[第6章身份认证与数字签名.ppt

主要内容 身份认证 数字签名 6.1 身份认证 身份认证是验证主体的真实身份与其所声称的身份是否符合的过程。 认证的结果只有两个：符合和不符合。 适用于用户、进程、系统、信息等。 身份认证的例子 邮件登录 Client与Server之间的鉴别 Telnet远程登录 Ftp服务 登录到某台电脑上 身份认证系统的组成 出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。 验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。 第三方是可信赖者TP（Trusted third party)，参与调解纠纷。在许多应用场合下没有第三方。 6.1.1 身份认证的物理基础 Something the user know (例如口令) 在互连网和计算机领域中最常用的认证方法是口令认证 简单，但不安全。口令有可能被窃取、丢失、复制。 设计依据 安全水平、系统通过率、用户可接受性、成本等 口令一般并不是以明文的形式存在和使用，而是采用一些加强的处理之后才使用的。 对口令加密：对口令的加密算法必须是单向的，即只能加密，不能解密。在验证用户的口令时，验证方用单向函数加密，并与存储的密文相比较，若相等，则确认用户的身份有效，否则确认用户身份无效。 一次性口令：使用一次性口令作为身份认证方法，使得中途截获口令变得毫无意义。由于要产生大量的一次性口令，所以必须采用专用的设备来产生口令。 身份认证的物理基础 用户所拥有的 磁卡或智能卡丢失，那么捡到卡的人就可以假冒真正的用户。 需要一种磁卡和智能卡上不具有的身份信息，这种身份信息通常采用个人识别号PIN。持卡人必须自己妥善保存并严格必威体育官网网址。 在验证过程中，验证者不但要验证持卡人的卡是真实的卡，同时还要通过PIN来验证持卡人的确是他本人。 身份认证的物理基础 Something the user is(例如指纹识别) 更复杂,而且有时会牵涉到本人意愿 6.1.2 身份认证方式 单向认证（One-way Authentication） 双向认证（Two-way Authentication） 信任的第三方认证（Trusted Third-party Authentication） 单向认证 通信的一方认证另一方的身份 用对称密码体制来实现单向认证 某函数变换f 双方共享的密钥KS 随机数RA 用非对称密码体制来实现单向认证 随机数RA B的私钥KSB 双向认证 双方都要提供用户名和密码给对方，才能通过认证。 用对称密码体制来实现双向认证 A产生一个随机数RA 双方共享的密钥KS B产生一个随机数RB 用非对称密码体制来实现双向认证 A产生一个随机数RA B产生一个随机数RB B的私钥KSB A的私钥KSA 信任的第三方认证 当两端欲进行连线时，彼此必须先通过信任第三方的认证，然后才能互相交换密钥，而后进行通信 一种第三方认证机制 SKAU：管理员的私钥 PKB：B的公钥 PKA：A的公钥 6.1.3 kerberos协议 概述 Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。 它也指由麻省理工实现此协议，并发布的一套免费软件。 它的设计主要针对客户-服务器模型，并提供了一系列交互认证-用户和服务器都能验证对方的身份。 Kerberos协议可以保护网络实体免受窃听和重复攻击。 Kerberos协议基于对称密码学，并需要一个值得信赖的第三方。 In Greek mythology, a many headed dog, commonly three, perhaps with a serpents tail, the guardian of the entrance of Hades. -------- Dictionary of Subjects and Symbols in Art, by James Hall, Harper Row, 1979. Key Points Kerberos is an authentication service designed for use in a distributed environment. Kerberos makes use of a trusted third-part authentication service that enables clients and servers to establish authenticated communica