《信息安全技術(shù)教程清華大學(xué)出版社-第三章.ppt》由會員分享，可在線閱讀，更多相關(guān)《信息安全技術(shù)教程清華大學(xué)出版社-第三章.ppt（22頁珍藏版）》請在裝配圖網(wǎng)上搜索。

第3章認(rèn)證技術(shù) 3 1基本概念3 2認(rèn)證組成3 3認(rèn)證技術(shù)3 4習(xí)題 3 1基本概念 定義認(rèn)證是驗證某個人或系統(tǒng)身份的過程 就是向認(rèn)證機(jī)構(gòu)提供信息確認(rèn)某個人或系統(tǒng)是否是它聲稱的那個人或系統(tǒng) 要求用戶出具來一定的證據(jù)證明自己 證據(jù)建立的因子用戶所知道的 用戶所擁有的和用戶本身特有的 用戶所知道的指用戶心里知道的一些東西 可能是一個口令 或用戶和認(rèn)證者共享的一個機(jī)密字 用戶所擁有的指用戶獲取的關(guān)于身份識別的各種物理實體 如安全內(nèi)核 動態(tài)口令卡 安全暗號 或者其他任何形式的卡或標(biāo)簽 用戶所特有的指用戶本身特有的生物特征 比如聲音 指紋 虹膜等其他一些生物特征 3 2認(rèn)證組成 一個認(rèn)證系統(tǒng)由五部分組成 請求認(rèn)證的用戶或工作組 用戶或工作組提供的用于認(rèn)證的特征信息 認(rèn)證機(jī)構(gòu) 認(rèn)證機(jī)制以及接受或拒絕訪問系統(tǒng)資源的訪問控制機(jī)制 用戶或工作組如果是個人用戶 需要向認(rèn)證機(jī)構(gòu)出示證據(jù)來證明確實已被授權(quán)訪問系統(tǒng)的資源 如果是工作組 也必須向認(rèn)證機(jī)構(gòu)提供證據(jù)證明工作組中的每一個用戶成員都被授權(quán)訪問系統(tǒng)的資源 特征信息用戶向認(rèn)證機(jī)構(gòu)提供的用于認(rèn)證身份的信息如前所述 這些信息分為四種類型 用戶所知道的 用戶所擁有的 用戶本身特有的和用戶的位置認(rèn)證機(jī)構(gòu)指識別用戶并指明用戶是否被授權(quán)訪問系統(tǒng)資源的組織或設(shè)備 通過執(zhí)行完整的認(rèn)證機(jī)制來認(rèn)證用戶的身份 認(rèn)證機(jī)制由三部分組成 分別是輸入組件 傳輸系統(tǒng)和核實器輸入組件是用戶和認(rèn)證系統(tǒng)之間的接口 用于將用戶認(rèn)證信息傳輸給認(rèn)證系統(tǒng) 傳輸系統(tǒng)負(fù)責(zé)在認(rèn)證系統(tǒng)內(nèi)部各個組件之間傳遞信息核實器是認(rèn)證過程的關(guān)鍵組件 完成對用戶認(rèn)證信息的分析計算 訪問控制單元用戶身份信息經(jīng)核實器分析計算的結(jié)果通過傳輸系統(tǒng)傳輸?shù)皆L問控制單元 在這里 訪問控制單元反復(fù)核對這些信息與數(shù)據(jù)庫中存儲的用戶認(rèn)證信息是否匹配 完整認(rèn)證過程 3 3認(rèn)證技術(shù) 3 3 1口令認(rèn)證3 3 2公鑰認(rèn)證3 3 3遠(yuǎn)程認(rèn)證3 3 4匿名認(rèn)證3 3 5基于數(shù)字簽名的認(rèn)證 3 3 1口令認(rèn)證 口令認(rèn)證是最古老最簡單的一種認(rèn)證方法 經(jīng)常作為系統(tǒng)的默認(rèn)設(shè)置 口令認(rèn)證包括可重用口令認(rèn)證 一次性口令認(rèn)證 挑戰(zhàn)應(yīng)答口令認(rèn)證和混合口令認(rèn)證可重用口令認(rèn)證用戶認(rèn)證 通常由申請使用系統(tǒng)資源的用戶發(fā)起 客戶端認(rèn)證 