[信息与通信]第02章 认证技术.ppt
《[信息与通信]第02章 认证技术.ppt》由会员分享,可在线阅读,更多相关《[信息与通信]第02章 认证技术.ppt(47页珍藏版)》请在三一文库上搜索。
1、第2章认证技术的原理与应用,2.1 认证相关概念 2.2 认证信息类型 2.3 认证的作用和意义 2.4 认证方法分类 2.5 认证实现技术 2.6 认证技术应用案例 2.7 本章小结 本章思考与练习,2.1 认证相关概念,认证就是一个实体向另外一个实体证明其所具有的某种特性的过程。在认证过程中,要用到两种基本安全技术,即标识技术(identification)和鉴别技术(authentication)。下面分别叙述。 (1) 标识。标识用来代表实体的身份,确保实体在系统中的惟一性和可辨认性,一般用名称和标识符(ID)来表示。通过惟一标识符,系统可以识别出访问系统的每个用户。例如,在网络环境中
2、,网络管理员常用IP地址、网卡地址作为计算机用户的标识。,(2) 鉴别。鉴别是指对实体身份的真实性进行识别。鉴别的依据是用户所拥有的特殊信息或实物,这些信息是秘密的,其他用户都不能拥有。系统根据识别和鉴别的结果,来决定用户访问资源的能力。 例如,通过IP地址的识别,网络管理员可以确定Web访问是内部用户访问还是外部用户访问。,2.2 认证信息类型,常用的鉴别信息主要有四种: (1) 所知,如用户口令、PIN (Personal Identification Number)。 (2) 所有,一般是不可伪造的设备,如智能卡、磁卡等。 (3) 生物特征信息,如指纹、声音、视网膜等。 (4) 上下文信
3、息,就是认证实体所处的环境信息、地理位置、时间等,例如IP地址等。,2.3 认证的作用和意义,认证的主要用途有三方面: (1) 验证网络资源访问者的身份,给网络系统访问授权提供支持服务。 (2) 验证网络信息的发送者和接收者的真实性,防止假冒。 (3) 验证网络信息的完整性,防止篡改、重放或延迟。,2.4 认证方法分类,2.4.1 单向认证 单向认证是指在网络服务认证过程中,服务方对客户方进行单方面的鉴别,而客户方不需要识别服务方的身份。 例如,假设一个客户需要访问某台服务器,单向认证只是由客户向服务器发送自己的ID和密码,然后服务器根据收到的密码和ID,进行比对检验,鉴别客户方的身份真实性。
4、 单向认证过程如图1所示,由六步构成:,图1 单向认证过程,第一步,客户向服务器发出访问请求; 第二步,服务器要求客户输入ID; 第三步,客户向服务器输入ID; 第四步,服务器要求客户输入密码; 第五步,客户向服务器输入密码; 第六步,服务器验证ID和密码,如果匹配,则允许客户进 行访问。,2.4.2 双向认证 双向认证是指在网络服务认证过程中,不仅服务方对客户方要进行鉴别,而且客户方也要鉴别服务方的身份。 双向认证增加了客户方对服务方的认证,这样就可以解决服务器的真假识别安全问题。 双向认证过程如图2所示,由九步构成:,图2 双向认证过程,第一步,客户向服务器发出访问请求; 第二步,服务器要
5、求客户输入ID; 第三步,客户向服务器输入ID; 第四步,服务器要求客户输入密码; 第五步,客户向服务器输入密码; 第六步,服务器验证ID和密码,如果匹配,允许客户进行访问; 第七步,客户提示服务器输入密码; 第八步,服务器按客户要求输入密码; 第九步,客户验证服务器。,在实际应用中,双向认证的代价要比单向认证高。 例如,一个拥有50个用户的网络,每个用户都可以和其他任何用户通信,所以每个用户都必须有能力对其他任一用户进行认证。另外,出于保密角度考虑,我们希望每个用户都有自己的个人密码。在这种情况下,每个用户必须存储所有其他用户的密码,也就是说每个工作站需要存储49个密码。如果新添加了一个用户
6、,或者有用户被删除了,于是每个人都要修改自己的密码表。由此可见,双向认证需要的代价高。,3.4.3 第三方认证 第三方认证是指在网络服务认证过程中,服务方和客户方的身份鉴别通过第三方来实现。第三方不仅负责维护认证信息,而且还负责验证双方的身份。 每个用户都把自己的ID和密码发送给可信第三方,由第三方负责认证过程。 此方法兼顾了安全性和密码存储的简单易行性。,2.5 认证实现技术,2.5.1 口令认证技术 口令认证是根据用户所知道的私有信息进行的身份鉴别,它不仅应用在网络系统中,也应用在日常生活中。 口令俗称“密码”,在计算机网络中,当需要访问网络设备、操作系统和网络服务时,系统常常要求用户输入
