網(wǎng)絡(luò)安全概述之認(rèn)證技術(shù)基礎(chǔ)培訓(xùn)課件

第5講認(rèn)證技術(shù)根底11、概述訪問(wèn)控制：控制用戶(hù)和系統(tǒng)，系統(tǒng)和資源進(jìn)行通信和交互保護(hù)免受未授權(quán)訪問(wèn)為授權(quán)做準(zhǔn)備2標(biāo)識(shí)、認(rèn)證、授權(quán)和稽查標(biāo)識(shí)：一種能夠確保主體〔用戶(hù)、程序獲進(jìn)程〕就是它所宣稱(chēng)的那個(gè)實(shí)體的方法認(rèn)證：證明、確認(rèn)標(biāo)識(shí)的正確性授權(quán)：認(rèn)證通過(guò)后，對(duì)主體訪問(wèn)資源的能力的安排。是操作系統(tǒng)的核心功能?；椋簩?duì)主體行為的審核和記錄32、標(biāo)識(shí)與認(rèn)證生物標(biāo)識(shí)和認(rèn)證口令有感知的口令一次性口令令牌裝置密碼認(rèn)證存儲(chǔ)卡智能卡4生物標(biāo)識(shí)和認(rèn)證所謂生物識(shí)別技術(shù)，就是通過(guò)計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段密切結(jié)合，利用人體固有的生理特征和行為特征來(lái)進(jìn)行個(gè)人身份的堅(jiān)決。本質(zhì)：模式識(shí)別5用于鑒別的生物特征人臉虹膜視網(wǎng)膜人耳手型指紋掌紋手背靜脈分布頭部特征靜態(tài)手部特征語(yǔ)音筆跡習(xí)慣性簽名打字韻律步態(tài)靜脈血流速度動(dòng)態(tài)6基于特征的生物認(rèn)證方法需要遵守的幾個(gè)標(biāo)準(zhǔn)普遍性—意味著這一特征每一個(gè)人必須擁有特征唯一性—這一特征與他人沒(méi)有任何的共性穩(wěn)定性—這一特征不隨時(shí)間、外界環(huán)境等發(fā)生變化可接受性—這一特征可被人們接受和認(rèn)可防偽性—這一特征不易仿造、竊取可收集性—這一特征必須能夠容易地由提供的技術(shù)設(shè)備測(cè)量可執(zhí)行性—這一特征必須準(zhǔn)確、快速、健壯，并且不要求過(guò)多的資源7生物認(rèn)證的一個(gè)主要問(wèn)題是掃描的結(jié)果或多或少都會(huì)與模板不同系統(tǒng)接受冒名頂替者的概率稱(chēng)作錯(cuò)誤匹配率FAR〔錯(cuò)誤接受率〕系統(tǒng)拒絕授權(quán)個(gè)人的概率稱(chēng)作錯(cuò)誤不匹配率FRR〔錯(cuò)誤拒絕率〕FAR與FRR相互制約8口令機(jī)制口令或通行字機(jī)制是最廣泛研究和使用的身份鑒別法。通常為長(zhǎng)度為5~8的字符串。選擇原那么：易記、難猜、抗分析能力強(qiáng)?？诹钕到y(tǒng)有許多脆弱點(diǎn)：外部泄露口令猜測(cè)線路竊聽(tīng)危及驗(yàn)證者重放9對(duì)付外部泄露的措施教育、培訓(xùn)；嚴(yán)格組織管理方法和執(zhí)行手續(xù)；口令定期改變；每個(gè)口令只與一個(gè)人有關(guān)；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫(xiě)在紙上。10對(duì)付口令猜測(cè)的措施教育、培訓(xùn)；嚴(yán)格限制非法登錄的次數(shù)；口令驗(yàn)證中插入實(shí)時(shí)延遲；限制最小長(zhǎng)度，至少6~8字節(jié)以上防止用戶(hù)特征相關(guān)口令，口令定期改變；及時(shí)更改預(yù)設(shè)口令；使用機(jī)器產(chǎn)生的口令。11有感知的口令常規(guī)問(wèn)題＋個(gè)性化答復(fù)12一次性口令令牌裝置＋同步機(jī)制令牌裝置＋異步機(jī)制〔交互應(yīng)答＋認(rèn)證效勞器通信＝“間接的同步〞〕13密碼認(rèn)證對(duì)稱(chēng)密碼體制認(rèn)證公鑰密碼體制認(rèn)證HASH認(rèn)證……14存儲(chǔ)卡直接使用存在卡中的信息與庫(kù)中信息比對(duì)可結(jié)合普通口令機(jī)制，雙重比對(duì)15智能卡卡本身具有認(rèn)證比對(duì)功能，加強(qiáng)卡自身平安保護(hù)隨后再進(jìn)一步認(rèn)證163、授權(quán)授權(quán)方法默認(rèn)拒絕17授權(quán)方法角色訪問(wèn)方法：不同角色的業(yè)務(wù)訪問(wèn)需求可能類(lèi)似組訪問(wèn)原那么方法：需要同樣訪問(wèn)權(quán)限的用戶(hù)的集合物理和邏輯位置訪問(wèn)原那么：時(shí)間：事務(wù)類(lèi)型限制：事務(wù)實(shí)例取值的不同，訪問(wèn)權(quán)限賦予可能也不同?！