【正文】 ，認(rèn)證失?。唬?6) 認(rèn)證服務(wù)器通知客戶認(rèn)證成功或失敗。? 缺點(diǎn) ：實(shí)現(xiàn)起來比較復(fù)雜，要求通信的次數(shù)多，而且計(jì)算量較大。在確定是否接受對方的身份證明時(shí)，還需檢查有關(guān)服務(wù)器，以確認(rèn)該證明是否有效?？蛻艉头?wù)器各自從 CA獲取證明，并且信任該授權(quán)證明中心。 DCE/Kerberos的身份認(rèn)證強(qiáng)調(diào)了客戶機(jī)對服務(wù)器的認(rèn)證；而其它產(chǎn)品，只解決了服務(wù)器對客戶機(jī)的認(rèn)證。 2023/2/27 星期六 15Ch6身份認(rèn)證與訪問控制基于 DCE/Kerberos的認(rèn)證機(jī)制 圖 認(rèn)證雙方與 Kerberos的關(guān)系 DCE/Kerberos是一種被證明為非常安全的雙向身份認(rèn)證技術(shù)。口令認(rèn)證2023/2/27 星期六 14Ch6身份認(rèn)證與訪問控制一次性口令 (OneTime Password) 一次性口令機(jī)制確保在每次認(rèn)證中所使用的口令不同，以對付重放攻擊。? 不足之處 ：? 以明文方式輸入口令容易泄密；? 口令在傳輸過程中可能被截獲；? 口令以文件形式存儲(chǔ)在認(rèn)證方，易于被攻擊者獲?。? 用戶為了記憶的方便，訪問多個(gè)不同安全級(jí)別的系統(tǒng)時(shí)往往采用相同的口令，使得攻擊者也能對高安全級(jí)別系統(tǒng)進(jìn)行攻擊。? 缺點(diǎn) ： 安全性不如生物特征認(rèn)證。 USB Key是一種 USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用 USB Key內(nèi)置的密碼學(xué)算法實(shí)現(xiàn)對用戶身份的認(rèn)證。 ? 不夠穩(wěn)定 (辯識(shí)失敗率高 )。? 優(yōu)點(diǎn)： 使用者幾乎不可能被仿冒。 ? 缺點(diǎn) ： 如果客戶端硬件與服務(wù)器端程序的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題，這使得用戶的使用非常不方便。 ? 優(yōu)點(diǎn) ： 采用一次一密的方法，不能由產(chǎn)生的內(nèi)容去預(yù)測出下一次的內(nèi)容。 2023/2/27 星期六 8Ch6身份認(rèn)證與訪問控制動(dòng)態(tài)口令方式? 是一種讓用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化，每個(gè)密碼只使用一次的技術(shù) 采用動(dòng)態(tài)密碼卡 (專用硬件 )，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼。? 缺點(diǎn) ： 由于每次從 IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易能截取到用戶的身份驗(yàn)證信息。 2023/2/27 星期六 7Ch6身份認(rèn)證與訪問控制IC卡認(rèn)證方式? 是一種基于 “ 用戶所擁有 ” 的認(rèn)證手段 IC卡由合法用戶隨身攜帶，登錄時(shí)必須將 IC卡插入專用的讀卡器中讀取其中的信息，以驗(yàn)證用戶的身份。由于許多用戶為了防止忘記密碼，經(jīng)常會(huì)采用容易被他人猜到的有意義的字符串作為密碼，因此極易造成密碼泄露。 ? 優(yōu)點(diǎn) ： 由于一般的操作系統(tǒng)都提供了對口令認(rèn)證的支持，對于封閉的小型系統(tǒng)來說是一種簡單可行的方法。 2023/2/27 星期六 3Ch6身份認(rèn)證與訪問控制圖 2023/2/27 星期六 4Ch6身份認(rèn)證與訪問控制? 單向認(rèn)證 和雙向認(rèn)證? 軟件認(rèn)證和硬件認(rèn)證? 單因子認(rèn)證和雙因子認(rèn)證? 靜態(tài)認(rèn)證和動(dòng)態(tài)認(rèn)證 ? 認(rèn)證手段 : ? 基于用戶所知道的 (what you know)? 基于用戶所擁有的 (what you have)? 基于用戶本身的（生物特征如：語音特征、筆跡特征或指紋） 相關(guān)概念 2023/2/27 星期六 5Ch6身份認(rèn)證與訪問控制 ? 