《身份認(rèn)證技術(shù)》課件

1、身份認(rèn)證技術(shù)PPT課件身份認(rèn)證技術(shù)PPT課件提綱4.1 身份認(rèn)證技術(shù)概述4.2 基于口令的身份認(rèn)證4.3 Kerberos 身份認(rèn)證協(xié)議4.4 基于X509的身份認(rèn)證4.5 基于生物特征的身份認(rèn)證提綱4.1 身份認(rèn)證技術(shù)概述4.1 身份認(rèn)證簡介4.1.1身份認(rèn)證的需求4.1.2身份認(rèn)證的基本模型4.1.3身份認(rèn)證的途徑4.1.4常用的身份認(rèn)證技術(shù)4.1 身份認(rèn)證簡介4.1.1身份認(rèn)證的需求網(wǎng)絡(luò)環(huán)境下對身份認(rèn)證的需求唯一的身份標(biāo)識（ID）: uiduiddomainDN: C=CN/S=Beijing /O=Tsinghua University/U=CS/ CN=Duan Haixin/Ema

2、il=dhx抗被動的威脅（竊聽），口令不在網(wǎng)上明碼傳輸源目的sniffer網(wǎng)絡(luò)環(huán)境下對身份認(rèn)證的需求唯一的身份標(biāo)識（ID）: 源目的s網(wǎng)絡(luò)環(huán)境下對身份認(rèn)證的需求抵抗主動的威脅，比如阻斷、偽造、重放,網(wǎng)絡(luò)上傳輸?shù)恼J(rèn)證信息不可重用加密解密passwd$%&)*=-,網(wǎng)絡(luò)環(huán)境下對身份認(rèn)證的需求抵抗主動的威脅，比如阻斷、偽造、重網(wǎng)絡(luò)環(huán)境下對身份認(rèn)證的需求雙向認(rèn)證域名欺騙、地址假冒等路由控制單點登錄（Single Sign-On）可擴(kuò)展性的要求網(wǎng)絡(luò)環(huán)境下對身份認(rèn)證的需求雙向認(rèn)證身份認(rèn)證的基本途徑基于你所知道的（What you know ）知識、口令、密碼基于你所擁有的（What you have ）身

3、份證、信用卡、鑰匙、智能卡、令牌等基于你的個人特征（What you are）指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜雙因素、多因素認(rèn)證身份認(rèn)證的基本途徑基于你所知道的（What you know身份認(rèn)證的基本模型申請者（Claimant）驗證者（Verifier）認(rèn)證信息AI（Authentiction）可信第三方(Trusted Third Party)申請AI驗證AI申請AI驗證AI交換AI身份認(rèn)證的基本模型申請者（Claimant）申請AI驗證AI常用的身份認(rèn)證技術(shù)/協(xié)議簡單口令認(rèn)證質(zhì)詢/響應(yīng)認(rèn)證一次性口令認(rèn)證（OTP）Kerberos認(rèn)證基于公鑰證書的身份認(rèn)證基于生物特征的身份認(rèn)證

4、常用的身份認(rèn)證技術(shù)/協(xié)議簡單口令認(rèn)證提綱4.1 身份認(rèn)證技術(shù)概述4.2 基于口令的身份認(rèn)證4.3 Kerberos 身份認(rèn)證協(xié)議4.4 基于X509的身份認(rèn)證4.5 基于生物特征的身份認(rèn)證提綱4.1 身份認(rèn)證技術(shù)概述4.2 基于口令的身份認(rèn)證4.2.1質(zhì)詢/響應(yīng)認(rèn)證 （Challenge/Response）4.2.2 一次性口令（OTP）4.2.3 口令的管理4.2 基于口令的身份認(rèn)證4.2.1質(zhì)詢/響應(yīng)認(rèn)證 （Cha質(zhì)詢/握手認(rèn)證協(xié)議（CHAP）Challenge and Response Handshake ProtocolClient和Server共享一個密鑰Login ,IDcIDc,

5、 RIDc, MACcMAC=H(R,K)sMAC=H(R,K)比較MAC和MACOK / DisconnectMAC的計算可以基于Hash算, 對稱密鑰算法，公開密鑰算法質(zhì)詢/握手認(rèn)證協(xié)議（CHAP）Challenge and R一次性口令認(rèn)證（OTP）S/Key SecurIDTokenServerchallengeOTPPass phrase +challengeOTP/rfcs/rfc1760.html/rfc/rfc2289.txtOTPf(f(f(f(x)一次性口令認(rèn)證（OTP）S/Key TokenServerc口令管理口令管理 口令屬于“他知道什么”這種方式，容易被竊取?？诹畹?/p>

