身份鉴别技术.ppt

《身份鉴别技术.ppt》由会员分享，可在线阅读，更多相关《身份鉴别技术.ppt（22页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第第3章身份鉴别章身份鉴别本章目标n1.身份鉴别的基本概念身份鉴别的基本概念n2.非密码的身份鉴别机制非密码的身份鉴别机制n3.基于密码算法的身份鉴别机制基于密码算法的身份鉴别机制n4.Kerberos协议原理协议原理3.1 身份鉴别的基本概念身份鉴别的基本概念n3.1.1 身份鉴别的依据身份鉴别的依据n3.1.2 身份鉴别的两种情形身份鉴别的两种情形3.1.1 身份鉴别的基本概念n鉴别鉴别(Authentication)也叫也叫验证验证,是防止主动攻击的一是防止主动攻击的一种重要技术种重要技术 就是验证用户身份的就是验证用户身份的合法性合法性和用户间传和用户间传输信息的输信息的完整性完整性与

2、与真实性真实性 身份鉴别的依据可以分为三种：身份鉴别的依据可以分为三种：（1 1）用户所知道的某种信息（如：密码和口令）用户所知道的某种信息（如：密码和口令）（2 2）用户拥有的某种物品（身份证、）用户拥有的某种物品（身份证、USK KEYUSK KEY）（3 3）用户具有的某种特征（指纹、）用户具有的某种特征（指纹、DNADNA、脸型）、脸型）3.1.2 身份鉴别的两种情形n1、实体鉴别：、实体鉴别：也称身份鉴别也称身份鉴别,使某一实体确信与之打使某一实体确信与之打交道的实体正是所需要的实体交道的实体正是所需要的实体 例如验证申请进入网例如验证申请进入网络系统者是否是合法用户络系统者是否是合

3、法用户,以防非法用户访问系统。以防非法用户访问系统。n2、数据原发鉴别：、数据原发鉴别：数据源发鉴别用于鉴定某个指定数据源发鉴别用于鉴定某个指定的数据是否来源于某个特定的实体的数据是否来源于某个特定的实体 如采用数字签名如采用数字签名技术就是数据原发鉴别的具体运用技术就是数据原发鉴别的具体运用 3.2 身份鉴别机制身份鉴别机制n3.2.1 非密码的鉴别机制非密码的鉴别机制n3.2.2 基于密码算法的鉴别基于密码算法的鉴别3.2.1 非密码的鉴别机制非密码的鉴别机制n非密码的鉴别机制包括：口令机制、一次性口令机非密码的鉴别机制包括：口令机制、一次性口令机制、质询制、质询应答机制、基于地址的机制、

4、基于个应答机制、基于地址的机制、基于个人特征的机制。人特征的机制。n1.1.口令机制口令机制口令机制又称作通行字机制，它是最广泛研究和使用的口令机制又称作通行字机制，它是最广泛研究和使用的身份鉴别法。身份鉴别法。口令验证的识别过程：口令验证的识别过程：用户将口令传送给计算机；用户将口令传送给计算机；计算机完成口令单向函数值的计算；计算机完成口令单向函数值的计算；计算机把单向函数值和机器存储的值比较计算机把单向函数值和机器存储的值比较。典型运用：典型运用：计算机密码计算机密码n在使用口令机制时，我们对付口令猜测的措施主要有：在使用口令机制时，我们对付口令猜测的措施主要有：1）严格限制非法登录的次

5、数；）严格限制非法登录的次数；2）规定口令的最小长度，如至少）规定口令的最小长度，如至少68位以上；位以上；3）防止用户特征相关口令；）防止用户特征相关口令；4）确保口令定期改变；）确保口令定期改变；5）取消安装系统时所用的预设口令；）取消安装系统时所用的预设口令；6）使用机器产生的口令；）使用机器产生的口令；7）定期对用户和系统管理者进行安全意识教育、培训。）定期对用户和系统管理者进行安全意识教育、培训。n2.一次性口令机制两端共同使用一个随机序列生成器，在该序列生成器的两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；初态保持同步；两端随机序列生成器在同一时间会产生相同的随机数

6、。两端随机序列生成器在同一时间会产生相同的随机数。典型运用：典型运用：动态口令卡动态口令卡n3.质询质询应答机制应答机制基于质询基于质询/应答方式的身份鉴别机制就是每次鉴别时鉴别应答方式的身份鉴别机制就是每次鉴别时鉴别服务器端都给客户端发送一个不同的服务器端都给客户端发送一个不同的“质询质询”字串，客户字串，客户端程序收到这个端程序收到这个“质询质询”字串后，做出相应的字串后，做出相应的“应答应答”。鉴。鉴别过程为别过程为:1 1、客户向鉴别服务器发出请求，要求进行身份鉴别、客户向鉴别服务器发出请求，要求进行身份鉴别;2 2、鉴别服务器从用户数据库中查询用户是否是合法的用户，若不、鉴别服务器从

