《身份认证技术》PPT课件
合集下载
第3章身份认证技术ppt课件
CA的数字签名提供了三个重要的保证:
▪ 第一,认证中有效的数字签名保证了认证信息的真 实性、完整性;
▪ 第二,因为CA是唯一有权使用它私钥的实体,任何 验证数字证书的用户都可以信任CA的签名,从而保 证了证书的权威性;
▪ 第三,由于CA签名的唯一性,CA不能否认自己所签 发的证书,并承担相口令的产生和验证过程
① 用户输入登录名和相关身份信息ID。
② 如果系统接受用户的访问,则给用户传送建立一次性口令所使用 的单向函数f及一次性密钥k,这种传送通常采用加密方式。
③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。第一次正式访问系统所传送的数据为(k,z)。
最新课件
24
❖ 数字证书的内容
❖ 为了保证CA所签发证书的通用性,目前数字证书格 式一般采用X.509国际标准。X.509的核心是建立存 放每个用户的公钥证书的目录(仓库)。用户公钥证 书由可信赖的CA创建,并由CA或用户存放于目录中 。
❖ 一个标准的X.509数字证书包含以下一些内容:(1)证 书的版本信息;(2)证书的序列号;(3)证书所使用 的签名算法;(4)证书的发行机构;(5)证书的有效 期;(6)证书所有人的名称;(7)证书所有人的公开 密钥;(8)证书发行者对证书的签名。
CRL分发点(CRLDistributionP最o新in课t件s)
27
服务器证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
▪ 第一,认证中有效的数字签名保证了认证信息的真 实性、完整性;
▪ 第二,因为CA是唯一有权使用它私钥的实体,任何 验证数字证书的用户都可以信任CA的签名,从而保 证了证书的权威性;
▪ 第三,由于CA签名的唯一性,CA不能否认自己所签 发的证书,并承担相口令的产生和验证过程
① 用户输入登录名和相关身份信息ID。
② 如果系统接受用户的访问,则给用户传送建立一次性口令所使用 的单向函数f及一次性密钥k,这种传送通常采用加密方式。
③ 用户选择“种子”密钥x,并计算第一次访问系统的口令z=fn(x )。第一次正式访问系统所传送的数据为(k,z)。
最新课件
24
❖ 数字证书的内容
❖ 为了保证CA所签发证书的通用性,目前数字证书格 式一般采用X.509国际标准。X.509的核心是建立存 放每个用户的公钥证书的目录(仓库)。用户公钥证 书由可信赖的CA创建,并由CA或用户存放于目录中 。
❖ 一个标准的X.509数字证书包含以下一些内容:(1)证 书的版本信息;(2)证书的序列号;(3)证书所使用 的签名算法;(4)证书的发行机构;(5)证书的有效 期;(6)证书所有人的名称;(7)证书所有人的公开 密钥;(8)证书发行者对证书的签名。
CRL分发点(CRLDistributionP最o新in课t件s)
27
服务器证书的结构实例
版本号(version)
证书序列号(serialNumber)
签名算法标识符(signature)
颁发者名称(issuer)
有效期 (validity)
起始有效期 终止有效期
国家(countryName)
省份(stateOrProvinceName)
身份认证技术19468PPT课件
上传输的认证信息不可重用
sniffer
源
目的
8
.
概述-需求
❖ 双向认证
▪ 域名欺骗、地址假冒等 ▪ 路由控制
❖单点登录(Single Sign-On)
▪ 用户只需要一次认证操作就可以访 问多种服务
❖ 可扩展性的要求
.
9
基于口令的身份认证
1. 挑战/响应认证 (Challenge/Response) 2. 一次性口令(OTP, One-Time Password) 3. 口令的管理
❖ 著名数学家、控制论的创始人维纳在指出:“信息是人们适 应外部世界并且使这种适应反作用于外部世界的过程中,同 外部世界进行交换的内容的名称。”
❖ 信息=确定性的内容的名称;内容的名称=ID,确定性= Certainty
身份认证是信息交互的基础 (信息化的第一道门)
3
.
概述-概念
❖ 概念
▪ 身份认证是网络安全的核心,其目的是防止未授权 用户访问网络资源。
▪ 口令管理的作用:
• 生成了合适的口令 • 口令更新 • 能够完全保密
16
.
口令管理
❖ 口令的要求:
▪ 包含一定的字符数; ▪ 和ID无关; ▪ 包含特殊的字符; ▪ 大小写; ▪ 不容易被猜测到。 ▪ 跟踪用户所产生的所有口令,确保这些口令不相同, ▪ 定期更改其口令。 ▪ 使用字典式攻击的工具找出比较脆弱的口令。许多安全
.
13
一次性口令认证(OTP)
❖ SKEY验证程序
▪ 其安全性依赖于一个单向函数。为建立这样的系统A输入 一随机数R,计算机计算f(R), f( f(R)), f( f( f (R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存 在A的名字旁边。
sniffer
源
目的
8
.
概述-需求
❖ 双向认证
▪ 域名欺骗、地址假冒等 ▪ 路由控制
❖单点登录(Single Sign-On)
▪ 用户只需要一次认证操作就可以访 问多种服务
❖ 可扩展性的要求
.
