您好,欢迎访问三七文档
第六讲认证技术认证技术认证的简介口令认证认证令牌X.509认证生物特征认证消息认证码认证的举例认证活动一直贯穿于人类的学习与生活:新生入学时,学校要查看他们的入学录取通知书,这是学校对于学生的认证,以便识别你是张三而不是李四;去银行取钱时,要出示用户的存折卡,一般还要输入用户的密码,这是银行对储户的认证。上述情况都是认证活动在我们生活中的体现。简单说,信息认证也是对我们现实世界的数字模拟。认证的需求和目的问题的提出身份欺诈。认证的需求某一成员(声称者)提交一个主体的身份并声称它是那个主体。认证目的使别的成员(验证者)获得对声称者所声称的事实的信任。认证(Authentication)的作用认证就是确认实体(或消息)是它所声明的。认证是最重要的安全服务之一。认证服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务)认证可以对抗假冒攻击的危险。认证的两种情形身份认证:某一实体确信与之打交道的实体正是所需要的实体。只是简单地认证实体本身的身份,不会和实体想要进行何种活动相联系。消息认证:鉴定某个指定的数据是否来源于某个特定的实体。不是孤立地鉴别一个实体,也不是为了允许实体执行下一步的操作而认证它的身份,而是为了确定被认证的实体与一些特定数据项有着静态的不可分割的联系。身份认证的分类单向认证是指通信双方中只有一方向另一方进行认证。双向认证是指通信双方相互进行认证。身份认证系统的简介一方是出示证件的人,称作示证者P(Prover),又称声称者(Claimant)。另一方为验证者V(Verifier),检验声称者提出的证件的正确性和合法性,决定是否满足要求。一个安全的身份识别协议至少应满足以下两个条件:1.示证者A能向验证者B证明他的确是A。2.在示证者A向验证者B证明他的身份后,验证者B没有获得任何有用的信息,B不能模仿A向第三方证明他是A。零知识的基本思想ABCD你向别人证明你知道某种事物或具有某种东西,而且别人并不能通过你的证明知道这个事物或这个东西,也就是不泄露你掌握的这些信息。(1)V站在A点;(2)P进入洞中任一点C或D;(3)当P进洞之后,V走到B点;(4)V叫P:(a)从左边出来,或(b)从右边出来;(5)P按要求实现(以咒语打开门);(6)P和V重复执行(1)~(5)共n次。身份认证的分类所知密码、口令等。所有身份证、护照、密钥盘、UsbKey等。所是指纹、笔迹、声音、虹膜、DNA等口令散列口令认证口令更改散列口令系统不存储明文。明文不再网上传输。根据摘要无法推出口令。重放攻击。穷举攻击认证系统摘要输入终端明文口令口令散列摘要摘要匹配吗?改进方案(一)认证系统摘要输入终端明文口令口令散列摘要摘要匹配吗?响应质询质询响应质询’随机数使用摘要作为密钥加密质询产生响应使用摘要作为密钥解密响应产生质询’改进方案(二)认证系统摘要输入终端明文口令散列摘要匹配吗?响应质询质询响应响应’随机数散列散列口令更新对于大部分系统而言,初始化时,系统管理员给每个用户指定一个通过散列计算出来的临时口令,认证数据库中保存临时口令的摘要。然后,管理员通过某些带外的方式,如邮件或者电话,告诉用户的口令。用户口令应定期修改口令更新的实现认证系统摘要输入终端用户提供的新口令散列摘要2摘要2的密文摘要1摘要1管理员提供的口令散列摘要2的密文摘要2使用摘要1作为密钥解密摘要2用摘要2替换数据库中的摘要1使用摘要1作为密钥加密摘要2口令小结口令是当前最常用的认证方式现代口令系统以质询/响应系统和散列密码算法为基础明文口令不存储在任何地方系统管理员不知道终端用户口令用户第一次登入时需要更改口令口令事实上是最昂贵的认证方式之一认证令牌认证令牌是简单口令最常见的替代品。认证令牌就是为每一次认证产生一个用于认证的新值的设备。认证令牌一般是由一个处理器、一个液晶显示屏(LCD)和一块电池组成的。每个令牌都用称为种子唯一值的编程,种子可确保每个令牌产生唯一的输出代码。认证服务器必须知道每个令牌的编程种子数。令牌认证是双因子认证(口令是单因子)。认证令牌类型质询/响应令牌。时间令牌。质询/响应令牌认证系统种子数质询/响应令牌种子数种子数匹配吗?响应质询质询响应质询’随机数使用种子数作为密钥加密质询产生响应使用种子数作为密钥解密响应产生质询’通过令牌小键盘输入质询从令牌LCD中读取响应并在登录提示符下将其输入质询/响应令牌(续1)认证系统种子数质询/响应令牌种子数种子数匹配吗?响应质询质询响应响应’随机数使用种子数作为密钥加密质询使用种子数运行相同的加密算法通过令牌小键盘输入质询从令牌LCD中读取响应并在登录提示符下将其输入按需要截取适当长度的字符串作为响应使用相同方法截取加密结果质询/响应令牌(续2)认证系统种子数质询/响应令牌种子数种子数匹配吗?