层y行取錢(qián)，職責(zé)不同，能操作的金額應(yīng)該不一致；數(shù)據(jù)庫(kù)管理員負(fù)責(zé)建立人事數(shù)據(jù)庫(kù)，但他未必有權(quán)訪問(wèn)這些數(shù)據(jù)記錄〕18默認(rèn)拒絕一般授權(quán)的根本原那么默認(rèn)拒絕需要知曉:授予能夠?qū)崿F(xiàn)業(yè)務(wù)的最小權(quán)限，與最小特權(quán)原那么一致194、單點(diǎn)登錄腳本方式KerberosSesame20腳本方式包含有每一用戶(hù)ID、口令字和對(duì)應(yīng)平臺(tái)登錄命令的批處理文件用戶(hù)使用方便管理員需要事先編寫(xiě)腳本管理員跟蹤活替換口令更改機(jī)制腳本本身的機(jī)密性、完整性要求極高平臺(tái)升級(jí)可能會(huì)要求腳本升級(jí)21Kerberos(科波羅斯)分布式單點(diǎn)登錄的實(shí)例使用對(duì)稱(chēng)加密算法體系主要組件：密鑰分發(fā)中心：存有所有用戶(hù)和效勞的密鑰；具有密鑰分發(fā)和認(rèn)證功能；客戶(hù)和效勞充分信任KDC是系統(tǒng)平安的根底實(shí)體對(duì)象：主體，用戶(hù)、程序或效勞，票證：用戶(hù)主體之間訪問(wèn)認(rèn)證Kerberos協(xié)議主要用于計(jì)算機(jī)網(wǎng)絡(luò)的身份鑒別(Authentication),其特點(diǎn)是用戶(hù)只需輸入一次身份驗(yàn)證信息就可以憑借此驗(yàn)證獲得的票據(jù)(ticket-grantingticket)訪問(wèn)多個(gè)效勞，即SSO(SingleSignOn)。由于在每個(gè)Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)钠桨残浴?2Kerberos認(rèn)證過(guò)程〔見(jiàn)圖〕用戶(hù)向AS認(rèn)證AS發(fā)送初時(shí)票證給用戶(hù)用戶(hù)請(qǐng)求訪問(wèn)文件效勞器TGS使用會(huì)話(huà)迷藥創(chuàng)立新票證用戶(hù)提取一個(gè)繪畫(huà)迷藥并將票證發(fā)給文件效勞器2324Kerberos弱點(diǎn)：?jiǎn)吸c(diǎn)故障必須實(shí)施處理大量信息密鑰需要暫時(shí)性的存在工作站上，存在威脅會(huì)話(huà)密鑰被解密后仍保存在緩存中，存在威脅對(duì)密碼猜測(cè)的字典攻擊密鑰更新過(guò)程復(fù)雜25SesameSecureEuropeanSystemforapplicationinaMulti-vendorEnvironment是為了解決Kerberos的弱點(diǎn)而提出的。SESAME使用公開(kāi)加密算法和對(duì)稱(chēng)加密算法來(lái)實(shí)現(xiàn)對(duì)通信的保護(hù)、實(shí)現(xiàn)對(duì)稱(chēng)密鑰的交換和訪問(wèn)控制。與Kerberos不同的是，SESAME提供兩種Certificates或者Tickets,一個(gè)用來(lái)提供認(rèn)證，另外的一個(gè)提供給客戶(hù)訪問(wèn)許可。SESAME的同樣也容易被字典式攻擊。同時(shí)基于對(duì)稱(chēng)和非對(duì)稱(chēng)密碼體制PAS〔特權(quán)證書(shū)〕取代訪問(wèn)票證：主體身份、允許訪問(wèn)范圍、允許訪問(wèn)時(shí)間、有效期限等信息PAS包括數(shù)字簽名信息，證明PAC來(lái)源的可信26認(rèn)證過(guò)程用戶(hù)發(fā)送證書(shū)AS發(fā)送令牌以與PAS通信用戶(hù)將令牌發(fā)給PAS，請(qǐng)求訪問(wèn)資源PAS創(chuàng)立并發(fā)送PAC給用戶(hù)用戶(hù)發(fā)送PAC向資源認(rèn)證〔參見(jiàn)以下圖〕2728什么是PKI〔公鑰根底設(shè)施〕？所謂PKI就是一個(gè)公鑰概念和技術(shù)實(shí)施和提供平安效勞的具有普適性的平安根底設(shè)施。但PKI的概念在不斷的延伸和擴(kuò)展。PKI根底設(shè)施采用證書(shū)管理公鑰，通過(guò)第三方的可信任機(jī)構(gòu)CA把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)信息捆綁在一起，在internet網(wǎng)上驗(yàn)證用戶(hù)的身份。5、PKI認(rèn)證〔一〕29