9
基于口令的身份认证
1. 挑战/响应认证 (Challenge/Response) 2. 一次性口令(OTP, One-Time Password) 3. 口令的管理
❖ 著名数学家、控制论的创始人维纳在指出:“信息是人们适 应外部世界并且使这种适应反作用于外部世界的过程中,同 外部世界进行交换的内容的名称。”
❖ 信息=确定性的内容的名称;内容的名称=ID,确定性= Certainty
身份认证是信息交互的基础 (信息化的第一道门)
3
.
概述-概念
❖ 概念
▪ 身份认证是网络安全的核心,其目的是防止未授权 用户访问网络资源。
▪ 口令管理的作用:
• 生成了合适的口令 • 口令更新 • 能够完全保密
16
.
口令管理
❖ 口令的要求:
▪ 包含一定的字符数; ▪ 和ID无关; ▪ 包含特殊的字符; ▪ 大小写; ▪ 不容易被猜测到。 ▪ 跟踪用户所产生的所有口令,确保这些口令不相同, ▪ 定期更改其口令。 ▪ 使用字典式攻击的工具找出比较脆弱的口令。许多安全
.
13
一次性口令认证(OTP)
❖ SKEY验证程序
▪ 其安全性依赖于一个单向函数。为建立这样的系统A输入 一随机数R,计算机计算f(R), f( f(R)), f( f( f (R)) ),…,共计算100次,计算得到的数为x1, x2 , x3 ,… x100,A打印出这样的表,随身携带,计算机将x101存 在A的名字旁边。
《统一身份认证介绍》课件
统一身份认证介绍
本PPT课件将介绍什么是统一身份认证,其应用场景、技术原理、优缺点以 及实践案例。了解这些对于保障数字安全至关重要。
什么是统一身份认证?
定义和概念
统一身份认证是一种基于互联网的身份认证方式,即用户在一个系统认证后,可以使用其身 份信息登录其他系统,无需重复认证。
需要统一身份认证的原因
通过统一管理和控制用户身份,可以提高系统安全性,减少用户账号管理成本,提高用户体 验。
统一身份认证的应用场景
学校教务系统
学生可以使用同一个账号登录选课系统、成绩查询 系统等教务系统。
图书馆管理系统
读者可以使用同一个账号登录借书系统、预约系统 等图书馆管理系统。
人事管理系统
员工可以使用同一个账号登录考勤系统、工资系统 等人事管理系统。
财务管理系统
使用单一身份认证的账户可以登录各种财务系统, 如开票、报销等。
统一身份认证的技术原理
1
单点登录(SSO)
用户在一个平台认证后,就可以在其他
统一标识符的生成和管理
2
系统登录而无需再次认证。
采等。
3
认证协议的实现
主要有SAML、OAuth等认证协议。
统一身份认证的优缺点
1 优点:
提高用户体验、提高安全性、降低IT管理成本。
2 缺点:
可能出现拒绝服务攻击、特定场景下可能出现问题。
统一身份认证的实践案例
清华大学
统一身份认证系统
学生、职工使用同一个账号能够登录校园网络、邮 箱、教务管理系统、图书馆管理系统等。
北京师范大学
统一身份认证系统
学生、职工一卡通可在校内实现自助借还图书,出 门识别、加热食品等功能。
总结
本PPT课件将介绍什么是统一身份认证,其应用场景、技术原理、优缺点以 及实践案例。了解这些对于保障数字安全至关重要。
什么是统一身份认证?
定义和概念
统一身份认证是一种基于互联网的身份认证方式,即用户在一个系统认证后,可以使用其身 份信息登录其他系统,无需重复认证。
需要统一身份认证的原因
通过统一管理和控制用户身份,可以提高系统安全性,减少用户账号管理成本,提高用户体 验。
统一身份认证的应用场景
学校教务系统
学生可以使用同一个账号登录选课系统、成绩查询 系统等教务系统。
图书馆管理系统
读者可以使用同一个账号登录借书系统、预约系统 等图书馆管理系统。
人事管理系统
员工可以使用同一个账号登录考勤系统、工资系统 等人事管理系统。
财务管理系统
使用单一身份认证的账户可以登录各种财务系统, 如开票、报销等。
统一身份认证的技术原理
1
单点登录(SSO)
用户在一个平台认证后,就可以在其他
统一标识符的生成和管理
2
系统登录而无需再次认证。
采等。
3
认证协议的实现
主要有SAML、OAuth等认证协议。
统一身份认证的优缺点
1 优点:
提高用户体验、提高安全性、降低IT管理成本。
2 缺点:
可能出现拒绝服务攻击、特定场景下可能出现问题。
统一身份认证的实践案例
清华大学
统一身份认证系统
学生、职工使用同一个账号能够登录校园网络、邮 箱、教务管理系统、图书馆管理系统等。
北京师范大学
统一身份认证系统
学生、职工一卡通可在校内实现自助借还图书,出 门识别、加热食品等功能。
总结
第3章_身份认证技术和PK
身份认证
内容提要
认证系统概述 认证的形式 认证人的身份 安全握手协议 Kerberos 公钥基础设施PKI
认证系统概述
认证是一种可靠的验证某人(某物)身份的 过程。 在人与人之间的交互过程中,有大量身份认 证的例子,认识你的人通过你的长相或声音 识别你,一个警察可能通过证件的相片识别 你 网络中呢?
