第7章证书系统与身份认证.ppt

第7章证书系统与身份认证.ppt

《第7章证书系统与身份认证.ppt》由会员分享，可在线阅读，更多相关《第7章证书系统与身份认证.ppt（26页珍藏版）》请在冰豆网上搜索。

电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论第第7章章证书系统与身份确认证书系统与身份确认电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论第第7章章证书系统与身份确认证书系统与身份确认7.1认证与身份证明认证与身份证明7.2Kerberos2电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明通信和数据系统的安全性取决于确认用户或通信和数据系统的安全性取决于确认用户或终端的身份终端的身份传统的身份证明：

通过检验传统的身份证明：

通过检验“物物”和和“人人”电子的身份证明：

个人识别号电子的身份证明：

个人识别号（PIN,PersonalIdentificationNumber）（PIN,PersonalIdentificationNumber）3电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明身份证明系统的组成身份证明系统的组成示证者示证者（申请者申请者），出示证件的人，提出某种要求，出示证件的人，提出某种要求验证者，检验示证者的证件的正确性和合法性，决定验证者，检验示证者的证件的正确性和合法性，决定是否满足其要求是否满足其要求可信赖者，调解示证者和验证者之间可能发生的纠纷可信赖者，调解示证者和验证者之间可能发生的纠纷攻击者，通过窃听等手段，伪装示证者骗取验证者的攻击者，通过窃听等手段，伪装示证者骗取验证者的信任信任身份证明与消息认证的差别：

身份证明与消息认证的差别：

消息认证不提供时间性；身份证明具有实时性消息认证不提供时间性；身份证明具有实时性消息认证除证实消息的合法性、完整性外，还需要知消息认证除证实消息的合法性、完整性外，还需要知道消息内容；身份证明通常证实身份本身道消息内容；身份证明通常证实身份本身4电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明身份证明系统的要求身份证明系统的要求验证者正确识别合法示证者的概率极大化验证者正确识别合法示证者的概率极大化不具可传递性，验证者不具可传递性，验证者BB不可能重用示证者不可能重用示证者AA提供提供给他的信息给他的信息攻击者伪装示证者欺骗验证者成功的概率小到可攻击者伪装示证者欺骗验证者成功的概率小到可以忽略，特别是要能抗已知密文攻击以忽略，特别是要能抗已知密文攻击计算有效性，实现身份证明所需的计算量小计算有效性，实现身份证明所需的计算量小通信有效性，实现身份证明所需通信次数和数据通信有效性，实现身份证明所需通信次数和数据量小量小秘密参数安全存储秘密参数安全存储5电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明以下以下44条是某些身份识别系统提出的要求：

条是某些身份识别系统提出的要求：

交互识别，有些应用交互识别，有些应用中要求双方互相进行身份中要求双方互相进行身份认证认证第三方的实时参与，如在线的公钥检索服务、第三方的实时参与，如在线的公钥检索服务、个人身份证查询个人身份证查询第三方的可信赖性第三方的可信赖性可证明安全性可证明安全性6电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明身份证明的基本分类身份证明的基本分类身份证实：

身份证实：

对个人身份进行肯定或否定。

一般对个人身份进行肯定或否定。

一般方法是将输入方法是将输入的个人信息与卡上或库存中的信息进行比较，得的个人信息与卡上或库存中的信息进行比较，得出结论。

认证信息一般是经过公式和算法运算后出结论。

认证信息一般是经过公式和算法运算后所得的结果。

所得的结果。

身份识别：

身份识别：

一般方法是输入个人信息，经处理提取成模板信一般方法是输入个人信息，经处理提取成模板信息，试着在数据库中搜索找出一个与之匹配的模息，试着在数据库中搜索找出一个与之匹配的模板，而后给出结论。

例如，人的指纹、虹膜、相板，而后给出结论。

例如，人的指纹、虹膜、相貌、貌、DNADNA等等7电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明实现身份证明的基本途径实现身份证明的基本途径所知所知（Knowledge）（Knowledge）：

个人所知道或掌握的知识，：

个人所知道或掌握的知识，如密码、生日、数字、文字等如密码、生日、数字、文字等所有所有（Possesses）（Possesses）：

个人所具有的东西，如身份：

个人所具有的东西，如身份证、护照、信用卡、钥匙等证、护照、信用卡、钥匙等个人特征个人特征（Characteristics）（Characteristics）：

如指纹、笔迹、：

如指纹、笔迹、声音、手型、脸型、血型、视网膜、虹膜、声音、手型、脸型、血型、视网膜、虹膜、DNADNA以以及个人一些习惯性动作等特征及个人一些习惯性动作等特征8电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明身份证明系统的质量指标身份证明系统的质量指标拒绝率拒绝率（FRR,FalseRejectionRate）（FRR,FalseRejectionRate），合法用合法用户遭拒绝的概率或虚报率，户遭拒绝的概率或虚报率，型型错误率错误率漏报率漏报率（FAR,FalseAcceptanceRate）（FAR,FalseAcceptanceRate），非法用，非法用户伪造身份成功的概率，户伪造身份成功的概率，型型错误率错误率为保证系统良好的服务质量，要求为保证系统良好的服务质量，要求型型错误率要错误率要足够小足够小为保证系统的安全性，要求要求为保证系统的安全性，要求要求型型错误率要足错误率要足够小够小两个指标是矛盾的、此消彼长。