6、錯誤使用：選擇一些很容易猜到的口令；把口令告訴別人；把口令寫在一個貼條上并把它貼在鍵盤旁邊。口令管理的作用：生成了合適的口令口令更新能夠完全保密 口令管理口令管理 口令管理口令的要求：包含一定的字符數(shù)；和ID無關(guān)；包含特殊的字符；大小寫；不容易被猜測到。跟蹤用戶所產(chǎn)生的所有口令，確保這些口令不相同，定期更改其口令。使用字典式攻擊的工具找出比較脆弱的口令。許多安全工具都具有這種雙重身份：網(wǎng)絡(luò)管理員使用的工具：口令檢驗器攻擊者破獲口令使用的工具：口令破譯器 口令管理口令的要求：口令管理口令產(chǎn)生器 不是讓用戶自己選擇口令，口令產(chǎn)生器用于產(chǎn)生隨機的和可拼寫口令。 口令的時效 強迫用戶經(jīng)過一段時間后就更

7、改口令。系統(tǒng)還記錄至少5到10個口令，使用戶不能使用剛剛使用的口令。限制登錄次數(shù) 免受字典式攻擊或窮舉法攻擊 口令管理口令產(chǎn)生器 提綱4.1 身份認(rèn)證技術(shù)概述4.2 基于口令的身份認(rèn)證4.3 Kerberos 身份認(rèn)證協(xié)議4.4 基于X509的身份認(rèn)證4.5 基于生物特征的身份認(rèn)證提綱4.1 身份認(rèn)證技術(shù)概述4.3 Kerberos 認(rèn)證技術(shù)4.3.1 Kerberos 簡介4.3.2 Kerberos V44.3.3 Kerberos V54.3.4 Kerberos 缺陷4.3 Kerberos 認(rèn)證技術(shù)4.3.1 KerberoKerberos 簡介Kerberos 麻省理工學(xué)院為Ath

8、ena 項目開發(fā)的一個認(rèn)證服務(wù)系統(tǒng)目標(biāo)是把UNIX認(rèn)證、記帳、審計的功能擴(kuò)展到網(wǎng)絡(luò)環(huán)境：公共的工作站，只有簡單的物理安全措施集中管理、受保護(hù)的服務(wù)器多種網(wǎng)絡(luò)環(huán)境，假冒、竊聽、篡改、重發(fā)等威脅基于對稱密鑰密碼算法實現(xiàn)集中的身份認(rèn)證和密鑰分配通信保密性、完整性Kerberos 簡介Kerberos 麻省理工學(xué)院為AthKerberos 身份認(rèn)證過程一個簡單的認(rèn)證對話一個更加安全的認(rèn)證對話Kerberos V4Kerberos V5Kerberos 身份認(rèn)證過程一個簡單的認(rèn)證對話一個簡單的認(rèn)證對話（1） C AS : IDc | Pc |IDv（2） ASC : Ticket（3） C V : ID

9、c | Ticket Ticket=EKv(IDc| ADc | IDv)ASVC（1）（2）（3）C = ClientAS= Authentication ServerV = ServerIDc = identifier of User on C IDv= identifier of VPc = password of user on CADc = network address of CKv = secret key shared bye AS and V | = concatention 問題一：明文傳輸口令問題二：每次訪問都要輸 入口令一個簡單的認(rèn)證對話（1） C AS : IDc |

10、 一個更加安全的認(rèn)證對話（1） C AS : IDC | IDtgs（2） ASC : EKcTicket tgs（3） C TGS : IDC |IDv | Tickettgs（4） TGS C: Ticketv（5）C V : IDc | Ticketv Tickettgs= EKtgs IDC| ADC | IDtgs| TS1|Lifetime1Ticket v = EKv IDC| ADC | IDV| TS2|Lifetime2ASVC（1）（2）（3）TGS（4）（5）口令沒有在網(wǎng)絡(luò)上傳輸Ticket tgs 可重用，用一個ticket tgs可以請求多個服務(wù)一個更加安全的認(rèn)證對