7、用户数据库中查询用户是否是合法的用户，若不 是，则不做进一步处理是，则不做进一步处理;3 3、鉴别服务器内部产生一个随机数、鉴别服务器内部产生一个随机数,作为作为“提问提问”，发送给客户，发送给客户 4 4、客户将用户名字和随机数合并，使用单向、客户将用户名字和随机数合并，使用单向 Hash Hash 函数生成一个函数生成一个 字节串作为应答字节串作为应答;5 5、鉴别服务器将应答字串与本机单向、鉴别服务器将应答字串与本机单向 HASH HASH 函数的计算结果比函数的计算结果比 较，若二者相同，则通过一次鉴别，否则鉴别失败较，若二者相同，则通过一次鉴别，否则鉴别失败;n4.基于地址的机制基于

8、地址的机制基于地址的机制假定声称者的可鉴别性是以呼叫的源地基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。址为基础的。如基于如基于IPIP的认证方式或基于的认证方式或基于MACMAC的认证方式的认证方式n5.基于个人特征的机制基于个人特征的机制通过识别用户的生理特征来认证用户的身份是安全通过识别用户的生理特征来认证用户的身份是安全性极高的身份认证方法。性极高的身份认证方法。例如有：例如有：（1 1）指纹识别；）指纹识别；（2 2）声音识别；）声音识别；（3 3）手迹识别；）手迹识别；（4 4）视网膜扫描；）视网膜扫描；（5 5）手形及掌纹等。）手形及掌纹等。3.2.2 基于密码算法

9、的鉴别基于密码算法的鉴别n基于密码的鉴别机制的基本原理是：因为声称者知基于密码的鉴别机制的基本原理是：因为声称者知道某一秘密密钥，从而使验证者相信，声称者正是道某一秘密密钥，从而使验证者相信，声称者正是其所声称的实体。其所声称的实体。n对称密码技术对称密码技术和和非对称密码技术非对称密码技术都可以被用来实现都可以被用来实现鉴别。鉴别。n1.1.基于对称密码算法的鉴别机制基于对称密码算法的鉴别机制声称者使用对称密钥加密或封装某一消息。如果验证者能声称者使用对称密钥加密或封装某一消息。如果验证者能成功地解密消息或验证封装是正确的，那么验证者相信，成功地解密消息或验证封装是正确的，那么验证者相信，消

10、息来自声称者。消息来自声称者。n2.基于公开密码算法的鉴别机制基于公开密码算法的鉴别机制声称者使用他的私有密钥签署某一消息，验证者使用声称声称者使用他的私有密钥签署某一消息，验证者使用声称者的公开密钥验证签名。者的公开密钥验证签名。如果签名能够被正确地验证，则验证者相信：声称者正是如果签名能够被正确地验证，则验证者相信：声称者正是他所声称的实体。他所声称的实体。3.3 Kerberos认证系统认证系统 Kerberos协议是80年代由MIT开发的一种协议。其命名是根据希腊神话中守卫冥王大门的长有三头的看门狗。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户；如果是，再审

11、核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密的基础上的。他采用可信任的第三方，密钥分发中心（KDC）保存与所有密钥持有者通信的保密密钥，其认证过程颇为复杂，下面简化叙之。AS身份认证服务器身份认证服务器USER登陆登陆提供提供USER信息信息 1、用户提供自己的信息给AS认证服务器 AS身份认证服务器USER用户和TGS之间的会话密钥TGT加密USER和AS共享密钥Output*Output*用户和TGS之间的会话密钥USER的信息加密TGS 和AS之间的共享密钥2、AS服务器认证USER的身份，并产生USER与TGS之间的会话密钥3、AS用TGS和

12、AS之间的共享密钥加密（USER信息+用户与TSG之间的会话密钥）得到TGT（注意：此 TGT文件USER无法解开）4、AS将（TGT+用户和TGS之间的会话密钥）用USER和AS共享密钥进行加密得到Output*TGS票据许可服务器USEROutput*2Output*TGTSERVEROutput*2USER和AS共享密钥解密解密用户和TGS之间的会话密钥TGT5、USER用自己和AS的共享密钥对Output*进行解密得到（用户和TGS之间的会话密钥+TGT）6、USER将要访问的服务器名+TGT得到Output*2发送给发送给TGSTGS票据许可服务器USEROutput*3TGTSER

13、VER解密TGS 和AS之间的共享密钥User访问SERVER的密钥Output*3USER和TGS之间的会话密钥USER的信息加密7、TGS票据许可服务器用自己和AS之间的共享密钥解密TGT得到（USER和TGS之间的会话密钥+USER的信息）8、TGS随机产生一个供User访问SERVER的密钥，并且用USER和TGS之间的会话密钥加密得到Output*3SERVERUSER解密解密User访问SERVER的密钥Output*3USER和TGS之间的会话密钥 User访问SERVER的密钥7、USER用自己和和TGS之间的会话密钥解密Output*3得到得到User访问SERVER的密钥8、USER用TGS分配的server密钥访问SERVER本章总结n掌握身份鉴别的基本概念掌握身份鉴别的基本概念n掌握非密码的身份鉴别机制掌握非密码的身份鉴别机制n掌握基于密码算法的身份鉴别机制掌握基于密码算法的身份鉴别机制n掌握掌握Kerberos认证原理认证原理n了解零知识证明原理及其他常用身份鉴别协议了解零知识证明原理及其他常用身份鉴别协议