网络安全身份认证及其应用.ppt

该【网络安全身份认证及其应用 】是由【落意心】上传分享，文档一共【33】页，该文档可以免费在线阅读，需要了解更多关于【网络安全身份认证及其应用 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:身份声明;验证Authentication:检验身份声明的有效性目前用来验证用户身份的方法有:用户知道什么(如口令、个人身份号码(PIN)、密钥等)用户拥有什么(令牌,如ATM卡或智能卡等)用户是谁(生物特征,如声音、手写识别或指纹识别等)(或PIN码)?系统对输入的口令与此前为该用户标识存储的口令进行比较?如果匹配,该用户就可得到授权并获得访问权优点:简单、普及、有效问题:容易被猜出;一用户,多服务器,多口令,(磁卡、ATM卡) 只存储信息,和身份识别码一起使用智能卡 采用内置微处理器, 生物特征识别生理属性(如指纹、视网膜识别等)行为属性(如声音识别、手写签名识别等)高安全性不成熟,欠稳定,。为互不认识的实体提供安全通信的保证。Kerberos认证系统:最早提出的第三方认证机制,依靠密钥技术(对称密码系统):由ISO开发,基于公开密钥(非对称密码系统),安全性更高,(MIT)开发提供安全、可靠、透明、可伸缩的认证服务基于对称密码学(DES或其它算法):服务器与每个实体分别共享一个不同的秘密密钥(对称的含义);是否知道该秘密密钥便是实体身份的证明。Kerberos模型组成(图8-3箭头有误,正确的参见图8-4):客户机(第一方)应用提供服务器(第二方)认证服务器(AuthenticationServer):可信仲裁者(第三方)依据密钥的身份认证(秘密密钥数据库(KDC))会话密钥的产生和分发(用于客户机和Ticket-GrantingServer的一次性通信)票据授予服务器(Ticket-GrantingServer) 向已通过认证的用户发放用于获取服务的票据(向第二方,即应用提供服务器证明第一方的身份)图8-3Kerberos组成域认证和资源访问AuthenticationService(AS)TicketGrantingService(TGS)①请求一张TGS票据②返回TGT给客户③发送TGT,请求应用服务器的票据④返回应用服务器票据Kerberos客户端⑤给应用服务器发送会话票据⑥(可选)发送身份确认消息给客户应用服务器密钥分发中心(KDC)——简单认证过程基于口令(用户与服务器共享口令,存在安全隐患)三种运行方式:将用户ID及其口令以明文方式传送给接收端将口令、ID、一个随机数和/或时间戳(防重放)在经过一单向函数保护(口令被hash)后,传送至接收瑞方法(2)的数据连同另一组随机数和/或时间戳,再经过第二次的单向函数保护后,传送至接收端