11、話（1） C AS : IDC |問題一：票據(jù)許可票據(jù)tickettgs的生存期如果太大，則容易造成重放攻擊如果太短，則用戶總是要輸入口令問題二：如何向用戶認(rèn)證服務(wù)器解決方法增加一個會話密鑰(Session Key)問題一：票據(jù)許可票據(jù)tickettgs的生存期Kerberos V4 的認(rèn)證過程ASTGS請求tickettgsTickettgs+ 會話密鑰請求ticketvTicketv+會話密鑰請求服務(wù)提供服務(wù)器認(rèn)證符（1）（2）（3）（4）（5）（6）Kerberos V4 的認(rèn)證過程ASTGS請求ticketKerberos V4 的報文交換AS交換，獲得Tickettgs （1）用戶登

12、錄工作站，請求主機服務(wù) C AS : IDC | IDtgs | TS1 （2）AS在數(shù)據(jù)庫中驗證用戶的訪問權(quán)限，生成Tickettgs 和會話密鑰，用由用戶口令導(dǎo)出的密鑰加密 AS C : EKcKc,tgs | IDtgs | TS2 | Lifetime2 | Tickettgs其中 Tickettgs = EKtgs Kc,tgs | IDC | ADC | IDtgs | TS2 | Lifetime2Kerberos V4 的報文交換AS交換，獲得TicketKerberos V4 的報文交換（2）2. TGS服務(wù)交換，獲得服務(wù)票據(jù)Ticketv (3)工作站提示用戶輸入口令來對收

13、到的報文進(jìn)行解密，然后將Tickettgs 以及包含用戶名稱、網(wǎng)絡(luò)地址和事件的認(rèn)證符發(fā)給TGS C TGS : IDV | Tickettgs | Authenticatorc（4） TGS對票據(jù)和認(rèn)證符進(jìn)行解密，驗證請求，然后生成服務(wù)許可票據(jù)Ticket v TGS C : EKc,tgsKc,v | IDV | TS4 | Ticketv Tickettgs = EKtgsKc,tgs| IDC| ADC| IDtgs | TS2 | Lifetime2Ticketv = EK v Kc,v|IDC|ADC| IDv|TS4|Lifetime4Authenticatorc = EKc,tg

14、sIDc|ADc|TS3Kerberos V4 的報文交換（2）2. TGS服務(wù)交換Kerberos V4 的報文交換（3）3. 客戶戶/服務(wù)器認(rèn)證交換：獲得服務(wù)（5）工作站將票據(jù)和認(rèn)證符發(fā)給服務(wù)器 C V : Ticketv | Authenticatorc（6）服務(wù)器驗證票據(jù)Ticketv和認(rèn)證符中的匹配，然后許可訪問服務(wù)。如果需要雙向認(rèn)證，服務(wù)器返回一個認(rèn)證符 V C : EKc,v TS5+1 Ticketv = EK v Kc,v|IDc|ADc|IDv|TS4|Lifetime4 Authenticatorc = EKc,vIDc|ADc|TS5Kerberos V4 的報文交換（

15、3）3. 客戶戶/服務(wù)多管理域環(huán)境下的認(rèn)證ClientASTGSKerberosASTGSKerberosServer1.請求本地Tickettgs2. 本地Tickettgs3. 請求遠(yuǎn)程tickettgs共享密鑰相互注冊4. 遠(yuǎn)程ticket tgs5.請求遠(yuǎn)程服務(wù)ticket6.遠(yuǎn)程服務(wù)ticket7.請求遠(yuǎn)程服務(wù)多管理域環(huán)境下的認(rèn)證ClientASTGSKerberosA多域環(huán)境下的認(rèn)證過程多域環(huán)境下的認(rèn)證過程Kerberos Version 5改進(jìn)version 4 的環(huán)境缺陷加密系統(tǒng)依賴性： DES Internet協(xié)議依賴性: IP 消息字節(jié)次序Ticket的時效性Authent

16、ication forwardingInter-realm authentication彌補了Kerberos V4的不足取消了雙重加密CBC-DES替換非標(biāo)準(zhǔn)的PCBC加密模式每次會話更新一次會話密鑰增強了抵抗口令攻擊的能力Kerberos Version 5改進(jìn)version 4 Kerberos 的缺陷對時鐘同步的要求較高猜測口令攻擊基于對稱密鑰的設(shè)計，不適合于大規(guī)模的應(yīng)用環(huán)境Kerberos 的缺陷對時鐘同步的要求較高提綱4.1 身份認(rèn)證技術(shù)概述4.2 基于口令的身份認(rèn)證4.3 Kerberos 身份認(rèn)證協(xié)議4.4 基于X509的身份認(rèn)證4.5 基于生物特征的身份認(rèn)證提綱4.1 身份認(rèn)

