《计算机网络信息安全理论与实践教程 第6章.ppt》由会员分享,可在线阅读,更多相关《计算机网络信息安全理论与实践教程 第6章.ppt(49页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第6章认证技术的原理与应用 第6章认证技术的原理与应用 6.1 认证相关概念认证相关概念6.2 认证信息类型认证信息类型6.3 认证的作用和意义认证的作用和意义6.4 认证方法分类认证方法分类6.5 6.5 认证实现技术认证实现技术 6.6 6.6 认证技术应用案例认证技术应用案例 6.7 6.7 本章小结本章小结 本章思考与练习本章思考与练习 第6章认证技术的原理与应用 6.1 认证相关概念认证相关概念 认证就是一个实体向另外一个实体证明其所具有的某种特性的过程。在认证过程中,要用到两种基本安全技术,即标识技术(identification)和鉴别技术(authentication)。下面分
2、别叙述。(1)标识。标识用来代表实体的身份,确保实体在系统中的惟一性和可辨认性,一般用名称和标识符(ID)来表示。通过惟一标识符,系统可以识别出访问系统的每个用户。例如,在网络环境中,网络管理员常用IP地址、网卡地址作为计算机用户的标识。第6章认证技术的原理与应用(2)鉴别。鉴别是指对实体身份的真实性进行识别。鉴别的依据是用户所拥有的特殊信息或实物,这些信息是秘密的,其他用户都不能拥有。系统根据识别和鉴别的结果,来决定用户访问资源的能力。例如,通过IP地址的识别,网络管理员可以确定Web访问是内部用户访问还是外部用户访问。第6章认证技术的原理与应用 6.2 认证信息类型认证信息类型 常用的鉴别
3、信息主要有四种:(1)所 知 道 的 秘 密,如 用 户 口 令、PIN(Personal Identification Number)。(2)所拥有的实物,一般是不可伪造的设备,如智能卡、磁卡等。(3)生物特征信息,如指纹、声音、视网膜等。(4)上下文信息,就是认证实体所处的环境信息、地理位置、时间等,例如IP地址等。第6章认证技术的原理与应用 6.3 认证的作用和意义认证的作用和意义 认证的主要用途有三方面:(1)验证网络资源访问者的身份,给网络系统访问授权提供支持服务。(2)验证网络信息的发送者和接收者的真实性,防止假冒。(3)验证网络信息的完整性,防止篡改、重放或延迟。第6章认证技术的
4、原理与应用 6.4 认证方法分类认证方法分类 6.4.1 6.4.1 单向认证单向认证单向认证是指在网络服务认证过程中,服务方对客户方进行单方面的鉴别,而客户方不需要识别服务方的身份。例如,假设一个客户需要访问某台服务器,单向认证只是由客户向服务器发送自己的ID和密码,然后服务器根据收到的密码和ID,进行比对检验,鉴别客户方的身份真实性。单向认证过程如图6-1所示,认证过程由六步构成:第一步,客户方向服务器发出访问请求;第6章认证技术的原理与应用 第二步,服务器要求客户方输入ID;第三步,客户方向服务器输入ID;第四步,服务器要求客户方输入密码;第五步,客户方向服务器输入密码;第六步,服务器验
5、证ID和密码,如果匹配则允许客户进入系统访问。第6章认证技术的原理与应用 图6-1 单向认证过程示意图 第6章认证技术的原理与应用 6.4.2 6.4.2 双向认证双向认证双向认证是指在网络服务认证过程中,不仅服务方对客户方要进行鉴别,而且客户方也要鉴别服务方的身份。双向认证增加了客户方对服务方的认证,这样就可以解决服务器的真假识别安全问题。双向认证过程如图6-2所示,认证过程由九步构成:第一步,客户方向服务器发出访问请求;第二步,服务器要求客户方输入ID;第三步,客户方向服务器输入ID;第6章认证技术的原理与应用 第四步,服务器要求客户方输入密码;第五步,客户方向服务器输入密码;第六步,服务
