《现代认证技术知识讲义》由会员分享,可在线阅读,更多相关《现代认证技术知识讲义(40页珍藏版)》请在金锄头文库上搜索。
1、本资料来源上节的主要内容逻辑安全的主要威胁及解决办法PKI的含义数字证书的内容数字证书的验证CRL(证书撤销列表)的结构数字证书的应用第六讲 认证技术认证技术认证的简介口令认证认证令牌X.509认证生物特征认证消息认证码认证的举例 认证活动一直贯穿于人类的学习与生活:新生入学时,学校要查看他们的入学录取通知书,这是学校对于学生的认证,以便识别你是张三而不是李四;去银行取钱时,要出示用户的存折卡,一般还要输入用户的密码,这是银行对储户的认证。上述情况都是认证活动在我们生活中的体现。简单说,信息认证也是对我们现实世界的数字模拟。认证的需求和目的问题的提出 身份欺诈。认证的需求 某一成员(声称者)提
2、交一个主体的身份并声称它是那个主体。认证目的 使别的成员(验证者)获得对声称者所声称的事实的信任。认证(Authentication)的作用认证就是确认实体(或消息)是它所声明的。认证是最重要的安全服务之一。认证服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务)认证可以对抗假冒攻击的危险。认证的两种情形身份认证:某一实体确信与之打交道的实体正是所需要的实体。只是简单地认证实体本身的身份,不会和实体想要进行何种活动相联系。消息认证:鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体,也不是为了允许实体执行下一步的操作而认证它的身份,而是为了确定被认证的实体与一
3、些特定数据项有着静态的不可分割的联系。身份认证的分类单向认证是指通信双方中只有一方向另一方进行认证。双向认证是指通信双方相互进行认证。 身份认证系统的简介一方是出示证件的人,称作示证者P(Prover),又称声称者(Claimant)。另一方为验证者V(Verifier),检验声称者提出的证件的正确性和合法性,决定是否满足要求。一个安全的身份识别协议至少应满足以 下两个条件: 1.示证者A能向验证者B证明他的确是A。2.在示证者A向验证者B证明他的身份后,验证者B没有获得任何有用的信息,B不能模仿A向第三方证明他是A。零知识的基本思想ABC D 你向别人证明你知道某种事物或具有某种东西,而且别
4、你向别人证明你知道某种事物或具有某种东西,而且别人并不能通过你的证明知道这个事物或这个东西,也就是人并不能通过你的证明知道这个事物或这个东西,也就是不泄露你掌握的这些信息。不泄露你掌握的这些信息。 (1) V站在A点; (2) P进入洞中任一点C或D; (3) 当P进洞之后,V走到B点; (4) V叫P:(a)从左边出来,或(b)从右边出来; (5) P按要求实现(以咒语打开门); (6) P和V重复执行 (1)(5)共n次。身份认证的分类所知 密码、口令等。 所有 身份证、护照、密钥盘、Usb Key等。所是 指纹、笔迹、声音、虹膜、DNA等口令 散列口令认证口令更改散列口令系统不存储明文。
5、明文不再网上传输。根据摘要无法推出口令。重放攻击。穷举攻击改进方案(一)改进方案(二)口令更新对于大部分系统而言,初始化时,系统管理员给每个用户指定一个通过散列计算出来的临时口令,认证数据库中保存临时口令的摘要。然后,管理员通过某些带外的方式,如邮件或者电话,告诉用户的口令。用户口令应定期修改口令更新的实现口令小结口令是当前最常用的认证方式现代口令系统以质询/响应系统和散列密码算法为基础 明文口令不存储在任何地方 系统管理员不知道终端用户口令用户第一次登入时需要更改口令口令事实上是最昂贵的认证方式之一认证令牌认证令牌是简单口令最常见的替代品。认证令牌就是为每一次认证产生一个用于认证的新值的设备
