《身份鉴别技术.ppt》由会员分享,可在线阅读,更多相关《身份鉴别技术.ppt(22页珍藏版)》请在三一办公上搜索。
1、第3章身份鉴别,本章目标,1.身份鉴别的基本概念2.非密码的身份鉴别机制3.基于密码算法的身份鉴别机制4.Kerberos协议原理,3.1 身份鉴别的基本概念,3.1.1 身份鉴别的依据3.1.2 身份鉴别的两种情形,3.1.1 身份鉴别的基本概念,鉴别(Authentication)也叫验证,是防止主动攻击的一种重要技术就是验证用户身份的合法性和用户间传输信息的完整性与真实性,身份鉴别的依据可以分为三种:(1)用户所知道的某种信息(如:密码和口令)(2)用户拥有的某种物品(身份证、USK KEY)(3)用户具有的某种特征(指纹、DNA、脸型),3.1.2 身份鉴别的两种情形,1、实体鉴别:也
2、称身份鉴别,使某一实体确信与之打交道的实体正是所需要的实体例如验证申请进入网络系统者是否是合法用户,以防非法用户访问系统。2、数据原发鉴别:数据源发鉴别用于鉴定某个指定的数据是否来源于某个特定的实体 如采用数字签名技术就是数据原发鉴别的具体运用,3.2 身份鉴别机制,3.2.1 非密码的鉴别机制3.2.2 基于密码算法的鉴别,3.2.1 非密码的鉴别机制,非密码的鉴别机制包括:口令机制、一次性口令机制、质询应答机制、基于地址的机制、基于个人特征的机制。,1.口令机制口令机制又称作通行字机制,它是最广泛研究和使用的身份鉴别法。,口令验证的识别过程:用户将口令传送给计算机;计算机完成口令单向函数值
3、的计算;计算机把单向函数值和机器存储的值比较。典型运用:计算机密码,在使用口令机制时,我们对付口令猜测的措施主要有:1)严格限制非法登录的次数;2)规定口令的最小长度,如至少68位以上;3)防止用户特征相关口令;4)确保口令定期改变;5)取消安装系统时所用的预设口令;6)使用机器产生的口令;7)定期对用户和系统管理者进行安全意识教育、培训。,2.一次性口令机制两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步;两端随机序列生成器在同一时间会产生相同的随机数。典型运用:动态口令卡,3.质询应答机制基于质询/应答方式的身份鉴别机制就是每次鉴别时鉴别服务器端都给客户端发送一个不同的“质询”
4、字串,客户端程序收到这个“质询”字串后,做出相应的“应答”。鉴别过程为:1、客户向鉴别服务器发出请求,要求进行身份鉴别;2、鉴别服务器从用户数据库中查询用户是否是合法的用户,若不 是,则不做进一步处理;3、鉴别服务器内部产生一个随机数,作为“提问”,发送给客户 4、客户将用户名字和随机数合并,使用单向 Hash 函数生成一个 字节串作为应答;5、鉴别服务器将应答字串与本机单向 HASH 函数的计算结果比 较,若二者相同,则通过一次鉴别,否则鉴别失败;,4.基于地址的机制基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。如基于IP的认证方式或基于MAC的认证方式,5.基于个人特征的机制
5、通过识别用户的生理特征来认证用户的身份是安全性极高的身份认证方法。例如有:(1)指纹识别;(2)声音识别;(3)手迹识别;(4)视网膜扫描;(5)手形及掌纹等。,3.2.2 基于密码算法的鉴别,基于密码的鉴别机制的基本原理是:因为声称者知道某一秘密密钥,从而使验证者相信,声称者正是其所声称的实体。对称密码技术和非对称密码技术都可以被用来实现鉴别。,1.基于对称密码算法的鉴别机制声称者使用对称密钥加密或封装某一消息。如果验证者能成功地解密消息或验证封装是正确的,那么验证者相信,消息来自声称者。2.基于公开密码算法的鉴别机制声称者使用他的私有密钥签署某一消息,验证者使用声称者的公开密钥验证签名。如
6、果签名能够被正确地验证,则验证者相信:声称者正是他所声称的实体。,3.3 Kerberos认证系统,Kerberos协议是80年代由MIT开发的一种协议。其命名是根据希腊神话中守卫冥王大门的长有三头的看门狗。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如果是,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其验证是建立在对称加密的基础上的。他采用可信任的第三方,密钥分发中心(KDC)保存与所有密钥持有者通信的保密密钥,其认证过程颇为复杂,下面简化叙之。,1、用户提供自己的信息给AS认证服务器,AS身份认证服务器,USER,用户和TGS之间的会
7、话密钥,TGT,加密,USER和AS共享密钥,Output*,Output*,用户和TGS之间的会话密钥,USER的信息,加密,TGS 和AS之间的共享密钥,2、AS服务器认证USER的身份,并产生USER与TGS之间的会话密钥3、AS用TGS和AS之间的共享密钥加密(USER信息+用户与TSG之间的会话密钥)得到TGT(注意:此 TGT文件USER无法解开)4、AS将(TGT+用户和TGS之间的会话密钥)用USER和AS共享密钥进行加密得到Output*,5、USER用自己和AS的共享密钥对Output*进行解密得到(用户和TGS之间的会话密钥+TGT)6、USER将要访问的服务器名+TGT
8、得到Output*2发送给TGS,TGS票据许可服务器,USER,Output*3,TGT,SERVER,解密,TGS 和AS之间的共享密钥,User访问SERVER的密钥,Output*3,USER和TGS之间的会话密钥,USER的信息,加密,7、TGS票据许可服务器用自己和AS之间的共享密钥解密TGT得到(USER和TGS之间的会话密钥+USER的信息)8、TGS随机产生一个供User访问SERVER的密钥,并且用USER和TGS之间的会话密钥加密得到Output*3,SERVER,USER,解密,User访问SERVER的密钥,Output*3,USER和TGS之间的会话密钥,User访问SERVER的密钥,7、USER用自己和和TGS之间的会话密钥解密Output*3得到User访问SERVER的密钥8、USER用TGS分配的server密钥访问SERVER,本章总结,掌握身份鉴别的基本概念掌握非密码的身份鉴别机制掌握基于密码算法的身份鉴别机制掌握Kerberos认证原理了解零知识证明原理及其他常用身份鉴别协议,