6、器验证ID和密码,如果匹配则允许客户进入系统访问;第七步,客户提示服务器输入密码;第八步,服务器按客户要求输入密码;第九步,客户验证服务器。第6章认证技术的原理与应用 图6-2 双向认证过程示意图 第6章认证技术的原理与应用 在实际的应用问题中,双向认证的代价要比单向认证高。例如,一个拥有50个用户的网络,每个用户都可以和其他任何用户通信,所以每个用户都必须有能力对其他任一用户进行认证。另外,出于保密角度考虑,我们希望每个用户都有自己的个人密码。在这种情况下,每个用户必须存储所有其他用户的密码,也就是说每个工作站需要存储49个密码。如果新添加了一个用户,或者有用户被删除了,于是每个人都要修改自
7、己的密码表。由此可见,双向认证需要的代价高。第6章认证技术的原理与应用 6.4.3 6.4.3 第三方认证第三方认证第三方认证是指在网络服务认证过程中,服务方和客户方的身份鉴别通过第三方来实现。第三方不仅负责维护认证信息,而且还负责验证双方的身份。每个用户都把自己的ID和密码发送给可信第三方,由第三方负责认证过程。此方法兼顾了安全性和密码存储的简单易行性。第6章认证技术的原理与应用 6.5 认证实现技术认证实现技术 6.5.1 6.5.1 口令认证技术口令认证技术口令认证是根据用户所知道的信息进行的身份鉴别,它不仅应用在网络系统中,而且也广泛应用在日常生活中。口令俗称“密码”,在计算机网络中,
8、当需要访问网络设备、操作系统和网络服务时,系统常常要求用户输入“用户名”和“密码”。口令认证的优点就是简单,易于实现。例如,当使用者以超级管理员身份访问Solaris操作系统时,系统要求用户输入“root”用户名和root的口令信息,如图6-3所示。第6章认证技术的原理与应用 图6-3 Solaris的口令认证示意图 第6章认证技术的原理与应用 但是,口令认证的不足之处是容易受到攻击,主要的攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少做到以下几点:*口令信息要安全加密存储;*口令信息要安全传输;*口令认证协议要抵抗攻击,符合安全协议设计要求;*口令选择要求做
9、到避免弱口令。第6章认证技术的原理与应用 针对口令猜测攻击,一般要求用户选择复杂的口令,即口令的安全选取至少符合下列要求:*口令的长度应至少为8个字符以上;*口令字符应由大小写英文字母、数字、特殊字符组合而成;*口令不能与帐号名称相同;*不能用生日、电话号码、手机号、门牌号等作为口令;*所选口令不能包含在黑客攻击的字典库中。第6章认证技术的原理与应用 同时,在口令认证管理上,应采取以下防范措施:(1)限制帐号登录次数,建议为3次。(2)禁止共享帐号和口令。(3)口令文件应加密存放,并只有超级用户才能读取。(4)禁止以明文形式在网络上传递口令。(5)口令应有时效机制,保证经常更改,至少两周更新一
10、次,并且禁止重用口令。(6)对所有的帐号运行口令破解工具,以寻找弱口令或没有口令的帐号。(7)必须更换系统默认口令,避免使用默认口令。第6章认证技术的原理与应用 6.5.2 6.5.2 智能卡技术智能卡技术智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有一定的计算能力。智能卡认证是根据用户所拥有的实物进行的。智能卡认证技术广泛应用在现今社会的各个方面。图6-4所示是通过智能卡来实现挑战/响应认证的过程。在挑战/响应认证中,用户会提供一张智能卡,智能卡会一直显示一个随时间而变化的数字。假如用户试图登录目标系统,则系统首先将对用户进行认证,步骤如下:(1)用户将自己的ID
11、发送到目标系统。(2)系统提示用户输入数字。(3)用户从智能卡上读取数字。第6章认证技术的原理与应用(4)用户将数字发送给系统。(5)系统用收到的数字对ID进行确认。如果ID有效,系统会生成一个数字并将其显示给用户,这称为挑战。(6)用户将上面的挑战输入智能卡中。(7)智能卡利用这个输入的值并根据一定的算法计算出一个新的数字,然后显示这个结果,该数字称为应答。(8)用户将应答输入系统。(9)系统验证应答是否正确。如果正确的话,用户通过验证并登录进入系统。第6章认证技术的原理与应用 图6-4 挑战/响应认证示意图 第6章认证技术的原理与应用 6.5.3 6.5.3 基于生物特征认证基于生物特征认