用戶名 /密碼方式 ? IC卡認(rèn)證方式 ? 動(dòng)態(tài)口令方式 ? 生物特征認(rèn)證方式 ? USB Key認(rèn)證方式 2023/2/27 星期六 6Ch6身份認(rèn)證與訪問控制用戶名 /密碼方式? 是一種基于 “ 用戶所知道 ” 的驗(yàn)證手段 每一個(gè)合法用戶都有系統(tǒng)給的一個(gè)用戶名 /口令對，當(dāng)用戶要求訪問提供服務(wù)的系統(tǒng)時(shí)，系統(tǒng)就要求輸入用戶名、口令，在收到口令后，將其與系統(tǒng)中存儲(chǔ)的用戶口令進(jìn)行比較，以確認(rèn)被認(rèn)證對象是否為合法訪問者。? 身份認(rèn)證 :用于鑒別用戶身份。信息安全原理與技術(shù)第 2版郭亞軍 宋建華 李莉 董慧慧清華大學(xué)出版社2023/2/27 星期六 Ch6身份認(rèn)證與訪問控制第 6章 身份認(rèn)證與訪問控制? 主要知識(shí)點(diǎn) ： 身份認(rèn)證 訪問控制概述 自主訪問控制 強(qiáng)制訪問控制 基于角色的訪問控制 2023/2/27 星期六 2Ch6身份認(rèn)證與訪問控制 認(rèn)證 一般可以分為兩種 :? 消息認(rèn)證 :用于保證信息的完整性和抗否認(rèn)性。在很多情況下，用戶要確認(rèn)網(wǎng)上信息是不是假的，信息是否被第三方修改或偽造，這就需要消息認(rèn)證。包括識(shí)別和驗(yàn)證，識(shí)別是指明確并區(qū)分訪問者的身份；驗(yàn)證是指對訪問者聲稱的身份進(jìn)行確認(rèn)。如果正確，則該用戶的身份得到了驗(yàn)證。? 缺點(diǎn) ： 是一種單因素的認(rèn)證，它的安全性依賴于密碼。密碼一旦泄露，用戶即可被冒充。? 優(yōu)點(diǎn) ： 通過 IC卡硬件的不可復(fù)制性可保證用戶身份不會(huì)被仿冒。因此，靜態(tài)驗(yàn)證的方式還是存在著根本的安全隱患。用戶將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入，由這個(gè)信息的正確與否可識(shí)別使用者的身份。而且輸入方法普遍 (一般計(jì)算機(jī)鍵盤即可 )，能符合網(wǎng)絡(luò)行為雙方的需要。 2023/2/27 星期六 9Ch6身份認(rèn)證與訪問控制生物特征認(rèn)證方式? 以人體惟一的、可靠的、穩(wěn)定的生物特征 (如指紋、虹膜、臉部、掌紋等 )為依據(jù)，采用計(jì)算機(jī)的強(qiáng)大功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖像處理和模式識(shí)別。 ? 缺點(diǎn)： ? 較昂貴。2023/2/27 星期六 10Ch6身份認(rèn)證與訪問控制USB Key認(rèn)證方式? 采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式。 ? 兩種應(yīng)用模式 ：? 基于挑戰(zhàn) /應(yīng)答的認(rèn)證模式? 基于 PKI體系的認(rèn)證模式 ? 優(yōu)點(diǎn) ： 便于攜帶、使用方便、成本低廉、安全可靠性很高 ，被認(rèn)為將會(huì)成為身份認(rèn)證的主要發(fā)展方向。2023/2/27 星期六 11Ch6身份認(rèn)證與訪問控制 常用身份認(rèn)證機(jī)制 ? 簡單認(rèn)證機(jī)制 ? 基于 DCE/Kerberos的認(rèn)證機(jī)制 ? 基于公共密鑰的認(rèn)證機(jī)制 ? 基于挑戰(zhàn) /應(yīng)答的認(rèn)證機(jī)制 2023/2/27 星期六 12Ch6身份認(rèn)證與訪問控制簡單認(rèn)證機(jī)制 ? 口令認(rèn)證? 一次性口令 (OneTime Password)2023/2/27 星期六 13Ch6身份認(rèn)證與訪問控制? 口令認(rèn)證過程 ： ① 用戶將口令傳送給計(jì)算機(jī)； ② 計(jì)算機(jī)完成口令單向函數(shù)值的計(jì)算； ③ 計(jì)算機(jī)把單向函數(shù)值和機(jī)器存儲(chǔ)的值比較。? 只能進(jìn)行單向認(rèn)證，即系統(tǒng)可以認(rèn)證用戶，而用戶無法對系統(tǒng)進(jìn)