教学课件-第5章认证技术.ppt

上传人：kun****un

文档编号：85527826

上传时间：2026-03-15

格式：PPT

页数：61

大小：515KB

《教学课件-第5章认证技术.ppt》由会员分享，可在线阅读，更多相关《教学课件-第5章认证技术.ppt（61页珍藏版）》请在知学网上搜索。

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第5章认证技术,第,5,章认证技术,2,知识点：,认证模型及协议,静态口令认证技术,动态口令认证技术,消息认证技术,实体认证技术,X.509,认证技术,数字证书,PKI,、,PMI,技术,3,5.1,认证技术概述,5.1.1,认证及认证模型,认证（,Authentication,）是指核实真实身份的过程，是防止主动攻击的重要技术之一，是一种用可靠的方法证实被认证对象（包括人和事）是否名副其实或是否有效的过程，因此也称为鉴别或验证,认证（,Authentication,）是指核实真实身份的过程，是防止主动攻击的重要技术之一，是一种用可靠的方法证实被认证对象（包括人和事）是否名副其实或是否有效的过程，因此也称为鉴别或验证,纯认证系统的模型,4,5.1.2,认证协议,认证协议就是进行认证的双方采取的一系列步骤认证协议主要有单向认证和双向认证协议两种,1,单向认证,与密钥分发相结合的单向认证有两类：一类采用对称密码技术，需要一个可信赖的第三方,通常为密钥分发中心（,KDC,）或认证服务器（,AS,），由这个第三方来实现通信双方的身份认证和密钥分发；另一类采用非对称密码技术，无需第三方的参与。

,（,1,）需要第三方参与的单向认证,图,5-2,该方法保证只有合法的接收者才能阅读到消息内容；它还提供了发送方是,A,这个认证，但该协议无法防止重放攻击,5,（,2,）无需第三方参与的单向认证,协议执行的步骤如下（如图,5-3,所示）：,图,5-3,2,双向认证,在双向认证过程中，通信双方需要互相认证的身份，然后交换会话密钥，双向认证的典型方案是,Needham/Schroder,协议，协议执行的步骤如下（如图,5-4,所示）：,6,密钥,K,A,和,K,B,分别是,A,与,KDC,、,B,与,KDC,共享的密钥，这个协议的目的是将会话密钥,K,S,安全的分发给,A,和,B,在步骤中,A,可安全地获取一个新的会话密钥；步骤中的报文只能被,B,解密，因此只有,B,知道报文的内容；在步骤中，,B,已获取了会话密钥,K,S,；在步骤中,B,确信,A,已获得了会话密钥,K,S,，同时也使得,B,确信这是一个新报文，因为使用了随机数,N,2,本协议中步骤和的作用是防止某种特定类型的重放攻击,图,5-4,7,尽管有步骤和的存在，但此协议还是容易遭到一种重放攻击假定,C,是攻击者，已获得了一个过时的会话密钥。

,C,可以冒充,A,，使用旧的会话密钥，通过简单的重放步骤就能欺骗,B,，除非,B,始终牢记所有与,A,的会话密钥，否则,B,无法确定这是一个重放如果,C,能截获步骤中的报文，那么他就能够模仿步骤中的响应因此，,C,可以向,B,发送一个伪造的报文，让,B,以为报文是来自,A,（且使用的是认证过的会话密钥）,Denning,提出了改进的,Needham/Schroder,协议，克服了上述这种重放攻击，这个改进协议是在步骤和中增加了时间戳，并假定密钥,KA,和,KB,是完全安全的改进后的协议执行的步骤如下：,8,大家有疑问的，可以询问和交流,可以互相讨论下，但要小声点,9,5.2,口令认证技术,5.2.1,安全口令,为了防止攻击者猜测出口令，选择的安全口令应满足以下要求：,（,1,）口令长度适中,（,2,）不回送显示,（,3,）记录和报告,（,4,）自动断开连接,（,5,）口令存储的安全性,目前，口令的存储有以下两种方法：明文存储；散列（,Hash,）函数存储,10,图,1-1,就是通信服务提供者的信息安全模型,5.2.2,静态口令认证技术,当前，最基本、最常用的身份认证技术就是,“,用户名,+,静态口令,”,认证。