12、证利用口令进行认证的缺陷是口令信息容易泄露,而智能卡又可能丢失或被伪造。在安全性要求高的环境中,这两种技术都难以满足安全需求。基于生物特征认证就是指利用人类的生物特征来进行验证。目前,指纹、视网膜、语音等生物信息都可以被用来进行认证。人的指纹与生俱来,而且一生不变。视网膜认证是根据人眼视网膜中的血管分布模式的不同来进行身份鉴别的。语音认证则是依靠人的声音的频率来判断不同人的身份。第6章认证技术的原理与应用 6.5.4 6.5.4 KerberosKerberosKerberos的基本原理是利用对称密码技术,使用可信的第三方来认证服务器的用户身份,并在用户和服务器之间建立安全信道。例如,Alic
13、e和Bob分别都与可信第三方共享密钥,如果用户Alice想要获取Bob提供的服务,那么Alice首先向可信第三方申请一个用于获取Bob服务的票据TGT(Ticket Granting Ticket),然后可信第三方给Alice提供一个Bob的服务票据TGS(Ticket Granting Server)及用于Alice和Bob之间安全会话的密钥,最后Alice利用可信第三方提供的服务票据和会话密钥,访问Bob服务并进行安全通信。Kerberos由美国麻省理工学院(MIT)研制实现,已经历了五个版本的发展。Kerberos协议实现的源程序可以从网站http:/web.mit.edu/kerber
14、os/下载。Kerberos认证系统可以用来对网络上通信的实体进行相互身份认证,并且能够阻止旁听和重放等攻击。第6章认证技术的原理与应用 一个Kerberos系统涉及到四个基本实体:*Kerberos客户机:用户用来访问服务器的设备。*AS(Authentication Server):为用户分发TGT(Ticket Granting Ticket)的服务器。用户使用TGT(Ticket Granting Ticket)向TGS(Ticket Granting Server)证明自己的身份。*TGS(Ticket Granting Server):为用户分发到最终目的票据的服务器,用户使用这个
15、票据向自己要求提供服务的服务器证明自己的身份。*应用服务器(Application Server):为用户提供特定服务。第6章认证技术的原理与应用 在Kerberos系统中,票据(Ticket)是用于安全传递用户身份所需要的信息的集合。它不仅包含该用户的身份,而且还包含其他一些相关的信息。一般来说,它主要包括客户方Principal、目的服务方Principal、客户方IP地址、时间戳(分发该Ticket的时间)、Ticket的生存期以及会话密钥等内容。通常将AS和TGS统称为KDC(Key Distribution Center)。Kerberos的工作流程主要由六步构成,如图6-5所示。第
16、6章认证技术的原理与应用 图6-5 Kerberos工作流程示意图 第6章认证技术的原理与应用 第一步,Kerberos客户向认证服务器AS申请票据TGT,如图6-6所示。图6-6 Kerberos客户向AS申请票据TGT示意图 第6章认证技术的原理与应用 第二步,当认证服务器AS收到Kerberos客户发来的消息后,AS在认证数据库检查、确认Kerberos客户,并产生一个会话密钥,同时使用Kerberos客户的秘密密钥对会话密钥进行加密,然后生成一个票据TGT。TGT由Kerberos客户实体名、地址、时间戳、限制时间及会话密钥组成。AS生成TGT后,把TGT发送给Kerberos客户。第