认证的形式(计算机之间)
1.基于口令的认证
这种认证不是基于你认识谁,而是基于你
知道的东西
面临的最大问题是窃听 其他问题
离线和在线口令猜测 存储用户口令
认证的形式
2.基于地址的认证
基于地址的认证并不是通过网络发送口令实 现的,而是假设可以根据收到的数据包的源 地址判断数据源的身份
的通信进行。
通过一个不安全的通道交换公钥
要求离线检验收到的公钥,如:通过电话向发送
方确认
认证人的身份
三个方面:
你所知道的内容 你所拥有的东西 你是谁
口令
在线口令猜测、离线口令猜测
应该使用多长的密钥——32个字符!!!
侦听
一次一密
粗心的用户 木马 非用于登录的口令
认证令牌
认证令牌是一个用户随身携带的设备,用户 使用这一设备来实施认证
磁条卡
有PIN值保护的内存卡
公钥如何分配?
公钥基础设施PKI
PKI是一种遵循标准的利用公钥理论和技术 建立的提供安全服务的基础设施。 主要任务:确立可信任的数字身份
PKI在网络中已被广泛采用。PKI可以作为安 全服务的框架,如加密、认证、抗抵性等。
公钥分配
内容提要
认证系统概述 认证的形式 认证人的身份 安全握手协议 Kerberos 公钥基础设施PKI
认证系统概述
认证是一种可靠的验证某人(某物)身份的 过程。 在人与人之间的交互过程中,有大量身份认 证的例子,认识你的人通过你的长相或声音 识别你,一个警察可能通过证件的相片识别 你 网络中呢?
认证的形式(计算机之间)
1.基于口令的认证
这种认证不是基于你认识谁,而是基于你
知道的东西
面临的最大问题是窃听 其他问题
离线和在线口令猜测 存储用户口令
认证的形式
2.基于地址的认证
基于地址的认证并不是通过网络发送口令实 现的,而是假设可以根据收到的数据包的源 地址判断数据源的身份
的通信进行。
通过一个不安全的通道交换公钥
要求离线检验收到的公钥,如:通过电话向发送
方确认
认证人的身份
三个方面:
你所知道的内容 你所拥有的东西 你是谁
口令
在线口令猜测、离线口令猜测
应该使用多长的密钥——32个字符!!!
侦听
一次一密
粗心的用户 木马 非用于登录的口令
认证令牌
认证令牌是一个用户随身携带的设备,用户 使用这一设备来实施认证
磁条卡
有PIN值保护的内存卡
公钥如何分配?
公钥基础设施PKI
PKI是一种遵循标准的利用公钥理论和技术 建立的提供安全服务的基础设施。 主要任务:确立可信任的数字身份
PKI在网络中已被广泛采用。PKI可以作为安 全服务的框架,如加密、认证、抗抵性等。
公钥分配
身份认证技术
第4章 身份认证技术
《计算机网络安全技术》
4.1 身份认证概述
4.1.1 身份认证的概念 身份认证(Authentication)是系统审查用户 身份的过程,从而确定该用户是否具有对某种资 源的访问和使用权限。身份认证通过标识和鉴别 用户的身份,提供一种判别和确认用户身份的机 制。 计算机网络中的身份认证是通过将一个证 据与实体身份绑定来实现的。实体可能是用户、 主机、应用程序甚至是进程。 身份认证技术在信息安全中处于非常重要的 地位,是其他安全机制的基础。只有实现了有效 的身份认证,才能保证访问控制、安全审计、入 《计算机网络安全技术》 侵防范等安全机制的有效实施。
就密码的安全使用来说,计算机系统 应该具备下列安全性: (1)入侵者即使取得储存在系统中 的密码也无法达到登录的目的。这需要在 密码认证的基础上再增加其他的认证方式, 如地址认证。 (2)通过监听网络上传送的信息而获 得的密码是不能用的。最有效的方式是数 据加密。 (3)计算机系统必须能够发现并防止 各类密码尝试攻击。可使用密码安全策略。
4.2.1 密码认证的特点 密码是用户与计算机之间以及计算机与计算 机之间共享的一个秘密,在通信过程中其中一方 向另一方提交密码,表示自己知道该秘密,从而 通过另一方的认证。密码通常由一组字符串来组 成,为便于用户记忆,一般用户使用的密码都有 长度的限制。但出于安全考虑,在使用密码时需 要注意以下几点: (1) 不使用默认密码、(2)设置足够长的密 码、(3)不要使用结构简单的词或数字组合、 (4)增加密码的组合复杂度、(5) 使用加密、 (6)避免共享密码 、(7)定期更换密码 《计算机网络安全技术》
《计算机网络安全技术》
使用一次性密码(即“一次一密”)技术可 以防止重放攻击的发生,这相当于用户随身携带 一个密码本,按照与目标主机约定好的次序使用 这些密码,并且每一个密钥只使用一次,当密码 全部用完后再向系统管理员申请新的密码本。 S/Key认证系统就是基于这种思想的一次性密码认 证系统。 在S/Key认证系统中,用户每一次登录系统 所用的密码都是不一样的,攻击者通过窃听得到 的密码无法用于下一次认证,这样S/Key认证系统 很好地防止了密码重放攻击。相对于可重放的密 码认证系统,S/Key认证系统具有很好的安全性, 而且符合安全领域的发展趋势。
《计算机网络安全技术》
4.1 身份认证概述
