第3章認(rèn)證技術(shù) 3 1基本概念3 2認(rèn)證組成3 3認(rèn)證技術(shù)3 4習(xí)題 3 1基本概念 定義認(rèn)證是驗(yàn)證某個(gè)人或系統(tǒng)身份的過(guò)程 就是向認(rèn)證機(jī)構(gòu)提供信息確認(rèn)某個(gè)人或系統(tǒng)是否是它聲稱(chēng)的那個(gè)人或系統(tǒng) 要求用戶(hù)出具來(lái)一定的證據(jù)證明自己 證據(jù)建立的因子用戶(hù)所知道的 用戶(hù)所擁有的和用戶(hù)本身特有的 用戶(hù)所知道的指用戶(hù)心里知道的一些東西 可能是一個(gè)口令 或用戶(hù)和認(rèn)證者共享的一個(gè)機(jī)密字 用戶(hù)所擁有的指用戶(hù)獲取的關(guān)于身份識(shí)別的各種物理實(shí)體 如安全內(nèi)核 動(dòng)態(tài)口令卡 安全暗號(hào) 或者其他任何形式的卡或標(biāo)簽 用戶(hù)所特有的指用戶(hù)本身特有的生物特征 比如聲音 指紋 虹膜等其他一些生物特征 3 2認(rèn)證組成 一個(gè)認(rèn)證系統(tǒng)由五部分組成 請(qǐng)求認(rèn)證的用戶(hù)或工作組 用戶(hù)或工作組提供的用于認(rèn)證的特征信息 認(rèn)證機(jī)構(gòu) 認(rèn)證機(jī)制以及接受或拒絕訪問(wèn)系統(tǒng)資源的訪問(wèn)控制機(jī)制 用戶(hù)或工作組如果是個(gè)人用戶(hù) 需要向認(rèn)證機(jī)構(gòu)出示證據(jù)來(lái)證明確實(shí)已被授權(quán)訪問(wèn)系統(tǒng)的資源 如果是工作組 也必須向認(rèn)證機(jī)構(gòu)提供證據(jù)證明工作組中的每一個(gè)用戶(hù)成員都被授權(quán)訪問(wèn)系統(tǒng)的資源 特征信息用戶(hù)向認(rèn)證機(jī)構(gòu)提供的用于認(rèn)證身份的信息如前所述 這些信息分為四種類(lèi)型 用戶(hù)所知道的 用戶(hù)所擁有的 用戶(hù)本身特有的和用戶(hù)的位置認(rèn)證機(jī)構(gòu)指識(shí)別用戶(hù)并指明用戶(hù)是否被授權(quán)訪問(wèn)系統(tǒng)資源的組織或設(shè)備 通過(guò)執(zhí)行完整的認(rèn)證機(jī)制來(lái)認(rèn)證用戶(hù)的身份 認(rèn)證機(jī)制由三部分組成 分別是輸入組件 傳輸系統(tǒng)和核實(shí)器輸入組件是用戶(hù)和認(rèn)證系統(tǒng)之間的接口 用于將用戶(hù)認(rèn)證信息傳輸給認(rèn)證系統(tǒng) 傳輸系統(tǒng)負(fù)責(zé)在認(rèn)證系統(tǒng)內(nèi)部各個(gè)組件之間傳遞信息核實(shí)器是認(rèn)證過(guò)程的關(guān)鍵組件 完成對(duì)用戶(hù)認(rèn)證信息的分析計(jì)算 訪問(wèn)控制單元用戶(hù)身份信息經(jīng)核實(shí)器分析計(jì)算的結(jié)果通過(guò)傳輸系統(tǒng)傳輸?shù)皆L問(wèn)控制單元 在這里 訪問(wèn)控制單元反復(fù)核對(duì)這些信息與數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶(hù)認(rèn)證信息是否匹配 完整認(rèn)證過(guò)程 3 3認(rèn)證技術(shù) 3 3 1口令認(rèn)證3 3 2公鑰認(rèn)證3 3 3遠(yuǎn)程認(rèn)證3 3 4匿名認(rèn)證3 3 5基于數(shù)字簽名的認(rèn)證 3 3 1口令認(rèn)證 口令認(rèn)證是最古老最簡(jiǎn)單的一種認(rèn)證方法 經(jīng)常作為系統(tǒng)的默認(rèn)設(shè)置 口令認(rèn)證包括可重用口令認(rèn)證 一次性口令認(rèn)證 挑戰(zhàn)應(yīng)答口令認(rèn)證和混合口令認(rèn)證可重用口令認(rèn)證用戶(hù)認(rèn)證 通常由申請(qǐng)使用系統(tǒng)資源的用戶(hù)發(fā)起 客戶(hù)端認(rèn)證 一般情況下 用戶(hù)請(qǐng)求服務(wù)器的認(rèn)證 