静态口令认证一般分为两个阶段：第,1,阶段是身份识别阶段，确认认证对象是谁；第,2,阶段是身份验证阶段，获取身份信息进行验证,静态口令认证虽然具有用户使用简单、方便，线路上传输的数据量最小，后台服务器数据调用最小，速度最快，实现的成本最低等优势，但在口令强度、口令传输、口令验证、口令存储等许多环节都存在严重的安全隐患，可以说是最不安全的认证技术,11,实现动态口令认证的技术有：,5.2.3,动态口令认证技术,1,口令表认证技术,口令表认证技术是要求用户必须提供一张记录有一系列口令的表，并将表保存在系统中，系统为该表设置了一个指针用于指示下次用户登录时所应使用的口令,2,双因子认证技术,一次性口令是变动的口令，其变化来源于产生密码的运算因子的变化一次性口令的产生因子一般采用双运算因子：一个是用户的私有密钥；一个是变动的因子变动因子可以是时间，也可以是事件，形成基于时间同步、事件同步、挑战,/,应答非同步等不同的一次性口令认证技术,12,下面简单介绍基于一次性口令的身份认证系统（,S/KEY,），目前,S/KEY,现已经作为标准的协议,RFC1760,,（,1,）,S/KEY,的认证过程,S/KEY,的认证过程如图,5-5,所示，步骤如下：,图,5-5,13,用户向身份认证服务器提出连接请求；,服务器返回应答，并附带两个参数（,seed,seq,）；,用户输入口令，系统将口令与,seed,连接，进行,seq,次,Hash,计算（,Hash,函数可以使用,MD4,或,MD5,），产生一次性口令，传给服务器；,服务器端必须存储一个文件，它存储每一个用户上次登录的一次性口令。

服务器收到用户传过来的一次性口令后，再进行一次,Hash,计算，与先前存储的口令进行比较，若匹配则通过身份认证，并用这次的一次性口令覆盖原先的口令下次用户登录时，服务器将送出,seq,=,seq,1,这样，如果客户确实是原来的那个用户，那么他进行,seq1,次,Hsah,计算的一次性口令应该与服务器上存储的口令一致,14,（,2,）,S/KEY,的优点,用户通过网络传送给服务器的口令是利用秘密口令和,seed,经过,MD4,（或,MD5,）生成的密文，用户拥有的秘密口令并没有在网上传播这样即使黑客得到了密文，由于散列算法固有的非可逆性，要想破解密文在计算上是不可行的在服务器端，因为每一次成功的身份认证后，,seq,自动减,1,，这样下次用户连接时产生的口令同上次生成的口令是不一样的，从而有效地保证了用户口令的安全,实现原理简单，,Hash,函数的实现可以用硬件来实现，可以提高运算效率,（,3,）,S/KEY,的缺点,给用户带来一些麻烦（如口令使用一定次数后需要重新初始化，因为每次,seq,要减,1,）,15,S/KEY,的安全性依赖于散列算法（,MD4/MD5,）的不可逆性，由于算法是公开的，当有关于这种算法可逆计算的研究有了信息时，系统将会被迫重新使用其他安全算法。

,S/KEY,系统不使用任何形式的会话加密，因而没有保密性如果用户想要阅读他在远程系统的邮件或日志，这会在第,1,次会话中成为一个问题；而且由于有,TCP,会话的攻击，这也会对,S/KEY,的安全性构成威胁,所有一次性口令系统都会面临密钥的重复这个问题，这会给入侵者提供入侵机会,S/KEY,需要维护一个很大的一次性密钥列表，有的甚至让用户把所有使用的一次性密钥列在纸上，这对于用户来说是非常麻烦的事情此外，有的提供硬件支持，这就要求使用产生密钥的硬件来提供一次性密钥，用户必须安装这样的硬件,16,5.3,消息认证技术,消息认证是一种过程，它使得通信的接收方能够验证所收到的报文（发送者、报文的内容、发送时间、序列等）在传送过程中是否被假冒、伪造、篡改，是否感染了病毒等，即保证信息的完整性和有效性,1,消息认证码,5.3.1,采用,MAC,的消息认证技术,17,（,1,）,B,确信消息未被更改过如果一个攻击者更改消息，而未更改,MAC,，那么,B,计算出来的消息将不同于接收到的,MAC,（假定攻击者不知道该密钥，因此不可能更改,MAC,来对应被更改过的消息）,（,2,）,B,确信消息来自发送者。

