身份认证技术

身份认证技术在网络空间安全中的重要性及应用本节主要内容身份认证技术概述1基于口令的身份认证2对称密码认证3非对称密码认证4生物认证技术5移动互联时代的认证技术6概述-信息的基础是身份认证数学家、信息论的创始人仙农在题为“通讯的数学理论”的论文中指出：“信息是用来消除随机不定性的东西”。著名数学家、控制论的创始人维纳在指出：“信息是人们适应外部世界并且使这种适应反作用于外部世界的过程中，同外部世界进行交换的内容的名称。”信息=确定性的内容的名称；内容的名称=ID，确定性=Certainty身份认证是信息交互的基础（信息化的第一道门）概述-概念概念身份认证是网络安全的核心，其目的是防止未授权用户访问网络资源。身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程提供的安全服务作为访问控制服务的一种必要支持，访问控制服务的执行依赖于确知的身份作为提供数据源认证的一种可能方法（当与数据完整性机制结合起来使用时）作为对责任原则的一种直接支持，如审计追踪中提供与某活动相联系的确知身份概述-身份认证基本途径基于你所知道的（Whatyouknow）知识、口令、密码基于你所拥有的（Whatyouhave）身份证、信用卡、钥匙、智能卡、令牌等基于你的个人特征（Whatyouare）指纹，笔迹，声音，手型，脸型，视网膜，虹膜双因素、多因素认证综合上述两种或多种因素进行认证。如ATM机取款需要银行卡+密码双因素认证概述-身份认证的基本模型身份认证系统一般组成：示证者，验证者，攻击者及可信第三方（可选）示证者（Claimant，也称申请者）提出某种要求验证者（Verifier）验证示证者出示的证件的正确性与合法性，并决定是否满足其要求。攻击者（Attacker）可以窃听或伪装示证者，骗取验证者的信任。概述-身份认证的基本模型可信第三方(TrustedThirdParty)在必要时作为第四方出现可参与调节纠纷认证信息AI（AuthenticationInformation）申请AI验证AI申请AI验证AI交换AI概述-需求唯一的身份标识（ID）:抗被动的威胁（窃听），口令不在网上明码传输抵抗主动的威胁，比如阻断、伪造、重放，网络上传输的认证信息不可重用源目的sniffer概述-需求双向认证域名欺骗、地址假冒等路由控制单点登录（SingleSign-On）用户只需要一次认证操作就可以访问多种服务可扩展性的要求基于口令的身份认证1.挑战/响应认证（Challenge/Response）2.一次性口令（OTP,One-TimePassword）3.口令的管理挑战/应答认证协议（CHAP）ChallengeandResponseHandshakeProtocolClient和Server共享一个密钥Login,IDcIDc,RIDc,MACcMAC=H(R,K)sMAC’=H(R,K)比较MAC’和MACOK/DisconnectMAC的计算可以基于Hash算,对称密钥算法，公开密钥算法一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。确定口令的方法：（1）两端共同拥有一串随机口令，在该串的某一位置保持同步；（2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；（3）使用时间戳，两端维持同步的时钟。一次性口令认证（OTP）一次性口令认证（OTP）S/KeySecurIDTokenServerchallengeOTPPassphrase+challengeOTP://SKEY验证程序其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数R，计算机计算f（R）,f（f（R）），f（f（f（R））），…,共计算100次，计算得到的数为x1,x2,x3,…x100，A打印出这样的表，随身携带，计算机将x101存在A的名字旁边。第一次登录，键入x100以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。一次性口令认证（OTP）众人科技的介绍口令管理口令管理口令属于“他知道什么”这种方式，容易被窃取。口令的错误使用：•选择一些很容易猜到的口令；•把口令告诉别人；•把口令写在一个贴条上并把它贴在键盘旁边。口令管理的作用：•生成了合适的口令•口令更新•能够完全保密口令管理口令的要求：包含一定的字符数；和ID无关；包含特殊的字符；大小写；不容易被猜测到。跟踪用户所产生的所有口令，确保这些口令不相同，定期更改其口令。使用字典式攻击的工具找出比较脆弱的口令。许多安全工具都具有这种双重身份：•网络管理员使用的工具：口令检验器•攻击者破获口令使用的工具：口令破译器口令管理口令产生器不是让用户自己选择口令，口令产生器用于产生随机的和可拼写口令。口令的时效强迫用户经过一段时间后就更改口令。系统还记录至少5到10个口令，使用户不能使用刚刚使用的口令。限制登录次数免受字典式攻击或穷举法攻击对称密码认证基于对称密码算法的鉴别依靠一定协议下的数据加密处理。通信双方共享一个密钥（通常存储在硬件中），该密钥在询问—应答协议中处理或加密信息交换。单向认证：仅对实体中的一个进行认证。双向认证：两个通信实体相互进行认证。对称密码认证-Kerberos1.Kerberos简介2.Kerberos缺陷Kerberos简介Kerberos麻省理工学院为Athena项目开发的一个认证服务系统目标是把UNIX认证、记帐、审计的功能扩展到网络环境：公共的工作站，只有简单的物理安全措施集中管理、受保护的服务器多种网络环境，假冒、窃听、篡改、重发等威胁基于Needham-Schroeder认证协议，可信第三方基于对称密钥密码算法,实现集中的身份认证和密钥分配,通信保密性、完整性Kerberos的工作原理假设你要在一台电脑上访问另一个服务器（你可以发送telnet或类似的登录请求）。