《《身份认证技术》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《身份认证技术》PPT课件.ppt(33页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。1第四章第四章 身份认证技术身份认证技术有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。2n(1 1)保密性)保密性n(2)真实性)真实性 信息的真实性:对信息的来源进行验证;信息的真实性:对信息的来源进行验证; 身份的真实性:对信息发送方的身份进行验证,以确保信身份的真实性:对信息发送方的身份进行验证,以确保信息由合法的用户发出;息由合法的用户发出;n(3)完
2、整性)完整性n防止非法用户对信息进行无意或恶意的修改、插入,防止防止非法用户对信息进行无意或恶意的修改、插入,防止信息丢失等。信息丢失等。n(4)不可否认性)不可否认性n防止信息发送方在发出信息后又加以否认;防止接收方在防止信息发送方在发出信息后又加以否认;防止接收方在收到信息后又否认曾收到过此信息及篡改信息。收到信息后又否认曾收到过此信息及篡改信息。 安全需求分析安全需求分析有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。3n(1 1)保密性)保密性n(2)真实性)真实性身份的真实性身份的真实性信息
3、的真实性信息的真实性(3)完整性完整性n(4)不可否认性不可否认性n 安全需求分析安全需求分析n加密技术加密技术n信息认证信息认证身份认证身份认证n数字签名数字签名认证技术认证技术n数字证书数字证书有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。44.1 身份认证的身份认证的方法方法4.1.1 身份认证的定义身份认证的定义证实客户的真实身份与其所声称的身份是否相符的过程。证实客户的真实身份与其所声称的身份是否相符的过程。身份认证的依据:身份认证的依据:(1)根据用户知道什么来判断(所知)根据用户知道什
4、么来判断(所知) 口令、密码等口令、密码等(2)根据用户拥有什么来判断(拥有)根据用户拥有什么来判断(拥有)身份证、护照、门钥匙、磁卡钥匙等身份证、护照、门钥匙、磁卡钥匙等(3)根据用户是什么来判断(特征)根据用户是什么来判断(特征)指纹、声音、视网膜、签名、指纹、声音、视网膜、签名、DNA等等有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。54.1.2 口令认证口令认证口令识别是应用最为广泛的身份认证技术。口令识别是应用最为广泛的身份认证技术。口令长度:口令长度:通常为长度为通常为长度为58的字符串
5、。的字符串。选择原则:选择原则:易记、难猜、抗分析能力强。易记、难猜、抗分析能力强。有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。6不安全口令的分析不安全口令的分析使用用户名(账号)作为口令使用用户名(账号)作为口令 使用用户名(账号)的变换形式作为口令使用用户名(账号)的变换形式作为口令 使用自己或者亲友的生日作为口令使用自己或者亲友的生日作为口令 使用学号、身份证号、单位内的员工号码等作为口令使用学号、身份证号、单位内的员工号码等作为口令 使用常用的英文单词作为口令使用常用的英文单词作为口令 有
6、利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。7安全口令的建议安全口令的建议口令长度至少要有口令长度至少要有8位位 口令应包括大小写字母、数字或控制符等口令应包括大小写字母、数字或控制符等 不要将口令写在纸上不要将口令写在纸上要养成定期更换口令的习惯要养成定期更换口令的习惯 尽量不要在电脑上保存口令尽量不要在电脑上保存口令有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。8典型的安全口令:一次性口令典型的安全口
7、令:一次性口令一次性口令(一次性口令(OTP,One Time Password):):一次性的主要思路是:在登录过程中加入不确定因素,一次性的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的口令都不相同,以提高登录过使每次登录过程中传送的口令都不相同,以提高登录过程安全性。程安全性。 一次性口令的特点:一次性口令的特点: 概念简单,易于使用:基于一个被记忆的密码,不需概念简单,易于使用:基于一个被记忆的密码,不需要任何附加的硬件;要任何附加的硬件; 算法安全:不需要存储诸如密钥、口令等敏感信息。算法安全:不需要存储诸如密钥、口令等敏感信息。有利于学习和创新的组织管理机制,创造充