要考虑性价比。

两个指标是矛盾的、此消彼长。

要考虑性价比。

9电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明通行字（口令）认证系统通行字（口令）认证系统通行字（通行字（PasswordPassword，口令、护字符）：

，口令、护字符）：

一种根据已知事物验证身份的方法，也是一一种根据已知事物验证身份的方法，也是一种研究和使用最广的身份验证法种研究和使用最广的身份验证法易记易记难于被别人猜中或发现难于被别人猜中或发现抗分析能力强抗分析能力强10电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明通行字的控制措施通行字的控制措施系统消息：

显示系统信息的文字尽量减少系统消息：

显示系统信息的文字尽量减少限制试探次数限制试探次数通行字有效期通行字有效期双通行字系统：

对于敏感信息还需输入另外的口令双通行字系统：

对于敏感信息还需输入另外的口令最小长度最小长度封锁用户系统：

对于长期不用的帐号封锁封锁用户系统：

对于长期不用的帐号封锁根通根通行字的保护：

行字的保护：

rootroot系统管理员用户系统管理员用户系统生成通行字系统生成通行字通行字的检验：

保证口令不易被破解通行字的检验：

保证口令不易被破解11电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.1认证与身份证明认证与身份证明通行字的安全存储通行字的安全存储对于用户的通行字多以加密形式存储（对于用户的通行字多以加密形式存储（BasicBasic）许多系统可以存储通行字的单向杂凑值（许多系统可以存储通行字的单向杂凑值（DigestDigest）个人特征的身份证明技术个人特征的身份证明技术生物统计学生物统计学终生不变的个人特征：

终生不变的个人特征：

DNADNA、视网膜、虹膜、指纹、视网膜、虹膜、指纹目前已经商业化的技术：

手书签字验证、指纹验证、目前已经商业化的技术：

手书签字验证、指纹验证、语音验证、视网膜图样验证、虹膜图样验证、脸型语音验证、视网膜图样验证、虹膜图样验证、脸型验证等验证等12电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.2KerberosKerberosKerberos是一种典型的用于是一种典型的用于客户机客户机和和服务器服务器认证的认证体系协议，是一种基于认证的认证体系协议，是一种基于对称密码对称密码体制体制（单钥密码体制单钥密码体制）的安全认证服务系统。

的安全认证服务系统。

美国麻省理工学院美国麻省理工学院MITMIT的的AthenaAthena计划的一个部计划的一个部分。

分。

KerberosKerberos分为认证分为认证（Authentication）（Authentication）、计账计账（Accounting）（Accounting）和审计和审计（Audit）（Audit）三个部分三个部分本书只介绍认证部分本书只介绍认证部分KerberosKerberos的认证中心服务任务被分配到两个的认证中心服务任务被分配到两个相对独立的相对独立的“认证服务器认证服务器AS”AS”和和“票据授权票据授权服务器服务器TGS”TGS”上上13电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.2Kerberos为了与其他服务的用户相区别，为了与其他服务的用户相区别，Kerberos用用户统称为户统称为Principle（动因动因），动因可以是用户，动因可以是用户，也可以是某项服务。

也可以是某项服务。

14电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.2KerberosKerberos域内认证域内认证15电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.2Kerberos第第1个阶段：

客户个阶段：

客户Client向向AS申请得到注册许可证申请得到注册许可证TTGS（ClientAS）

（1）ClientASIDClient,IDTGS,timeaAS根据根据IDClient鉴定用户是否有效，如果有效，鉴定用户是否有效，如果有效，AS随机随机生成一个用于生成一个用于Client和和TGS之间通信的会话密钥之间通信的会话密钥KTGS

（2）ClientASKCKTGS,IDTGS,timeb,timeexp,TTGSKC=Hash（PasswordClient）TTGS=KTGSKTGS,IDClient,ADC,IDTGS,timeb,timeexpClient得到得到KTGS和和TTGS16电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.2Kerberos第第2个阶段：

客户个阶段：

客户Client从从TGS得到所请求服务的服务得到所请求服务的服务许可证许可证TS（ClientTGS）

（1）ClientTGSIDServer,TTGS,AuthaAutha=KTGSIDClient,ADC,timecTGS根据根据Autha鉴定客户身份是否有效，如果有效，鉴定客户身份是否有效，如果有效，TGS随机生成一个用于随机生成一个用于Client和和Server之间通信的会话之间通信的会话密钥密钥KS

（2）ClientTGSKTGSKS,IDServer,timed,TSTS=KSKS,IDClient,ADC,IDServer,timeb,timeexpClient得到得到KS和和TS17电子商务安全导论电子商务安全导论电子商务安全导论电子商务安全导论7.2Kerberos第第3个阶段：

客户个阶段：

客户Client利用许可证利用许可证TS向服务器向服务器Server申请服务（申请服务（ClientServer）

（1）ClientServerTS,AuthbAuthb=KSIDClient,ADC,timeeServer根据根据Authb鉴定客户身份是否有效，如果有效，鉴定客户身份是否有效，如果有效，Sever向向Client提供服务。

提供服务。

为防范重放攻击为防范重放攻击，Client和和