什么是惡意程序

什么是黑客(Hacker)

什么是網(wǎng)絡(luò)安全隔離卡

什么是入侵及入侵檢測(cè)系統(tǒng)

什么是公鑰密碼

什么是RSA公鑰密碼

什么是分組密碼及密碼分析

什么是數(shù)字簽名

什么是Hash函數(shù)

什么是PKI(公鑰基礎(chǔ)設(shè)施)

什么是信息隱藏技術(shù)

什么是信息安全

什么是可信電子信息系統(tǒng)

什么是密鑰托管(Key

Escrow)

什么是數(shù)字證書(shū)

什么是PGP

(Pretty

Good

Privacy)

什么是步態(tài)識(shí)別

什么是Dynamic

ID動(dòng)態(tài)口令卡

什么是Dynamic

ID身份認(rèn)證服務(wù)器

什么是ID

Shield身份認(rèn)證系統(tǒng)30PKI：基于公鑰密碼體制的認(rèn)證技術(shù)框架MAC：消息認(rèn)證RSA：公鑰密碼算法SHA：平安雜湊算法DSS：數(shù)字簽名標(biāo)準(zhǔn)AS：認(rèn)證效勞器CA：認(rèn)證中心RA：注冊(cè)機(jī)構(gòu)RS：業(yè)務(wù)受理點(diǎn)CRL：證書(shū)撤銷(xiāo)列表DES：數(shù)據(jù)加密標(biāo)準(zhǔn)Recoverykey：私鑰Encryptedkey：密鑰31PKI相關(guān)標(biāo)準(zhǔn)32一、認(rèn)證根本概念1、問(wèn)題的提出2、認(rèn)證的分類(lèi)3、消息認(rèn)證4、身份認(rèn)證5、認(rèn)證協(xié)議331、問(wèn)題的提出認(rèn)證就是確認(rèn)實(shí)體是它所聲明的。認(rèn)證是最重要的平安效勞之一。認(rèn)證效勞提供了關(guān)于某個(gè)實(shí)體身份的保證。〔所有其它的平安效勞都依賴(lài)于該效勞〕認(rèn)證可以對(duì)抗假冒攻擊的危險(xiǎn)342、認(rèn)證的種類(lèi)數(shù)字簽名：手寫(xiě)簽名的電子化消息認(rèn)證：消息來(lái)源和內(nèi)容的合法性HASH函數(shù)：消息的完整性身份認(rèn)證：實(shí)體所宣稱(chēng)與實(shí)體本身的相符性認(rèn)證協(xié)議：身份認(rèn)證、密鑰交換353、消息認(rèn)證〔1〕需求：在網(wǎng)絡(luò)通信中，有一些針對(duì)消息內(nèi)容的攻擊方法偽造消息竄改消息內(nèi)容改變消息順序消息重放或者延遲定義描述：對(duì)收到的消息進(jìn)行驗(yàn)證，證明確實(shí)是來(lái)自聲稱(chēng)的發(fā)送方，并且沒(méi)有被修改正。