信息安全技術(shù)教程清華大學(xué)出版社-第三章.ppt
《信息安全技術(shù)教程清華大學(xué)出版社-第三章.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《信息安全技術(shù)教程清華大學(xué)出版社-第三章.ppt(22頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
第3章認(rèn)證技術(shù) 3 1基本概念3 2認(rèn)證組成3 3認(rèn)證技術(shù)3 4習(xí)題 3 1基本概念 定義認(rèn)證是驗(yàn)證某個(gè)人或系統(tǒng)身份的過程 就是向認(rèn)證機(jī)構(gòu)提供信息確認(rèn)某個(gè)人或系統(tǒng)是否是它聲稱的那個(gè)人或系統(tǒng) 要求用戶出具來一定的證據(jù)證明自己 證據(jù)建立的因子用戶所知道的 用戶所擁有的和用戶本身特有的 用戶所知道的指用戶心里知道的一些東西 可能是一個(gè)口令 或用戶和認(rèn)證者共享的一個(gè)機(jī)密字 用戶所擁有的指用戶獲取的關(guān)于身份識(shí)別的各種物理實(shí)體 如安全內(nèi)核 動(dòng)態(tài)口令卡 安全暗號(hào) 或者其他任何形式的卡或標(biāo)簽 用戶所特有的指用戶本身特有的生物特征 比如聲音 指紋 虹膜等其他一些生物特征 3 2認(rèn)證組成 一個(gè)認(rèn)證系統(tǒng)由五部分組成 請(qǐng)求認(rèn)證的用戶或工作組 用戶或工作組提供的用于認(rèn)證的特征信息 認(rèn)證機(jī)構(gòu) 認(rèn)證機(jī)制以及接受或拒絕訪問系統(tǒng)資源的訪問控制機(jī)制 用戶或工作組如果是個(gè)人用戶 需要向認(rèn)證機(jī)構(gòu)出示證據(jù)來證明確實(shí)已被授權(quán)訪問系統(tǒng)的資源 如果是工作組 也必須向認(rèn)證機(jī)構(gòu)提供證據(jù)證明工作組中的每一個(gè)用戶成員都被授權(quán)訪問系統(tǒng)的資源 特征信息用戶向認(rèn)證機(jī)構(gòu)提供的用于認(rèn)證身份的信息如前所述 這些信息分為四種類型 用戶所知道的 用戶所擁有的 用戶本身特有的和用戶的位置認(rèn)證機(jī)構(gòu)指識(shí)別用戶并指明用戶是否被授權(quán)訪問系統(tǒng)資源的組織或設(shè)備 通過執(zhí)行完整的認(rèn)證機(jī)制來認(rèn)證用戶的身份 認(rèn)證機(jī)制由三部分組成 分別是輸入組件 傳輸系統(tǒng)和核實(shí)器輸入組件是用戶和認(rèn)證系統(tǒng)之間的接口 用于將用戶認(rèn)證信息傳輸給認(rèn)證系統(tǒng) 傳輸系統(tǒng)負(fù)責(zé)在認(rèn)證系統(tǒng)內(nèi)部各個(gè)組件之間傳遞信息核實(shí)器是認(rèn)證過程的關(guān)鍵組件 完成對(duì)用戶認(rèn)證信息的分析計(jì)算 訪問控制單元用戶身份信息經(jīng)核實(shí)器分析計(jì)算的結(jié)果通過傳輸系統(tǒng)傳輸?shù)皆L問控制單元 在這里 訪問控制單元反復(fù)核對(duì)這些信息與數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶認(rèn)證信息是否匹配 完整認(rèn)證過程 3 3認(rèn)證技術(shù) 3 3 1口令認(rèn)證3 3 2公鑰認(rèn)證3 3 3遠(yuǎn)程認(rèn)證3 3 4匿名認(rèn)證3 3 5基于數(shù)字簽名的認(rèn)證 3 3 1口令認(rèn)證 口令認(rèn)證是最古老最簡(jiǎn)單的一種認(rèn)證方法 經(jīng)常作為系統(tǒng)的默認(rèn)設(shè)置 口令認(rèn)證包括可重用口令認(rèn)證 一次性口令認(rèn)證 挑戰(zhàn)應(yīng)答口令認(rèn)證和混合口令認(rèn)證可重用口令認(rèn)證用戶認(rèn)證 通常由申請(qǐng)使用系統(tǒng)資源的用戶發(fā)起 