)送PAC向資源認(rèn)證〔參見以下圖〕2728什么是PKI〔公鑰根底設(shè)施〕？所謂PKI就是一個公鑰概念和技術(shù)實(shí)施和提供平安效勞的具有普適性的平安根底設(shè)施。但PKI的概念在不斷的延伸和擴(kuò)展。PKI根底設(shè)施采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)CA把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在internet網(wǎng)上驗(yàn)證用戶的身份。5、PKI認(rèn)證〔一〕29

什么是惡意程序

什么是黑客(Hacker)

什么是網(wǎng)絡(luò)安全隔離卡

什么是入侵及入侵檢測系統(tǒng)

什么是公鑰密碼

什么是RSA公鑰密碼

什么是分組密碼及密碼分析

什么是數(shù)字簽名

什么是Hash函數(shù)

什么是PKI(公鑰基礎(chǔ)設(shè)施)

什么是信息隱藏技術(shù)

什么是信息安全

什么是可信電子信息系統(tǒng)

什么是密鑰托管(Key

Escrow)

什么是數(shù)字證書

什么是PGP

(Pretty

Good

Privacy)

什么是步態(tài)識別

什么是Dynamic

ID動態(tài)口令卡

什么是Dynamic

ID身份認(rèn)證服務(wù)器

什么是ID

Shield身份認(rèn)證系統(tǒng)30PKI：基于公鑰密碼體制的認(rèn)證技術(shù)框架MAC：消息認(rèn)證RSA：公鑰密碼算法SHA：平安雜湊算法DSS：數(shù)字簽名標(biāo)準(zhǔn)AS：認(rèn)證效勞器CA：認(rèn)證中心RA：注冊機(jī)構(gòu)RS：業(yè)務(wù)受理點(diǎn)CRL：證書撤銷列表DES：數(shù)據(jù)加密標(biāo)準(zhǔn)Recoverykey：私鑰Encryptedkey：密鑰31PKI相關(guān)標(biāo)準(zhǔn)32一、認(rèn)證根本概念1、問題的提出2、認(rèn)證的分類3、消息認(rèn)證4、身份認(rèn)證5、認(rèn)證協(xié)議331、問題的提出認(rèn)證就是確認(rèn)實(shí)體是它所聲明的。認(rèn)證是最重要的平安效勞之一。認(rèn)證效勞提供了關(guān)于某個實(shí)體身份的保證?！菜衅渌钠桨残诙家蕾囉谠撔凇痴J(rèn)證可以對抗假冒攻擊的危險(xiǎn)342、認(rèn)證的種類數(shù)字簽名：手寫簽名的電子化消息認(rèn)證：消息來源和內(nèi)容的合法性HASH函數(shù)：消息的完整性身份認(rèn)證：實(shí)體所宣稱與實(shí)體本身的相符性認(rèn)證協(xié)議：身份認(rèn)證、密鑰交換353、消息認(rèn)證〔1〕需求：在網(wǎng)絡(luò)通信中，有一些針對消息內(nèi)容的攻擊方法偽造消息竄改消息內(nèi)容改變消息順序消息重放或者延遲定義描述：對收到的消息進(jìn)行驗(yàn)證，證明確實(shí)是來自聲稱的發(fā)送方，并且沒有被修改正。如果在消息中參加時間及順序信息，那么可以完成對時間和順序的認(rèn)證363、消息認(rèn)證〔2〕實(shí)現(xiàn)消息認(rèn)證的根本方法：Messageencryption：用整個消息的密文作為認(rèn)證標(biāo)識〔接收方必須能夠識別錯誤〕MAC：一個公開函數(shù)，加上一個密鑰產(chǎn)生一個固定長度的值作為認(rèn)證標(biāo)識Hashfunction：一個公開函數(shù)將任意長度的消息映射到一個固定長度的散列值，作為認(rèn)證標(biāo)識37Hash函數(shù)(也稱雜湊函數(shù)或雜湊算法)就是把任意長的輸入消息串變化成固定長的輸出串的一種函數(shù)。這個輸出串稱為該消息的雜湊值。