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。要得到这张入场券，你首先要向验证服务器（AS）请求验证。验证服务器会创建基于你的密码（从你的用户名而来）的一个“会话密钥”（就是一个加密密钥），并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。然后，你把这张允许入场的入场券发到授权服务器（TGS）。TGS物理上可以和验证服务器是同一个服务器，只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。服务器或者拒绝这张票据，或者接受这张票据并执行服务。因为你从TGS收到的这张票据是打上时间戳的，所以它允许你在某个特定时期内（一般是八小时）不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。中注册，共享密钥KC，KV（1）CAS:IDc||Pc||IDV（2）ASC:Ticket（3）CV:IDc||TicketTicket=EKv(IDc||ADc||IDv)ASVC（1）（2）C=ClientAS=AuthenticationServerV=ServerIDc=identifierofUseronCIDv=identifierofVPc=passwordofuseronCADc=networkaddressofCKv=secretkeysharedbyeASandV||=concatention问题一：明文传输口令问题二：每次访问都要输入口令一个更加安全的认证对话认证服务（AS）票据发放服务（TicketGrantingService）票据（Ticket）是一种临时的证书，用tgs或应用服务器的密钥加密TGS票据服务票据加密：一个更加安全的认证对话问题一：票据许可票据tickettgs的生存期如果太大，则容易造成重放攻击如果太短，则用户总是要输入口令问题二：如何向用户认证服务器解决方法增加一个会话密钥(SessionKey)AuthenticationDialoginhighersecurelevelAuthenticationDialog(Authenticateonceforeachlogin)（1）CAS:IDC||IDtgs（2）ASC:EKc[Tickettgs]Tickettgs=EKtgs[IDC||ADC||IDtgs||TS1||Lifetime1]Acquiretheserviceticket(onceforeachkindofservice)（3）CTGS:IDC||IDv||Tickettgs（4）TGSC:TicketvTicketv=EKv[IDC||ADC||IDV||TS2||Lifetime2]VisitingService(Onceforeachdialog)（5）CV:IDc||TicketvASVCTGS（5）ThepasswordisnottransmittedviatheinternetTickettgscanbereused,multipleservicescanbeappliedwithonetickettgsAuthenticationinMultipleAdministrativeDomainsEnvironmentClientASTGSKerberosASTGSKerberosServer3.ApplyforremotetickettgsSharetheencryptionkeyMutualregistrationTheDefectsofSymmetricalgorithmsThebothpartiesofthecommunicationusethesameencryptionkey,thesecuritycannotbeguaranteed.Thesecurityofsymmetricalgorithmsdependsontheencryptionkey.Ifthekeyislost,thewholeencryptionsystemwillbeinvalid.Anuniquekeyneedstobeusedwhenapairofusersusethesymmetricalgorithm.Thatmakesahugeamountofkeys.Themanagementofthesekeysbecomesaheavyburdenandinthemeantimegenerateveryhighcost.InthisInfrastructure,theclaimerneedstoprovehisidentitybyprovidingtheencryptionkey.Thiscouldberealizedbysignamessagewithhisencryptionkey.Themessagecouldincludeaduplicatevaluetodefendthereplayattacks.Theverifierneedstohavetheencryptionkeyoftheclaimer,whiletheclaimerneedstohavetheprivatekeyonlyknownandusedbyhimself.PKIAuthenticationREVIEW-PKI1、Cause–thesecurityproblemofthepublickeydistribution•Abasicchallenge/responseprotocol