一般情況下 用戶請求服務(wù)器的認(rèn)證 然后被授權(quán)使用系統(tǒng)資源缺點(diǎn) 安全隱患 易于破解 一次性口令認(rèn)證一次性口令認(rèn)證也被稱為會話認(rèn)證 認(rèn)證中的口令只能被使用一次 然后被丟棄 從而減少了口令被破解的可能性 在一次性口令認(rèn)證中 口令值通常是被加密的 避免明文形式的口令被攻擊者截獲 最常見的一次性口令認(rèn)證方案是S Key和Token方案 1 S Key口令基于MD4和MD5加密算法產(chǎn)生 采用客戶 服務(wù)器模式客戶端負(fù)責(zé)用hash函數(shù)產(chǎn)生每次登陸使用的口令 服務(wù)器端負(fù)責(zé)一次性口令的驗證 并支持用戶密鑰的安全交換 在認(rèn)證的預(yù)處理過程中 服務(wù)器將種子以明文形式發(fā)送給客戶端 客戶端將種子和密鑰拼接在一起得到S 然后 客戶端對S進(jìn)行hash運(yùn)算得到一系列一次性口令 S Key保護(hù)認(rèn)證系統(tǒng)不受外來的被動攻擊 但是無法阻止竊聽者對私有數(shù)據(jù)的訪問 無法防范攔截并修改數(shù)據(jù)包的攻擊 無法防范內(nèi)部攻擊 2 Token 令牌 口令這種方法要求在產(chǎn)生口令的時候使用認(rèn)證令牌 根據(jù)令牌產(chǎn)生的不同 又分為兩種方式 挑戰(zhàn)應(yīng)答式和時間同步式 挑戰(zhàn)應(yīng)答式 時間同步式在這種方式中 服務(wù)器上存儲有用戶的種子密鑰 用來產(chǎn)生口令 用戶擁有的口令卡里同樣存儲有用戶的種子密鑰 進(jìn)行認(rèn)證時 用戶向系統(tǒng)提供PIN值以及由口令卡根據(jù)當(dāng)前時間計算的口令值 服務(wù)器將用戶提供的口令和自己計算所得的口令進(jìn)行對比 認(rèn)證用戶 3 3 2公鑰認(rèn)證 定義公鑰認(rèn)證要求每個用戶首先產(chǎn)生一對由公鑰和私鑰組成的密鑰對 并存儲在文件中 每個密鑰對由密鑰產(chǎn)生裝置產(chǎn)生 通常是1024到2048比特 用戶把公鑰公布出來 而私鑰由本人保存 用途公鑰系統(tǒng)被認(rèn)證系統(tǒng)用來增加系統(tǒng)的安全 中央認(rèn)證服務(wù)器 通常稱為訪問控制服務(wù)器 ACS 負(fù)責(zé)使用公鑰系統(tǒng)進(jìn)行認(rèn)證 主要實例安全套接層 SSL 認(rèn)證 Kerberos認(rèn)證 以及MD5認(rèn)證 MD5即Message DigestAlgorithm5 信息 摘要算法5 它是一個安全散列函數(shù) 將任意長度的消息映射為一個128位的大整數(shù) 用以提供信息的完整性保護(hù) 算法過程MD5以512位分組來處理輸入的信息 且每一分組又被劃分為16個32位子分組 經(jīng)過了一系列的處理后 算法的輸出由四個32位分組組成 將這四個32位分組級聯(lián)后將生成一個128位散列值 以下是每次操作中用到的四個非線性函數(shù) 其基本方式為求余 取余 調(diào)整長度 與鏈接變量進(jìn)行循環(huán)運(yùn)算 最終得出結(jié)果 F X Y Z X Y X Z G X Y Z X Z Y Z H X Y Z X Y ZI X Y Z Y X Z MD5運(yùn)算原理由類似的64次循環(huán)構(gòu)成 分成4組16次 F表示一個非線性函數(shù) 一個函數(shù)運(yùn)算一次 Mi表示一個32位的輸入數(shù)據(jù) Ki表示一個32位常數(shù) 用來完成每次不同的計算 