17、二步认证会话过程如图6-7所示。第6章认证技术的原理与应用 图6-7 认证服务器AS响应Kerberos客户的TGT请求示意图 第6章认证技术的原理与应用 第三步,Kerberos客户收到AS 发来的TGT后,使用自己的秘密密钥进行解密,得到会话密钥,然后利用解密的信息重新构造认证请求单,向TGS发送请求,申请访问应用服务器AP所需要的票据(Ticket)。第三步认证会话过程如图6-8所示。第6章认证技术的原理与应用 图6-8 Kerberos客户认证请求票据示意图 第6章认证技术的原理与应用 第四步,TGS使用其秘密密钥对TGT进行解密,同时使用TGT中的会话密钥对Kerberos客户的请求
18、认证单信息进行解密,并将解密后的认证单信息与TGT中的信息进行比较。然后,TGS生成新的会话密钥以供Kerberos客户和应用服务器使用,并利用各自的秘密密钥加密会话密钥。最后,生成一个票据,它由Kerberos客户实体名、地址、时间戳、限制时间、会话密钥组成。TGS生成TGT完毕后,把TGT发送给Kerberos客户。第四步认证会话过程如图6-9所示。第6章认证技术的原理与应用 图6-9 票据服务器TGS响应Kerberos客户的请求示意图 第6章认证技术的原理与应用 第五步,Kerberos客户收到TGS的响应后,将获得与应用服务器共享的会话密钥。与此同时,Kerberos客户生成一个新的
19、用于访问应用服务器的认证单,并用与应用服务器共享的会话密钥加密,然后与TGS发送来的票据一并传送到应用服务器。第五步认证会话过程如图6-10所示。第6章认证技术的原理与应用 图6-10 Kerberos客户请求访问应用服务器示意图 第6章认证技术的原理与应用 第六步,应用服务器确认请求。Kerberos协议中要求用户经过AS和TGS两重认证的优点主要有两点:一是可以显著减少用户密钥中密文的暴露次数,这样就可以减少攻击者对有关用户密钥中密文的积累;二是Kerberos认证过程具有单点登录SSO(Single Sign-on)的优点,只要用户拿到了TGT并且该TGT没有过期,那么用户就可以使用该T
20、GT通过TGS完成到任一台服务器的认证而不必重新输入密码。但是,Kerberos也存在不足之处。例如,Kerberos认证系统需要解决各主机节点时间同步和抗拒绝服务攻击问题。如果某台主机的时间被更改,那么这台主机就无法使用Kerberos认证协议了。一旦服务器的时间发生了错误,则整个Kerberos认证系统将会瘫痪。第6章认证技术的原理与应用 6.5.5 6.5.5 公钥基础设施公钥基础设施(PKI)PKI)公钥密码体制不仅能够实现加密服务,而且也能提供识别和认证服务。但是,公钥密码体制面临的是可信分发公钥密码问题,即公钥的真实性和所有权问题。针对该问题,人们采用“公钥证书”(类似身份证或护照
21、)方法来解决。公钥证书是将实体和一个公钥绑定,并让其他的实体能够验证这种绑定关系。为此,需要一个可信第三方来担保实体的身份,这个第三方称为认证机构,简称CA(Certification Authority)。CA负责向实体颁发证书,证书中含有实体名、公钥以及实体的其他身份信息。而公钥基础设施就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施,通常简称为PKI(Public Key Infrastructure)。第6章认证技术的原理与应用 PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。一般来说,PKI涉及到多个实体之间的协商和操
22、作,主要实体包括CA、RA、终端实体(End Entity)、客户、目录服务器,如图6-11所示。第6章认证技术的原理与应用 图6-11 PKI的组成及服务示意图 第6章认证技术的原理与应用 PKI各实体的功能分别叙述如下:*CA(Certificate Authority):证书授权机构,主要进行证书的颁发、废止和更新。认证机构负责签发、管理和撤销一组终端用户的证书。*RA(Registration Authority):证书登记权威机构,它将公钥和对应的证书持有者的身份和其他属性联系起来,进行注册和担保。RA可以充当CA和它的终端用户之间的中间实体,辅助CA完成其他绝大部分证书处理功能。第