6、。认证令牌一般是由一个处理器、一个液晶显示屏(LCD)和一块电池组成的。每个令牌都用称为种子唯一值的编程,种子可确保每个令牌产生唯一的输出代码。认证服务器必须知道每个令牌的编程种子数。令牌认证是双因子认证(口令是单因子)。认证令牌类型 质询/响应令牌。时间令牌。质询/响应令牌质询/响应令牌(续1)质询/响应令牌(续2)时间令牌质询/响应令牌的缺陷: 用户认证必须准确地读取两个不同值(质询和响应) 正确地输入三个不一样的数值(PIN、质询、响应)时间令牌是更容易的令牌时间令牌的实现时钟的同步令牌时钟在生产过程时对其初始化并植入了校对因子。令牌每60秒产生一个新的通行字。认证服务器通过以服务器时钟
7、为中心点,加上或减去几分钟的滑动窗口来尝试和查找认证通行码,同时调整时间偏移量。如果通行码在内部窗口未获匹配,则在大窗口内查找,若匹配,用户需在输入一次确保用户不是伪造的,再次匹配,认证通过并同时调整时间偏移量,否则,认证不通过。认证令牌小结认证令牌主要有两种类型:质询/响应和时间令牌。认证令牌引入了双因素认证的概念质询/响应令牌看起来很像一个小计算器,有一个液晶显示屏(LCD)和一个小键盘。用户通过小键盘输入质询和PIN。令牌计算出响应并显示在液晶显示屏上,用户把响应输入到登录提示符下。本质上,质询/响应令牌对种子数和质询一起进行散列运算生成一个伪随机数,然后截取该数的部分字符显示在液晶显示
8、屏上。质询/响应令牌和基于口令的质询/响应方案不同在于它需要对产生的伪随机数进行截取。认证令牌小结(续)时间令牌看起来好像一个小钥匙装饰物,只有液晶显示屏而没有小键盘。用户只要在登录提示符下输入PIN,紧接着输入令牌产生的伪随机数即可。实质上,时间令牌维护着一个实时时钟,它的输出与种子数一起参加散列运算产生一个伪随机数,然后截取部分字符显示在液晶显示屏上。时间令牌关键在于时钟同步、校对、窗口设置。尽管我们在这里并没有涉及到,但是确实有一种用软件实现的令牌,运行在PC上,PDA和手机上等,可以把这些设备变成认证令牌。X.509(数字证书) 的认证AA tA tA A, r, rA A, B, s
9、ign(, B, sign(r rA A,t ,tA A), E), EKUbKUb(K(Kabab) )X.509X.509的单向认证的单向认证BA1 1 A A tA, r, rA A, B, , B, sign(rsign(rA A,t ,tA A), ), E EKUbKUb(K(Kabab) )X.509X.509的双向认证的双向认证B2 2 B B tB, rB, A, rA, sign(rB,tB), EKUa(Kba)生物特征认证虹膜识别技术 (眼睛中瞳孔内的织物状的各色环状物 )视网膜识别技术(激光照射眼球的背面以获得视网膜特征)面部识别技术声音识别技术 指纹识别技术生物特征
10、数据生物统计学用于测定用户的一些物理特征。系统在用户每次出示生物特征是采集到的特征数据是不同的。生物认证并不是真正的匹配。系统没有生物特征的完整记录,而只拥有一些典型特征数据。生物认证的关键技术在于生物特征值的提取和匹配。两个重要性能指标错误接受率(False Accept Ratio,FAR) 衡量用户本应该遭到拒绝却被系统接受的可能性。错误拒绝率(False Reject Ratio,FRR) 衡量用户本应该被系统接受却遭到拒绝的可能性。生物特征认证的优点易用的生物特征的解决方案。 一对一匹配 一对多匹配 基于安全的生物特征解决方案。 双因子认证 3因子认证指纹一对多匹配举例指纹应用举例消
11、息认证码消息认证码(MAC,Messages Authentication Codes),是与密钥相关的的单向散列函数,也称为消息鉴别码或是消息校验和。MAC与单向散列函数一样,但是还包括一个密钥。不同的密钥会产生不同的散列函数,这样就能在验证发送者的消息没有经过篡改的同时,验证是由哪一个发送者发送的。消息认证码的实现过程认证小结 口令不足以保护重要资源,但具有成本低、易实现等特点。 认证令牌,特别是时间令牌,是基于口令的强认证方式。 X.509(数字证书)的认证方式是安全的,但依赖于PKI平台。 生物特征认证是复杂的,成熟的,有较好的应用前景。 消息认证码MAC是安全和高效的。讨论题1。 根据所学内容,请为聊天室设计一个身份认证方案。2。在可信第三方KDC(密钥管理中心)环境中,基于对称加密算法的协议,如何实现双向认证。 (提示:认证双方A和B同KDC都有共享密钥EA和EB)