MD5典型應(yīng)用產(chǎn)生信息摘要 防止被篡改MD5將整個文件當(dāng)作一個大文本信息 通過其不可逆的字符串變換算法 產(chǎn)生了該文件唯一的MD5信息摘要 文件的內(nèi)容發(fā)生了任何形式的改變 該文件的MD5值就會發(fā)生巨大變化 進(jìn)行認(rèn)證如在UNIX系統(tǒng)中用戶的口令是以MD5經(jīng)Hash運(yùn)算后存儲在文件系統(tǒng)中 當(dāng)用戶登錄時 系統(tǒng)把用戶輸入的口令進(jìn)行MD5Hash運(yùn)算 然后將其與保存在文件系統(tǒng)中的MD5值進(jìn)行比較 進(jìn)而確定輸入的口令是否正確 3 3 3遠(yuǎn)程認(rèn)證 遠(yuǎn)程認(rèn)證用來認(rèn)證從遠(yuǎn)程主機(jī)撥號接入訪問控制服務(wù)器ACS的用戶 有多種遠(yuǎn)程認(rèn)證的方法 包括使用安全的遠(yuǎn)程過程調(diào)用 RPC Dial in撥號認(rèn)證以及RADIUS認(rèn)證 安全RPC認(rèn)證RPC認(rèn)證子系統(tǒng)的數(shù)據(jù)包是開放式的 因此RPC可以使用不同格式和多種類型的認(rèn)證 包括 NULL認(rèn)證 UNIX認(rèn)證 DES認(rèn)證 DES認(rèn)證協(xié)議 Diffie Hellman加密 無論RPC使用哪種類型的加密算法 對于服務(wù)器和用戶之間的密鑰調(diào)用 提供撥號服務(wù)的服務(wù)器都要求對用戶進(jìn)行認(rèn)證 Dial in撥號認(rèn)證在撥號入網(wǎng)連接中 點(diǎn)對點(diǎn)形式是最普遍的一種方式 PAP CHAP EAP 遠(yuǎn)程用戶撥號認(rèn)證 RADIUS RADIUS是一種C S結(jié)構(gòu)的協(xié)議 其客戶端最初是NAS NetAccessServer 服務(wù)器 現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計算機(jī)都可以成為RADIUS的客戶端 RADIUS協(xié)議認(rèn)證機(jī)制靈活 可以采用PAP CHAP或者UNIX登錄認(rèn)證等多種方式 3 3 4匿名認(rèn)證 現(xiàn)實需要認(rèn)證機(jī)構(gòu)在信任對方并賦予對方權(quán)利的時候并不知道對方的具體身份 匿名認(rèn)證技術(shù)正是來源這樣一種要求 被認(rèn)證者要求某種權(quán)利 而同時不提供具體的個體信息 內(nèi)容匿名認(rèn)證 從原理上可以簡單地歸結(jié)為將認(rèn)證過程和個人信息相分離 按照分離的手段不同 匿名認(rèn)證可以有多種實現(xiàn)方式 3 3 5基于數(shù)字簽名的認(rèn)證 基于數(shù)字簽名的認(rèn)證是另一種不需要口令和用戶名的認(rèn)證技術(shù) 數(shù)字簽名和手寫簽名的作用是一樣的 也是來認(rèn)證簽名者 數(shù)字簽名使用了PKI 所以使用該方案就必須獲得一個公鑰和一個私鑰 3 4習(xí)題 一 選擇題1 下面哪項不屬于口令認(rèn)證 A 可重用口令認(rèn)證B 一次性口令認(rèn)證C 安全套接層認(rèn)證D 挑戰(zhàn)應(yīng)答口令認(rèn)證2 公鑰認(rèn)證不包括下列哪一項 A SSL認(rèn)證B Kerberos認(rèn)證C 安全RPC認(rèn)證D MD5認(rèn)證 二 問答題1 簡述認(rèn)證的組成及其功能 2 簡述S Key口令認(rèn)證原理 3 Kerberos是如何認(rèn)證的