23、6章认证技术的原理与应用*证书目录:CA通常使用一个证书目录,提供证书管理和分发的服务。*终端实体(End Entity):是指需要认证的对象,例如服务器、打印机、E-mail地址、用户等。*客户端(Client):是指需要基于PKI安全服务的使用者,包括用户、服务进程等。第6章认证技术的原理与应用 基于PKI的认证服务通过数字签名和密码技术来确认身份。假如实体A需要验证实体B的身份,那么首要A要获取B的证书,并用双方共同信任的CA的公钥验证B的证书上CA的数字签名,如果签名通过则说明B的证书是可信的。然后,A向B发出随机字符串信息,B接收到信息后,用B的私钥进行签名处理后再发回A。如果A能够
24、利用B的证书解密B签名的信息,则A就确认了B的身份。这是因为只有B的公钥才能解开其签名的信息。第6章认证技术的原理与应用 6.5.6 6.5.6 单点登录单点登录(Single Logon Schemes)Single Logon Schemes)单点登录是指用户访问不同的系统时,只需要进行一次身份认证,就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问不同的系统时,需要输入不同系统的口令以及口令保管问题,简化了认证管理工作。第6章认证技术的原理与应用 6.6 认证技术应用案例认证技术应用案例 6.6.1 6.6.1 网络接入认证网络接入认证为了实现网络接入安全,当一个用户把网络
25、设备或计算机接入到一个网络时,必须经过认证,只有认证通过后才允许设备接入到网络中。接入认证技术一般是基于用户名/口令认证来实现的。例如,拨号访问服务认证的认证步骤如下:第6章认证技术的原理与应用(1)用户通过电话线拨入到拨号访问服务器,服务器提示用户输入用户名和口令。(2)拨号访问服务器把用户名和口令加密后发送到RADIUS服务器。(3)RADIUS服务器根据相关配置认证信息,检验用户名和口令是否正确。如果正确则允许接入;否则拒绝接入。第6章认证技术的原理与应用 6.6.2 6.6.2 WebWeb服务器认证服务器认证Web服务器常用的认证机制有两种。一种是基本访问认证(Basic Acces
26、s Authentication),简称BAA。对于BAA,RFC2068文档详细做了说明。采用BAA机制,当远程用户访问需要认证Web资源时,浏览器弹出认证窗口,要求用户输入帐号和口令,当认证通过后,Web服务器才授权用户访问网页资源。另一种是采用证书认证机制。这种认证机制利用公钥技术实现用Web服务器鉴别浏览器的使用者身份的功能;同时,浏览器也可以鉴别Web服务器的真实性。第6章认证技术的原理与应用 6.7 本本 章章 小小 结结 认证是有效实施其他安全策略的基础技术。本章首先介绍了认证的相关概念、认证信息的类型以及认证的用途和意义。然后根据认证的使用特点,把认证方法归为三类,并分类进行了
27、技术分析。同时,本章还介绍了口令认证、智能卡认证、基于生物特征认证、Kerberos、PKI认证、单点登录等各类认证技术特点。最后,本章举例说明了认证技术在网络中的实际应用。第6章认证技术的原理与应用 本章思考与练习本章思考与练习 1在认证过程中,标识和鉴别各自解决什么问题?2在认证过程中,鉴别信息有哪几种类型?3简述Kerberos的基本工作步骤。4认证技术方法有哪些?5认证类型有哪几种?分别进行简述。6试分析口令认证的安全性,并提出安全解决方法。7公钥基础设施(PKI)是什么?PKI由哪几个基本功能组成?第6章认证技术的原理与应用 8以Linux系统为例,试分析认证机制和实现技术方法。9试分析Windows 2000系统认证机制。10以Apache系统为例,分析Web站点的认证机制和实现方法。11如何利用认证技术解决网站假冒攻击?
黑公网安备:91230400333293403D