Hash函數(shù)主要用于完整性校驗(yàn)和提高數(shù)字簽名的有效性,目前已有很多方案。這些算法都是偽隨機(jī)函數(shù),任何雜湊值都是等可能的。輸出并不以可區(qū)分的方式依賴于輸入;在任何輸入串中單個比特的變化,將會導(dǎo)致輸出比特串中大約一半的比特發(fā)生變化。38一個平安的雜湊函數(shù)應(yīng)該至少滿足以下幾個條件：①輸入長度是任意的;②輸出長度是固定的,根據(jù)目前的計(jì)算技術(shù)應(yīng)至少取128bits長,以便抵抗生日攻擊;③對每一個給定的輸入,計(jì)算輸出即雜湊值是很容易的;④給定雜湊函數(shù)的描述,找到兩個不同的輸入消息雜湊到同一個值是計(jì)算上不可行的，或給定雜湊函數(shù)的描述和一個隨機(jī)選擇的消息,找到另一個與該消息不同的消息使得它們雜湊到同一個值是計(jì)算上不可行的。394、身份認(rèn)證〔1〕定義：證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過程。依據(jù)：Somethingtheuserknow(所知〕密碼、口令等Somethingtheuserpossesses〔擁有〕身份證、護(hù)照、密鑰盤等Somethingtheuseris(orHowhebehaves)〔即個人特征識別或說生物特征識別〕指紋、筆跡、聲音、虹膜、DNA等404、身份認(rèn)證〔2〕消息認(rèn)證與身份認(rèn)證的差異：身份認(rèn)證〔實(shí)體鑒別〕一般都是實(shí)時的，消息鑒別一般不提供實(shí)時性。實(shí)體鑒別只證實(shí)實(shí)體的身份，消息鑒別除了要證實(shí)報(bào)文的合法性和完整性外，還需要知道消息的含義。數(shù)字簽字是實(shí)現(xiàn)身份識別的有效途徑。但在身份識別中消息的語義是根本固定的，一般不是“終生〞的，簽字是長期有效的。415、認(rèn)證協(xié)議〔1〕雙方認(rèn)證(mutualauthentication)

通信雙方相互進(jìn)行認(rèn)證單向認(rèn)證(one-wayauthentication)

通信雙方只有一方向另一方進(jìn)行鑒別425、認(rèn)證協(xié)議〔2〕最常用的協(xié)議。該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會話密鑰。基于鑒別的密鑰交換核心問題有兩個：保密性實(shí)效性為了防止偽裝和防止暴露會話密鑰，根本鑒別和會話密碼信息必須以保密形式通信，這就要求預(yù)先存在保密或公開密鑰供實(shí)現(xiàn)加密使用。第二個問題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴簟?3二、身份認(rèn)證根本情況1、身份認(rèn)證的作用2、身份認(rèn)證的分類3、身份認(rèn)證的模型和組成4、身份認(rèn)證的要求5、身份認(rèn)證的實(shí)現(xiàn)途徑6、身份認(rèn)證的機(jī)制441、身份認(rèn)證的作用身份認(rèn)證需求：

某一成員〔聲稱者〕提交一個主體的身份并聲稱它是那個主體。身份認(rèn)證目的：

使別的成員〔驗(yàn)證者〕獲得對聲稱者所聲稱的事實(shí)的信任452、身份認(rèn)證的分類〔1〕實(shí)體鑒別可以分為本地和遠(yuǎn)程兩類。實(shí)體在本地環(huán)境的初始化鑒別〔就是說，作為實(shí)體個人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信〕。連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。本地鑒別：需要用戶進(jìn)行明確的操作遠(yuǎn)程鑒別：通常將本地鑒別結(jié)果傳送到遠(yuǎn)程?！?〕平安〔2〕易用462、身份認(rèn)證的分類〔2〕實(shí)體鑒別可以是單向的也可以是雙向的。

單向鑒別是指通信雙方中只有一方向另一方進(jìn)行鑒別。

雙向鑒別是指通信雙方相互進(jìn)行鑒別。473、身份認(rèn)證的組成〔1〕ATPB可信賴者A、B為聲稱者(Claimant)或者驗(yàn)證者V〔Verifier)483、身份認(rèn)證的組成〔2〕一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。另一方為驗(yàn)證者V〔Verifier),檢驗(yàn)聲稱者提出的證件的正確性和合法性，決定是否滿足要求。第三方是可信賴者TP〔Trustedthirdparty)，參與調(diào)解糾紛。第四方是攻擊者，可以竊聽或偽裝聲稱者騙取驗(yàn)證者的信任。494、身份認(rèn)證的要求一個身份認(rèn)證系統(tǒng)應(yīng)滿足如下要求：〔1〕驗(yàn)證者正確識別合法申請者的概率極大化?！?〕不具有可傳遞性〔Transferability)〔3〕攻擊者偽裝成申請者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度〔4〕計(jì)算有效性〔5〕通信有效性〔6〕秘密參數(shù)能平安存儲*〔7〕交互識別，如在某些應(yīng)用中通信雙方能相互認(rèn)證*〔8〕第三方的實(shí)時參與，如在線公鑰檢索效勞*〔9〕第三方的可信賴性*〔10〕可證明的平安性505、身份認(rèn)證的實(shí)現(xiàn)途徑三種途徑之一或它們的組合〔1〕所知〔Knowledge〕:密碼、口令〔2〕所有