【文章內(nèi)容簡介】 份 51 鑒別的分類 ?本地鑒別和遠程鑒別 ? 本地鑒別：實體在本地環(huán)境的初始化鑒別 ? 遠程鑒別：連接遠程設備、實體和環(huán)境的實體鑒別 ?單向鑒別和雙向鑒別 ? 單向鑒別：通信雙方中只有一方向另一方進行鑒別 ? 雙向鑒別：通信雙方相互進行鑒別 52 鑒別系統(tǒng)的組成 ?被驗證者 P（ Prover）：出示身份標識的人，又稱聲稱者（ Claimant） ?驗證者 V（ Verifier）：檢驗聲稱者提出的身份標識的正確性和合法性，決定是否滿足要求 ?可信賴者 TP（ Trusted Third Party）：參與鑒別的第三方，參與調(diào)解糾紛 P V TP 53 鑒別的基本途徑 ?基于你所知道的（ What you know ） ? 知識、口令、密碼 ?基于你所擁有的（ What you have ） ? 身份證、信用卡、鑰匙、智能卡、令牌等 ?基于你的個人特征（ What you are） ? 指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜 ?雙因素、多因素認證 54 常見的鑒別技術 ?基于口令的身份認證 ?基于生物特征的身份認證 ?基于個人令牌的身份認證 ?Kerberos身份認證協(xié)議 55 基于口令的身份認證 ?口令是使用最廣泛的身份鑒別方法 ?選擇原則：易記、難猜測、抗分析能力強 ?口令提供弱鑒別，面臨的威脅： ? 口令猜測 ? 線路竊聽 ? 重放攻擊 ? …… 56 防止口令猜測 ?嚴格限制登錄的次數(shù) ?限制最小長度，至少 6至 8字節(jié)以上 ?防止使用用戶特征相關的口令 ?定期改變口令 ?使用機器生成的口令 57 防止線路竊聽 ?使用保護口令機制：單向函數(shù) ?攻擊者很容易構造一張 q與 p對應的表，表中的 p盡可能包含所期望的值 ? 解決辦法：在口令后使用隨機數(shù) 58 一次性口令機制 ?確保在每次鑒別中所使用的口令不同，以對付重放攻擊 ?口令的確定方法： ? 使用時間戳，兩端維持同步的時鐘 ? 兩端共同擁有一串隨機口令，在該串的某一位置保持同步 ? 兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步 59 雙因素動態(tài)口令卡 ?基于密鑰 /時間雙因素的身份鑒別機制 ?用戶登錄口令隨時間變化，口令一次性使用，無法預測，可以有效抵御密碼竊取和重放攻擊 60 雙因素動態(tài)口令的強度 ?沒有器件而知道口令 p，不能導致一個簡單的攻擊 ?擁有器件而不知道口令 p，不能導致一個簡單的攻擊 ?除非攻擊者也能進行時間同步，否則難以實現(xiàn)重放攻擊 ?知道 q而不知道設備安全值 dsv，不能導致一個簡單的攻擊 61 基于生物特征的身份認證（一） ?每個人所具有的唯一生理特征 ? 指紋，視網(wǎng)膜，聲音，虹膜、語音、面部、簽名等 ?指紋 ? 一些曲線和分叉以及一些非常微小的特征 ? 提取指紋中的一些特征并且存儲這些特征信息：節(jié)省資源，快速查詢 ?手掌、手型 ? 手掌有折痕，起皺，還有凹槽 ? 還包括每個手指的指紋 ? 人手的形狀（手的長度，寬度和手指）表示了手的幾何特征 62 基于生物特征的身份認證（二） ?視網(wǎng)膜掃描 ? 掃描眼球后方的視網(wǎng)膜上面的血管的圖案； ?虹膜掃描 ? 虹膜是眼睛中位于瞳孔周圍的一圈彩色的部分 ? 虹膜有其獨有的圖案，分叉，顏色，環(huán)狀，光環(huán)以及皺褶 ?語音識別 ? 記錄時說幾個不同的單詞，然后識別系統(tǒng)將這些單詞混雜在一起，讓他再次讀出給出的一系列單詞 ?面部掃描 ? 人都有不同的骨骼結構，鼻梁，眼眶，額頭和下顎形狀 63 指紋識別的實現(xiàn)原理 ?通過特殊的光電掃描和計算機圖像處理技術，對指紋進行采集、分析和比對，自動、迅速、準確地認證出個人身份。 ?指紋識別的過程 ? 