8、满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。9一次性口令的原理一次性口令的原理基于客户端基于客户端/ /服务器模式服务器模式 客户端:每次登录生成一次性口令;客户端:每次登录生成一次性口令; 服务器:验证客户端的一次性口令。服务器:验证客户端的一次性口令。一次性口令的安全原理一次性口令的安全原理 使用一次性口令序列使用一次性口令序列 n次次 第一个口令第一个口令使用单向函数使用单向函数n次次 p(1)=f(f(f(f(s) 第二个口令第二个口令使用单向函数使用单向函数n-1次次 p(2)=f(f(f(s) 依次类推依次类推有利于学习和
9、创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。10一次性口令的产生和验证过程一次性口令的产生和验证过程 用户输入登录名和相关身份信息用户输入登录名和相关身份信息IDID。 如果系统接受用户的访问,则给用户传送如果系统接受用户的访问,则给用户传送建立建立一次性口令所使用一次性口令所使用的单向函数的单向函数f f及一次性密钥及一次性密钥k k,这种传送通常采用加密方式。这种传送通常采用加密方式。 用户选择用户选择“种子种子”密钥密钥x x,并计算第一次访问系统的口令并计算第一次访问系统的口令z=fz=fn n(x
10、x)。)。第一次正式访问系统所传送的数据为(第一次正式访问系统所传送的数据为(k k,z z)。)。 系统核对系统核对k k,若正确,则将(若正确,则将(IDID,f fn n(x x)保存。保存。 当用户第二次访问系统时,将(当用户第二次访问系统时,将(IDID,f fn-1n-1(x x)送系统。系统计送系统。系统计算算f f(f fn-1n-1(x x),),将其与存储的数据对照,如果一致,则接受用户将其与存储的数据对照,如果一致,则接受用户的访问,并将(的访问,并将(IDID,f fn-1n-1(x x)保存。保存。 当用户第三次访问系统时,将(当用户第三次访问系统时,将(IDID,f
11、 fn-2n-2(x x)送系统。系统计送系统。系统计算算f f(f fn-2n-2(x x),),将其与存储的数据对照,如果一致,则接受用户将其与存储的数据对照,如果一致,则接受用户的访问,并保存新计算的数据。的访问,并保存新计算的数据。 当用户每一次想要登录时,函数运算的次数只需当用户每一次想要登录时,函数运算的次数只需-1。 有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。11一次性口令系统实例一次性口令系统实例19911991年,贝尔通信研究中心(年,贝尔通信研究中心(BellcoreBell
12、core)首次研制出了首次研制出了基于一次性口令思想的身份认证系统基于一次性口令思想的身份认证系统S/KEYS/KEY。 S/KEYS/KEY最初使用最初使用DESDES算法,后因安全问题改用算法,后因安全问题改用MD4MD4作为其加密作为其加密算法。算法。FreeBSDFreeBSD操作系统下的一次性口令系统操作系统下的一次性口令系统OPIE(One-OPIE(One-time Passwords In Everything) time Passwords In Everything) OPIEOPIE使用比使用比S/KEYS/KEY的的MD4MD4更为强壮的更为强壮的MD5MD5算法,因此
13、一般认为算法,因此一般认为OPIEOPIE更为安全。更为安全。有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。124.1.3 持证认证持证认证主要类型主要类型条码卡条码卡磁卡磁卡IC卡卡l存储卡存储卡l智能卡智能卡有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。134.1.4 生物识别认证生物识别认证一、签名认证一、签名认证不是能识别出被鉴别的签名是什么字,不是能识别出被鉴别的签名是什么字,而是要能识别出签名
14、的人。而是要能识别出签名的人。签名认证的使用签名认证的使用首先提供一定数量的签名首先提供一定数量的签名系统分析签名,提取特征系统分析签名,提取特征通过比较签名,进行身份识别通过比较签名,进行身份识别有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。14二、二、指纹指纹识别技术识别技术指纹识别指纹识别基于每个人指纹的唯一性和稳定性。基于每个人指纹的唯一性和稳定性。指纹识别的主要技术:指纹识别的主要技术: 现代电子集成制造技术现代电子集成制造技术 可靠的匹配算法可靠的匹配算法有利于学习和创新的组织管理机制,
15、创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。15指纹指纹取像的几种技术和特点取像的几种技术和特点目前指纹取像主要有三种技术:目前指纹取像主要有三种技术:光学全反射技术、晶体传感器技术和超声波扫描技术。光学全反射技术、晶体传感器技术和超声波扫描技术。 光学全反射技术:光学全反射技术:利用光的全反射原理利用光的全反射原理 晶体传感器技术:晶体传感器技术:硅电容传感器硅电容传感器 超声波扫描技术:超声波扫描技术:利用超声波扫描反射原理利用超声波扫描反射原理有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客