响应质询质询响应响应’随机数通过令牌小键盘输入质询从令牌LCD中读取响应并在登录提示符下将其输入按需要截取适当长度的字符串作为响应使用相同方法截取加密结果散列散列时间令牌质询/响应令牌的缺陷:用户认证必须准确地读取两个不同值(质询和响应)正确地输入三个不一样的数值(PIN、质询、响应)时间令牌是更容易的令牌时间令牌的实现认证系统种子数时间令牌种子数种子数匹配吗?通行证通行证通行证’令牌有内内部时钟从令牌LCD中读取通行证并在登录提示符下将其输入按需要截取适当长度的字符串作为响应使用相同方法截取加密结果散列散列09129155服务器时钟和令牌时钟各自独立运行时钟的同步令牌时钟在生产过程时对其初始化并植入了校对因子。令牌每60秒产生一个新的通行字。认证服务器通过以服务器时钟为中心点,加上或减去几分钟的滑动窗口来尝试和查找认证通行码,同时调整时间偏移量。如果通行码在内部窗口未获匹配,则在大窗口内查找,若匹配,用户需在输入一次确保用户不是伪造的,再次匹配,认证通过并同时调整时间偏移量,否则,认证不通过。认证令牌小结认证令牌主要有两种类型:质询/响应和时间令牌。认证令牌引入了双因素认证的概念质询/响应令牌看起来很像一个小计算器,有一个液晶显示屏(LCD)和一个小键盘。用户通过小键盘输入质询和PIN。令牌计算出响应并显示在液晶显示屏上,用户把响应输入到登录提示符下。本质上,质询/响应令牌对种子数和质询一起进行散列运算生成一个伪随机数,然后截取该数的部分字符显示在液晶显示屏上。质询/响应令牌和基于口令的质询/响应方案不同在于它需要对产生的伪随机数进行截取。认证令牌小结(续)时间令牌看起来好像一个小钥匙装饰物,只有液晶显示屏而没有小键盘。用户只要在登录提示符下输入PIN,紧接着输入令牌产生的伪随机数即可。实质上,时间令牌维护着一个实时时钟,它的输出与种子数一起参加散列运算产生一个伪随机数,然后截取部分字符显示在液晶显示屏上。时间令牌关键在于时钟同步、校对、窗口设置。尽管我们在这里并没有涉及到,但是确实有一种用软件实现的令牌,运行在PC上,PDA和手机上等,可以把这些设备变成认证令牌。X.509(数字证书)的认证AA{tA,rA,B,sign(rA,tA),EKUb(Kab)}X.509的单向认证BA1.A{tA,rA,B,sign(rA,tA),EKUb(Kab)}X.509的双向认证B2.B{tB,rB,A,rA,sign(rB,tB),EKUa(Kba)}生物特征认证虹膜识别技术(眼睛中瞳孔内的织物状的各色环状物)视网膜识别技术(激光照射眼球的背面以获得视网膜特征)面部识别技术声音识别技术指纹识别技术生物特征数据生物统计学用于测定用户的一些物理特征。系统在用户每次出示生物特征是采集到的特征数据是不同的。生物认证并不是真正的匹配。系统没有生物特征的完整记录,而只拥有一些典型特征数据。生物认证的关键技术在于生物特征值的提取和匹配。两个重要性能指标错误接受率(FalseAcceptRatio,FAR)衡量用户本应该遭到拒绝却被系统接受的可能性。错误拒绝率(FalseRejectRatio,FRR)衡量用户本应该被系统接受却遭到拒绝的可能性。生物特征认证的优点易用的生物特征的解决方案。一对一匹配一对多匹配基于安全的生物特征解决方案。双因子认证3因子认证指纹一对多匹配举例指纹应用举例消息认证码消息认证码(MAC,MessagesAuthenticationCodes),是与密钥相关的的单向散列函数,也称为消息鉴别码或是消息校验和。MAC与单向散列函数一样,但是还包括一个密钥。不同的密钥会产生不同的散列函数,这样就能在验证发送者的消息没有经过篡改的同时,验证是由哪一个发送者发送的。消息认证码的实现过程消息认证码消息Hash函数消息摘要公开信道认证码消息Hash函数消息摘要相等认证有效认证无效密钥K接收方发送方否是密钥K认证小结口令不足以保护重要资源,但具有成本低、易实现等特点。认证令牌,特别是时间令牌,是基于口令的强认证方式。X.509(数字证书)的认证方式是安全的,但依赖于PKI平台。生物特征认证是复杂的,成熟的,有较好的应用前景。消息认证码MAC是安全和高效的。讨论题1。根据所学内容,请为聊天室设计一个身份认证方案。2。在可信第三方KDC(密钥管理中心)环境中,基于对称加密算法的协议,如何实现双向认证。(提示:认证双方A和B同KDC都有共享密钥EA和EB)谢谢!
本文标题:认证技术4
链接地址:https://www.777doc.com/doc-4572724 .html