客戶端認(rèn)證 一般情況下 用戶請(qǐng)求服務(wù)器的認(rèn)證 然后被授權(quán)使用系統(tǒng)資源缺點(diǎn) 安全隱患 易于破解 一次性口令認(rèn)證一次性口令認(rèn)證也被稱為會(huì)話認(rèn)證 認(rèn)證中的口令只能被使用一次 然后被丟棄 從而減少了口令被破解的可能性 在一次性口令認(rèn)證中 口令值通常是被加密的 避免明文形式的口令被攻擊者截獲 最常見的一次性口令認(rèn)證方案是S Key和Token方案 1 S Key口令基于MD4和MD5加密算法產(chǎn)生 采用客戶 服務(wù)器模式客戶端負(fù)責(zé)用hash函數(shù)產(chǎn)生每次登陸使用的口令 服務(wù)器端負(fù)責(zé)一次性口令的驗(yàn)證 并支持用戶密鑰的安全交換 在認(rèn)證的預(yù)處理過程中 服務(wù)器將種子以明文形式發(fā)送給客戶端 客戶端將種子和密鑰拼接在一起得到S 然后 客戶端對(duì)S進(jìn)行hash運(yùn)算得到一系列一次性口令 S Key保護(hù)認(rèn)證系統(tǒng)不受外來的被動(dòng)攻擊 但是無法阻止竊聽者對(duì)私有數(shù)據(jù)的訪問 無法防范攔截并修改數(shù)據(jù)包的攻擊 無法防范內(nèi)部攻擊 2 Token 令牌 口令這種方法要求在產(chǎn)生口令的時(shí)候使用認(rèn)證令牌 根據(jù)令牌產(chǎn)生的不同 又分為兩種方式 挑戰(zhàn)應(yīng)答式和時(shí)間同步式 挑戰(zhàn)應(yīng)答式 時(shí)間同步式在這種方式中 服務(wù)器上存儲(chǔ)有用戶的種子密鑰 用來產(chǎn)生口令 用戶擁有的口令卡里同樣存儲(chǔ)有用戶的種子密鑰 進(jìn)行認(rèn)證時(shí) 用戶向系統(tǒng)提供PIN值以及由口令卡根據(jù)當(dāng)前時(shí)間計(jì)算的口令值 服務(wù)器將用戶提供的口令和自己計(jì)算所得的口令進(jìn)行對(duì)比 認(rèn)證用戶 3 3 2公鑰認(rèn)證 定義公鑰認(rèn)證要求每個(gè)用戶首先產(chǎn)生一對(duì)由公鑰和私鑰組成的密鑰對(duì) 并存儲(chǔ)在文件中 每個(gè)密鑰對(duì)由密鑰產(chǎn)生裝置產(chǎn)生 通常是1024到2048比特 用戶把公鑰公布出來 而私鑰由本人保存 用途公鑰系統(tǒng)被認(rèn)證系統(tǒng)用來增加系統(tǒng)的安全 中央認(rèn)證服務(wù)器 通常稱為訪問控制服務(wù)器 ACS 負(fù)責(zé)使用公鑰系統(tǒng)進(jìn)行認(rèn)證 主要實(shí)例安全套接層 SSL 認(rèn)證 Kerberos認(rèn)證 以及MD5認(rèn)證 MD5即Message DigestAlgorithm5 信息 摘要算法5 它是一個(gè)安全散列函數(shù) 將任意長(zhǎng)度的消息映射為一個(gè)128位的大整數(shù) 用以提供信息的完整性保護(hù) 算法過程MD5以512位分組來處理輸入的信息 且每一分組又被劃分為16個(gè)32位子分組 經(jīng)過了一系列的處理后 算法的輸出由四個(gè)32位分組組成 將這四個(gè)32位分組級(jí)聯(lián)后將生成一個(gè)128位散列值 以下是每次操作中用到的四個(gè)非線性函數(shù) 其基本方式為求余 取余 調(diào)整長(zhǎng)度 與鏈接變量進(jìn)行循環(huán)運(yùn)算 最終得出結(jié)果 F X Y Z X Y X Z G X Y Z X Z Y Z H X Y Z X Y ZI X Y Z Y X Z MD5運(yùn)算原理由類似的64次循環(huán)構(gòu)成 分成4組16次 F表示一個(gè)非線性函數(shù) 一個(gè)函數(shù)運(yùn)算一次 Mi表示一個(gè)32位的輸入數(shù)據(jù) Ki表示一個(gè)32位常數(shù) 用來完成每次不同的計(jì)算 MD5典型應(yīng)用產(chǎn)生信息摘要 