7、“用户名”和“密码”。 口令认证的优点就是简单,易于实现。例如,当用户以超级管理员身份访问Linux系统时,系统要求用户输入“root”用户名和root的口令信息,如图3所示。,图3 Linux的口令认证,但是,口令认证的不足之处是容易受到攻击,主要的攻击方式有窃听、重放、口令猜测等。因此,要实现口令认证的安全,应至少做到以下几点: * 口令信息要安全加密存储; * 口令信息要安全传输; * 口令选择要求做到避免弱口令。,针对口令猜测攻击,一般要求用户选择复杂的口令,即至少符合下列要求: * 口令长度至少为8个字符以上; * 口令应由大小写英文字母、数字、特殊字符组合而成; * 口令不能与帐号
8、名称相同; * 不能用生日、电话号码、门牌号等作为口令; * 所选口令不能包含在黑客攻击的字典库中。,同时,在口令认证管理上,应采取以下防范措施: (1) 限制帐号登录次数,建议为3次。 (2) 禁止共享帐号和口令。 (3) 口令文件应加密存放,只有超级用户能读取。 (4) 禁止以明文形式在网络上传递口令。 (5) 口令应有时效机制,经常更改,至少两周更新一次,并且禁止重用口令。 (6) 对所有帐号运行口令破解工具,以寻找弱口令或没有口令的帐号。 (7) 必须更换系统默认口令,避免使用默认口令。,2.5.2 智能卡技术 智能卡是一种带有存储器和微处理器的集成电路卡,能够安全存储认证信息,并具有
9、一定的计算能力。,2.5.3 基于生物特征认证 口令认证的缺陷是口令信息容易泄露,而智能卡又可能丢失或被伪造。在安全性要求高的环境中,这两种技术都难以满足安全需求。 基于生物特征认证就是指利用人类的生物特征来进行验证。目前,指纹、视网膜、语音等生物信息都可以被用来进行认证。人的指纹与生俱来,一生不变。视网膜认证是根据人眼视网膜中血管分布模式的不同来进行身份鉴别的。语音认证则是依靠人的声音的频率来判断不同人的身份。,2.5.4 Kerberos Kerberos的基本原理是利用对称密码技术,通过可信第三方来认证用户身份,并在用户和服务器之间建立安全信道。 例如,Alice和Bob分别与可信第三方
10、共享密钥,如果用户Alice要访问Bob提供的服务,那么Alice首先向第三方申请一个用于访问Bob服务的票据TGT(Ticket Granting Ticket),然后第三方向Alice提供一个Bob的服务票据TGS(Ticket Granting Server)及用于Alice和Bob之间安全会话的密钥,最后Alice利用第三方提供的服务票据和会话密钥,访问Bob服务并进行安全通信。 Kerberos由美国麻省理工学院(MIT)研制实现。 Kerberos认证系统可以用来对网络上通信的实体进行相互身份认证,并且能够防止止旁听和重放等攻击。,一个Kerberos系统涉及到四个基本实体: *
11、Kerberos客户机:用户用来访问服务器的设备。 * AS(Authentication Server):为用户分发TGT(Ticket Granting Ticket)的服务器。用户使用TGT(Ticket Granting Ticket)向TGS(Ticket Granting Server)证明自己的身份。 * TGS(Ticket Granting Server):为用户分发到最终目的票据的服务器,用户使用这个票据向自己要求提供服务的服务器证明自己的身份。 * 应用服务器(Application Server):为用户提供特定服务。,在Kerberos系统中,票据(Ticket)是用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息与通信 信息与通信第02章 认证技术 信息 通信 02 认证 技术
链接地址:https://www.31doc.com/p-2001041.html