如果在消息中參加時(shí)間及順序信息，那么可以完成對(duì)時(shí)間和順序的認(rèn)證363、消息認(rèn)證〔2〕實(shí)現(xiàn)消息認(rèn)證的根本方法：Messageencryption：用整個(gè)消息的密文作為認(rèn)證標(biāo)識(shí)〔接收方必須能夠識(shí)別錯(cuò)誤〕MAC：一個(gè)公開(kāi)函數(shù)，加上一個(gè)密鑰產(chǎn)生一個(gè)固定長(zhǎng)度的值作為認(rèn)證標(biāo)識(shí)Hashfunction：一個(gè)公開(kāi)函數(shù)將任意長(zhǎng)度的消息映射到一個(gè)固定長(zhǎng)度的散列值，作為認(rèn)證標(biāo)識(shí)37Hash函數(shù)(也稱(chēng)雜湊函數(shù)或雜湊算法)就是把任意長(zhǎng)的輸入消息串變化成固定長(zhǎng)的輸出串的一種函數(shù)。這個(gè)輸出串稱(chēng)為該消息的雜湊值。

Hash函數(shù)主要用于完整性校驗(yàn)和提高數(shù)字簽名的有效性,目前已有很多方案。這些算法都是偽隨機(jī)函數(shù),任何雜湊值都是等可能的。輸出并不以可區(qū)分的方式依賴(lài)于輸入;在任何輸入串中單個(gè)比特的變化,將會(huì)導(dǎo)致輸出比特串中大約一半的比特發(fā)生變化。38一個(gè)平安的雜湊函數(shù)應(yīng)該至少滿(mǎn)足以下幾個(gè)條件：①輸入長(zhǎng)度是任意的;②輸出長(zhǎng)度是固定的,根據(jù)目前的計(jì)算技術(shù)應(yīng)至少取128bits長(zhǎng),以便抵抗生日攻擊;③對(duì)每一個(gè)給定的輸入,計(jì)算輸出即雜湊值是很容易的;④給定雜湊函數(shù)的描述,找到兩個(gè)不同的輸入消息雜湊到同一個(gè)值是計(jì)算上不可行的，或給定雜湊函數(shù)的描述和一個(gè)隨機(jī)選擇的消息,找到另一個(gè)與該消息不同的消息使得它們雜湊到同一個(gè)值是計(jì)算上不可行的。394、身份認(rèn)證〔1〕定義：證實(shí)客戶(hù)的真實(shí)身份與其所聲稱(chēng)的身份是否相符的過(guò)程。依據(jù)：Somethingtheuserknow(所知〕密碼、口令等Somethingtheuserpossesses〔擁有〕身份證、護(hù)照、密鑰盤(pán)等Somethingtheuseris(orHowhebehaves)〔即個(gè)人特征識(shí)別或說(shuō)生物特征識(shí)別〕指紋、筆跡、聲音、虹膜、DNA等404、身份認(rèn)證〔2〕消息認(rèn)證與身份認(rèn)證的差異：身份認(rèn)證〔實(shí)體鑒別〕一般都是實(shí)時(shí)的，消息鑒別一般不提供實(shí)時(shí)性。實(shí)體鑒別只證實(shí)實(shí)體的身份，消息鑒別除了要證實(shí)報(bào)文的合法性和完整性外，還需要知道消息的含義。數(shù)字簽字是實(shí)現(xiàn)身份識(shí)別的有效途徑。但在身份識(shí)別中消息的語(yǔ)義是根本固定的，一般不是“終生〞的，簽字是長(zhǎng)期有效的。415、認(rèn)證協(xié)議〔1〕雙方認(rèn)證(mutualauthentication)