16、价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。16指纹取像常用技术的比较指纹取像常用技术的比较 比较项目比较项目光学全反射光学全反射硅晶体电容传感硅晶体电容传感超声波扫描超声波扫描体积体积大大小小中中耐用性耐用性非常耐用非常耐用容易损坏容易损坏一般一般成像能成像能力力干手指差,汗干手指差,汗多的和稍胀的多的和稍胀的手指成像模糊手指成像模糊干手指好,但汗干手指好,但汗多的和稍胀的手多的和稍胀的手指不能成像指不能成像非常好非常好耗电耗电较多较多较少较少较多较多成本成本低低低低很高很高有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业
17、文化氛围,依赖既开放又相互信任的合作环境。17指纹识别技术的优缺点指纹识别技术的优缺点 优点:优点:(1 1)是独一无二的特征,并且它们的复杂度足以提供用于鉴)是独一无二的特征,并且它们的复杂度足以提供用于鉴别的足够特征;别的足够特征;(2 2)指纹识别的速度很快,使用非常方便;)指纹识别的速度很快,使用非常方便;(3 3)识别指纹时,用户的手指与指纹采集头直接接触,这是)识别指纹时,用户的手指与指纹采集头直接接触,这是读取人体生物特征最可靠的方法。读取人体生物特征最可靠的方法。(4 4)采集头会更小型化,并且价格会更低廉。)采集头会更小型化,并且价格会更低廉。缺点:缺点:(1 1)某些群体的
18、指纹因为指纹特征很少,故而很难成像;)某些群体的指纹因为指纹特征很少,故而很难成像;(2 2)在犯罪记录中使用指纹,使得某些人害怕)在犯罪记录中使用指纹,使得某些人害怕“将指纹记录将指纹记录在案在案”。(3 3)每一次使用指纹时都会在指纹采集头上留下用的指纹印)每一次使用指纹时都会在指纹采集头上留下用的指纹印痕,这些指纹有可能被他人复制。痕,这些指纹有可能被他人复制。 有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。18三、语音识别技术三、语音识别技术语音识别的要求:语音识别的要求: 创造一个良好的环
19、境创造一个良好的环境 规定用户朗读的单词规定用户朗读的单词语音识别语音识别不是能识别出用户说的是什么,而是要不是能识别出用户说的是什么,而是要能识别出是谁说的。能识别出是谁说的。有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。19语音识别的过程语音识别的过程首先对用户的语音进行采样;首先对用户的语音进行采样;系统提取语音特征,得到参考样本;系统提取语音特征,得到参考样本;通过比较参考样本和语音结果,判别真伪。通过比较参考样本和语音结果,判别真伪。语音识别技术的弱点语音识别技术的弱点要求受测者多次重复语
20、音,分析过程较长;要求受测者多次重复语音,分析过程较长;语音受人的身体状况和精神状态的影响。语音受人的身体状况和精神状态的影响。有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。20四、虹膜识别技术四、虹膜识别技术虹膜识别虹膜识别基于每个人眼睛虹膜的唯一性和稳定性。基于每个人眼睛虹膜的唯一性和稳定性。虹膜识别的主要技术:虹膜识别的主要技术: 虹膜图像获取虹膜图像获取 虹膜识别算法虹膜识别算法有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖
21、既开放又相互信任的合作环境。21从实用角度而言,一个安全的身份认证协议至少应满足以下从实用角度而言,一个安全的身份认证协议至少应满足以下两个条件:两个条件:1. A能向验证者能向验证者B证明他的确是证明他的确是A;2. 在在A向验证者向验证者B证明他的身份后,验证者证明他的身份后,验证者B不能获得不能获得A的任何的任何有用信息,有用信息,B不能模仿不能模仿A向第三方证明他是向第三方证明他是A。4.2 4.2 身份认证协议身份认证协议目前已经设计出四类身份认证协议目前已经设计出四类身份认证协议一次一密机制、一次一密机制、公钥认证体系、公钥认证体系、Kerberos认证体系、零知识身份识别认证体系
22、、零知识身份识别协议。协议。网络通信中主要通过认证协议对有关实体的身份进行验证。网络通信中主要通过认证协议对有关实体的身份进行验证。有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。224.2.1 4.2.1 一次一密机制一次一密机制1 1、请求、请求/ /应答方式:应答方式: 方法方法1:用户登录时系统随机提示一条信息,用户根据这一信:用户登录时系统随机提示一条信息,用户根据这一信息连同其个人化数据共同产生一个口令字,用户输入此口令字息连同其个人化数据共同产生一个口令字,用户输入此口令字完成一次登录过