17、證技術(shù)概述4.4 基于X509公鑰證書的認(rèn)證4.4.1 X509 認(rèn)證框架4.4.2 X509證書4.4.3 基于公鑰證書的認(rèn)證過程4.4.4 不同管理域的問題4.4 基于X509公鑰證書的認(rèn)證4.4.1 X509 認(rèn)證X509 認(rèn)證框架Certificate Authority簽發(fā)證書Registry Authority 驗證用戶信息的真實性Directory 用戶信息、證書數(shù)據(jù)庫沒有保密性要求證書獲取從目錄服務(wù)中得到在通信過程中交換DirectoryCARA用戶用戶注冊簽發(fā)證書、證書回收列表申請簽發(fā)查詢身份認(rèn)證X509 認(rèn)證框架Certificate AuthorityX509 認(rèn)證框架

18、X509 證書的層次管理結(jié)構(gòu)Root-CACACACACACA教育部清華大學(xué)XX系. . .X509 認(rèn)證框架 X509 證書的層次管理結(jié)構(gòu)Root-C證書的結(jié)構(gòu)algorithmIssuer unique nameAlgorithmsSubject NameextensionsversionSerial numberparametersIssuer nameNot BeforeNot AfterparametersKeysubject unique nameAlgorithms parametersEncrypted簽名算法有效期主體的公鑰信息證書的結(jié)構(gòu)algorithmIssuer uni

19、que na證書的結(jié)構(gòu)符號記法CA = CA V,SN, AI, CA, TA, A, ApY 表示 證書權(quán)威機構(gòu)Y 發(fā)給用戶X的證書YI 表示Y 對I 的簽名，由I 和用Y的私鑰加密的散列碼組成證書的安全性任何具有CA公鑰的用戶都可以驗證證書有效性除了CA以外，任何人都無法偽造、修改證書證書的結(jié)構(gòu)符號記法簽名的過程單向認(rèn)證(One-Way Authentication)AB A tA, rA, B, SgnData, EKUbKab tA: 時間戳 rA :Nonce， 用于監(jiān)測報文重發(fā)SgnData: 待發(fā)送的數(shù)據(jù) EKUbKab :用B的公鑰加密的會話密鑰簽名的過程單向認(rèn)證(One-Wa

20、y Authenticati簽名的過程雙向認(rèn)證(Two-Way Authentication)AB1. A tA, rA, B, SgnData, EKUbKab tA: 時間戳 rA :Nonce， 用于監(jiān)測報文重發(fā)SgnData: 待發(fā)送的數(shù)據(jù) EKUbKab :用B的公鑰加密的會話密鑰2. B tB, rB, A, rA , SgnData, EKUbKba 簽名的過程雙向認(rèn)證(Two-Way Authenticati簽名的過程三向認(rèn)證(Three-Way Authentication)AB1. A tA, rA, B, SgnData, EKUbKab tA: 時間戳 rA :Nonc

21、e， 用于監(jiān)測報文重發(fā)SgnData: 待發(fā)送的數(shù)據(jù) EKUbKab :用B的公鑰加密的會話密鑰2. B tB, rB, A, rA , SgnData, EKUbKba 3. A rB 簽名的過程三向認(rèn)證(Three-Way Authentica不同信任域的問題如果A 沒有X2的安全的獲得X2的公鑰，則無法驗證B的證書 X2的有效性CA之間的交叉證書A驗證B的證書路徑: X2 , X1X1X2X1X2ABX1X1X2X2不同信任域的問題如果A 沒有X2的安全的獲得X2的公鑰，則無VUWYXZCABXXZWXXVWUVVYYZZA通往B的證書路徑：X, X, V, Y, ZVUWYXZCABXXZW提綱4.1 身份認(rèn)證技術(shù)概述4.2 基于口令的身份認(rèn)證4.3 Kerberos 身份認(rèn)證協(xié)議4.4 基于X509的身份認(rèn)證4.5 基于生物特征的身份認(rèn)證提綱4.1 身份認(rèn)證技術(shù)概述4.5.1 生理特征介紹每個人所具有的唯一生理特征指紋，視網(wǎng)膜，聲音，視網(wǎng)膜、虹膜、語音、面部、簽名等指