因为没有其他人知道该密钥，所以也没有人能为一个消息伪造一个合适的,MAC,,（,3,）如果消息包括一个序列号（如用于,HDLC,、,X.25,和,TCP,），那么接收者确信该序列号的正确性这是因为攻击者无法更改序列号,2,基于,DES,的消息认证码,利用,DES,算法可以生成消息认证码（,FIPS PUB113,），它是使用,DES,加密后的密文的若干位（如,16,或,32,位）作为消息认证码，如图,5-6,所示,18,图,5-6,基于,DES,的消息认证码,19,3,消息认证码方案,20,21,1,Hash,函数的概念,Hash,函数是可接受变长的数据输入，并生成定长的数据输出的函数这个定长的输出是输入数据的,Hash,值或称为消息摘要由于,Hash,函数具有单向性的属性，故也称之为单向散列函数,Hash,值（消息摘要、散列码）又被称为输入数据的数字指纹,5.3.2,采用,Hash,函数的消息认证技术,22,2,简单的,Hash,算法,23,不同的,Hash,值可以提供几种消息认证方式（如图,5-9,所示）：,（,1,）使用对称密码技术对附加,Hash,值的消息进行加密（如图,5-9,（,a,）所示）。

认证的原理是：因为只有,A,和,B,共享密钥,K,，因此消息,M,必定来自,A,且未被篡改消息摘要提供认证所需要的结构或冗余因为对包括消息和,Hash,值的整体进行了加密，因此还提供了保密,3,采用,Hash,函数的消息认证,24,（,2,）使用对称，密码技术仅对,Hash,值进行加密（如图,5-9,（,b,）所示）该方法是针对消息无需保密的应用情况，从而减少了由加密而增加的处理负担由,H,值与加密结果合并成为的一个整体函数实际上就是一个消息认证码（,MAC,）是变量消息,M,和密钥,K,的函数值，且它生成一个定长的输出，对不知道该密钥的攻击者来说是安全的,25,（,3,）使用公钥密码技术和发送方的私钥仅对,Hash,值进行加密（如图,5-9,（,c,）所示）该方法既能提供认证，又能提供数字签名因为只有发送方能够生成加密的,Hash,认证码（事实上，这也是数字签名的本质）,（,4,）同时提供保密性和数字签名可使用一个对称秘密密钥对消息和已使用的公钥加密的,Hash,认证码一起进行加密，如图,5-9,（,d,）所示,26,（,5,）通信各方共享一个公共的秘密值,S,的,Hash,值（如图,5-9,（,e,）所示）。

该方法使用,Hash,值，但不对其加密假定通信各方共享一个公共秘密值,S,，用户,A,对串接的消息,M,和,S,计算出,Hash,值，并将得到的,Hash,值附加在消息,M,后因为秘密值,S,本身并不被发送，攻击者无法更改中途截获的消息，也就无法产生假消息，此方法只提供认证,27,（,6,）通过对包含消息和,Hash,值的整体进行加密就能对方法（,5,）增加保密功能，如图,5-9,（,f,）所示当不需要保密时，方法（,2,）和（,3,）在降低计算量上要优于那些需要对整个消息进行加密的方法然而，目前对避免加密的方法（,5,）越来越重视,28,表,5-1,归纳了图,5-9,中说明的保密和认证方法,29,5.4,实体认证技术,5.4.1,身份认证系统,1,身份认证系统的组成,由,4,部分组成：示证者,P,（,Prover,）（也称为申请者（,Claimant,），即出示证件的人，提出某种要求）、验证者,V,（,Verifier,）（检验示证者提出的证件的正确性和合法性，决定是否满足要求）、攻击者（可以窃听和伪装示证者，骗取验证者的信任）和可信赖者（即第三方，也称仲裁者，参与调解纠纷）实现身份验证的这类技术称为身份认证技术，也称为识别（,Identification,）、实体认证（,Entity Authenti。