4.1.1 身份认证的概念 身份认证(Authentication)是系统审查用户 身份的过程,从而确定该用户是否具有对某种资 源的访问和使用权限。身份认证通过标识和鉴别 用户的身份,提供一种判别和确认用户身份的机 制。 计算机网络中的身份认证是通过将一个证 据与实体身份绑定来实现的。实体可能是用户、 主机、应用程序甚至是进程。 身份认证技术在信息安全中处于非常重要的 地位,是其他安全机制的基础。只有实现了有效 的身份认证,才能保证访问控制、安全审计、入 《计算机网络安全技术》 侵防范等安全机制的有效实施。
就密码的安全使用来说,计算机系统 应该具备下列安全性: (1)入侵者即使取得储存在系统中 的密码也无法达到登录的目的。这需要在 密码认证的基础上再增加其他的认证方式, 如地址认证。 (2)通过监听网络上传送的信息而获 得的密码是不能用的。最有效的方式是数 据加密。 (3)计算机系统必须能够发现并防止 各类密码尝试攻击。可使用密码安全策略。
4.2.1 密码认证的特点 密码是用户与计算机之间以及计算机与计算 机之间共享的一个秘密,在通信过程中其中一方 向另一方提交密码,表示自己知道该秘密,从而 通过另一方的认证。密码通常由一组字符串来组 成,为便于用户记忆,一般用户使用的密码都有 长度的限制。但出于安全考虑,在使用密码时需 要注意以下几点: (1) 不使用默认密码、(2)设置足够长的密 码、(3)不要使用结构简单的词或数字组合、 (4)增加密码的组合复杂度、(5) 使用加密、 (6)避免共享密码 、(7)定期更换密码 《计算机网络安全技术》
《计算机网络安全技术》
使用一次性密码(即“一次一密”)技术可 以防止重放攻击的发生,这相当于用户随身携带 一个密码本,按照与目标主机约定好的次序使用 这些密码,并且每一个密钥只使用一次,当密码 全部用完后再向系统管理员申请新的密码本。 S/Key认证系统就是基于这种思想的一次性密码认 证系统。 在S/Key认证系统中,用户每一次登录系统 所用的密码都是不一样的,攻击者通过窃听得到 的密码无法用于下一次认证,这样S/Key认证系统 很好地防止了密码重放攻击。相对于可重放的密 码认证系统,S/Key认证系统具有很好的安全性, 而且符合安全领域的发展趋势。
人脸识别与身份认证技术培训ppt
总结词
人脸识别技术广泛应用于安全、金融、交通、医疗等领域,为人用于门禁系统、边境检查等;在金融领域中可用于ATM 机、移动支付等;在交通领域中可用于地铁、机场安检等;在医疗领域中可用于患者身 份识别等。此外,人脸识别技术还应用于社交媒体、智能家居等领域,为人们的生活和
工作带来了便利。
CHAPTER 02
人脸识别技术原理
人脸检测与定位
检测图像中的人脸位置
通过算法和计算机视觉技术,自动检 测图像中的人脸位置,为后续处理提 供基础。
定位面部特征点
在检测到人脸后,系统自动定位眉毛 、眼睛、鼻子、嘴巴等面部特征点, 用于提取更准确的特征信息。
人脸特征提取
提取面部特征
多模态识别融合
将人脸识别与其他生物特征识别技术(如指纹、虹膜等)相结合, 提高身份认证的安全性和可靠性。
动态人脸识别
研究如何在动态场景下进行人脸识别,如视频监控、智能家居等, 提高人脸识别的实时性和应用范围。
身份认证技术的多元化发展
01
02
03
多因素认证
将单一的密码认证扩展为 多因素认证,包括生物特 征、动态口令、手机验证 等,提高账户安全保护。
VS
详细描述
人脸识别技术在安全领域的应用包括视频 监控、门禁系统等。通过实时监测和识别 ,可以快速发现可疑人员,提高监控效率 ,预防犯罪行为的发生。
人脸识别在智能家居领域的应用
总结词
提供个性化服务,提升居住体验
详细描述
人脸识别技术可以为智能家居系统提供个性 化服务,如智能音箱、智能门锁等。通过人 脸识别技术,可以快速识别家庭成员,提供 个性化的家居服务,提升居住体验。
技术创新
随着人工智能和计算机视觉技术的不断发展,人脸识别和身份认证技 术将更加精准、快速和智能化。
人脸识别技术广泛应用于安全、金融、交通、医疗等领域,为人用于门禁系统、边境检查等;在金融领域中可用于ATM 机、移动支付等;在交通领域中可用于地铁、机场安检等;在医疗领域中可用于患者身 份识别等。此外,人脸识别技术还应用于社交媒体、智能家居等领域,为人们的生活和
工作带来了便利。
CHAPTER 02
人脸识别技术原理
人脸检测与定位
检测图像中的人脸位置
通过算法和计算机视觉技术,自动检 测图像中的人脸位置,为后续处理提 供基础。
定位面部特征点
在检测到人脸后,系统自动定位眉毛 、眼睛、鼻子、嘴巴等面部特征点, 用于提取更准确的特征信息。
人脸特征提取
提取面部特征
多模态识别融合
将人脸识别与其他生物特征识别技术(如指纹、虹膜等)相结合, 提高身份认证的安全性和可靠性。
动态人脸识别
研究如何在动态场景下进行人脸识别,如视频监控、智能家居等, 提高人脸识别的实时性和应用范围。
身份认证技术的多元化发展
01
02
03
多因素认证
将单一的密码认证扩展为 多因素认证,包括生物特 征、动态口令、手机验证 等,提高账户安全保护。
VS
详细描述
人脸识别技术在安全领域的应用包括视频 监控、门禁系统等。通过实时监测和识别 ,可以快速发现可疑人员,提高监控效率 ,预防犯罪行为的发生。
人脸识别在智能家居领域的应用
总结词
提供个性化服务,提升居住体验
详细描述
人脸识别技术可以为智能家居系统提供个性 化服务,如智能音箱、智能门锁等。通过人 脸识别技术,可以快速识别家庭成员,提供 个性化的家居服务,提升居住体验。