通信雙方相互進(jìn)行認(rèn)證單向認(rèn)證(one-wayauthentication)

通信雙方只有一方向另一方進(jìn)行鑒別425、認(rèn)證協(xié)議〔2〕最常用的協(xié)議。該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會(huì)話(huà)密鑰?；阼b別的密鑰交換核心問(wèn)題有兩個(gè)：保密性實(shí)效性為了防止偽裝和防止暴露會(huì)話(huà)密鑰，根本鑒別和會(huì)話(huà)密碼信息必須以保密形式通信，這就要求預(yù)先存在保密或公開(kāi)密鑰供實(shí)現(xiàn)加密使用。第二個(gè)問(wèn)題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴簟?3二、身份認(rèn)證根本情況1、身份認(rèn)證的作用2、身份認(rèn)證的分類(lèi)3、身份認(rèn)證的模型和組成4、身份認(rèn)證的要求5、身份認(rèn)證的實(shí)現(xiàn)途徑6、身份認(rèn)證的機(jī)制441、身份認(rèn)證的作用身份認(rèn)證需求：

某一成員〔聲稱(chēng)者〕提交一個(gè)主體的身份并聲稱(chēng)它是那個(gè)主體。身份認(rèn)證目的：

使別的成員〔驗(yàn)證者〕獲得對(duì)聲稱(chēng)者所聲稱(chēng)的事實(shí)的信任452、身份認(rèn)證的分類(lèi)〔1〕實(shí)體鑒別可以分為本地和遠(yuǎn)程兩類(lèi)。實(shí)體在本地環(huán)境的初始化鑒別〔就是說(shuō)，作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信〕。連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。本地鑒別：需要用戶(hù)進(jìn)行明確的操作遠(yuǎn)程鑒別：通常將本地鑒別結(jié)果傳送到遠(yuǎn)程?！?〕平安〔2〕易用462、身份認(rèn)證的分類(lèi)〔2〕實(shí)體鑒別可以是單向的也可以是雙向的。

單向鑒別是指通信雙方中只有一方向另一方進(jìn)行鑒別。

雙向鑒別是指通信雙方相互進(jìn)行鑒別。473、身份認(rèn)證的組成〔1〕ATPB可信賴(lài)者A、B為聲稱(chēng)者(Claimant)或者驗(yàn)證者V〔Verifier)483、身份認(rèn)證的組成〔2〕一方是出示證件的人，稱(chēng)作示證者P(Prover)，又稱(chēng)聲稱(chēng)者(Claimant)。另一方為驗(yàn)證者V〔Verifier),檢驗(yàn)聲稱(chēng)者提出的證件的正確性和合法性，決定是否滿(mǎn)足要求。第三方是可信賴(lài)者TP〔Trustedthirdparty)，參與調(diào)解糾紛。第四方是攻擊者，可以竊聽(tīng)或偽裝聲稱(chēng)者騙取驗(yàn)證者的信任。494、身份認(rèn)證的要求一個(gè)身份認(rèn)證系統(tǒng)應(yīng)滿(mǎn)足如下要求：〔1〕驗(yàn)證者正確識(shí)別合法申請(qǐng)者的概率極大化?！?〕不具有可傳遞性〔Transferability)〔3〕攻擊者偽裝成申請(qǐng)者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度〔4〕計(jì)算有效性〔5〕通信有效性〔6〕秘密參數(shù)能平安存儲(chǔ)*〔7〕交互識(shí)別，如在某些應(yīng)用中通信雙方能相互認(rèn)證*〔8〕第三方的實(shí)時(shí)參與，如在線公鑰檢索效勞*〔9〕第三方的可信賴(lài)性*〔10〕可證明的平安性505、身份認(rèn)證的實(shí)現(xiàn)途徑三種途徑之一或它們的組合〔1〕所知〔Knowledge〕:密碼、口令〔2〕所有