返回
网络安全身份认证与应用概述ppt课件.ppt

网络安全身份认证与应用概述ppt课件.ppt

ID:59240678

大小:2.22 MB

页数:32页

时间:2020-09-26

网络安全身份认证与应用概述ppt课件.ppt_第1页
网络安全身份认证与应用概述ppt课件.ppt_第2页
网络安全身份认证与应用概述ppt课件.ppt_第3页
网络安全身份认证与应用概述ppt课件.ppt_第4页
网络安全身份认证与应用概述ppt课件.ppt_第5页
资源描述:

《网络安全身份认证与应用概述ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、8.1引言身份认证(身份识别与验证,IdentificationandAuthentication)安全防御的第一道防线,用户获得访问权限的第一步访问控制的基础(第9章)访问控制:识别和区分用户,然后赋予访问权限最小特权原理(LeastPrivilegeTheorem),系统中的每个主体执行授权任务时,仅被授予完成任务所必需的最小访问权限用户审计的基础(第9章)用户审计:计算机系统活动与用户的关联(记录、分析和报告)8.2身份认证的方法识别Identification:身份声明;验证Authentication:检验身份声明的有效性目前用来验证用户身份的

2、方法有:用户知道什么(如口令、个人身份号码(PIN)、密钥等)用户拥有什么(令牌,如ATM卡或智能卡等)用户是谁(生物特征,如声音、手写识别或指纹识别等)8.2.1基于用户知道什么的身份认证口令用户输入用户标识和口令(或PIN码)系统对输入的口令与此前为该用户标识存储的口令进行比较如果匹配,该用户就可得到授权并获得访问权优点:简单、普及、有效问题:容易被猜出;一用户,多服务器,多口令,不方便8.2.2基于用户拥有什么的身份认证令牌记忆令牌(磁卡、ATM卡)只存储信息,和身份识别码一起使用智能卡采用内置微处理器,支持多种接口和协议8.2.3基于用户是谁

3、的身份认证生物特征识别生理属性(如指纹、视网膜识别等)行为属性(如声音识别、手写签名识别等)高安全性不成熟,欠稳定,费用高8.3第三方认证所谓第三方认证就是在相互不认识的实体之间提供安全通信。为互不认识的实体提供安全通信的保证。Kerberos认证系统:最早提出的第三方认证机制,依靠密钥技术(对称密码系统)X.509认证系统:由ISO开发,基于公开密钥(非对称密码系统),安全性更高,在分布式IA系统中更方便8.3.1Kerberos概述由麻省理工学院(MIT)开发提供安全、可靠、透明、可伸缩的认证服务基于对称密码学(DES或其它算法):服务器与每个实体分

4、别共享一个不同的秘密密钥(对称的含义);是否知道该秘密密钥便是实体身份的证明。Kerberos模型组成(图8-3箭头有误,正确的参见图8-4):客户机(第一方)应用提供服务器(第二方)认证服务器(AuthenticationServer):可信仲裁者(第三方)依据密钥的身份认证(秘密密钥数据库(KDC))会话密钥的产生和分发(用于客户机和Ticket-GrantingServer的一次性通信)票据授予服务器(Ticket-GrantingServer)向已通过认证的用户发放用于获取服务的票据(向第二方,即应用提供服务器证明第一方的身份)图8-3Kerbe

5、ros组成域认证和资源访问AuthenticationService(AS)TicketGrantingService(TGS)①请求一张TGS票据②返回TGT给客户③发送TGT,请求应用服务器的票据④返回应用服务器票据Kerberos客户端⑤给应用服务器发送会话票据⑥(可选)发送身份确认消息给客户应用服务器密钥分发中心(KDC)图8-4Kerberos认证消息交换过程8.3.3Kerberos基础结构和交叉领域认证认证服务器:管理用户有限需要多个认证服务器领域(Realm):某个特定认证服务器和在该服务器上注册的用户交叉领域认证:允许一个委托人(Pr

6、incipal)C向注册在另外一个域的应用服务器V证明C的身份支持交叉领域认证的条件:用户必须是在Kerberos系统注册的应用服务器接受Kerberos系统的认证权威不同领域的Kerberos服务器之间能够互相认证:互相注册,互相共享密钥。图8-5交叉领域认证8.4X.509ITU(国际电信联盟,标准制定组织)“开放性系统互连——目录服务:认证体系X.509”目录:维护用户信息数据库的服务器或分布式服务器集合,用户信息包括用户名到网络地址的映射和用户的其它属性(如用户的公钥证书)。X.509:定义了X.500目录向用户提供认证的业务框架(不同等级的认证

7、方法、证书的格式和管理、密钥的产生)定义了基于公钥证书的认证协议定义了基于公钥密码体制的数字签名机制X.509主要内容:简单认证(SimpleAuthentication)程序:使用最常见的口令(Password)认证,安全度较低强认证(StrongAuthentication)程序:使用公开密钥密码技术,高安全度密钥及证书管理:公开密钥管理以及证明密钥正确性的证书管理证书扩充及证书吊销列表扩充(CertificateandCRLExtensions)8.4.1认证协议——简单认证过程基于口令(用户与服务器共享口令,存在安全隐患)三种运行方式:将用户ID

8、及其口令以明文方式传送给接收端将口令、ID、一个随机数和/或时间戳(防重放)在经

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。