技术创新
随着人工智能和计算机视觉技术的不断发展,人脸识别和身份认证技 术将更加精准、快速和智能化。
《认证技术》PPT课件
精选PPT
31
PKI的基本组成
• 完整的PKI系统必须具有权威认证机构(CA)、 数字证书库、密钥备份及恢复系统、证书 作废系统、应用接口(API)等基本构成部 分,构建PKI也将围绕着这五大系统来着手 构建。
精选PPT
32
PKI的基本组成
• 认证机构(CA):即数字证书的申请及签 发机关,CA必须具备权威性的特征;
• 目前最有效的认证方式是由权威的第三方认证机构 来认证各方的身份。(发放数字证书)
乙方 数字签名
甲方
乙方 的公钥
已方
精选PPT
11
2.3.2.1 数字证书
• 数字证书( Digital Certificate,DC),也称电子证书 或数字凭证(digital ID,DID)就是标志网络用户身 份信息的一系列数据,用来在网络通讯中识别通讯各 方的身份。
• 数字证书是由权威公正的第三方机构即CA证书授权 (Certificate Authority)中心签发的,人们可以在互 联网交往中用它来识别对方的身份。以数字证书为核 心的加密技术可以对网络上传输的信息进行加密和解 密、数字签名和签名验证,确保网上传递信息的机密 性、完整性,以及交易实体身份的真实性,签名信息 的不可否认性,从而保障网络应用的安全性。
CA的核心功能就是发放和管理数字证书。概括地 说,CA认证中心的功能主要有:证书发放、证书 更新、证书撤销和证书验证。具体描述如下:
(1)接收验证用户数字证书的申请。 (2)确定是否接受用户数字证书的申请,即证书的审批。 (3)向申请者颁发(或拒绝颁发)数字证书。 (4)接收、处理用户的数字证书更新请求。 (5)接收用户数字证书的查询、撤销。 (6)产生和发布证书的有效期。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。
身份认证技术
全工具都具有这种双重身份:
• 网络管理员使用的工具:口令检验器 • 攻击者破获口令使用的工具:口令破译器
口令管理
• 口令产生器
–不是让用户自己选择口令,口令产生器用于 产生随机的和可拼写口令。
• 口令的时效
–强迫用户经过一段时间后就更改口令。 –系统还记录至少5到10个口令,使用户不能使
用刚刚使用的口令。
Kerberos 简介
• Kerberos 麻省理工学院为Athena 项目开发的一个认 证服务系统
• 目标是把UNIX认证、记帐、审计的功能扩展到网 络环境:
– 公共的工作站,只有简单的物理安全措施 – 集中管理、受保护的服务器 – 多种网络环境,假冒、窃听、篡改、重发等威胁
• 基于对称密钥密码算法 • 实现集中的身份认证和密钥分配 • 通信保密性、完整性
签名的过程
• 三向认证(Three-Way Authentication)
1. A{ tA, rA, B, SgnData, EKUb[Kab] }
A 2. B{ tB, rB, A, rA , SgnData, EKUb[Kba] } B
3. A{ rB }
tA: 时间戳 rA :Nonce, 用于监测报文重发 SgnData: 待发送的数据 EKUb[Kab] :用B的公钥加密的会话密钥
不同信任域的问题
X1<< X1 >>
X1
X1<<X2>>
口令没有在网络上传输
Ticket tgs 可重用,用一个ticket tgs可以请求多个服务
AS TGS V
• 问题一:票据许可票据tickettgs的生存期
– 如果太大,则容易造成重放攻击 – 如果太短,则用户总是要输入口令
• 网络管理员使用的工具:口令检验器 • 攻击者破获口令使用的工具:口令破译器
口令管理
• 口令产生器
–不是让用户自己选择口令,口令产生器用于 产生随机的和可拼写口令。
• 口令的时效
–强迫用户经过一段时间后就更改口令。 –系统还记录至少5到10个口令,使用户不能使
用刚刚使用的口令。
Kerberos 简介
• Kerberos 麻省理工学院为Athena 项目开发的一个认 证服务系统
• 目标是把UNIX认证、记帐、审计的功能扩展到网 络环境:
– 公共的工作站,只有简单的物理安全措施 – 集中管理、受保护的服务器 – 多种网络环境,假冒、窃听、篡改、重发等威胁
• 基于对称密钥密码算法 • 实现集中的身份认证和密钥分配 • 通信保密性、完整性
签名的过程
• 三向认证(Three-Way Authentication)
1. A{ tA, rA, B, SgnData, EKUb[Kab] }
A 2. B{ tB, rB, A, rA , SgnData, EKUb[Kba] } B
3. A{ rB }
tA: 时间戳 rA :Nonce, 用于监测报文重发 SgnData: 待发送的数据 EKUb[Kab] :用B的公钥加密的会话密钥
不同信任域的问题
X1<< X1 >>
X1
X1<<X2>>
口令没有在网络上传输
Ticket tgs 可重用,用一个ticket tgs可以请求多个服务
AS TGS V
• 问题一:票据许可票据tickettgs的生存期
– 如果太大,则容易造成重放攻击 – 如果太短,则用户总是要输入口令