然后被授權(quán)使用系統(tǒng)資源缺點(diǎn) 安全隱患 易于破解 一次性口令認(rèn)證一次性口令認(rèn)證也被稱(chēng)為會(huì)話認(rèn)證 認(rèn)證中的口令只能被使用一次 然后被丟棄 從而減少了口令被破解的可能性 在一次性口令認(rèn)證中 口令值通常是被加密的 避免明文形式的口令被攻擊者截獲 最常見(jiàn)的一次性口令認(rèn)證方案是S Key和Token方案 1 S Key口令基于MD4和MD5加密算法產(chǎn)生 采用客戶(hù) 服務(wù)器模式客戶(hù)端負(fù)責(zé)用hash函數(shù)產(chǎn)生每次登陸使用的口令 服務(wù)器端負(fù)責(zé)一次性口令的驗(yàn)證 并支持用戶(hù)密鑰的安全交換 在認(rèn)證的預(yù)處理過(guò)程中 服務(wù)器將種子以明文形式發(fā)送給客戶(hù)端 客戶(hù)端將種子和密鑰拼接在一起得到S 然后 客戶(hù)端對(duì)S進(jìn)行hash運(yùn)算得到一系列一次性口令 S Key保護(hù)認(rèn)證系統(tǒng)不受外來(lái)的被動(dòng)攻擊 但是無(wú)法阻止竊聽(tīng)者對(duì)私有數(shù)據(jù)的訪問(wèn) 無(wú)法防范攔截并修改數(shù)據(jù)包的攻擊 無(wú)法防范內(nèi)部攻擊 2 Token 令牌 口令這種方法要求在產(chǎn)生口令的時(shí)候使用認(rèn)證令牌 根據(jù)令牌產(chǎn)生的不同 又分為兩種方式 挑戰(zhàn)應(yīng)答式和時(shí)間同步式 挑戰(zhàn)應(yīng)答式 時(shí)間同步式在這種方式中 服務(wù)器上存儲(chǔ)有用戶(hù)的種子密鑰 用來(lái)產(chǎn)生口令 用戶(hù)擁有的口令卡里同樣存儲(chǔ)有用戶(hù)的種子密鑰 進(jìn)行認(rèn)證時(shí) 用戶(hù)向系統(tǒng)提供PIN值以及由口令卡根據(jù)當(dāng)前時(shí)間計(jì)算的口令值 服務(wù)器將用戶(hù)提供的口令和自己計(jì)算所得的口令進(jìn)行對(duì)比 認(rèn)證用戶(hù) 3 3 2公鑰認(rèn)證 定義公鑰認(rèn)證要求每個(gè)用戶(hù)首先產(chǎn)生一對(duì)由公鑰和私鑰組成的密鑰對(duì) 并存儲(chǔ)在文件中 每個(gè)密鑰對(duì)由密鑰產(chǎn)生裝置產(chǎn)生 通常是1024到2048比特 用戶(hù)把公鑰公布出來(lái) 而私鑰由本人保存 用途公鑰系統(tǒng)被認(rèn)證系統(tǒng)用來(lái)增加系統(tǒng)的安全 中央認(rèn)證服務(wù)器 通常稱(chēng)為訪問(wèn)控制服務(wù)器 ACS 負(fù)責(zé)使用公鑰系統(tǒng)進(jìn)行認(rèn)證 主要實(shí)例安全套接層 SSL 認(rèn)證 Kerberos認(rèn)證 以及MD5認(rèn)證 MD5即Message DigestAlgorithm5 信息 摘要算法5 它是一個(gè)安全散列函數(shù) 將任意長(zhǎng)度的消息映射為一個(gè)128位的大整數(shù) 用以提供信息的完整性保護(hù) 算法過(guò)程MD5以512位分組來(lái)處理輸入的信息 且每一分組又被劃分為16個(gè)32位子分組 經(jīng)過(guò)了一系列的處理后 算法的輸出由四個(gè)32位分組組成 將這四個(gè)32位分組級(jí)聯(lián)后將生成一個(gè)128位散列值 以下是每次操作中用到的四個(gè)非線性函數(shù) 其基本方式為求余 取余 調(diào)整長(zhǎng)度 與鏈接變量進(jìn)行循環(huán)運(yùn)算 最終得出結(jié)果 F X Y Z X Y X Z G X Y Z X Z Y Z H X Y Z X Y ZI X Y Z Y X Z MD5運(yùn)算原理由類(lèi)似的64次循環(huán)構(gòu)成 分成4組16次 F表示一個(gè)非線性函數(shù) 一個(gè)函數(shù)運(yùn)算一次 Mi表示一個(gè)32位的輸入數(shù)據(jù) Ki表示一個(gè)32位常數(shù) 用來(lái)完成每次不同的計(jì)算 