23、程;或者用户对此信息进行数字签名发送给验完成一次登录过程;或者用户对此信息进行数字签名发送给验证方进行鉴别。证方进行鉴别。 方法方法2:用户根据系统提供的同步时钟信息连同其个人化数据:用户根据系统提供的同步时钟信息连同其个人化数据共同产生一个口令字共同产生一个口令字 。2 2、询问、询问/ /应答方式:应答方式:验证者随机提出问题由用户回答,以验证用户的真实性。验证者随机提出问题由用户回答,以验证用户的真实性。有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。234.2.2 4.2.2 X.509X.5
24、09公钥认证协议公钥认证协议 X.509X.509协议是利用公钥密码技术提供身份认证协议是利用公钥密码技术提供身份认证服务的标准。协议对每个用户的公钥以证书的方式服务的标准。协议对每个用户的公钥以证书的方式存储,并用于身份的认证。存储,并用于身份的认证。 数字证书数字证书( (digital certificate, digital ID)digital certificate, digital ID)又称数字凭证,是一个经证书授权中心数字签名的包又称数字凭证,是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含
25、一个公开密钥、名称以及证书授权中心的的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字签名。 有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。24 数字证书是由大家共同信任的第三方认证中心数字证书是由大家共同信任的第三方认证中心 ( (CA)CA)颁发的,颁发的,CACA有权利签发并废除证书并且对证书有权利签发并废除证书并且对证书的真实性负责的真实性负责。 CA CA的数字签名提供了三个重要的保证的数字签名提供了三个重要的保证: : 第一,认证中有效的数字签名保证了认证信息的真第一,认证中有
26、效的数字签名保证了认证信息的真实性、完整性实性、完整性; ; 第二,因为第二,因为CACA是唯一有权使用它私钥的实体,任何是唯一有权使用它私钥的实体,任何验证数字证书的用户都可以信任验证数字证书的用户都可以信任CACA的签名,从而保的签名,从而保证了证书的权威性证了证书的权威性; ; 第三,由于第三,由于CACA签名的唯一性,签名的唯一性,CACA不能否认自己所签不能否认自己所签发的证书,并承担相应的责任。发的证书,并承担相应的责任。 有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。25n数字证书的内
27、容数字证书的内容n 为了保证为了保证CACA所签发证书的通用性,目前数字证所签发证书的通用性,目前数字证书格式一般采用书格式一般采用X.509X.509国际标准。国际标准。X.509X.509的核心是建的核心是建立存放每个用户的公钥证书的目录立存放每个用户的公钥证书的目录 ( (仓库仓库) )。用户公。用户公钥证书由可信赖的钥证书由可信赖的CACA创建,并由创建,并由CACA或用户存放于目或用户存放于目录中。录中。n 一个标准的一个标准的X.509X.509数字证书包含以下一些内数字证书包含以下一些内容容:(1):(1)证书的版本信息;证书的版本信息;(2)(2)证书的序列号;证书的序列号;(
28、3)(3)证证书所使用的签名算法;书所使用的签名算法;(4)(4)证书的发行机构;证书的发行机构;(5)(5)证证书的有效期;书的有效期;(6)(6)证书所有人的名称;证书所有人的名称;(7)(7)证书所有证书所有人的公开密钥;人的公开密钥;(8)(8)证书发行者对证书的签名。证书发行者对证书的签名。 有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。264.2.3 4.2.3 KerberosKerberos认证协议认证协议 KerberosKerberos:为网络通信提供可信第三方服务的为网络通信提
29、供可信第三方服务的面向开放系统的身份认证机制。面向开放系统的身份认证机制。 Kerberos Kerberos协议是协议是以认证服务器、以认证服务器、TicketTicket散发服散发服务器、客户机及应用服务器的服务等四方模型为基务器、客户机及应用服务器的服务等四方模型为基础,并假设服务器都是在安全的环境下进行工作。础,并假设服务器都是在安全的环境下进行工作。有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。27KerberosKerberos协议的三个功能:身份认证、记账、审核。协议的三个功能:身份认