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
有效期
主体的 公钥信息
证书的结构
version Serial number
algorithm parameters Issuer name
Not Before Not After
Subject Name Algorithms parameters
Key
Issuer unique name
subject unique name
申请AI
交换AI
验证AI
申请AI
验证AI
常用的身份认证技术/协议
简单口令认证 质询/响应认证 一次性口令认证(OTP) Kerberos认证 基于公钥证书的身份认证 基于生物特征的身份认证
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
4.4 基于X509公钥证书的认证
4.4.1 X509 认证框架 4.4.2 X509证书 4.4.3 基于公钥证书的认证过程 4.4.4 不同管理域的问题
X509 认证框架
Certificate Authority
签发证书
Registry Authority
验证用户信息的真实性
Directory
入口令
一个更加安全的认证对话
(1) C AS : IDC || IDtgs
AS
(2) ASC : EKc[Ticket tgs]
(3) C TGS : IDC ||IDv || Tickettgs
C
(4) TGIDc || Ticketv
(5)
Tickettgs= EKtgs[ IDC|| ADC || IDtgs|| TS1||Lifetime1]
challenge
OTP
Token OTP
Server OTP f(f(f(f(x)))))
/rfcs/rfc1760.html /rfc/rfc2289.txt
口令管理
口令管理 口令属于“他知道什么”这种方式,容易被窃取。 口令的错误使用: 选择一些很容易猜到的口令; 把口令告诉别人; 把口令写在一个贴条上并把它贴在键盘旁边。 口令管理的作用: 生成了合适的口令 口令更新 能够完全保密
第四章 身份认证
Authentication
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
4.1 身份认证简介
4.1.1身份认证的需求 4.1.2身份认证的基本模型 4.1.3身份认证的途径 4.1.4常用的身份认证技术
Kerberos V4 的报文交换(3)
3. 客户户/服务器认证交换:获得服务 (5)工作站将票据和认证符发给服务器
C →V : Ticketv || Authenticatorc
(6)服务器验证票据Ticketv和认证符中的匹配, 然后许可访问服务。如果需要双向认证,服务器 返回一个认证符
V →C : EKc,v [TS5+1]
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
MAC’=H(R,K) 比较MAC’和MAC
MAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法
一次性口令认证(OTP)
S/Key SecurID
challenge
Pass phrase +
网络环境下对身份认证的需求
唯一的身份标识(ID):
uid uid@domain DN: C=CN/S=Beijing /O=Tsinghua
University/U=CS/ CN=Duan Haixin/Email=dhx@
抗被动的威胁(窃听),口令不在网上明码传输
弥补了Kerberos V4的不足
取消了双重加密 CBC-DES替换非标准的PCBC加密模式 每次会话更新一次会话密钥 增强了抵抗口令攻击的能力
Kerberos 的缺陷
对时钟同步的要求较高 猜测口令攻击 基于对称密钥的设计,不适合于大规模的应用环境
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
IDv= identifier of V Pc = password of user on C ADc = network address of C Kv = secret key shared bye AS and V || = concatention
(1)
C
(2)
AS
V
问题一:明文传输口令 问题二:每次访问都要输
4.2 基于口令的身份认证
4.2.1质询/响应认证 (Challenge/Response) 4.2.2 一次性口令(OTP) 4.2.3 口令的管理
质询/握手认证协议(CHAP)
Challenge and Response Handshake Protocol Client和Server共享一个密钥
用户信息、证书数据库 没有保密性要求
证书获取
从目录服务中得到 在通信过程中交换
签发证书、证书回收列表
签发
CA
Directory
RA 注册
申请
用户
查询
身份认证
用户
X509 认证框架
X509 证书的层次管理结构
CA
CA
CA
教育部
Root-CA
.. .