按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫中的模板指紋調(diào)出來，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出于同一幅指紋。 指紋圖象 采集儀 圖象輸入 通道 指紋細節(jié) 匹配 認證結果 64 虹膜識別的實現(xiàn)原理（一） ?虹膜是環(huán)繞在瞳孔四周有色彩的部分 ? 每一個虹膜都包含一個獨一無二的基于像冠、水晶體、細絲、斑點、結構、凹點、射線、皺紋和條紋等特征的結構 ? 每一個人的虹膜各不相同，一個人的左眼和右眼就可能不一樣，即使是雙胞胎的虹膜也可能不一樣 ? 人的虹膜在出生后 618個月成型后終生不再發(fā)生變化 65 虹膜識別的實現(xiàn)原理（二） 66 基于生物特征的認證系統(tǒng)的誤判 ?第一類錯誤：錯誤拒絕率（ FRR） ?第二類錯誤：錯誤接受率（ FAR） ?交叉錯判率（ CER）： FRR=FAR的交叉點 ?CER用來反映系統(tǒng)的準確度 % 安全性 FAR(II) FRR(I) CER 67 基于個人令牌的身份認證 ?集成電路卡（ Integrated Circuit Card）簡稱 IC卡，其中鑲嵌集成電路芯片 ?IC卡的分類 ? IC卡接口類型 ? 接觸式 IC卡 ? 非接觸式 IC卡 ? 雙界面卡 ? 嵌入集成電路芯片的形式和類型 ? 非加密存儲卡 ? 邏輯加密卡 ? CPU卡（又稱智能卡） 68 智能卡的安全特性 ?硬件 ? 與外界通信前，先完成智能卡與終端間的認證 ? 加入安全傳感器，防止在數(shù)據(jù)被讀出或寫入時被修改 ? 發(fā)生異常，智能卡復位，或者置標志位，使智能卡操作系統(tǒng)做出相應反應 ? 存儲器加密，不保存任何明文 ?軟件 ? 使用需要通過雙因素認證，進入操作智能卡的安全狀態(tài) ? 信息采用文件系統(tǒng)進行保存，依據(jù)類型或密鑰的不同，提供不同的訪問操作 ? 支持 DES、 3DES和 RSA等密碼算法 69 單點登錄技術 ?單點登錄（ SSO， Single Signon） ? 用戶只需在登錄時進行一次注冊，就可以訪問多個系統(tǒng)，不必重復輸入用戶名和密碼來確定身份 ? 實質是安全上下文（ Security Context）或憑證（Credential）在多個應用系統(tǒng)之間的傳遞或共享 ?單點登錄的優(yōu)點 ? 方便用戶 ? 方便管理員 ? 簡化應用系統(tǒng)開發(fā) 70 Kerberos認證協(xié)議 ?美國麻省理工學院（ MIT）為 Athena項目開發(fā)的一種身份鑒別協(xié)議 ?“ Kerberos” 的本意是希臘神話中守護地獄之門的守護者 ?Kerberos提供了一個網(wǎng)絡環(huán)境下的身份認證框架結構 ? 實現(xiàn)采用對稱密鑰加密技術 ? 公開發(fā)布的 Kerberos版本包括版本 4和版本 5 ? 安全性、可靠性、可伸縮性、透明性 71 Kerberos認證協(xié)議使用條件 ?有一個時鐘基本同步的環(huán)境 ?客戶機與 KDC（ Key Distribution Center ）， KDC與服務器在協(xié)議工作前已經(jīng)有了各自的共享密鑰 ?組成 ? 密鑰分發(fā)中心（ KDC）：由兩個獨立的邏輯部分組成 ? 認證服務器 AS（ Authentication Server） ? 票據(jù)授權服務器 TGS（ Ticket Granting Server） ? 票據(jù)授權票據(jù) TGT 72 獲得票據(jù)許可票據(jù) 73 ? 第一步：獲得票據(jù)許可票據(jù) ? 用戶登錄客戶機請求主機服務 ? 認證服務器（ AS）在數(shù)據(jù)庫中驗證用戶的訪問權限，生成票據(jù)許可票據(jù)和會話密鑰，它們用由用戶口令導出的密鑰進行加密 AS 客戶機 請求票據(jù)許可票據(jù) 票據(jù) +會話密鑰 獲得服務許可票據(jù) 74 ? 第二步：獲得服務許可票據(jù) ? 客戶