30、证、记账、审核。KerberosKerberos针对分布式环境,一些计算机可能安装于不针对分布式环境,一些计算机可能安装于不安全场所,而且用户也并非是完全可信的。安全场所,而且用户也并非是完全可信的。 客户在登录时,需要认证。用户必须获得由认证服务客户在登录时,需要认证。用户必须获得由认证服务器发行的许可证,才能使用目标服务器上的服务。许器发行的许可证,才能使用目标服务器上的服务。许可证可提供被认证用户访问某服务时所需的授权资格。可证可提供被认证用户访问某服务时所需的授权资格。所有客户和服务器间的会话都是暂时的。所有客户和服务器间的会话都是暂时的。 有利于学习和创新的组织管理机制,创造充满活力
31、的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。28Kerberos的组成的组成Kerberos应用程序库:应用程序接口,包括创建和读应用程序库:应用程序接口,包括创建和读取认证请求,以及创建取认证请求,以及创建safe message 和和private message的子程序。的子程序。加密加密/解密库:解密库:DES等。等。Kerberos数据库:记载了每个数据库:记载了每个Kerberos 用户的名字,用户的名字,私有密钥,截止信息私有密钥,截止信息(记录的有效时间,通常为几年记录的有效时间,通常为几年)等信息。等信息。数据库管理程序:
32、管理数据库管理程序:管理Kerberos数据库数据库有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。29KDBM服务器服务器(数据库管理服务器数据库管理服务器):接受客户端的接受客户端的请求对数据库进行操作。请求对数据库进行操作。认证服务器认证服务器(AS):存放一个存放一个Kerberos数据库的只读数据库的只读的副本,用来完成认证,并生成会话密钥的副本,用来完成认证,并生成会话密钥数据库复制软件数据库复制软件:管理数据库从管理数据库从KDBM服务所在的服务所在的机器,到认证服务器所在的机器的复制工
33、作,为保机器,到认证服务器所在的机器的复制工作,为保持数据库的一致性,每隔一段时间就需要进行复制持数据库的一致性,每隔一段时间就需要进行复制工作工作用户程序:登录用户程序:登录Kerberos,改变改变Kerberos密码,显密码,显示和破坏示和破坏Kerberos标签(标签(ticket)等工作。等工作。应用程序:应用程序:有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。30Kerberos Key Distribution Service有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,
34、以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。31KerberosKerberos提供三种安全等级。提供三种安全等级。1) 1) 只在网络开始连接时进行认证,认为连接建立起只在网络开始连接时进行认证,认为连接建立起来后的通信是可靠的。认证式网络文件系统使用此来后的通信是可靠的。认证式网络文件系统使用此种安全等级。种安全等级。2) 2) 安全消息传递:对每次消息都进行认证工作,但安全消息传递:对每次消息都进行认证工作,但是不保证每条消息不被泄露。是不保证每条消息不被泄露。3) 3) 私有消息传递:不仅对每条消息进行认证,而且私有消息传递:不仅对每条消息进行认证
35、,而且对每条消息进行加密。对每条消息进行加密。KerberosKerberos在发送密码时就采在发送密码时就采用私有消息模式。用私有消息模式。Kerberos的认证过程的认证过程P75有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。32 通过认证操作,用户通过认证操作,用户C和服务器和服务器V互相验证彼此互相验证彼此的身份,并且拥有只有的身份,并且拥有只有C和和V两者知道的会话密钥两者知道的会话密钥Kc,v,以后的通信都可以通过会话密钥得到保护。以后的通信都可以通过会话密钥得到保护。ASTGSDB用户
36、C服务器VKerberos有利于学习和创新的组织管理机制,创造充满活力的创新激励机制,以市场为导向,以顾客价值追求为中心的企业文化氛围,依赖既开放又相互信任的合作环境。334.2.4 4.2.4 零知识身份识别协议零知识身份识别协议 其基本思想是:被认证方其基本思想是:被认证方P P掌握某些秘密信息,掌握某些秘密信息,P P希望让认证方希望让认证方V V相信他确实掌握那些信息,但又不相信他确实掌握那些信息,但又不想让想让V V知道那些信息。知道那些信息。 被认证方被认证方P P掌握的秘密信息可以是某些长期没有掌握的秘密信息可以是某些长期没有解决的猜想问题的证明,也可以是缺乏有效算法的解决的猜想问题的证明,也可以是缺乏有效算法的难题解法。信息的本质是可以验证的,可以通过具难题解法。信息的本质是可以验证的,可以通过具体的步骤来检测它的正确性。体的步骤来检测它的正确性。
黑公网安备:91230400333293403D