CA 清华大学 CA XX系
签名 算法
C →AS : IDC || IDtgs || TS1
(2)AS在数据库中验证用户的访问权限,生成Tickettgs 和会话密钥,用由用户口
令导出的密钥加密
AS →C : EKc[Kc,tgs || IDtgs || TS2 || Lifetime2 || Tickettgs] 其中 Tickettgs = EKtgs [Kc,tgs || IDC || ADC || IDtgs || TS2 || Lifetime2]
extensions
Algorithms parameters Encrypted
证书的结构
符号记法
CA<<A>> = CA {V,SN, AI, CA, TA, A, Ap} Y<<A>> 表示 证书权威机构Y 发给用户X的证书
Y{I}
表示Y 对I 的签名,由I 和用Y的私钥加密的散列码组成
证书的安全性
口令管理
口令产生器 不是让用户自己选择口令,口令产生器用于产生随机的和可拼写口令。
口令的时效 强迫用户经过一段时间后就更改口令。 系统还记录至少5到10个口令,使用户不能使用刚刚使用的口令。
限制登录次数 免受字典式攻击或穷举法攻击
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
Ticket v = EKv [ IDC|| ADC || IDV|| TS2||Lifetime2]
V
口令没有在网络上传输 Ticket tgs 可重用,用一个ticket tgs可以请求多个服务
问题一:票据许可票据tickettgs的生存期 如果太大,则容易造成重放攻击 如果太短,则用户总是要输入口令
问题二: 如何向用户认证服务器
解决方法 增加一个会话密钥(Session Key)
Kerberos V4 的认证过程
(2) (1)
AS
(5)
(3)
请求ticketv Ticketv+会话密钥
TGS (4) (6)
Kerberos V4 的报文交换
1.AS交换,获得Tickettgs
(1)用户登录工作站,请求主机服务
基于你所知道的(What you know ) 知识、口令、密码
基于你所拥有的(What you have ) 身份证、信用卡、钥匙、智能卡、令牌等
基于你的个人特征(What you are) 指纹,笔迹,声音,手型,脸型,视网膜,虹膜
双因素、多因素认证
身份认证的基本模型
申请者(Claimant) 验证者(Verifier) 认证信息AI(Authentiction) 可信第三方(Trusted Third Party)
AS
Server TGS
多域环境下的认证过程
Kerberos Version 5
改进version 4 的环境缺陷
加密系统依赖性: DES Internet协议依赖性: IP 消息字节次序 Ticket的时效性 Authentication forwarding Inter-realm authentication
任何具有CA公钥的用户都可以验证证书有效性
除了CA以外,任何人都无法伪造、修改证书
签名的过程
单向认证(One-Way Authentication) A{ tA, rA, B, SgnData, EKUb[Kab] }
(4) TGS对票据和认证符进行解密,验证请求,然后生成 服务许可票据Ticket v
TGS → C : EKc,tgs[Kc,v || IDV || TS4 || Ticketv]
TicLkieftettgis m=e2]EKtgs[Kc,tgs|| IDC|| ADC|| IDtgs || TS2 || Ticketv = EK v[ Kc,v||IDC||ADC|| IDv||TS4||Lifetime4] Authenticatorc = EKc,tgs[IDc||ADc||TS3]
主体的 公钥信息
证书的结构
version Serial number
algorithm parameters Issuer name
Not Before Not After
Subject Name Algorithms parameters
Key
Issuer unique name
subject unique name
申请AI
交换AI
验证AI
申请AI
验证AI
常用的身份认证技术/协议
简单口令认证 质询/响应认证 一次性口令认证(OTP) Kerberos认证 基于公钥证书的身份认证 基于生物特征的身份认证
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
4.4 基于X509公钥证书的认证
4.4.1 X509 认证框架 4.4.2 X509证书 4.4.3 基于公钥证书的认证过程 4.4.4 不同管理域的问题
X509 认证框架
Certificate Authority
签发证书
Registry Authority
验证用户信息的真实性
Directory
入口令
一个更加安全的认证对话
(1) C AS : IDC || IDtgs
AS
(2) ASC : EKc[Ticket tgs]
(3) C TGS : IDC ||IDv || Tickettgs
C
(4) TGIDc || Ticketv
(5)
Tickettgs= EKtgs[ IDC|| ADC || IDtgs|| TS1||Lifetime1]
challenge
OTP
Token OTP
Server OTP f(f(f(f(x)))))
/rfcs/rfc1760.html /rfc/rfc2289.txt
口令管理
口令管理 口令属于“他知道什么”这种方式,容易被窃取。 口令的错误使用: 选择一些很容易猜到的口令; 把口令告诉别人; 把口令写在一个贴条上并把它贴在键盘旁边。 口令管理的作用: 生成了合适的口令 口令更新 能够完全保密
第四章 身份认证
Authentication
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
4.1 身份认证简介
4.1.1身份认证的需求 4.1.2身份认证的基本模型 4.1.3身份认证的途径 4.1.4常用的身份认证技术
Kerberos V4 的报文交换(3)
3. 客户户/服务器认证交换:获得服务 (5)工作站将票据和认证符发给服务器