防止被篡改MD5將整個(gè)文件當(dāng)作一個(gè)大文本信息 通過其不可逆的字符串變換算法 產(chǎn)生了該文件唯一的MD5信息摘要 文件的內(nèi)容發(fā)生了任何形式的改變 該文件的MD5值就會(huì)發(fā)生巨大變化 進(jìn)行認(rèn)證如在UNIX系統(tǒng)中用戶的口令是以MD5經(jīng)Hash運(yùn)算后存儲(chǔ)在文件系統(tǒng)中 當(dāng)用戶登錄時(shí) 系統(tǒng)把用戶輸入的口令進(jìn)行MD5Hash運(yùn)算 然后將其與保存在文件系統(tǒng)中的MD5值進(jìn)行比較 進(jìn)而確定輸入的口令是否正確 3 3 3遠(yuǎn)程認(rèn)證 遠(yuǎn)程認(rèn)證用來認(rèn)證從遠(yuǎn)程主機(jī)撥號(hào)接入訪問控制服務(wù)器ACS的用戶 有多種遠(yuǎn)程認(rèn)證的方法 包括使用安全的遠(yuǎn)程過程調(diào)用 RPC Dial in撥號(hào)認(rèn)證以及RADIUS認(rèn)證 安全RPC認(rèn)證RPC認(rèn)證子系統(tǒng)的數(shù)據(jù)包是開放式的 因此RPC可以使用不同格式和多種類型的認(rèn)證 包括 NULL認(rèn)證 UNIX認(rèn)證 DES認(rèn)證 DES認(rèn)證協(xié)議 Diffie Hellman加密 無論RPC使用哪種類型的加密算法 對(duì)于服務(wù)器和用戶之間的密鑰調(diào)用 提供撥號(hào)服務(wù)的服務(wù)器都要求對(duì)用戶進(jìn)行認(rèn)證 Dial in撥號(hào)認(rèn)證在撥號(hào)入網(wǎng)連接中 點(diǎn)對(duì)點(diǎn)形式是最普遍的一種方式 PAP CHAP EAP 遠(yuǎn)程用戶撥號(hào)認(rèn)證 RADIUS RADIUS是一種C S結(jié)構(gòu)的協(xié)議 其客戶端最初是NAS NetAccessServer 服務(wù)器 現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端 RADIUS協(xié)議認(rèn)證機(jī)制靈活 可以采用PAP CHAP或者UNIX登錄認(rèn)證等多種方式 3 3 4匿名認(rèn)證 現(xiàn)實(shí)需要認(rèn)證機(jī)構(gòu)在信任對(duì)方并賦予對(duì)方權(quán)利的時(shí)候并不知道對(duì)方的具體身份 匿名認(rèn)證技術(shù)正是來源這樣一種要求 被認(rèn)證者要求某種權(quán)利 而同時(shí)不提供具體的個(gè)體信息 內(nèi)容匿名認(rèn)證 從原理上可以簡(jiǎn)單地歸結(jié)為將認(rèn)證過程和個(gè)人信息相分離 按照分離的手段不同 匿名認(rèn)證可以有多種實(shí)現(xiàn)方式 3 3 5基于數(shù)字簽名的認(rèn)證 基于數(shù)字簽名的認(rèn)證是另一種不需要口令和用戶名的認(rèn)證技術(shù) 數(shù)字簽名和手寫簽名的作用是一樣的 也是來認(rèn)證簽名者 數(shù)字簽名使用了PKI 所以使用該方案就必須獲得一個(gè)公鑰和一個(gè)私鑰 3 4習(xí)題 一 選擇題1 下面哪項(xiàng)不屬于口令認(rèn)證 A 可重用口令認(rèn)證B 一次性口令認(rèn)證C 安全套接層認(rèn)證D 挑戰(zhàn)應(yīng)答口令認(rèn)證2 公鑰認(rèn)證不包括下列哪一項(xiàng) A SSL認(rèn)證B Kerberos認(rèn)證C 安全RPC認(rèn)證D MD5認(rèn)證 二 問答題1 簡(jiǎn)述認(rèn)證的組成及其功能 2 簡(jiǎn)述S Key口令認(rèn)證原理 3 Kerberos是如何認(rèn)證的- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息 安全技術(shù) 教程 清華大學(xué)出版社 第三
鏈接地址:http://m.jqnhouse.com/p-8368736.html