MD5典型應(yīng)用產(chǎn)生信息摘要 防止被篡改MD5將整個(gè)文件當(dāng)作一個(gè)大文本信息 通過(guò)其不可逆的字符串變換算法 產(chǎn)生了該文件唯一的MD5信息摘要 文件的內(nèi)容發(fā)生了任何形式的改變 該文件的MD5值就會(huì)發(fā)生巨大變化 進(jìn)行認(rèn)證如在UNIX系統(tǒng)中用戶(hù)的口令是以MD5經(jīng)Hash運(yùn)算后存儲(chǔ)在文件系統(tǒng)中 當(dāng)用戶(hù)登錄時(shí) 系統(tǒng)把用戶(hù)輸入的口令進(jìn)行MD5Hash運(yùn)算 然后將其與保存在文件系統(tǒng)中的MD5值進(jìn)行比較 進(jìn)而確定輸入的口令是否正確 3 3 3遠(yuǎn)程認(rèn)證 遠(yuǎn)程認(rèn)證用來(lái)認(rèn)證從遠(yuǎn)程主機(jī)撥號(hào)接入訪問(wèn)控制服務(wù)器ACS的用戶(hù) 有多種遠(yuǎn)程認(rèn)證的方法 包括使用安全的遠(yuǎn)程過(guò)程調(diào)用 RPC Dial in撥號(hào)認(rèn)證以及RADIUS認(rèn)證 安全RPC認(rèn)證RPC認(rèn)證子系統(tǒng)的數(shù)據(jù)包是開(kāi)放式的 因此RPC可以使用不同格式和多種類(lèi)型的認(rèn)證 包括 NULL認(rèn)證 UNIX認(rèn)證 DES認(rèn)證 DES認(rèn)證協(xié)議 Diffie Hellman加密 無(wú)論RPC使用哪種類(lèi)型的加密算法 對(duì)于服務(wù)器和用戶(hù)之間的密鑰調(diào)用 提供撥號(hào)服務(wù)的服務(wù)器都要求對(duì)用戶(hù)進(jìn)行認(rèn)證 Dial in撥號(hào)認(rèn)證在撥號(hào)入網(wǎng)連接中 點(diǎn)對(duì)點(diǎn)形式是最普遍的一種方式 PAP CHAP EAP 遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證 RADIUS RADIUS是一種C S結(jié)構(gòu)的協(xié)議 其客戶(hù)端最初是NAS NetAccessServer 服務(wù)器 現(xiàn)在任何運(yùn)行RADIUS客戶(hù)端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶(hù)端 RADIUS協(xié)議認(rèn)證機(jī)制靈活 可以采用PAP CHAP或者UNIX登錄認(rèn)證等多種方式 3 3 4匿名認(rèn)證 現(xiàn)實(shí)需要認(rèn)證機(jī)構(gòu)在信任對(duì)方并賦予對(duì)方權(quán)利的時(shí)候并不知道對(duì)方的具體身份 匿名認(rèn)證技術(shù)正是來(lái)源這樣一種要求 被認(rèn)證者要求某種權(quán)利 而同時(shí)不提供具體的個(gè)體信息 內(nèi)容匿名認(rèn)證 從原理上可以簡(jiǎn)單地歸結(jié)為將認(rèn)證過(guò)程和個(gè)人信息相分離 按照分離的手段不同 匿名認(rèn)證可以有多種實(shí)現(xiàn)方式 3 3 5基于數(shù)字簽名的認(rèn)證 基于數(shù)字簽名的認(rèn)證是另一種不需要口令和用戶(hù)名的認(rèn)證技術(shù) 數(shù)字簽名和手寫(xiě)簽名的作用是一樣的 也是來(lái)認(rèn)證簽名者 數(shù)字簽名使用了PKI 所以使用該方案就必須獲得一個(gè)公鑰和一個(gè)私鑰 3 4習(xí)題 一 選擇題1 下面哪項(xiàng)不屬于口令認(rèn)證 A 可重用口令認(rèn)證B 一次性口令認(rèn)證C 安全套接層認(rèn)證D 挑戰(zhàn)應(yīng)答口令認(rèn)證2 公鑰認(rèn)證不包括下列哪一項(xiàng) A SSL認(rèn)證B Kerberos認(rèn)證C 安全RPC認(rèn)證D MD5認(rèn)證 二 問(wèn)答題1 簡(jiǎn)述認(rèn)證的組成及其功能 2 簡(jiǎn)述S Key口令認(rèn)證原理 3 Kerberos是如何認(rèn)證的