C →V : Ticketv || Authenticatorc
(6)服务器验证票据Ticketv和认证符中的匹配, 然后许可访问服务。如果需要双向认证,服务器 返回一个认证符
V →C : EKc,v [TS5+1]
c
s
Login ,IDc
IDc, R
MAC=H(R,K)
IDc, MAC
OK / Disconnect
MAC’=H(R,K) 比较MAC’和MAC
MAC的计算可以基于Hash算, 对称密钥算法,公开密钥算法
一次性口令认证(OTP)
S/Key SecurID
challenge
Pass phrase +
网络环境下对身份认证的需求
唯一的身份标识(ID):
uid uid@domain DN: C=CN/S=Beijing /O=Tsinghua
University/U=CS/ CN=Duan Haixin/Email=dhx@
抗被动的威胁(窃听),口令不在网上明码传输
弥补了Kerberos V4的不足
取消了双重加密 CBC-DES替换非标准的PCBC加密模式 每次会话更新一次会话密钥 增强了抵抗口令攻击的能力
Kerberos 的缺陷
对时钟同步的要求较高 猜测口令攻击 基于对称密钥的设计,不适合于大规模的应用环境
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
IDv= identifier of V Pc = password of user on C ADc = network address of C Kv = secret key shared bye AS and V || = concatention
(1)
C
(2)
AS
V
问题一:明文传输口令 问题二:每次访问都要输
4.2 基于口令的身份认证
4.2.1质询/响应认证 (Challenge/Response) 4.2.2 一次性口令(OTP) 4.2.3 口令的管理
质询/握手认证协议(CHAP)
Challenge and Response Handshake Protocol Client和Server共享一个密钥
用户信息、证书数据库 没有保密性要求
证书获取
从目录服务中得到 在通信过程中交换
签发证书、证书回收列表
签发
CA
Directory
RA 注册
申请
用户
查询
身份认证
用户
X509 认证框架
X509 证书的层次管理结构
CA
CA
CA
教育部
Root-CA
.. .
CA 清华大学 CA XX系
签名 算法
C →AS : IDC || IDtgs || TS1
(2)AS在数据库中验证用户的访问权限,生成Tickettgs 和会话密钥,用由用户口
令导出的密钥加密
AS →C : EKc[Kc,tgs || IDtgs || TS2 || Lifetime2 || Tickettgs] 其中 Tickettgs = EKtgs [Kc,tgs || IDC || ADC || IDtgs || TS2 || Lifetime2]
extensions
Algorithms parameters Encrypted
证书的结构
符号记法
CA<<A>> = CA {V,SN, AI, CA, TA, A, Ap} Y<<A>> 表示 证书权威机构Y 发给用户X的证书
Y{I}
表示Y 对I 的签名,由I 和用Y的私钥加密的散列码组成
证书的安全性
口令管理
口令产生器 不是让用户自己选择口令,口令产生器用于产生随机的和可拼写口令。
口令的时效 强迫用户经过一段时间后就更改口令。 系统还记录至少5到10个口令,使用户不能使用刚刚使用的口令。
限制登录次数 免受字典式攻击或穷举法攻击
提纲
4.1 身份认证技术概述 4.2 基于口令的身份认证 4.3 Kerberos 身份认证协议 4.4 基于X509的身份认证 4.5 基于生物特征的身份认证
Ticket v = EKv [ IDC|| ADC || IDV|| TS2||Lifetime2]
V
口令没有在网络上传输 Ticket tgs 可重用,用一个ticket tgs可以请求多个服务
问题一:票据许可票据tickettgs的生存期 如果太大,则容易造成重放攻击 如果太短,则用户总是要输入口令
问题二: 如何向用户认证服务器
解决方法 增加一个会话密钥(Session Key)
Kerberos V4 的认证过程
(2) (1)
AS
(5)
(3)
请求ticketv Ticketv+会话密钥
TGS (4) (6)
Kerberos V4 的报文交换
1.AS交换,获得Tickettgs
(1)用户登录工作站,请求主机服务
基于你所知道的(What you know ) 知识、口令、密码
基于你所拥有的(What you have ) 身份证、信用卡、钥匙、智能卡、令牌等
基于你的个人特征(What you are) 指纹,笔迹,声音,手型,脸型,视网膜,虹膜
双因素、多因素认证
身份认证的基本模型
申请者(Claimant) 验证者(Verifier) 认证信息AI(Authentiction) 可信第三方(Trusted Third Party)
AS
Server TGS
多域环境下的认证过程
Kerberos Version 5
改进version 4 的环境缺陷
加密系统依赖性: DES Internet协议依赖性: IP 消息字节次序 Ticket的时效性 Authentication forwarding Inter-realm authentication
任何具有CA公钥的用户都可以验证证书有效性
除了CA以外,任何人都无法伪造、修改证书
签名的过程
单向认证(One-Way Authentication) A{ tA, rA, B, SgnData, EKUb[Kab] }
(4) TGS对票据和认证符进行解密,验证请求,然后生成 服务许可票据Ticket v
TGS → C : EKc,tgs[Kc,v || IDV || TS4 || Ticketv]
TicLkieftettgis m=e2]EKtgs[Kc,tgs|| IDC|| ADC|| IDtgs || TS2 || Ticketv = EK v[ Kc,v||IDC||ADC|| IDv||TS4||Lifetime4] Authenticatorc = EKc,tgs[IDc||ADc||TS3]