欢迎来到天天文库
浏览记录
ID:57034497
大小:849.00 KB
页数:30页
时间:2020-07-27
《计算机网络安全技术课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第10章 认证技术本章学习目标身份认证的作用、分类,身份认证系统的组成身份认证协议利用MAC进行消息认证的过程、将散列函数用于消息认证的基本过程数字签名的原理定义认证(Authentication)是证实实体身份的过程,对传输内容进行审计、确认的过程,是保证计算机网络系统安全的重要措施之一。身份认证是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程。数据完整性可以通过消息认证来保证。而数字签名则可用来证明消息发送者的身份、消息的真实性及抗否认。密码技术一直在认证技术中起到非常关键的作用。10.1身份认证10.1.1身份
2、认证概述身份认证的作用身份认证就是为了确保用户身份的真实、合法和唯一。这样,就可以防止非法人员进入系统,防止非法人员通过违法操作获取不正当利益、访问受控信息、恶意破坏系统数据的完整性的情况的发生身份认证的分类从身份认证所用到的物理介质来分从身份认证所应用的系统来分从身份认证的基本原理分类从身份认证所用的认证协议来分按照认证协议所使用的密码技术来分身份认证系统的组成认证服务器(AuthenticationServer)认证系统用户端软件(AuthenticationClientSoftware)认证设备(Authenticator)10.1.2物理认证口令认证用户帐号+口令=某人
3、的身份智能卡一般由微处理器、存储器及输入/输出设施构成。微处理器中有一个惟一的用户标识(ID)、私钥和数字证书生物特征认证通过自动化技术利用人体的生理特征或行为特征进行身份鉴定。目前利用生理特征进行生物识别的主要方法有指纹鉴定、虹膜识别、手掌识别、视网膜识别和脸相识别;利用行为特征进行识别的主要方法有声音识别、笔迹识别和击键识别等。指纹鉴定独特性稳定性方便性手掌识别视网膜虹膜面孔声音笔迹步态识别DNA10.1.3身份认证协议分为双向认证协议和单向认证协议双向认证协议:使通信双方确认对方的身份,适用于通信双方同时在线的情况.基于对称密钥技术的双向认证协议Denning认证过程基于
4、公开密钥技术的双向认证协议WOO92b协议基于对称密钥技术的双向认证A→KDC:IDA‖IDB‖N1;//A向KDC申请要和B通信。明文消息中包含一个大的随机数N1。KDC→A:EKa[KS‖IDB‖N1‖EKb[KS‖IDA]];//KDC发送一个使用A和KDC之间共享的密钥Ka加密的消息,消息包括:由KDC分发的、A与B的会话密钥Ks;B的名字IDB(保证了第一条明文消息中的B未被更改,即确认A是与B通信);A的随机数N1(保证了该消息是新的而不是攻击者重放的);一个只有B能看懂的许可证EKb[KS‖IDA](因为使用了B和KDC之间共享的密钥Kb加密)。A→B:EKb[K
5、S‖IDA];//A将许可证EKb[KS‖IDA]发给B。B→A:EKs[N2];//B解密许可证EKb[KS‖IDA]获得会话密钥Ks,从而认证了B的身份(因为只有B才能对使用了密钥Kb加密的消息进行正确的解密);然后产生随机数N2,B向A发送消息EKs[N2]。A→B:EKs[f(N2)]。//A向B发送消息EKs[f(N2)]以证明是真正的A与B通信,从而认证了A的身份(因为只有A也知道KS)。Denning认证过程A→KDC:IDA‖IDB;KDC→A:EKa[KS‖IDB‖T‖EKb[KS‖IDA‖T]]A→B:EKb[KS‖IDA‖T];B→A:EKs[N1];A→
6、B:EKs[f(N1)]∣Clock-T∣<Δt1+Δt2其中,T是时间戳,记录了KDC发送消息②时的时间;Δt1是KDC时钟与本地时钟(A或B)之间差异的估计值;Δt2是预期的网络延迟时间。WOO92b协议A→KDC:IDA‖IDB;//A向KDC提出和B通信。KDC→A:EKRkdc[IDB‖KUb];//A得到B的公钥。A→B:EKUb[Na‖IDA];//A向B提出通信要求,包含一个随机数NaB→KDC:IDB‖IDA‖EKUkdc[Na];//B向KDC询问A的公钥。KDC→B:EKRkdc[IDA‖KUa]‖EKUb[EKRkdc[Na‖KS‖IDA‖IDB]];/
7、/B得到A的公钥和一段KDC签名的消息。B→A:EKUa[EKRkdc[Na‖KS‖IDA‖IDB]‖Nb];//B将这段消息和随机数Nb发给A,A在KDC签名的消息中找到Na,知道这不是一个重放。A→B:EKs[Nb]。//A使用刚得到的会话密钥回答B其中,KUa是A的公钥;KRa是A的私钥;KUkdc是KDC的公钥;KRkdc是KDC的私钥单向认证协议许多单向认证的应用(比如E-mail)不需要双方同时在线。一方在向对方证明自己身份的同时,即可发送数据;另一方收到后,首先验证发送方的身份
此文档下载收益归作者所有